Rezerwacja
Menu

Sprawdź termin

18 Kwi '19
19 Kwi '19
Rezerwacja
Rezerwacja jest chwilowo niedostępna.
Zapraszamy do kontaktu z recepcją
Zapytaj o ofertę
Oferty specjalne Kup voucher

POLITYKA OCHRONY DANYCH OSOBOWYCH

Więcej

POLITYKA OCHRONY DANYCH

OSOBOWYCH w Hotelu Piwniczna Spa & Conference w Piwnicznej Zdrój















 

II.    PODSTAWOWE INFORMACJE.

A.    CEL POLITYKI I PODSTAWA PRAWNA.

  1. Niniejszy dokument zatatuowany „Polityka ochrony danych osobowych” (dalej zwana POLITYKĄ) opisuje działania organizacyjne i techniczne podejmowane przez Marzenę Oleś prowadzącą działalność gospodarczą pod firmą „CZARNA OWCA” z siedzibą w Piwnicznej- Zdroju, ul. Juliusza Korwina Gąsiorowskiego nr 5, NIP 645-245-55-58 jako Administratora Danych Osobowych, których celem jest osiągnięcie i utrzymanie akceptowalnego poziomu bezpieczeństwa przetwarzanych danych osobowych oraz podniesienie poziomu świadomości pracowników w zakresie ochrony tych danych/informacji.

  2. Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu RODO – rozporządzenia Parlamentu Europejskiego i Rady ( UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywny 95/46.WE.

  3. Celem Polityki jest opisanie działań mających na celu ochronę danych osobowych oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby prawidłowo wykonać obowiązki Administratora w zakresie zabezpieczenia danych osobowych.

  4. Do wyznaczonego celu Administrator dąży poprzez wdrożenie odpowiedniego systemu ochrony danych osobowych przed zagrożeniami wewnętrznymi i zewnętrznymi.

  5. Odpowiedzialną za wdrożenie i utrzymanie niniejszej Polityki jest z Marzena Oleś.

 

B. DEFINICJE.

 

  1. Administrator - rozumie się przez Marzenę Oleś prowadzącą działalność gospodarczą pod firmą „CZARNA OWCA” z siedzibą w Piwnicznej- Zdroju.

  2. Osoba upoważniona - każda osoba posiadająca pisemne upoważnienie do przetwarzania danych osobowych wydane przez Administratora;

  3. Firma- działalność gospodarcza prowadzona przez Marznę Oleś pod firmą „CZARNA OWCA” z siedzibą w Piwnicznej- Zdroju.

  4. Użytkownik systemu - każda osoba, posiadająca upoważnienie do przetwarzania danych osobowych wydane przez Administratora zarejestrowana w systemie /posiadająca unikalny identyfikator i hasło/ przetwarzająca dane osobowe;

  5. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio;

  6. Szczególne kategorie danych osobowych – dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby, a także dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa ;

  7. Zbiór danych - uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

  8. Przetwarzanie danych - operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

  9. Obszar Przetwarzania Danych Osobowych – budynki, pomieszczenia oraz części pomieszczeń, w których przetwarzane są Dane Osobowe;

  10. Usuwanie danych - zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;

  11. Identyfikator użytkownika - ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;

  12. Hasło - ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym;

  13. Uwierzytelnianie - to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;

  14. Bezpieczeństwo informacji -  zachowanie poufności, integralności, dostępności i rozliczalności informacji;

  15. Poufność - właściwość polegająca na tym, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom i podmiotom;

  16. Dostępność - właściwość polegającym na byciu dostępnym i użytecznym na żądanie upoważnionego podmiotu lub upoważnionej osoby;

  17. Integralność - właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;

  18. Rozliczalność - właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;

  19. Naruszenie ochrony danych osobowych - naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

  20. System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;

  21. Szkodliwe oprogramowanie – oprogramowanie, którego celem jest umożliwienie uzyskania nieuprawnionego dostępu do systemu informatycznego;

  22. Zabezpieczanie danych w systemie informatycznym - wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,

  23. Nośnik danych osobowych – każdy nośnik komputerowy bądź papierowy w postaci akt osobowych oraz ich kserokopie, przenośne urządzenia robocze (laptopy lub inne urządzenia), elektroniczne nośniki informacji (dyski zewnętrzne, płyty kompaktowe, pendrive itp.) wydruki z systemu informatycznego oraz dyski serwerów i kopii zapasowych.


 

C.     ZDEFINIOWANIE ODPOWIEDZIALNOŚCI.

  1. Administratorem jest Marzena Oleś prowadzącą działalność gospodarczą pod firmą „CZARNA OWCA” z siedzibą w Piwnicznej- Zdroju, ul. Juliusza Korwina Gąsiorowskiego nr 5, NIP 645-245-55-58

  2. Polityka obowiązuje wszystkich pracowników Administratora oraz osoby pracujące na rzecz Administratora na podstawie umów cywilnoprawnych oraz na podstawie prowadzonej działalności gospodarczej.

  3. Do obowiązków Administratora należy zrozumienie oraz zapewnienie świadomości bezpieczeństwa przetwarzania danych osobowych, jego problematyki i wymagań.

  4. Do obowiązków Administratora należy m.in.

  1. podejmowanie odpowiednich i niezbędnych kroków mających na celu zapewnienie prawidłowej ochrony danych osobowych;

  2. podział zadań i obowiązków związanych z organizacją ochrony danych osobowych;

  3. wprowadzenie procedur mających na celu prawidłowe i legalne przetwarzanie danych osobowych;

  4. zapewnienie niezbędnych środków potrzebnych dla zapewnienia bezpieczeństwa danych osobowych.

  1. Do obowiązków osób upoważnionych do przetwarzania danych osobowych należy m.in. :  

  1. przetwarzanie danych zgodnie z obowiązującymi przepisami prawa;

  2. zachowanie w tajemnicy danych osobowych oraz informacji o sposobie ich zabezpieczenia;

  3. postępowanie zgodnie z ustalonymi regulacjami wewnętrznymi dotyczącymi przetwarzania danych osobowych;

  4. informowanie o wszelkich podejrzanych naruszeniach oraz zauważonych naruszeniach dot. Przetwarzania lub zabezpieczenia danych osobowych.

 

III. POLITYKA BEZPIECZEŃSTWA - ZASADY OGÓLNE.

  1. ZAKRES STOSOWANIA POLITYKI

 

  1. Informacje przetwarzane i składowane są zarówno w postaci dokumentacji papierowej jak i elektronicznej.

  2. Niniejszą Politykę stosuje się m.in. do:

  1. danych osobowych przetwarzanych w systemie informatycznym;

  2. danych osobowych przetwarzanych w trybie tradycyjnym ( dokumentacja papierowa);

  3. wszystkich informacji dotyczących pracowników Firmy w tym danych osobowych personelu i treści zawieranych umów o pracę;

  4. wszystkich danych kandydatów do pracy zbieranych na etapie rekrutacji;

  5. rejestru osób dopuszczonych do przetwarzania danych osobowych;

  6. danych osobowych osób fizycznych będących klientami lub kontrahentami Firmy.

 

  1. ZASADY OGÓLNE PRZETWARZANIA DANYCH       OSOBOWYCH.   

 

  1. Dane osobowe przetwarzane są z poszanowanie następujących zasad:

  1. w oparciu o podstawę prawną i zgodnie z prawem (legalizm);

  2. rzetelnie i uczciwie (rzetelność);

  3. w sposób przejrzysty dla osoby, której dane dotyczą (transparentność);

  4. w konkretnych celach ( minimalizacja);

  5. z dbałością o prawidłowość działań (prawidłowość);

  6. nie dłużej niż potrzeba ( czasowość) ;

  7. nie więcej niż potrzeba (adekwatność);

  8. zapewniając odpowiednie bezpieczeństwo danych ( bezpieczeństwo);

  9. poprzez nieudostępniania danych nieupoważnionym osobom;

  10. poprzez zapewnienie, że działania mogą być przypisane w sposób jednoznaczny tylko jednej osobie;

  11. poprzez przydzielanie praw dostępu do danych osobom tylko i wyłącznie w zakresie niezbędnym do wykonywania czynności służbowych;

  12. poprzez nierealizowanie zadań krytycznych z punktu widzenia bezpieczeństwa danych przez tą samą osobę

  1. OPIS STRUKTUR ZBIORÓW DANYCH OSOBOWYCH.

  1. Zbiory danych osobowych przetwarzanych w Firmie mają następujące struktury:

  1. W zbiorze danych Klientów i kontrahentów Firmy przetwarzane są dane osobowe w zakresie imienia i nazwiska, NIP, adresu, numeru rachunku bankowego, nazwy banku, numeru telefonu, wiadomości e-mail.

  2. W zbiorze danych Pracowników Firmy przetwarzane są dane w zakresie imienia i nazwiska, płci, imienia ojca, imienia matki, nazwiska rodowego, PESEL, NIP, stanu cywilnego, numeru telefonu, miejsca urodzenia, daty urodzenia, serii i numeru dowodu osobistego, wystawcy dowodu osobistego, adresu zamieszkania, urzędu skarbowego, imienia i nazwiska, daty urodzenia, adresu, PESEL męża( żony) oraz dzieci, nazwy banku, numeru rachunku bankowego, adresu e-mail, wykształcenia.

  1. ZASADY REALIZACJI POLITYKI.  

 


A.  INFORMACJE OGÓLE.

 

  1. Każda osoba biorąca udział w przetwarzaniu danych osobowych posiada pisemne, imienne upoważnienie do ich przetwarzania nadane przez Administratora stanowiące polecenie Administratora w rozumieniu art. 29 RODO oraz 32 ust. 4 RODO. Upoważnienie to połączone jest z deklaracją pracownika o zachowaniu w tajemnicy danych osobowych, sposobów ich zabezpieczania jak również zapoznania się z treścią Polityki. (Wzór pisemnego upoważnienia stanowi załącznik nr 1 do niniejszej Polityki.)

  2. Administrator prowadzi ewidencję osób upoważnionych. (Wzór ewidencji osób upoważnionych stanowi załącznik nr 2 do niniejszej Polityki.)

  3. Administrator wdrożył stosowne środki organizacyjne i techniczne mające na celu należyte zabezpieczenie danych osobowych.

  4. Administrator zabezpiecza zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania poprzez stosowanie następujących zasad:

  1. system informatyczny Administratora jest zabezpieczony przed nieupoważnionym dostępem, utratą, modyfikacją lub zniszczeniem danych poprzez stosowanie haseł do komputera;

  2. sieć internetowa wewnętrzna jest zabezpieczona przed nieupoważnionym dostępem z zewnątrz;

  3. każdy pracownik Administratora dysponuje indywidualnym identyfikatorem, za pośrednictwem którego może korzystać z udostępnianych zasobów i usług. Włączone w systemie informatycznym mechanizmy oraz procedury zapewniają rozliczalność użytkowników zarejestrowanych w systemie;

  4. wszyscy pracownicy Administratora zapoznali się z treścią niniejszej Polityki;

  5. pracownicy Administratora mają obowiązek informowania o wystąpieniu zdarzenia związanego z bezpieczeństwem informacji.

  1. W przypadku naruszenia ochrony danych osobowych, zgłoszenie go organowi nadzorczemu powinno:

  1. opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

  2. zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

  3. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

  4. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

 

  1. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.

  2. Administrator raz w roku podejmuje działania mające na celu testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania w postaci audytu sprawdzającego.

  3. Administrator wdrożył środki zapewniające zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego w postaci tworzenia kopii zapasowych danych osobowych przetwarzanych w systemie informatycznym oraz programów i narzędzi służących do przetwarzania danych osobowych.

  4. Administrator prowadzi rejestr czynności przetwarzania. ( Wzór rejestru czynności przetwarzania stanowi załącznik nr 3 do niniejszej Polityki.)

  5. Szczególną uwagę Administrator zwraca na elementy zarządzania, które mają istotny wpływ na bezpieczeństwo danych rozumiane jako ochrona przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Dotyczy to nie tylko danych osobowych przechowywanych w bazach danych, dokumentacji papierowej, ale również tych danych, które przesyłane są w sieciach komputerowych ( w wiadomościach e-mail oraz z baz danych do użytkowników).

  6. Administrator przetwarza dane osobowe w swojej siedzibie w Tarnowskich Górach w pomieszczeniach znajdujących się w budynku położonym przy ul. Towarowej 15 oraz w oddziale w Rybniku w budynku położonym przy ul. Podmiejskiej 95, w oddziale w Mszanie w budynku położonym przy ul. Wodzisławskiej 22 oraz w oddziale w Chorzowie w budynku położonym przy ul. Żelaznej 9a.

  7. Dostęp do danych osobowych przetwarzanych w systemach informatycznych poprzez sieć telekomunikacyjną mogą mieć wybrane osoby wyłącznie za zgodą Administratora.

  8. Administrator przetwarza dane osobowe osób fizycznych w systemach informatycznych oraz w postaci papierowej. Wszystkie dane osobowe przetwarzane przez Administratora są przetwarzane zgodnie z obowiązującymi przepisami prawa.

  9. Administrator stosuje zróżnicowane środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.

 

  1. KONTROLA WEJŚCIA.

 

  1. Dostęp dla gości Administratora jest dostępny wyłącznie w konkretnych celach w szczególności w związku z umówionymi spotkaniami.

  2. W siedzibie Administratora zabronione jest używanie sprzętu fotograficznego, video oraz sprzętu rejestrującego bez uzyskania zezwolenia od Administratora.

 

  1. DOSTĘP DO POMIESZCZEŃ I POLITYKA KLUCZY.

  1. Dostęp do pomieszczeń Administratora, w których odbywa się przetwarzanie danych osobowych jest ograniczony jedynie do pracowników oraz innych osób upoważnionych przez Administratora. Osoby upoważnione do przebywania
    w obszarze przetwarzania danych osobowych mogą przebywać w nim wyłącznie
    w zakresie niezbędnym do wykonania czynności opisanych w upoważnieniu.

  2. Klucze wydawane są wyłącznie osobom upoważnionym.

  3. Pomieszczenia na czas nieobecności osoby upoważnionej należy zamykać na klucz.

  4. Zabrania się pozostawiania kluczy w zamkach drzwi, jak również w miejscach dostępnych dla osób nieupoważnionych podczas chwilowej nieobecności osób upoważnionych.

  5. Klucze do pomieszczeń oraz klucze zapasowe przechowywane są w szafie zamykanej na klucz znajdującej się w pomieszczeniu monitorowanym do którego dostęp mają tylko osoby upoważnione.

  6. W wyjątkowych sytuacjach Administrator Danych Osobowych wydaje osobie upoważnionej klucz zapasowy. Klucze zapasowe po ich wykorzystaniu należy niezwłocznie zwrócić Administratorowi.

  7. Osoby nieupoważnione mogą przebywać w pomieszczeniu, w którym przetwarzane są dane osobowe wyłącznie w obecności upoważnionego pracownika lub za zgodą Administratora Danych Osobowych. Każdorazowo wyznacza się pracownika do nadzoru personelu zewnętrznego.

  8. Po zakończeniu pracy osoby upoważnione do przebywania w pomieszczeniach, w których odbywa się przetwarzanie danych osobowych zobowiązane są do:

  1. wyłączenia oświetlenia;

  2. pozamykania szafek, w których znajdują się dokumenty oraz nośniki elektroniczne zawierające dane osobowe;

  3. zabezpieczenia oraz zamknięcia okien i drzwi.

 

  1. IZOLOWANE OBSZARY PRZYJMOWANIA GOŚCI.

  1. Unika się przyjmowania gości przez pracowników Administratora w pomieszczeniach biurowych przy stanowiskach pracy z uwagi na to, że może to prowadzić do przypadkowego wycieku informacji poprzez zapoznanie się z treścią otwartego dokumentu papierowego lub elektronicznego bądź przez podsłuchanie rozmowy pracowników.

  1. ZASADY PRZYJMOWANIA KLIENTÓW.

  1. Klienci powinni być przyjmowani i obsługiwani wyłącznie w wyznaczonym do tego miejscu.

  2. Klienci powinni być obsługiwani pojedynczo co oznacza, że przy jednym stanowisku może znajdować się tylko jeden klient. Stanowiska powinny być oddzielone przegródką.

  3. Nieobsługiwani Klienci ( stojący w kolejce) powinni znajdować się za wyznaczoną linią.

  4. Klienci powinni być obsługiwani w warunkach zapewniający zachowanie poufności.

 

  1. URZĄDZENIA SYSTEMU INFORMATYCZNEGO.

 

  1. Administrator posiada własną serwerownię.  

  2. W działalności Administratora wykorzystywane są urządzenia przenośne: komputery przenośne, nośniki zewnętrzne ( pendrive, dyski zewnętrzne), smartfony. Są one użytkowane ze szczególną ostrożnością poza obszarem przetwarzania danych. Zasady korzystania z urządzeń przenośnych

  3. Zasady korzystania z urządzeń w instrukcji. ( Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych stanowi załącznik nr 4 do niniejszej Polityki.)

 

  1. OGÓLNE ŚRODKI BEZPIECZEŃSTWA.

 

  1. Każdy pracownik, przetwarzający dane osobowe musi posiadać upoważnienie do przetwarzania danych osobowych. Upoważnienie zawiera wszystkie wymagane prawem informacje oraz poziom dostępu do systemu informatycznego Administratora.

  2. Najpóźniej w ostatnim dniu pracy anuluje się upoważnienie poprzez odnotowanie tego faktu w Ewidencji osób upoważnionych oraz dokonanie odpowiedniej adnotacji w dokumencie upoważnienia.

  3. Upoważnienia przechowuje się w miejscu, w którym przechowywana jest dokumentacja kadrowa.

 

  1. ZADADA CZYSTEGO BIURKA I CZYSTEGO EKRANU.

 

  1. Informacje pozostawione na biurkach mogą ulec zniszczeniu lub uszkodzeniu, lub też mogą zostać ujawnione poprzez wgląd osób nieuprawnionych, w związku z czym należy przestrzegać następujących zasad:

  1. leżące na biurku dokumenty papierowe w miarę możliwości powinny być odwrócone tekstem do dołu;

  2. dokumenty papierowe oraz inne nośniki informacji jak pendrive, dyski przenośne powinny być przechowywane w zamykanych na klucz szafach w szczególności po godzinach pracy;

  3. wszystkie dokumenty papierowe muszą być niszczone przy pomocy niszczarki;

  4. pieczątki powinny być zamykane w szafkach/szufladach z zamkiem;

  5. dokumenty zawierające wrażliwe dane powinny być zamykane w szafkach
    z zamkiem;

  6. zabronione jest pozostawić zalogowanych komputerów bez nadzoru;

  7. monitory komputerów powinny być tak ustawione, żeby uniemożliwić podgląd informacji na ekranie osobom nieuprawnionym;

  8. po odejściu od stanowiska pracy pracownik jest zobowiązany do zablokowania komputera uniemożliwiającego skorzystania z niego przez osobę postronną oraz do wyłączenia monitora na czas swojej nieobecności;

  9. poza godzinami pracy urządzenia kopiujące powinny być chronione przed użyciem przez nieuprawnione osoby;

  10. dokumenty zawierające dane osobowe należy natychmiast po wydrukowaniu wyjąć z drukarki;

  11. na pulpicie komputera nie powinny znajdować się pliki w których nazwie znajdują się dane osobowe, pliki takie powinny znajdować się w odpowiednio nazwanych folderach.

 

  1. ZASADY KORZYSTANIA Z SLUŻBOWYCH TELEFONÓW KOMÓRKOWYCH.

 

  1. Telefony komórkowe zawierające Dane Osobowe użytkowane są jedynie przez osoby upoważnione do przetwarzania Danych Osobowych.

  2. Każdy telefon komórkowy zabezpieczony jest przed dostępem przez osoby nieuprawnione hasłem PIN.

  3. Telefony komórkowe przechowywane są w pomieszczeniach, do których dostęp mają wyłącznie osoby upoważnione do przetwarzania Danych Osobowych.

  4. Użytkownik może wynieść telefon komórkowy poza obszar Przetwarzania Danych osobowych tylko i wyłącznie w celach służbowych.

  5. Użytkownik wynoszący telefon komórkowy poza obszar przetwarzania danych osobowych zobowiązany jest zachować szczególną ostrożność, w tym:
    nie pozostawiać telefonu bez nadzoru oraz nie dopuszczać do sytuacji, w której osoba nieuprawniona miałaby możliwość wglądu do danych zapisanych w telefonie.


 

  1. Powierzenie przetwarzania danych.

  1. Administrator przekazuje dane osobowe innym podmiotom. Dochodzi wówczas do powierzenia przetwarzania danych osobowych. W takim przypadku Administrator podejmuje następujące działania:

  1. uwzględnia powierzenie przetwarzania danych osobowych w wykazie zbiorów danych;

  2. umieszcza w umowach zapisy dotyczące powierzenia przetwarzania danych osobowych.

  1. Zapisy umowne dotyczące powierzenia przetwarzania danych musza zawierać zapisy o tym, że podmiot przetwarzający:

  1. przetwarza dane osobowe wyłącznie w celu i zakresie określonym w umowie, a także wyłącznie na udokumentowane polecenie administratora;

  2. zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

  3. przekazuje powierzone dane osobowe innym podmiotom do przetwarzania tylko po uzyskaniu wyraźnej zgody administratora;

  4. pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw;

  5. pomaga administratorowi wywiązać się z obowiązków dotyczących zgłaszania naruszeń ochrony danych osobowych oraz w zakresie oceny skutków przetwarzania dla  danych osobowych;

  6. po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub  zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

  7. udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

 

  1. Kontrola dostępu do informacji.

 

  1. Pracownicy nie mogą, bez upoważnienia Administratora, udzielać następujących informacji:

  1. o danych osobowych oraz innych informacji o charakterze poufnym;

  2. o zabezpieczeniach, w tym o zabezpieczeniach systemu informatycznego.

2. Ochronie podlega także informacja głosowa, faksowa oraz wizualna. Dla zabezpieczenia przekazywanej informacji wprowadza się następujące wymogi:

  1. zachowanie szczególnej ostrożności podczas prowadzenia rozmów telefonicznych, a w szczególności zakaz przekazywania informacji poufnych i danych osobowych drogą telefoniczną;

  2. zakaz prowadzenia poufnych rozmów w miejscach publicznych (restauracje, publiczne środki transportu, itp.), szeroko dostępnych biurach, pomieszczeniach o cienkich ścianach;

  3. nie pozostawianie wiadomości zawierających treści poufne na „sekretarkach automatycznych”.



 

V.    Postanowienia końcowe

  1. Polityka wchodzi w życie z dniem 25 maja 2018 roku.

  2. Niniejsza Polityka powinna być aktualizowana wraz ze zmieniającymi się przepisami prawnymi o ochronie danych osobowych oraz faktycznymi zmianami w Firmie, które mogą powodować że zasady ochrony danych osobowych określone w niniejszej Polityce są nieaktualne.

  3. W sprawach nieuregulowanych niniejszą Polityką zastosowanie ma RODO – rozporządzenia Parlamentu Europejskiego i Rady ( UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywny 95/46.WE.

 

Nagrody

  • nagroda1​​
  • nagroda2
  • nagroda3
  • nagroda4
  • nagroda5

Projekt współfinansowany przez Unię Europejską w ramach Małopolskiego Regionalnego Programu Operacyjnego na lata 2007-2013

Unia Europejska
Ta strona używa COOKIES.

Korzystając z niej wyrażasz zgodę na wykorzystywanie cookies, zgodnie z ustawieniami Twojej przeglądarki. Więcej w Polityce prywatności.

OK, zamknij