Polityka Ochrony Danych Osobowych

1. Polityka Ochrony Danych Osobowych, zwana dalej „Polityką”, określa środki techniczne i organizacyjne zastosowane przez Administratora Danych dla zapewnienia ochrony danych osobowych oraz tryb postępowania w przypadku stwierdzenia naruszenia zabezpieczenia danych osobowych w systemie informatycznym lub w kartotekach, albo w sytuacji podejrzenia o takim naruszeniu.

2. Celem niniejszej Polityki ochrony danych osobowych (PODO) jest wypełnienie założeń Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej też zwane RODO).

3. Nadzór nad przestrzeganiem zasad opisanych w niniejszej Polityce oraz przepisów ochrony danych osobowych pełni Anna Orowiecka-Stanisławska – właściciel jednoosobowej działalności gospodarczej prowadzonej pod firmą OroConcept Anna Orowiecka-Stanisławska.

4. Definicje i załączniki:

• Administrator danych – oznacza osobę fizyczną lub prawną, podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Administratorem jest Anna Orowiecka-Stanisławska, prowadząca działalność gospodarczą pod firmą OroConcept Anna Orowiecka-Stanisławska z siedzibą
  w Warszawie, ul. Laskowa nr 3 lok. 19, 01-214 Warszawa (dalej jako ADO).
• bezpieczeństwo informacji – zachowanie poufności, integralności i dostępności informacji; oraz pomocniczo: autentyczność, rozliczalność, niezaprzeczalność
  i niezawodność;
• dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię
  i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
• hasło – rozumie się przez to ciąg znaków alfanumerycznych, znany jedynie użytkownikowi;
• identyfikator – rozumie się przez to, ciąg znaków literowych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
• incydent ochrony danych osobowych – zdarzenie albo seria niepożądanych lub niespodziewanych zdarzeń ochrony danych osobowych stwarzających znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrożenia ochrony danych osobowych.
• naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
• obszar przetwarzania danych – rozumie się przez to budynki i pomieszczenia określone przez administratora danych, tworzące obszar, w którym przetwarzane są dane osobowe i inne informacje prawem chronione.
• odbiorca danych – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią; organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;
• osoba, podmiot danych – oznacza osobę, której dane dotyczą;
• podmiot przetwarzający – oznacza organizację lub osobę, której ADO powierzył przetwarzanie danych osobowych;
• polityka oznacza niniejszą politykę ochrony danych osobowych;
• postępowanie z ryzykiem – proces planowania i wdrażania działań wpływających na ryzyko; przez Ryzyko –należy rozumieć niepewność osiągnięcia zamierzonych celów;
• poufność danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom; szacowanie ryzyka – proces identyfikowania, analizowania i oceniania ryzyka;
• rejestr czynności przetwarzania danych osobowych.
• RODO oznacza rozporządzenie parlamentu europejskiego i rady (UE) 2016/679
  z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/we (ogólne rozporządzenie o ochronie danych) (dz.urz. UE l 119, s. 1).
• serwisant – rozumie się przez to firmę lub pracownika firmy zajmującej się sprzedażą, instalacją, naprawą i konserwacją sprzętu komputerowego;
• system informatyczny administratora danych – rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych; w systemie tym pracuje co najmniej jeden komputer centralny
  i system ten tworzy sieć teleinformatyczną administratora danych;
• teletransmisja – rozumie się przez to przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej;
• uwierzytelnienie – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;
• użytkownik – rozumie się przez to osobę upoważnioną do przetwarzania danych osobowych, której nadano identyfikator i przyznano hasło;

5. W celu zwiększenia efektywności ochrony danych osobowych dokonano połączenia różnych zabezpieczeń w sposób umożliwiający stworzenie kilku warstw ochronnych. Ochrona danych osobowych jest realizowana poprzez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz przez użytkowników.

6. Zastosowane zabezpieczenia mają służyć osiągnięciu poniższych celów i zapewnić:

• rozliczalność – rozumie się przez to właściwość zapewniającą, że działania użytkownika mogą być przypisane w sposób jednoznaczny tylko temu użytkownikowi;
• integralność danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
• poufność danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom;
• integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej jak i przypadkowej.

7. Za przestrzeganie zasad ochrony i bezpieczeństwa danych odpowiedzialny jest ADO.

8. Realizację powyższych zamierzeń powinny zagwarantować następujące założenia:

• przypisanie użytkownikom określonych atrybutów pozwalających na ich identyfikację (hasła, identyfikatory);
• podejmowanie niezbędnych działań w celu likwidacji słabych ogniw w systemie zabezpieczeń,

9. Za naruszenie ochrony danych osobowych uważa się w szczególności:

• nieuprawniony dostęp lub próbę dostępu do danych osobowych lub pomieszczeń, w których się one znajdują.
• naruszenie lub próby naruszenia integralności danych rozumiane jako wszelkie modyfikacje, zniszczenia lub próby ich dokonania przez osoby nieuprawnione lub uprawnione działające w złej wierze lub jako błąd w działaniu osoby uprawnionej (np. zmianę zawartości danych, utratę całości lub części danych),
• naruszenie lub próby naruszenia integralności systemu,
• zmianę lub utratę danych zapisanych na kopiach zapasowych,
• naruszenie lub próby naruszenia poufności danych,
• nieuprawniony dostęp (sygnał o nielegalnym logowaniu lub inny objaw wskazujący na próbę lub działanie związane z nielegalnym dostępem do systemu),
• udostępnienie osobom nieupoważnionym danych osobowych,
• zniszczenie, uszkodzenie lub wszelkie próby nieuprawnionej ingerencji w system informatyczny zmierzające do zakłócenia jego działania bądź pozyskania w sposób niedozwolony lub w celach niezgodnych z przeznaczeniem danych zawartych w systemie,
• inny stan systemu informatycznego lub pomieszczeń, niż pozostawiony przez użytkownika po zakończeniu pracy.

10. Za naruszenie ochrony danych osobowych uważa się również włamanie do budynku lub pomieszczeń, w których przetwarzane są dane osobowe lub próby takich działań.

11. Dla zapewnienia bezpieczeństwa danych i informacji zastosowano następujące środki organizacyjne:

• należy chronić dane przed dostępem do nich osób nieupoważnionych,
• pomieszczenia w których są przetwarzane dane osobowe powinny być zamykane na klucz,
• dostęp do pomieszczeń, w których są przetwarzane dane osobowe może mieć tylko ADO,
• w przypadku pomieszczeń, do których dostęp mają również osoby nieupoważnione, mogą przebywać w tych pomieszczeniach tylko w obecności ADO i tylko w czasie wymaganym na wykonanie niezbędnych czynności,
• szafy, w których przechowywane są dane powinny być zamykane na klucz,
• szafy z danymi powinny być otwarte tylko na czas potrzebny na dostęp do danych,
  a następnie powinny być zamykane.
• dane w formie papierowej mogą znajdować się na biurkach tylko na czas niezbędny na dokonanie czynności służbowych, a następnie muszą być chowane do szaf.
• dostęp do komputerów, na których są przetwarzane dane ma tylko ADO,
• monitory komputerów, na których przetwarzane są dane, są tak ustawione, aby osoby nieupoważnione nie miały wglądu w dane,
• w wypadku potrzeby wyniesienia komputera przenośnego (np. typu notebook) zawierającego dane osobowe, lub inne informacje chronione, komputer taki musi być odpowiednio dodatkowo zabezpieczony, a dane zaszyfrowane,
• nie należy udostępniać osobom nieupoważnionym tych komputerów.
• w przypadku potrzeby przeniesienia danych osobowych pomiędzy komputerami
  – należy dokonać tego z zachowaniem szczególnej ostrożności.
• nośniki użyte do tego należy wyczyścić (skasować nieodwracalnie), aby nie zostały na nich dane osobowe,
• w wypadku niemożliwości skasowania danych z nośnika (płyta CD-ROM) – należy taką płytę zniszczyć fizycznie,
• w przypadku wykorzystania do przenoszenia dysków – dane należy kasować z tych dysków,
• niezabezpieczonych danych osobowych nie należy przesyłać drogą elektroniczną,
• Błędne lub nieaktualne wydruki i wersje papierowe zawierające dane osobowe lub inne informacje chronione – niszczone są za pomocą niszczarki lub w inny mechaniczny sposób uniemożliwiający powtórne ich odtworzenie.

12. W przypadku stwierdzenia naruszenia:

• zabezpieczenia systemu informatycznego,
• technicznego stanu urządzeń,
• zawartości zbioru danych osobowych,
• ujawnienia metody pracy lub sposobu działania programu,
• jakości transmisji danych w sieci telekomunikacyjnej mogącej wskazywać na naruszenie zabezpieczeń tych danych,
• innych zdarzeń mogących mieć wpływ na naruszenie danych osobowych (np. zalanie, pożar, itp.)
• każda osoba zaangażowana w przetwarzanie danych jest obowiązana niezwłocznie powiadomić o tym fakcie Administratora danych.

13. Dostęp do danych osobowych:

• przetwarzanie, w tym udostępnianie danych osobowych jest prawnie dopuszczalne, jeżeli jest niezbędne dla zrealizowania obowiązku wynikającego z przepisu prawa,
• w przypadku udostępnienia danych osobowych w celach innych niż włączenie do rejestru, administrator danych udostępnia posiadane informacje osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa,
• dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione,
• podmiot występujący o udostępnienie informacji powinien wskazać podstawę prawną upoważniającą go do otrzymania tych danych albo uzasadnioną potrzebę żądania ich udostępnienia. Tylko w takiej sytuacji można dokonać oceny, czy
  w określonym przypadku udostępnienie danych jest prawnie dopuszczalne i czy nie będzie ono stanowić naruszenia zasad ochrony informacji,
• przetwarzanie, w tym udostępnianie danych osobowych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje w celu badań naukowych, dydaktycznych, historycznych oraz statystycznych.

15. Prawa podmiotów danych:

Każdej osobie, której dane osobowe są przetwarzane przysługuje prawo do kontroli przetwarzania jej danych osobowych, a w szczególności prawo do:

• uzyskania wyczerpującej informacji, czy jej dane osobowe są przetwarzane oraz do otrzymania informacji o pełnej nazwie i adresie siedziby Administratora Danych;
• uzyskania informacji o celu, zakresie i sposobie przetwarzania danych osobowych;
• uzyskania informacji, od kiedy są przetwarzane jej dane osobowe, oraz podania
  w powszechnie zrozumiałej formie treści tych danych;
• uzyskania informacji o źródle, z którego pochodzą dane osobowe jej dotyczące;
• uzyskania informacji o sposobie udostępniania danych osobowych,
  a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym te dane osobowe są udostępniane;
• żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem przepisów prawa albo są już zbędne do realizacji celu, dla którego zostały zebrane.

16. Polityka jest dokumentem wewnętrznym i nie może być udostępniana osobom postronnym w żadnej formie.

17. W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie aktualnie obowiązujące przepisy prawa w zakresie ochrony danych osobowych.

Sorry, the comment form is closed at this time.