Polityka prywatności

Polityka Ochrony Danych Osobowych

 

  1. Polityka Ochrony Danych Osobowych, zwana dalej „Polityką”, określa środki techniczne i organizacyjne zastosowane przez Administratora Danych dla zapewnienia ochrony danych osobowych oraz tryb postępowania w przypadku stwierdzenia naruszenia zabezpieczenia danych osobowych w systemie informatycznym lub w kartotekach, albo w sytuacji podejrzenia o takim naruszeniu.

 

  1. Celem niniejszej Polityki ochrony danych osobowych (PODO) jest wypełnienie założeń Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej też zwane RODO).

 

  1. Nadzór nad przestrzeganiem zasad opisanych w niniejszej Polityce oraz przepisów ochrony danych osobowych pełni Anna Orowiecka-Stanisławska – właściciel jednoosobowej działalności gospodarczej prowadzonej pod firmą OroConcept Anna Orowiecka-Stanisławska.

 

  1. Definicje i załączniki:
  • Administrator danych – oznacza osobę fizyczną lub prawną, podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Administratorem jest Anna Orowiecka-Stanisławska, prowadząca działalność gospodarczą pod firmą OroConcept Anna Orowiecka-Stanisławska z siedzibą
    w Warszawie, ul. Laskowa nr 3 lok. 19, 01-214 Warszawa (dalej jako ADO).
  • bezpieczeństwo informacji – zachowanie poufności, integralności i dostępności informacji; oraz pomocniczo: autentyczność, rozliczalność, niezaprzeczalność
    i niezawodność;
  • dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię
    i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
  • hasło – rozumie się przez to ciąg znaków alfanumerycznych, znany jedynie użytkownikowi;
  • identyfikator – rozumie się przez to, ciąg znaków literowych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
  • incydent ochrony danych osobowych – zdarzenie albo seria niepożądanych lub niespodziewanych zdarzeń ochrony danych osobowych stwarzających znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrożenia ochrony danych osobowych.
  • naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
  • obszar przetwarzania danych – rozumie się przez to budynki i pomieszczenia określone przez administratora danych, tworzące obszar, w którym przetwarzane są dane osobowe i inne informacje prawem chronione.
  • odbiorca danych – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią; organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;
  • osoba, podmiot danych – oznacza osobę, której dane dotyczą;
  • podmiot przetwarzający – oznacza organizację lub osobę, której ADO powierzył przetwarzanie danych osobowych;
  • polityka oznacza niniejszą politykę ochrony danych osobowych;
  • postępowanie z ryzykiem – proces planowania i wdrażania działań wpływających na ryzyko; przez Ryzyko –należy rozumieć niepewność osiągnięcia zamierzonych celów;
  • poufność danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom; szacowanie ryzyka – proces identyfikowania, analizowania i oceniania ryzyka;
  • rejestr czynności przetwarzania danych osobowych.
  • RODO oznacza rozporządzenie parlamentu europejskiego i rady (UE) 2016/679
    z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/we (ogólne rozporządzenie o ochronie danych) (dz.urz. UE l 119, s. 1).
  • serwisant – rozumie się przez to firmę lub pracownika firmy zajmującej się sprzedażą, instalacją, naprawą i konserwacją sprzętu komputerowego;
  • system informatyczny administratora danych – rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych; w systemie tym pracuje co najmniej jeden komputer centralny
    i system ten tworzy sieć teleinformatyczną administratora danych;
  • teletransmisja – rozumie się przez to przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej;
  • uwierzytelnienie – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;
  • użytkownik – rozumie się przez to osobę upoważnioną do przetwarzania danych osobowych, której nadano identyfikator i przyznano hasło;

 

  1. W celu zwiększenia efektywności ochrony danych osobowych dokonano połączenia różnych zabezpieczeń w sposób umożliwiający stworzenie kilku warstw ochronnych. Ochrona danych osobowych jest realizowana poprzez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz przez użytkowników.

 

  1. Zastosowane zabezpieczenia mają służyć osiągnięciu poniższych celów i zapewnić:
  • rozliczalność – rozumie się przez to właściwość zapewniającą, że działania użytkownika mogą być przypisane w sposób jednoznaczny tylko temu użytkownikowi;
  • integralność danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
  • poufność danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom;
  • integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej jak i przypadkowej.

 

  1. Za przestrzeganie zasad ochrony i bezpieczeństwa danych odpowiedzialny jest ADO.

 

  1. Realizację powyższych zamierzeń powinny zagwarantować następujące założenia:
  • przypisanie użytkownikom określonych atrybutów pozwalających na ich identyfikację (hasła, identyfikatory);
  • podejmowanie niezbędnych działań w celu likwidacji słabych ogniw w systemie zabezpieczeń,

 

  1. Za naruszenie ochrony danych osobowych uważa się w szczególności:
  • nieuprawniony dostęp lub próbę dostępu do danych osobowych lub pomieszczeń, w których się one znajdują.
  • naruszenie lub próby naruszenia integralności danych rozumiane jako wszelkie modyfikacje, zniszczenia lub próby ich dokonania przez osoby nieuprawnione lub uprawnione działające w złej wierze lub jako błąd w działaniu osoby uprawnionej (np. zmianę zawartości danych, utratę całości lub części danych),
  • naruszenie lub próby naruszenia integralności systemu,
  • zmianę lub utratę danych zapisanych na kopiach zapasowych,
  • naruszenie lub próby naruszenia poufności danych,
  • nieuprawniony dostęp (sygnał o nielegalnym logowaniu lub inny objaw wskazujący na próbę lub działanie związane z nielegalnym dostępem do systemu),
  • udostępnienie osobom nieupoważnionym danych osobowych,
  • zniszczenie, uszkodzenie lub wszelkie próby nieuprawnionej ingerencji w system informatyczny zmierzające do zakłócenia jego działania bądź pozyskania w sposób niedozwolony lub w celach niezgodnych z przeznaczeniem danych zawartych w systemie,
  • inny stan systemu informatycznego lub pomieszczeń, niż pozostawiony przez użytkownika po zakończeniu pracy.

 

  1. Za naruszenie ochrony danych osobowych uważa się również włamanie do budynku lub pomieszczeń, w których przetwarzane są dane osobowe lub próby takich działań.

 

  1. Dla zapewnienia bezpieczeństwa danych i informacji zastosowano następujące środki organizacyjne:
  • należy chronić dane przed dostępem do nich osób nieupoważnionych,
  • pomieszczenia w których są przetwarzane dane osobowe powinny być zamykane na klucz,
  • dostęp do pomieszczeń, w których są przetwarzane dane osobowe może mieć tylko ADO,
  • w przypadku pomieszczeń, do których dostęp mają również osoby nieupoważnione, mogą przebywać w tych pomieszczeniach tylko w obecności ADO i tylko w czasie wymaganym na wykonanie niezbędnych czynności,
  • szafy, w których przechowywane są dane powinny być zamykane na klucz,
  • szafy z danymi powinny być otwarte tylko na czas potrzebny na dostęp do danych,
    a następnie powinny być zamykane.
  • dane w formie papierowej mogą znajdować się na biurkach tylko na czas niezbędny na dokonanie czynności służbowych, a następnie muszą być chowane do szaf.
  • dostęp do komputerów, na których są przetwarzane dane ma tylko ADO,
  • monitory komputerów, na których przetwarzane są dane, są tak ustawione, aby osoby nieupoważnione nie miały wglądu w dane,
  • w wypadku potrzeby wyniesienia komputera przenośnego (np. typu notebook) zawierającego dane osobowe, lub inne informacje chronione, komputer taki musi być odpowiednio dodatkowo zabezpieczony, a dane zaszyfrowane,
  • nie należy udostępniać osobom nieupoważnionym tych komputerów.
  • w przypadku potrzeby przeniesienia danych osobowych pomiędzy komputerami
    – należy dokonać tego z zachowaniem szczególnej ostrożności.
  • nośniki użyte do tego należy wyczyścić (skasować nieodwracalnie), aby nie zostały na nich dane osobowe,
  • w wypadku niemożliwości skasowania danych z nośnika (płyta CD-ROM) – należy taką płytę zniszczyć fizycznie,
  • w przypadku wykorzystania do przenoszenia dysków – dane należy kasować z tych dysków,
  • niezabezpieczonych danych osobowych nie należy przesyłać drogą elektroniczną,
  • Błędne lub nieaktualne wydruki i wersje papierowe zawierające dane osobowe lub inne informacje chronione – niszczone są za pomocą niszczarki lub w inny mechaniczny sposób uniemożliwiający powtórne ich odtworzenie.

 

  1. W przypadku stwierdzenia naruszenia:
  • zabezpieczenia systemu informatycznego,
  • technicznego stanu urządzeń,
  • zawartości zbioru danych osobowych,
  • ujawnienia metody pracy lub sposobu działania programu,
  • jakości transmisji danych w sieci telekomunikacyjnej mogącej wskazywać na naruszenie zabezpieczeń tych danych,
  • innych zdarzeń mogących mieć wpływ na naruszenie danych osobowych (np. zalanie, pożar, itp.)
  • każda osoba zaangażowana w przetwarzanie danych jest obowiązana niezwłocznie powiadomić o tym fakcie Administratora danych.

 

  1. Dostęp do danych osobowych:
  • przetwarzanie, w tym udostępnianie danych osobowych jest prawnie dopuszczalne, jeżeli jest niezbędne dla zrealizowania obowiązku wynikającego z przepisu prawa,
  • w przypadku udostępnienia danych osobowych w celach innych niż włączenie do rejestru, administrator danych udostępnia posiadane informacje osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa,
  • dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione,
  • podmiot występujący o udostępnienie informacji powinien wskazać podstawę prawną upoważniającą go do otrzymania tych danych albo uzasadnioną potrzebę żądania ich udostępnienia. Tylko w takiej sytuacji można dokonać oceny, czy
    w określonym przypadku udostępnienie danych jest prawnie dopuszczalne i czy nie będzie ono stanowić naruszenia zasad ochrony informacji,
  • przetwarzanie, w tym udostępnianie danych osobowych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje w celu badań naukowych, dydaktycznych, historycznych oraz statystycznych.

 

  1. Prawa podmiotów danych:

Każdej osobie, której dane osobowe są przetwarzane przysługuje prawo do kontroli przetwarzania jej danych osobowych, a w szczególności prawo do:

  • uzyskania wyczerpującej informacji, czy jej dane osobowe są przetwarzane oraz do otrzymania informacji o pełnej nazwie i adresie siedziby Administratora Danych;
  • uzyskania informacji o celu, zakresie i sposobie przetwarzania danych osobowych;
  • uzyskania informacji, od kiedy są przetwarzane jej dane osobowe, oraz podania
    w powszechnie zrozumiałej formie treści tych danych;
  • uzyskania informacji o źródle, z którego pochodzą dane osobowe jej dotyczące;
  • uzyskania informacji o sposobie udostępniania danych osobowych,
    a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym te dane osobowe są udostępniane;
  • żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem przepisów prawa albo są już zbędne do realizacji celu, dla którego zostały zebrane.

 

  1. Polityka jest dokumentem wewnętrznym i nie może być udostępniana osobom postronnym w żadnej formie.

 

  1. W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie aktualnie obowiązujące przepisy prawa w zakresie ochrony danych osobowych.

 

 

Sorry, the comment form is closed at this time.