ASBO Sp. z o.o.
Niniejsza Polityka Ochrony Danych Osobowych została sporządzona w celu wykazania, że dane osobowe w ASBO Sp. z o.o. (dalej zwana “Administratorem danych”) są przetwarzane i zabezpieczone zgodnie z wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczenia danych, w tym z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej zwanym “Rozporządzeniem”).
1. Polityka Ochrony Danych Osobowych dotyczy wszystkich danych osobowych przetwarzanych w ASBO Sp. z o.o. niezależnie od formy ich przetwarzania.
2. Polityka Ochrony Danych Osobowych jest przechowywana w wersji elektronicznej oraz w wersji papierowej w siedzibie Administratora danych, tj. ul. 3 Maja 34, 08 – 110 Siedlce.
3. Polityka Ochrony Danych osobowych jest udostępniana do wglądu osobom posiadającym upoważnienie do przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma zostać nadane upoważnienie do przetwarzania danych osobowych, celem zapoznania się z jej treścią.
4. Dla skutecznej realizacji Polityki Ochrony Danych Osobowych Administrator danych zapewnia:
a) odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne;
b) kontrolę i nadzór nad przetwarzaniem danych osobowych;
c) monitorowanie zastosowanych środków ochrony.
5. Monitorowanie przez Administratora danych zastosowanych środków ochrony obejmuje w szczególności: działania osób upoważnionych przez Administratora danych, naruszanie zasad dostępu do danych, zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi.
6. Administrator Danych zapewnia, aby czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem danych osobowych były zgodne z niniejszą Polityką Ochrony Danych Osobowych oraz odpowiednimi przepisami prawa.
1. Dane osobowe przetwarzane przez Administratora danych gromadzone są w zbiorach danych.
2. Administrator danych nie podejmuje czynności przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób, których dane dotyczą.
3. W przypadku planowania nowych czynności przetwarzania, Administrator danych dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony danych w fazie ich projektowania.
1. Wszystkie osoby mające dostęp do danych osobowych przetwarzanych u Administratora danych, zobowiązane są do przetwarzania tych danych zgodnie z obowiązującymi przepisami i zgodnie z ustaloną przez Administratora danych Polityką Ochrony Danych Osobowych.
2. Wszystkie dane osobowe przetwarzane u Administratora danych są przetwarzane z poszanowaniem zasad przewidzianych przez przepisy prawa, tj.:
a) w każdym wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstaw dla przetwarzania danych;
b) dane osobowe przetwarzane są rzetelnie i w sposób przejrzysty.
c) dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
d) dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu przetwarzania danych;
e) dane osobowe są prawidłowe i w razie potrzeby uaktualniane;
f) czas przechowywania danych jest ograniczony do okresu ich przydatności do celów, do których zostały zebrane;
g) wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie z wymogami art. 13 i 14 Rozporządzenia;
h) dane osobowe są zabezpieczone przed naruszeniami zasad ich ochrony.
3. Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych osobowych uważa się w szczególności:
a) naruszenie bezpieczeństwa systemów informatycznych, w których przetwarzane są dane osobowe;
b) udostępnianie lub umożliwienie udostępniania danych osobowych osobom lub podmiotom do tego nieupoważnionym;
c) zaniechanie dopełnienia obowiązku zapewnienia danym osobowym ochrony;
d) niedopełnienie obowiązku zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
e) przetwarzanie danych osobowych niezgodnie z założonym zakresem i celem ich zbierania;
f) spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie danych osobowych;
g) naruszenie praw osób, których dane osobowe są przetwarzane.
4. W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych osoba upoważniona przez Administratora danych zobowiązana jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego powiadomienia Administratora danych.
5. Do obowiązków Administratora danych w zakresie zatrudniania, zakończenia lub zmiany warunków zatrudnienia pracowników lub współpracowników (osób podejmujących czynności na rzecz Administratora danych na podstawie innych umów cywilnoprawnych, bądź umów o współpracy) należy dopilnowanie, by:
a) pracownicy byli odpowiednio przygotowani do wykonywania swoich obowiązków;
b) każdy z pracowników przetwarzających dane osobowe był pisemnie upoważniony do przetwarzania danych osobowych oraz zobowiązał się do zachowania przetwarzanych danych osobowych w tajemnicy — wzór upoważnienia oraz oświadczenia stanowi odpowiednio załącznik nr 1 i załącznik nr 2 do niniejszej Polityki Ochrony Danych Osobowych;
c) w przypadku powierzenia przetwarzania danych osobowych podmiotom trzecim (w oparciu o umowy cywilnoprawne lub umowy o współpracy), zawarta została umowa o powierzeniu przetwarzania danych osobowych.
6. Pracownicy Administratora danych zobowiązani są do:
a) ścisłego przestrzegania zakresu nadanego upoważnienia;
b) przetwarzania i ochrony danych osobowych zgodnie z przepisami;
c) zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
d) zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu informatycznego.
1. Obszar, w którym przetwarzane są dane osobowe obejmuje pomieszczenia biurowe zlokalizowane w siedzibie Administratora danych.
2. Dodatkowo obszar, w którym przetwarzane są dane osobowe, stanowią także wszystkie komputery przenośne oraz inne elektroniczne lub tradycyjne nośniki danych znajdujące się poza obszarem siedziby Administratora danych, w związku z zakresem wykonywanej przez Administratora danych działalności gospodarczej.
1. Administrator Danych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości przetwarzanych danych osobowych.
2. Zastosowane środki ochrony (techniczne i organizacyjne) powinny być adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych.
3. Środki ochrony obejmują w szczególności:
a) ograniczenie dostępu do pomieszczeń, w których przetwarzane są dane osobowe, jedynie do osób odpowiednio upoważnionych. Inne osoby mogą przebywać w pomieszczeniach wykorzystywanych do przetwarzania danych jedynie w towarzystwie osoby upoważnionej;
b) zamykanie pomieszczeń tworzących obszar przetwarzania danych osobowych, określony w punkcie IV niniejszej Polityki Ochrony Danych Osobowych, na czas nieobecności pracowników, w sposób uniemożliwiający dostęp do nich osób trzecich;
c) wykorzystanie zamykanych szafek i sejfów do zabezpieczenia dokumentów;
d) wykorzystanie niszczarki do skutecznego usuwania dokumentów zawierających dane osobowe;
e) ochronę sieci lokalnej (informatycznej) przed działaniami inicjowanymi z zewnątrz;
f) wykonywanie, w razie konieczności, kopii awaryjnych danych;
g) ochronę sprzętu komputerowego wykorzystywanego u Administratora danych przed złośliwym oprogramowaniem;
h) zabezpieczenie dostępu do urządzeń elektronicznych przy pomocy haseł dostępu;
i) wykorzystanie szyfrowania danych osobowych przy ich transmisji.
1. W przypadku stwierdzenia naruszenia ochrony danych osobowych, Administrator danych dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
2. W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator danych zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu — Prezesowi Urzędu Ochrony Danych Osobowych — bez zbędnej zwłoki – nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
3. Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator danych zawiadamia o incydencie także osobę, której dane dotyczą.
Administrator Danych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 Rozporządzenia.
1. Administrator Danych może przekazywać dane osobowe do państwa trzeciego, w sytuacji w których następuje to na wniosek osoby, której dane dotyczą lub niezbędne jest to w prowadzonej przez niego działalności gospodarczej. Przekazywanie danych w rzeczonym zakresie ma charakter sporadyczny.
2. Przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego, następuje w sytuacji gdy Podmiot przetwarzający spełnia warunki określone w Rozporządzeniu.
3. W sytuacji przekazania danych do państwa trzeciego, Administrator Danych stosuje adekwatne środki bezpieczeństwa zapewniające, iż nie zostanie naruszony stopień ochrony osób fizycznych zagwarantowany w Rozporządzeniu (Rozdział V, art. 44 – 49).
1. Za niedopełnienie obowiązków wynikających z niniejszego dokumentu pracownik Administratora danych ponosi odpowiedzialność na podstawie Kodeksu pracy, Przepisów o ochronie danych osobowych oraz Kodeksu karnego.
2. Integralną część niniejszej Polityki bezpieczeństwa stanowią następujące Załączniki:
- Załącznik Nr 1 — Upoważnienie do przetwarzania danych osobowych;