Polityka prywatności

Polityka prywatności

POLITYKA OCHRONY DANYCH OSOBOWYCH

ASBO SMART SOLU­TIONS Sp. z o.o.


PREAMBUŁA

Niniej­sza Poli­tyka Ochrony Danych Osobo­wych została sporzą­dzona w celu wyka­za­nia, że dane osobowe w ASBO SMART SOLU­TIONS Sp. z o.o. (dalej zwana “Admi­ni­stra­to­rem danych”) są prze­twa­rzane i zabez­pie­czone zgod­nie z wymo­gami prawa, doty­czą­cymi zasad prze­twa­rza­nia i zabez­pie­cze­nia danych, w tym z Rozpo­rzą­dze­niem Parla­mentu Euro­pej­skiego i Rady (UE) 2016/679 z  27 kwiet­nia 2016 r. w  spra­wie ochrony osób fizycz­nych w  związku z  prze­twa­rza­niem danych osobo­wych i  w  spra­wie swobod­nego prze­pływu takich danych oraz uchy­le­nia dyrek­tywy 95/46/WE (dalej zwanym “Rozpo­rzą­dze­niem”).


I. POSTANOWIENIA OGÓLNE

1. Poli­tyka Ochrony Danych Osobo­wych doty­czy wszyst­kich danych osobo­wych prze­twa­rza­nych w ASBO SMART SOLU­TIONS Sp. z o.o. nieza­leż­nie od formy ich prze­twa­rza­nia.

2. Poli­tyka Ochrony Danych Osobo­wych jest prze­cho­wy­wana w wersji elek­tro­nicz­nej oraz w wersji papie­ro­wej w siedzi­bie Admi­ni­stra­tora danych, tj. ul. 3 Maja 34, 08 – 110 Siedlce.

3. Poli­tyka Ochrony Danych osobo­wych jest udostęp­niana do wglądu osobom posia­da­ją­cym upoważ­nie­nie do prze­twa­rza­nia danych osobo­wych na ich wnio­sek, a także osobom, którym ma zostać nadane upoważ­nie­nie do prze­twa­rza­nia danych osobo­wych, celem zapo­zna­nia się z jej treścią.

4. Dla skutecz­nej reali­za­cji Poli­tyki Ochrony Danych Osobo­wych Admi­ni­stra­tor danych zapew­nia:

a) odpo­wied­nie do zagro­żeń i kate­go­rii danych obję­tych ochroną środki tech­niczne i rozwią­za­nia orga­ni­za­cyjne;

b) kontrolę i nadzór nad prze­twa­rza­niem danych osobo­wych;

c) moni­to­ro­wa­nie zasto­so­wa­nych środ­ków ochrony.

5. Moni­to­ro­wa­nie przez Admi­ni­stra­tora danych zasto­so­wa­nych środ­ków ochrony obej­muje w szcze­gól­no­ści: dzia­ła­nia osób upoważ­nio­nych przez Admi­ni­stra­tora danych, naru­sza­nie zasad dostępu do danych, zapew­nie­nie inte­gral­no­ści plików oraz ochronę przed atakami zewnętrz­nymi oraz wewnętrz­nymi.

6. Admi­ni­stra­tor Danych zapew­nia, aby czyn­no­ści wyko­ny­wane w związku z prze­twa­rza­niem i zabez­pie­cze­niem danych osobo­wych były zgodne z niniej­szą Poli­tyką Ochrony Danych Osobo­wych oraz odpo­wied­nimi prze­pi­sami prawa.


II. DANE OSOBOWE PRZETWARZANE PRZEZ ADMINISTRATORA DANYCH

1. Dane osobowe prze­twa­rzane przez Admi­ni­stra­tora danych groma­dzone są w zbio­rach danych.

2. Admi­ni­stra­tor danych nie podej­muje czyn­no­ści prze­twa­rza­nia, które mogłyby się wiązać z poważ­nym praw­do­po­do­bień­stwem wystą­pie­nia wyso­kiego ryzyka dla praw i wolno­ści osób, których dane doty­czą.

3. W przy­padku plano­wa­nia nowych czyn­no­ści prze­twa­rza­nia, Admi­ni­stra­tor danych doko­nuje analizy ich skut­ków dla ochrony danych osobo­wych oraz uwzględ­nia kwestie ochrony danych w fazie ich projek­to­wa­nia.


III. OBOWIĄZKI I ODPOWIEDZIALNOŚĆ W ZAKRESIE ZARZĄDZANIA BEZPIECZEŃSTWEM

1. Wszyst­kie osoby mające dostęp do danych osobo­wych prze­twa­rza­nych u Admi­ni­stra­tora danych, zobo­wią­zane są do prze­twa­rza­nia tych danych zgod­nie z obowią­zu­ją­cymi prze­pi­sami i zgod­nie z usta­loną przez Admi­ni­stra­tora danych Poli­tyką Ochrony Danych Osobo­wych.

2. Wszyst­kie dane osobowe prze­twa­rzane u Admi­ni­stra­tora danych są prze­twa­rzane z posza­no­wa­niem zasad prze­wi­dzia­nych przez prze­pisy prawa, tj.:

a) w każdym wypadku wystę­puje chociaż jedna z prze­wi­dzia­nych prze­pi­sami prawa podstaw dla prze­twa­rza­nia danych;

b) dane osobowe prze­twa­rzane są rzetel­nie i w sposób przej­rzy­sty.

c) dane osobowe zbie­rane są w konkret­nych, wyraź­nych i praw­nie uzasad­nio­nych celach i nieprze­twa­rzane dalej w sposób niezgodny z tymi celami;

d) dane osobowe są prze­twa­rzane jedy­nie w takim zakre­sie, jaki jest niezbędny dla osią­gnię­cia celu prze­twa­rza­nia danych;

e) dane osobowe są prawi­dłowe i w razie potrzeby uaktu­al­niane;

f) czas prze­cho­wy­wa­nia danych jest ogra­ni­czony do okresu ich przy­dat­no­ści do celów, do których zostały zebrane;

g) wobec osoby, której dane doty­czą, wyko­ny­wany jest obowią­zek infor­ma­cyjny zgod­nie z wymo­gami art. 13 i 14 Rozpo­rzą­dze­nia;

h) dane osobowe są zabez­pie­czone przed naru­sze­niami zasad ich ochrony.

3. Za naru­sze­nie lub próbę naru­sze­nia zasad prze­twa­rza­nia i ochrony danych osobo­wych uważa się w szcze­gól­no­ści:

a) naru­sze­nie bezpie­czeń­stwa syste­mów infor­ma­tycz­nych, w których prze­twa­rzane są dane osobowe;

b) udostęp­nia­nie lub umoż­li­wie­nie udostęp­nia­nia danych osobo­wych osobom lub podmio­tom do tego nieupo­waż­nio­nym;

c) zanie­cha­nie dopeł­nie­nia obowiązku zapew­nie­nia danym osobo­wym ochrony;

d) niedo­peł­nie­nie obowiązku zacho­wa­nia w tajem­nicy danych osobo­wych oraz sposo­bów ich zabez­pie­cze­nia;

e) prze­twa­rza­nie danych osobo­wych niezgod­nie z zało­żo­nym zakre­sem i celem ich zbie­ra­nia;

f) spowo­do­wa­nie uszko­dze­nia, utraty, niekon­tro­lo­wa­nej zmiany lub nieupraw­nione kopio­wa­nie danych osobo­wych;

g) naru­sze­nie praw osób, których dane osobowe są prze­twa­rzane.

4. W przy­padku stwier­dze­nia okolicz­no­ści naru­sze­nia zasad ochrony danych osobo­wych osoba upoważ­niona przez Admi­ni­stra­tora danych zobo­wią­zana jest do podję­cia wszyst­kich niezbęd­nych kroków, mają­cych na celu ogra­ni­cze­nie skut­ków naru­sze­nia i do niezwłocz­nego powia­do­mie­nia Admi­ni­stra­tora danych.

5. Do obowiąz­ków Admi­ni­stra­tora danych w zakre­sie zatrud­nia­nia, zakoń­cze­nia lub zmiany warun­ków zatrud­nie­nia pracow­ni­ków lub współ­pra­cow­ni­ków (osób podej­mu­ją­cych czyn­no­ści na rzecz Admi­ni­stra­tora danych na podsta­wie innych umów cywil­no­praw­nych, bądź umów o współ­pracy) należy dopil­no­wa­nie, by:

a) pracow­nicy byli odpo­wied­nio przy­go­to­wani do wyko­ny­wa­nia swoich obowiąz­ków;

b) każdy z pracow­ni­ków prze­twa­rza­ją­cych dane osobowe był pisem­nie upoważ­niony do prze­twa­rza­nia danych osobo­wych oraz zobo­wią­zał się do zacho­wa­nia prze­twa­rza­nych danych osobo­wych w tajem­nicy — wzór upoważ­nie­nia oraz oświad­cze­nia stanowi odpo­wied­nio załącz­nik nr 1 i załącz­nik nr 2 do niniej­szej Poli­tyki Ochrony Danych Osobo­wych;

c) w przy­padku powie­rze­nia prze­twa­rza­nia danych osobo­wych podmio­tom trze­cim (w opar­ciu o umowy cywil­no­prawne lub umowy o współ­pracy), zawarta została umowa o powie­rze­niu prze­twa­rza­nia danych osobo­wych.

6. Pracow­nicy Admi­ni­stra­tora danych zobo­wią­zani są do:

a) ścisłego prze­strze­ga­nia zakresu nada­nego upoważ­nie­nia;

b) prze­twa­rza­nia i ochrony danych osobo­wych zgod­nie z prze­pi­sami;

c) zacho­wa­nia w tajem­nicy danych osobo­wych oraz sposo­bów ich zabez­pie­cze­nia;

d) zgła­sza­nia incy­den­tów zwią­za­nych z  naru­sze­niem bezpie­czeń­stwa danych oraz niewła­ści­wym funk­cjo­no­wa­niem systemu infor­ma­tycz­nego.


IV. OBSZAR PRZETWARZANIA DANYCH OSOBOWYCH

1. Obszar, w  którym prze­twa­rzane są dane osobowe obej­muje pomiesz­cze­nia biurowe zloka­li­zo­wane w siedzi­bie Admi­ni­stra­tora danych.

 2. Dodat­kowo obszar, w którym prze­twa­rzane są dane osobowe, stano­wią także wszyst­kie kompu­tery prze­no­śne oraz inne elek­tro­niczne lub trady­cyjne nośniki  danych znaj­du­jące się poza obsza­rem siedziby Admi­ni­stra­tora danych, w związku z zakre­sem wyko­ny­wa­nej przez Admi­ni­stra­tora danych dzia­łal­no­ści gospo­dar­czej.


V. OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH

1. Admi­ni­stra­tor Danych zapew­nia zasto­so­wa­nie środ­ków tech­nicz­nych i orga­ni­za­cyj­nych niezbęd­nych dla zapew­nie­nia pouf­no­ści, inte­gral­no­ści, rozli­czal­no­ści i ciągło­ści prze­twa­rza­nych danych osobo­wych.

2. Zasto­so­wane środki ochrony (tech­niczne i orga­ni­za­cyjne) powinny być adekwatne do stwier­dzo­nego poziomu ryzyka dla poszcze­gól­nych syste­mów, rodza­jów zbio­rów i kate­go­rii danych.

3. Środki ochrony obej­mują w szcze­gól­no­ści:

a) ogra­ni­cze­nie dostępu do pomiesz­czeń, w których prze­twa­rzane są dane osobowe, jedy­nie do osób odpo­wied­nio upoważ­nio­nych. Inne osoby mogą prze­by­wać w pomiesz­cze­niach wyko­rzy­sty­wa­nych do prze­twa­rza­nia danych jedy­nie w towa­rzy­stwie osoby upoważ­nio­nej;

 b) zamy­ka­nie pomiesz­czeń tworzą­cych obszar prze­twa­rza­nia danych osobo­wych, okre­ślony w punk­cie IV niniej­szej Poli­tyki Ochrony Danych Osobo­wych, na czas nieobec­no­ści pracow­ni­ków, w sposób unie­moż­li­wia­jący dostęp do nich osób trze­cich;

c) wyko­rzy­sta­nie zamy­ka­nych szafek i sejfów do zabez­pie­cze­nia doku­men­tów;

d) wyko­rzy­sta­nie nisz­czarki do skutecz­nego usuwa­nia doku­men­tów zawie­ra­ją­cych dane osobowe;

e) ochronę sieci lokal­nej (infor­ma­tycz­nej) przed dzia­ła­niami inicjo­wa­nymi z zewnątrz;

f) wyko­ny­wa­nie, w razie koniecz­no­ści, kopii awaryj­nych danych;

g) ochronę sprzętu kompu­te­ro­wego wyko­rzy­sty­wa­nego u Admi­ni­stra­tora danych przed złośli­wym opro­gra­mo­wa­niem;

h) zabez­pie­cze­nie dostępu do urzą­dzeń elek­tro­nicz­nych przy pomocy haseł dostępu;

i) wyko­rzy­sta­nie szyfro­wa­nia danych osobo­wych przy ich trans­mi­sji.


VI. NARUSZENIA ZASAD OCHRONY DANYCH OSOBOWYCH

1. W przy­padku stwier­dze­nia naru­sze­nia ochrony danych osobo­wych, Admi­ni­stra­tor danych doko­nuje oceny, czy zaist­niałe naru­sze­nie mogło powo­do­wać ryzyko naru­sze­nia praw lub wolno­ści osób fizycz­nych.

2. W każdej sytu­acji, w której zaist­niałe naru­sze­nie mogło powo­do­wać ryzyko naru­sze­nia praw lub wolno­ści osób fizycz­nych, Admi­ni­stra­tor danych zgła­sza fakt naru­sze­nia zasad ochrony danych orga­nowi nadzor­czemu — Preze­sowi Urzędu Ochrony Danych Osobo­wych — bez zbęd­nej zwłoki – nie później niż w termi­nie 72 godzin po stwier­dze­niu naru­sze­nia.

3. Jeżeli ryzyko naru­sze­nia praw i wolno­ści jest wyso­kie, Admi­ni­stra­tor danych zawia­da­mia o incy­den­cie także osobę, której dane doty­czą.


VII. POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Admi­ni­stra­tor Danych może powie­rzyć prze­twa­rza­nie danych osobo­wych innemu podmio­towi wyłącz­nie w drodze umowy zawar­tej w formie pisem­nej, zgod­nie z wymo­gami wska­za­nymi dla takich umów w art. 28 Rozpo­rzą­dze­nia.


VIII. PRZEKAZANIE DANYCH DO PAŃSTWA TRZECIEGO

Admi­ni­stra­tor Danych nie będzie prze­ka­zy­wał danych osobo­wych do państwa trze­ciego, poza sytu­acjami w których nastę­puje to na wnio­sek osoby, której dane doty­czą.


IX. POSTANOWIENIA KOŃCOWE

1. Za niedo­peł­nie­nie obowiąz­ków wyni­ka­ją­cych z niniej­szego doku­mentu pracow­nik Admi­ni­stra­tora danych ponosi odpo­wie­dzial­ność na podsta­wie Kodeksu pracy, Prze­pi­sów o ochro­nie danych osobo­wych oraz Kodeksu karnego.

2. Inte­gralną część niniej­szej Poli­tyki bezpie­czeń­stwa stano­wią nastę­pu­jące Załącz­niki:

- Załącz­nik Nr 1 — Upoważ­nie­nie do prze­twa­rza­nia danych osobo­wych;

- Załącz­nik Nr 2 — Oświad­cze­nie.