Polityka bezpieczeństwa danych osobowych

W związku z przetwarzaniem danych osobowych przez firmę Investrade Wiktor Łaba z siedzibą w Katowicach, niniejszym wprowadza się zasady zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z Przetwarzaniem Danych osobowych i w sprawie swobodnego przepływu takich Danych oraz uchylenia dyrektywy 95/46/WE (ogólne Rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1) zwane RODO oraz ustawą o świadczeniu usług drogą elektroniczną z dnia 18 lipca 2002 r. (Dz.U. 2002 Nr 144, poz. 1204 z późn. zm.), a także zgodnie z ustawą o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz.U. 1997 Nr 133, poz. 883 z późn. zm.) do czasu uchylenia w/w ustawy i przyjęcia przez Polskie Ustawodawstwo nowej.
Dane osobowe zbierane są bezpośrednio od osoby której dotyczą, która udzieliła zgodę na przetwarzanie danych tudzież jej dane są niezbędne do wykonania umowy, której Klient jest stroną.

§ 1
Definicje

Na potrzeby Polityki przetwarzania danych osobowych przyjmuje się następujące definicje:

1. ABI – Administrator Bezpieczeństwa Informacji, o którym mowa w §8;
2. ASI – Administrator Systemów Informatycznych, którego zadania i uprawnienia szczegółowo opisano w Instrukcji Zarządzania Systemem Informatycznym;
3. GIODO – Generalny Inspektor Ochrony Danych Osobowych;
4. Osoba Upoważniona – osoba posiadająca Upoważnienie;
5. Polityka – niniejszy dokument;
6. Rozporządzenie – rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;
7. Firma – firma Investrade Wiktor Łaba z siedzibą w 40-871 Katowice, ul. Tysiąclecia 6/5 NIP: 638-178-46-38, REGON: 361885651;
8. RODO – dane osobowe Klienta są przetwarzane zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z Przetwarzaniem Danych osobowych i w sprawie swobodnego przepływu takich Danych oraz uchylenia dyrektywy 95/46/WE (ogólne Rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1) zwane RODO oraz ustawą o świadczeniu usług drogą elektroniczną z dnia 18 lipca 2002 r. (Dz.U. 2002 Nr 144, poz. 1204 z późn. zm.), a także zgodnie z ustawą o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz.U. 1997 Nr 133, poz. 883 z późn. zm.) do czasu uchylenia w/w ustawy i przyjęcia przez Polskie Ustawodawstwo nowej.
Dane osobowe zbierane są bezpośrednio od osoby której dotyczą, która udzieliła zgodę na przetwarzanie danych tudzież jej dane są niezbędne do wykonania umowy, której Klient jest stroną.
9. Upoważnienie – wydane przez Firmę upoważnienie do przetwarzania danych osobowych, o którym mowa w §2 Polityki;

§ 2
Przetwarzanie danych osobowych

1. Administratorem danych, których przetwarzanie jest regulowane nn. Polityką, jest Firma.
2. W zakresie danych osobowych Użytkowników Końcowych – ich administratorem danych osobowych nie jest Operator. Użytkownik powierza do przetwarzania Operatorowi dane osobowe Użytkowników Końcowych w zakresie i celu określonym odrębną umową (na zasadzie art. 31 ustawy o ochronie danych osobowych – zgodnie z załącznikiem nr 1).
1. dane kandydatów do pracy;
2. dane osób zatrudnionych na podstawie umowy o pracę;
3. dane osób świadczących na rzecz Firmy usługi na podstawie umów cywilnoprawnych (zleceniobiorców, wykonawców);
4. dane kontrahentów, współpracowników i innych osób, z którymi Firma utrzymuje kontakty służbowe;
5. dane osobowe powierzone Firmie do przetwarzania przez inne podmioty.
3. Dane osobowe przetwarzane są w Firmie:
1. w formie papierowej;
2. w formie elektronicznej – w ramach systemu informatycznego.

§ 3
Upoważnienie

1. Osoby wykonujące czynności powiązane z przetwarzaniem danych osobowych w ramach wykonywania pracy bądź realizacji innych świadczeń na rzecz Firmy muszą posiadać wystawione przez Firmę upoważnienie do przetwarzania danych osobowych, którego wzór stanowi załącznik nr 1 do Polityki.
2. Upoważnienie o którym mowa w ust. 1 nadaje Właściciel Firmy po podpisaniu przez osobę zobowiązania do zachowania w tajemnicy danych oraz metod ich zabezpieczania. Wzór ww. zobowiązania stanowi załącznik nr 2 do Polityki.
3. Nadanie Upoważnienia o którym mowa w ust. 1 poprzedza nadanie uprawnień pozwalających na dostęp do systemu informatycznego w którym przetwarzane są dane osobowe.

§ 4
Osoby upoważnione

1. Osoby Upoważnione przez Firmę do przetwarzania danych osobowych są zobowiązane do:
a) przetwarzania danych zgodnie z zasadami wynikającymi z powszechnie obowiązujących przepisów prawa, regulacji wewnętrznych stosowanych w Firmie oraz w zakresie określonym w Upoważnieniu;
b) nieudostępniania danych osobom nieposiadającym Upoważnienia.
c) zabezpieczania danych przed:
• utratą
• zniszczeniem;
• uszkodzeniem;
• dostępem osób nieupoważnionych;
1. Osoby Upoważnione o których mowa w ust. 1, odpowiedzialne za zbieranie danych, są zobowiązane do zachowania szczególnej staranności w ramach zbierania ww., w szczególności poprzez:
a) gromadzenie danych osobowych dla określonych, realizowanych przez Firmę celów, w zakresie adekwatnym do ww. zadań;
b) kontrolowanie spełniania norm uprawniających do pozyskania danych osobowych, w szczególności zaś zgodności pozyskania danych z RODO,
c) realizację wynikającego z RODO obowiązku informacyjnego poprzez kontrolę, czy stosowane formularze służące do zbierania danych osobowych posiadają stosowną klauzulę informacyjną;
d) odebranie zgody osoby, której dotyczą dane w przypadkach, gdy ww. zgoda jest konieczna celem przetwarzania rzeczonych danych.

§ 5
System informatyczny

1. Reguły zarządzania systemem informatycznym służącym do przetwarzania danych osobowych określone zostały w „Instrukcji zarządzania systemem informatycznym”.
2. Za zarządzanie systemem informatycznym, o którym mowa w ust. 1, odpowiada Firma.
3. W przypadku jego powołania, nadzór nad poprawnym działaniem systemu informatycznego sprawuje ASI.
§ 6
Przechowywanie
1. W siedzibie Firmy oraz w miarę potrzeb w innych miejscach, gdzie prowadzona jest przez Firmę działalność gospodarcza, Właściciel Firmy wyznacza pomieszczenia, w których przetwarzane są dane osobowe.
2. Zarówno dokumenty papierowe, jak i nośniki elektroniczne zawierające dane osobowe przechowywać należy w warunkach zabezpieczających przed dostępem osób nieupoważnionych do przetwarzania danych osobowych – w zamykanych na klucz pomieszczeniach, w miarę możliwości również w zamykanych na klucz pojemnikach, szafach bądź szufladach.
3. Osoby nieposiadające Upoważnienia mogą przebywać w pomieszczeniach o których mowa w ust. 1 jedynie pod nadzorem Osób Upoważnionych.

§ 7
Właściciel

1. Firmę reprezentuje Wiktor Łaba (Właściciel) jako Administratora Danych Osobowych w zakresie zapewnienia bezpieczeństwa i zgodności procedur przetwarzania ww. danych z przepisami prawa.
2. Właściciel może powołać uchwałą:
a) osobę spełniającą wymogi wskazane w RODO na stanowisko Administratora Bezpieczeństwa Informacji;
b) Administratora Systemu Informatycznego.
3. W przypadku niepowołania przez Firmę ABI oraz ASI, ich obowiązki sprawuje sam Właściciel jako organ reprezentujący Administratora Danych Osobowych.
4. Właściciel, w przypadku powołania ABI i ASI po ich wysłuchaniu, określa środki ochrony danych, stosownie do potencjalnych zagrożeń i z uwzględnieniem kategorii danych i związanego z tym poziomu bezpieczeństwa, określonego w oparciu o przepisy Rozporządzenia.
5. Właściciel samodzielnie bądź za pośrednictwem upoważnionej na mocy uchwały osoby prowadzi:
a) ewidencję zbiorów danych osobowych przetwarzanych w Firmie, stanowiącą załącznik nr 5 do Polityki;
b) wykaz pomieszczeń, o których mowa w §6 ust. 1, stanowiący załącznik nr 6 do Polityki.
c) ewidencję Osób Upoważnionych, stanowiącą załącznik nr 7 do Polityki.

§ 8
ABI

1. W przypadku jego powołania, nad przestrzeganiem zasad ochrony danych osobowych w Firmie sprawuje Administrator Bezpieczeństwa Informacji (ABI).
2. W ramach wykonywanych obowiązków określonych w nn. dokumencie, ABI odpowiada jedynie przed Właścicielem Firmy.
3. Do obowiązków ABI należy w szczególności:
a) kontrola zgodności przetwarzania danych osobowych w Firmie z powszechnie obowiązującymi przepisami prawa oraz ustalonymi przez Firmę wewnętrznymi zasadami;
b) przygotowywanie do rejestracji zgłoszeń i aktualizacja zbiorów danych osobowych w GIODO;
c) zapoznawanie Osób Upoważnionych z zasadami przetwarzania danych osobowych wynikającymi z norm wskazanych w lit. a;
d) nadzór w zakresie wykonywania obowiązków przez ASI w zakresie zapewnienia bezpieczeństwa przetwarzanym danym osobowym ze szczególnym uwzględnieniem stosowania Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych;
e) nadzorowanie przygotowania wewnętrznej dokumentacji dotyczącej ochrony danych osobowych, o której mowa w §1 ust. 1 Rozporządzenia;
f) opracowywanie sprawozdań dla Firmy w przedmiocie zgodności przetwarzania danych osobowych z normami o których mowa w lit. a;
g) udzielanie pisemnej odpowiedzi na wnioski, o których mowa w RODO w terminie nieprzekraczającym 30 dni od momentu doręczenia Firmie wniosku.
4. Wszelkie projekty, w ramach których pozyskiwane będą dane osobowe, należy przed przystąpieniem do ich realizacji zgłosić ABI celem umożliwienia sprawowania przez niego nadzoru nad zgodnością podejmowanych działań z przepisami regulującymi ochronę danych osobowych.

§ 9
Przetwarzanie danych przez podmioty zewnętrzne

1. W przypadku podjęcia przez Firmę współpracy z podmiotem zewnętrznym, w ramach której ww. podmiot wykonywać będzie czynności związane z przetwarzaniem danych osobowych, przed udostępnieniem danych strony zamieszczą w zawieranej umowie stosowne postanowienia nakładające na ww. podmiot obowiązek przetwarzania danych osobowych zgodnie z przepisami prawa, bądź też zawrą osobną umowę regulującą zasady przetwarzania danych osobowych, której wzór stanowi załącznik nr 3 do Polityki.
2. Przed udostępnieniem przetwarzanych przez Firmę danych osobowych podmiotom zewnętrznym konieczne jest zweryfikowanie, czy zaistniały wynikające z przepisów prawa okoliczności ww. udostępnienie umożliwiające, w szczególności:
a) zgoda na udostępnienie, wyrażona przez osobę której dane osobowe dotyczą;
b) wynikający z przepisów prawa obowiązek udostępnienia danych;
c) pisemny wniosek o udostępnienie wystosowany przez podmiot uprawniony, wskazujący na podstawę prawną otrzymania określonych danych;
d) zapis umowny z podmiotem współpracującym ze Firma pod warunkiem, iż udostępnienie danych nie naruszy uprawnień osoby, której dane osobowe dotyczą.

§ 10
Postanowienia końcowe

1. Załączniki do Polityki stanowią jej integralną część.
2. W sprawach nieuregulowanych zastosowanie mają przepisy RODO i innych aktów prawnych regulujących zasady przetwarzania danych osobowych.
3. Niniejsza Polityka, wchodzi w życie z dniem 20 maja 2018 roku.

 

Załączniki

 

1. wzór upoważnienia do przetwarzania danych osobowych;
2. zobowiązanie do zachowania tajemnicy;
3. wzór umowy o powierzenie przetwarzania danych osobowych;
4. schematy przepływu danych pomiędzy systemami;
5. ewidencja zbiorów przetwarzanych danych osobowych;
6. ewidencja pomieszczeń, w których przetwarzane są dane osobowe;
7. ewidencja osób upoważnionych do przetwarzania danych osobowych.

ul. Tysiąclecia 6/5 | 40-671 Katowice | NIP:6381784638
biuro@delareco.com | +48 695 752 648 | www.delareco.com