Skoczów, 22 czerwca 2022
Przedsiębiorstwo Handlowo-Usługowe "ELTO"
43-430 Skoczów, Harbutowice
ul. Wiślańska 152 A
NIP: 548-148-94-24
Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych
Niniejsza Polityka Bezpieczeństwa, zwana dalej Polityką, została sporządzona w celu wykazania, że dane osobowe w P.H.U ,,ELTO”
przetwarzane i zabezpieczone są zgodnie z wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczania danych. Polityka została
sporządzona zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony
osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie przepływu takich danych oraz uchylenia dyrektywy
o numerze 95/46/WE (zwanej dalej RODO).
Spis treści
-
Postanowienia ogólne
-
Przetwarzanie Danych osobowych
-
Obowiązki i odpowiedzialności w zakresie zarządzania bezpieczeństwem
-
Obowiązki administratora oraz wzory dokumentów
-
Obszar przetwarzania danych osobowych
-
Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczania przetwarzania danych osobowych
-
Naruszanie zasad ochrony danych osobowych
-
Postanowienia końcowe
Definicje
-
Administrator Danych
- Przedsiębiorstwo Handlowo-Usługowe "ELTO" zwane dalej
przedsiębiorstwem "ELTO".
-
Dane osobowe
- są to wszelakie informacje dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej.
-
System informatyczny
- jest to zespół współpracujących ze sobą urządzeń, programów,
procedur informatycznych zastosowanych w celu przetwarzania danych.
-
Zbiór danych osobowych
- to każdy uporządkowany zestaw danych o charakterze
osobowym, dostępny według określonych kryteriów
-
Przetwarzanie danych
- to jakiekolwiek operacje wykonywane na Danych osobowych.
Są to działania polegające na: gromadzeniu, utrwalaniu, przechowywaniu, opracowywaniu,
zmienianiu, udostępnianiu oraz usuwaniu w formie tradycyjnej jak i w systemach
informatycznych.
1. Postanowienia ogólne
-
Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych dotyczy wszystkich Danych osobowych przetwarzania w firmie "ELTO".
Dane niezależnie od formy przetwarzania (tradycyjne zbiory ewidencjonowania, systemy informatyczne) oraz od tego, czy dane są lub mogą być
przetwarzane w zbiorach danych.
-
Administrator danych zapewnia, iż czynności wykonywane w związku z przetwarzaniem i zabezpieczaniem danych osobowych są zgodne
z niniejszą polityką oraz z odpowiednimi regulacjami prawnymi.
2. Przetwarzanie Danych osobowych
-
Dane osobowe przetwarzane przez Administratora Danych gromadzone są w zbiorach danych w sposób rzetelny i zgodny
z obowiązującymi normami.
-
Administrator danych nie podejmuje czynności przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia
wysokiego ryzyka dla praw i wolności osób.
-
Wszelakie dane osobowe w firmie "ELTO" są przetwarzane z poszanowaniem zasad przetwarzania przewidzianych przez przepisy prawa:
-
W każdym wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstaw dla przetwarzania danych.
-
Dane osobowe zbierane są w konkretnych, wyraźnych i uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi
celami.
-
Dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu przetwarzania danych.
-
Dane są zabezpieczone przed naruszeniem zasad ich ochrony.
3. Obowiązki i odpowiedzialności w zakresie zarządzania bezpieczeństwem
-
Wszystkie osoby zobowiązane są do przetwarzania danych osobowych zgodnie z obowiązującymi przepisami i zgodnie z ustaloną przez
Administratora danych Polityką Bezpieczeństwa, a także z innymi wewnętrznymi i procedurami związanymi z Przetwarzaniem danych
osobowych w przedsiębiorstwie "ELTO".
-
Administrator danych nie przekazuje osobom, których dane dotyczą, informacji w sytuacji, w której dane te muszą zostać poufne zgodne
z obowiązkiem zachowania tajemnicy zawodowej (Art. 14, Ust. 5, Pkt. D RODO).
-
Za naruszenie bądź próbę naruszenia zasad przetwarzania i ochrony danych osobowych uważa się w szczególności:
-
naruszenia bezpieczeństwa Systemów informatycznych, w których przetwarzane są dane osobowe, w razie ich przetwarzania w takich
systemach;
-
udostępnianie lub umożliwienia udostępniania danych osobom lub podmiotom do tego nieupoważnionym;
-
zaniechanie, choćby nieumyślne, dopełnia obowiązku zapewnienia danym odpowiedniej ochrony;
-
niedopełnienie obowiązku zachowania w tajemnicy Danych osobowych oraz sposobów ich zabezpieczenia;
-
przetwarzanie Danych osobowych niezgodnie z założonym zakresem i celem ich zbierania;
-
spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie Danych osobowych;
-
naruszanie praw osób, których dane są przetwarzane;
4. Obowiązki administratora oraz wzory dokumentów
-
Do obowiązków Administratora danych z zakresu zatrudniania, zakończenia lub zmiany warunków zatrudnienia pracowników lub współpracowników
(osób podejmujących czynności na rzecz Administratora danych na podstawie innych umów cywilnoprawnych) należy dopilnować, by:
-
pracownicy byli odpowiednio przygotowani do wykonywania swoich obowiązków oraz przeszkoleni w zakresie zachowania danych osobowych
w przedsiębiorstwie, sposobów ich zabezpieczania, w tajemnicy;
-
pracownicy byli zobowiązani do zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem
systemu Administratorowi danych;
-
Wzór listy upoważnionych pracowników stanowi Załącznik nr 1 Polityki w formie PDF.
5. Obszar przetwarzania danych osobowych
-
Obszar, w którym przetwarzane są Dane Osobowe na terenie przedsiębiorstwa "ELTO" obejmują lokal mieszczący się przy ul. Wiślańskiej 152A
w Skoczowie-Harbutowicach.
-
Dodatkowo obszar, na którym przetwarzane są Dane Osobowe, stanowią wszystkie komputery, urządzenia przenośne oraz inne nośniki danych
znajdujące się poza obszarem wskazanym powyżej.
-
Przedsiębiorstwo przetwarza również Dane Osobowe, które zawarte są na stronie internetowej www.elto.net.pl oraz w sklepie internetowym
www.eltosklep.pl.
6. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczania przetwarzania
danych osobowych
-
Administrator danych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności,
rozliczalności i ciągłosci Przetwarzania danych.
-
Zastosowane środki ochrony (techniczne i organizacyjne) są adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów
zbiorów oraz kategorii danych.
-
Środki obejmują:
-
ograniczanie dostępu do pomieszczeń, w których przetwarzane są Dane osobowe, jedynie do osób odpowiednio upoważnionych; inne osoby mogą
przebywać w pomieszczeniach wykorzystywanych do przetwarzania danych jedynie w towarzystwie osoby upoważnionej;
-
zamykanie pomieszczeń tworzących obszar Przetwarzania danych osobowych określony w Pkt. IV powyżej na czas nieobecności pracowników,
w sposób uniemożliwiający dostęp do nich osób trzecich;
-
wykorzystywanie zamykanych szafek i sejfów do zabezpieczania dokumentów;
-
wykorzystywanie niszczarki lub podobnego urządzenia do skutecznego usuwania dokumentów zawierających dane osobowe;
-
ochronę sprzętu i sieci komputerowej przed działaniami inicjowanymi z zewnątrz przez złośliwe oprogramowanie bądź wirusy
komputerowe;
-
wykonywanie kopii bezpieczeństwa danych osobowych na nośnikach zewnętrznych;
-
ochronę sprzętu komputerowego wykorzystywanego u Administratora danych przed złośliwym oprogramowaniem;
-
zabezpieczenie dostępu do urządzeń, kiedy to możliwe, przy pomocy haseł dostępu;
-
wykorzystywanie szyfrowania danych przy ich transmisji
7. Naruszanie zasad ochrony danych osobowych
-
W przypadku stwierdzenia naruszenia zasad ochrony danych osobowych Administrator dokonuje oceny, czy zaistniałe naruszenie mogło spowodować
ryzyko naruszenia praw bądź wolności osób fizycznych.
-
W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator
zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – jeżeli jest to wykonalne, nie później niż
w terminie 72 godzin po stwierdzeniu naruszenia. Wzór określa Załącznik nr 2 do niniejszej Polityki w formie PDF.
-
Jeżeli ryzyko naruszania praw i wolności jest wysokie, Administrator zawiadamia o incydencie także osobę, której te dane dotyczą.
8. Postanowienia końcowe
-
Za niedopełnienie obowiązków wynikających z niniejszego dokumentu pracownik ponosi odpowiedzialność na podstawie Kodeksu Pracy, Przepisów
o ochronie danych osobowych oraz Kodeksu Karnego w odniesieniu do danych osobowych objętych tajemnicą zawodową.
-
Integralną część niniejsze Polityki stanowią następujące Załączniki (dostępne w wersji PDF):
-
Załącznik nr 1 - Wzór listy pracowników upoważnionych do Przetwarzania danych osobowych;
-
Załącznik nr 2 - Wzór naruszenia zasad ochrony danych do organu nadzorczego;