Promocje
Madzia Niebieska
Madzia Niebieska

104,00 zł

Cena regularna: 130,00 zł

Najniższa cena: 130,00 zł
Gosia Brązowa
Gosia Brązowa

102,00 zł

Cena regularna: 136,00 zł

Najniższa cena: 136,00 zł
Produkt dnia
Andrea kratka
Andrea kratka

76,00 zł

Andrea Łowicz j
Andrea Łowicz j

76,00 zł

Andrea Łowicz c
Andrea Łowicz c

76,00 zł

Producenci
Zaloguj się
Nie pamiętasz hasła? Zarejestruj się
Polityka prywatności

 

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Przedsiębiorcy

Arespol sp.zoo spółka komandytowa

Marzanny 12b , 91-225 Łódź
NIP: 947-19672-90; REGON: 100823052; KRS 0000346996

 

 

 

Niniejszy dokument ma charakter dokumentu wewnętrznego. Zakazuje się samowolnego rozpowszechniania i udostępniania dokumentu.


 

METRYKA POLITYKI BEZPIECZEŃSTWA INFORMACJI

Wersja i data utworzenia

Osoba odpowiedzialna za wprowadzenie zmian

Data zatwierdzenia / data wejścia w życie

Osoba zatwierdzająca

10.04.2018

 

10.04.2018

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

SPIS TREŚCI

                                                                                                                

   

DEFINICJE. 6

POSTANOWIENIA OGÓLNE. 8

ADMINISTRATORZY.. 9

INSPEKTOR OCHRONY DANYCH OSOBOWYCH I ADMINISTRATOR SYSTEMÓW INFORMATYCZNYCH.. 12

PRZETWARZANIE DANYCH.. 14

POWIERZENIE PRZETWARZANIA DANYCH.. 15

REJESTR CZYNNOŚCI PRZETWARZANIA.. 16

PLAN SPRAWDZEŃ ORAZ DOKONYWANIE SPRAWDZEŃ.. 16

OSOBY UPOWAŻNIONE DO PRZETWARZANIA DANYCH OSOBOWYCH.. 17

EWIDENCJA OSÓB UPOWAŻNIONYCH.. 18

SZKOLENIA.. 18

WYKAZ BUDYNKÓW, POMIESZCZEŃ LUB CZĘŚCI POMIESZCZEŃ TWORZĄCYCH OBSZAR  W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE. 19

OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH.. 19

POSTĘPOWANIE W RAZIE ZAISTNIENIA INCYDENTÓW BEZPIECZEŃSTWA.. 21

POSTANOWIENIA KOŃCOWE. 22

 


WSTĘP

Niniejsza Polityka stosowana jest przez wszystkich pracowników przedsiębiorcy, a także wszelkie osoby, które w związku z inną umową cywilno-prawną przetwarzają dane osobowe objęte zastosowaniem niniejszej Polityki.

Dla większej przejrzystości oraz ułatwienia osobom zobowiązanym do stosowania niniejszej Polityki oraz RODO przetwarzania danych osobowych objętych niniejszą Polityką, tworzy się Regulamin ochrony danych, zapewniających najważniejsze zasady i procedury bezpieczeństwa.

 

 

DEFINICJE

  • 1

Następującym zwrotom pisanym dużą literą przypisuje się następujące znaczenie:

  1. Dane osobowe (lub „dane”) – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
  2. Administrator- Arespol sp.zoo spółka komandytowa ul. Marzanny 12 b, 91-225 Łódź NIP: 947-196-72-90; REGON: 100823052; KRS 0000346996
  3. Inspektor ochrony danych osobowych – oznacza osobę wyznaczoną przez Administratora, która jest odpowiedzialna za zapewnienie przetwarzania danych zgodnie z odpowiednimi przepisami RODO. Funkcję Inspektora ochrony danych osobowych pełni: Arespol sp.zoo spółka komandytowa, adres e-mail: biuro@arespol.pl, numer telefonu: 42 611 00 79
  4. Administrator systemów informatycznych (lub „ASI”) – oznacza osobę fizyczną wyznaczoną przez współadministratorów, która odpowiada za zapewnienie sprawności, należytej konserwacji i wdrażania technicznych zabezpieczeń systemów informatycznych oraz odpowiada za to, aby systemy informatyczne, w których przetwarzane są dane osobowe spełniały wymagania przewidziane Rozporządzeniem;
  5. Dokumentacja przetwarzania danych osobowych – oznacza politykę bezpieczeństwa wraz z załącznikami, Rejestr czynności przetwarzania danych osobowych, Politykę Retencyjną a także Regulamin ochrony danych osobowych;
  6. Prezes Urzędu Ochrony Danych Osobowych („PUODO”) – oznacza organ ochrony danych osobowych.;
  7. Identyfikator (login) użytkownika — oznacza ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
  8. Osoba upoważniona – oznacza osobę, która otrzymała od Administratora upoważnienie do przetwarzania danych;
  9. Przetwarzanie danych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
  10. Podmiot Przetwarzający - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
  11. RODO, Rozporządzenie - oznacza Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
  12. Upoważnienie – oznacza oświadczenie nadawane przez Administratora wskazujące z imienia i nazwiska osobę, która ma prawo przetwarzać dane w zakresie wskazanym w tym oświadczeniu;
  13. Załączniki – oznacza załączniki do niniejszej Polityki, szczegółowo wymienione na końcu niniejszego dokumentu.
  14. Zbiór Danych – oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.

 

POSTANOWIENIA OGÓLNE


§2

  1. Administrator przyjmują niniejszą Politykę celem zapewnienia należytej ochrony danych osobowych.
  2. Administrator dokłada należytej staranności w celu ochrony interesów osób, których dane osobowe dotyczą, w szczególności jest obowiązany zapewnić, aby dane osobowe były przetwarzane zgodnie z RODO oraz dba, by dane osobowe były:
  3. a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
  4. b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; („ograniczenie celu”);
  5. c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
  6. d) prawidłowe i w razie potrzeby uaktualniane; każdy Administrator podejmuje wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
  7. e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”);
  8. f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
  9. Administrator dostosował systemy informatyczne służące do przetwarzania danych i wszelkie systemy zabezpieczeń przetwarzania danych osobowych do wymogów określonych w Rozporządzeniu oraz RODO, w tym w aktach wykonawczych do RODO. W szczególności systemy informatyczne wyposażone są w zabezpieczenia przed utratą, uszkodzeniem lub wyciekiem danych, na zasadach określonych w Polityce.
  10. Dane osobowe przetwarzane przez administratora znajdują się na serwerach., administratora który jest odpowiedzialna jest za wprowadzenie odpowiednich zabezpieczeń technicznych i organizacyjnych, które pozwolą na zapewnienie adekwatnej ochrony i bezpieczeństwo danych osobowych, oraz bieżące administrowanie tymi zabezpieczeniami.

 

  • 3

Wszelkie czynności jakie na mocy niniejszej polityki bezpieczeństwa są wykonywane przez Inspektora lub ASI mogą być także wykonywane przez Administratora, chyba, że szczegółowy podział obowiązków wprost wynika z niniejszej Polityki.

  • 4
  1. Polityka bezpieczeństwa jest dokumentem wewnętrznym i nie może być udostępniana podmiotom trzecim bez uprzedniej zgody Administratora.
  2. Dla codziennych potrzeb pracowników i współpracowników tworzy się Regulamin ochrony danych osobowych, zawierający skrócony opis kluczowych procedur niezbędnych dla zapewnienia bezpieczeństwa danych osobowych.
  3. Regulamin jest jawny i udostępniany w sposób powszechnie przyjęty u Administratora wszystkim pracownikom i współpracownikom.

 

ADMINISTRATORZY

 

  • 5
  1. Administrator stosuje środki techniczne i organizacyjne zapewniające ochronę danych osobowych odpowiednią do zagrożeń oraz kategorii przetwarzanych danych oraz zabezpiecza posiadane dane przed: ich udostępnieniem, zmianą, utratą, uszkodzeniem, zniszczeniem lub przetwarzaniem przez osobę nieupoważnioną.
  2. Szczegółowy opis środków technicznych i organizacyjnych stanowi Załącznik nr 1 - do niniejszej Polityki jako Instrukcja Zarzadzania Systemem Informatycznym.
  3. Administrator w szczególności zapewnia (w nawiasie wskazano, do którego z Administratorów należy wyszczególniony obowiązek):
  • środki techniczne i organizacyjne niezbędne dla zapewnienia bezpiecznego przetwarzania danych w pomieszczeniach do tego przeznaczonych
  • system i sprzęt informatyczny umożliwiający bezpieczne przetwarzanie danych
  • przetwarzanie danych osobowych wyłącznie przez osoby należycie do tego upoważnione
  • prowadzenie ewidencji osób upoważnionych
  • należyte i terminowe udzielanie informacji na wniosek osób, których dane są przetwarzane i które zwróciły się z wnioskiem o udzielenie informacji w trybie art. 15
  • kontrolę nad tym jakie dane, kiedy i przez kogo zostały do zbiorów Administratora wprowadzone, ze zbiorów usunięte oraz komu i przez kogo przekazane
  1. Administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15–22 RODO. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania Administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.
  2. W przypadku naruszenia ochrony danych osobowych, Administrator, który pierwszy uzyska informację o naruszeniu, bez zbędnej zwłoki – nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
  3. Administrator stosuje się do wymogu adekwatności zbieranych danych osobowych. Realizacja powyższej zasady uwidacznia się w ilości zbieranych danych osobowych (tj. zbieraniu wyłącznie danych niezbędnych dla realizacji danego celu), zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.
  4. Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonują oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

 

  • 6
  1. W przypadku zgłoszenia przez osobę, której dane osobowe dotyczą, że są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem RODO albo są lub stały się w pewnym zakresie zbędne do realizacji celu, dla którego zostały zebrane, Administrator jest obowiązany, bez zbędnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania, ograniczenia danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru.
  2. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f) RODO. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
  3. Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła Administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony Administratora, któremu dostarczono te dane osobowe, jeżeli:
  4. przetwarzanie odbywa się na podstawie zgody w myśl art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO lub na podstawie umowy w myśl art. 6 ust. 1 lit. b) RODO; oraz
  5. przetwarzanie odbywa się w sposób zautomatyzowany.
  6. Wykonując prawo do przenoszenia danych na mocy ust. 4, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez Administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.

INSPEKTOR OCHRONY DANYCH OSOBOWYCH I ADMINISTRATOR SYSTEMÓW INFORMATYCZNYCH

  • 7
  1. Administrator nie powołał Inspektora Ochrony Danych Osobowych.
  2. Funkcję Inspektora pełni Administrator
  • 8
  1. Do zadań Inspektora należy:
  2. pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO a także innych przepisów Unii lub obowiązujących w Polsce o ochronie danych i doradzanie im w tej sprawie;
  3. nadawanie w imieniu każdego upoważnień dla pracowników do przetwarzania danych osobowych, dopełnianie względem nich obowiązku informacyjnego, zobowiązywanie do zachowania danych osobowych w tajemnicy oraz zapoznawanie z procedurami ochrony danych wdrożonymi u Administratora;
  4. monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz procedur w dziedzinie ochrony danych osobowych wdrożonych przez Administratora
  5. działania zwiększające świadomość dotyczącą zasad ochrony bezpieczeństwa przetwarzanych danych osobowych, szkolenia pracowników mających dostęp do danych oraz powiązane z tym audyty;
  6. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
  7. współpraca z organem nadzorczym;
  8. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
  9. Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

 

  • 9
  1. Inspektorem może być osoba, która:
  • ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
  • posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
  • nie była karana za umyślne przestępstwo.
  1. W dokumencie powołującym Inspektora osoba powołana do pełnienia funkcji musi być wskazana z imienia i nazwiska.
  2. Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii lub prawem polskim.

 

  1. Osoby, której dane są przetwarzane, są poinformowane o osobie pełniącej funkcję Inspektora u Administratora oraz jej danych kontaktowych, zgodnie z art. 13 i 14 RODO.

 

  • 10
  1. Administrator może wyznaczyć Administratora Systemów Informatycznych.
  2. ASI odpowiada za zapewnienie przestrzegania zasad ochrony danych osobowych przetwarzanych za pomocą systemów informatycznych określonych w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
  3. ASI podczas wykonywania obowiązków z zakresu ochrony danych osobowych podlega bezpośrednio kierownikowi jednostki organizacyjnej lub Administratorowi.
  4. W przypadku niewyznaczenia ASI za zapewnienie przestrzegania zasad ochrony danych osobowych przetwarzanych za pomocą systemów informatycznych odpowiada Administrator

 

 

PRZETWARZANIE DANYCH

  • 11
  1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
  • osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
  • przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
  1. W przypadku przetwarzania danych osobowych wrażliwych (danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby), Administrator musi legitymować się przynajmniej jedną przesłanką legalizującą określoną w art. 9 RODO, przy czym na chwilę wdrażania niniejszej Polityki żaden z Administratorów nie przetwarza danych wrażliwych w rozumieniu RODO.
  2. Podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora. Uznaje się, iż administrator może przetwarzać dane na podstawie swojego uzasadnionego interesu, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, Administrator każdorazowo przeprowadza dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu.
  • 12
  1. Jeżeli podstawą przetwarzania danych osobowych jest zgoda podmiotu danych, administrator opiera się wyłącznie na wyraźnej zgodzie na przetwarzanie danych osobowych, która nie jest domniemana ani dorozumiana z oświadczenia woli o innej treści.
  2. Wobec wszystkich osób, których dane są przetwarzanie, dopełniany jest obowiązek informacyjny z art. 13 i 14 RODO. Administrator zawsze informuje podmiot danych, iż zgoda na przetwarzanie danych osobowych może zostać odwołana w każdym czasie. W przypadku odwołania zgody na przetwarzanie danych osobowych Administrator usuwa wszystkie dane osobowe osoby, która zgodę cofnęła, chyba że istnieje inna podstawa prawna upoważniająca Administratora do dalszego przetwarzania tych danych dla innych celów niż wskazany w cofniętej zgodzie.

 

  • 13
  1. W przypadku powzięcia jakichkolwiek wątpliwości co do ewentualnej zgodności z prawem planowanych działań w zakresie przetwarzania danych, każdy z pracowników zobowiązany jest zwrócić się do Inspektora z wnioskiem o rozstrzygnięcie wątpliwości.
  2. Przed udzieleniem przez Inspektora odpowiedzi w przedmiocie istniejących wątpliwości niedozwolone jest zbieranie danych osobowych i ich utrwalanie, a w przypadku posiadania już danych osobowych których wątpliwość dotycz należy, do czasu rozstrzygnięcia wątpliwości, wstrzymać wszystkie działania na danych osobowych, co do których istnieją wątpliwości czy są prawnie uzasadnione.

 

POWIERZENIE PRZETWARZANIA DANYCH

  • 14
  1. Jeżeli Administrator powierza dane osobowe innemu podmiotowi, zawierana jest umowa powierzenia przetwarzania.
  2. Podmiot, któremu dane do przetwarzania powierzono („Podmiot Przetwarzający”), może przetwarzać dane wyłącznie w zakresie i w celu przewidzianym w umowie.
  3. Jeżeli przetwarzanie ma być dokonywane w imieniu Administratora, korzystają oni wyłącznie z usług takich Podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Administrator wymaga od Podmiotu Przetwarzającego deklaracji w zakresie wdrożenia w swoich strukturach wymogów przewidzianych przez Rozporządzenie
  4. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora.

 

REJESTR CZYNNOŚCI PRZETWARZANIA

  • 15
  1. Administrator prowadzi rejestr czynności przetwarzania danych osobowych.
  2. Rejestr czynności przetwarzania danych osobowych jest zgodny z wymogami art. 30 RODO i stanowi Załącznik nr 2 do niniejszej Polityki.

 

 

PLAN SPRAWDZEŃ ORAZ DOKONYWANIE SPRAWDZEŃ

  • 16
  1. Inspektor celem zapewnienia zgodnego z prawem przetwarzania danych osobowych dokonuje sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowuje sprawozdanie w tym zakresie.
  2. Sprawdzenie jest dokonywane dla Prezesa Urzędu Ochrony Danych Osobowych. Sprawdzenie może być doraźne, planowe lub na żądanie PUODO.
  3. Ogólny plan sprawdzeń stanowi Załącznik nr 3 do niniejszej Umowy. Inspektor każdorazowo dostosuje Plan Sprawdzeń do bieżących potrzeb danego sprawdzenia.
  • 17
  1. Inspektor zawiadamia o rozpoczęciu sprawdzenia doraźnego lub sprawdzenia na żądanie PUODO przed podjęciem pierwszej czynności, chyba, że co innego wynika z decyzji PUODO na podstawie powszechnie obowiązujących przepisów prawa.
  2. Inspektor zawiadamia kierownika jednostki organizacyjnej objętej sprawdzeniem o zakresie planowanych czynności w terminie co najmniej 7 dni przed dniem przeprowadzenia czynności.
  3. Zawiadomienia nie przekazuje się w przypadku:
  • sprawdzenia doraźnego, jeżeli niezwłoczne rozpoczęcie sprawdzenia jest niezbędne do przywrócenia stanu zgodnego z prawem lub weryfikacji, czy naruszenie miało miejsce;
  • sprawdzenia, o którego dokonanie zwrócił się PUODO, jeżeli na zawiadomienie nie pozwala wyznaczony przez niego termin;
  • jeżeli kierownik jednostki organizacyjnej objętej sprawdzeniem posiada informacje, o zakresie planowanych czynności.

 

  • 18
  1. Inspektor przygotowuje plan sprawdzenia planowego.
  2. Plan sprawdzeń zawiera przedmiot, zakres, termin sprawdzeń oraz sposób i zakres ich dokumentowania.
  3. Zbiory danych oraz systemy informatyczne służące do przetwarzania lub zabezpieczania danych osobowych podlegają sprawdzeniu nie rzadziej niż raz na rok.
  • 19
  1. Po zakończeniu sprawdzenia Inspektor przygotowuje sprawozdanie.
  2. Sprawozdanie jest sporządzane w postaci elektronicznej albo w postaci papierowej.
  3. Inspektor przekazuje sprawozdanie:
  • ze sprawdzenia planowego - nie później niż w terminie 30 dni od zakończenia sprawdzenia;
  • ze sprawdzenia doraźnego - niezwłocznie po zakończeniu sprawdzenia;
  • ze sprawdzenia, o którego dokonanie zwrócił się PUODO - zachowując termin wskazany przez organ.

 

OSOBY UPOWAŻNIONE DO PRZETWARZANIA DANYCH OSOBOWYCH

  • 20
  1. Administratorów obowiązany jest nadać upoważnienie do przetwarzania danych każdej osobie, która do przetwarzania danych będzie dopuszczona.
  2. Upoważnienie powinno zwierać:
  • datę z którą zostało nadane;
  • datę z którą upoważnienie wygasa jeżeli jest ono nadane na czas określony;
  • zakres upoważnienia.
  1. Upoważnienie do przetwarzania danych osobowych wygasa z chwilą upływu terminu wypowiedzenia lub rozwiązania umowy zawartej przez Administratora z osobą, której zostało nadane lub w przypadku gdy zostało nadane na czas określony z upływem czasu na jaki zostało nadane.
  2. Osoba upoważniona przez Administratora nie ma prawa do nadawania dalszych upoważnień, chyba że upoważnienie do przetwarzania danych osobowych nadane przez Administratora zawiera upoważnienie do nadawania dalszych upoważnień.
  3. Wzór upoważnienia do przetwarzania danych, odwołania upoważnienia oraz oświadczenia pracownika stanowią Załącznik 4 do niniejszej polityki.

 

EWIDENCJA OSÓB UPOWAŻNIONYCH

  • 21
  1. Administrator obowiązany jest do prowadzenia ewidencji osób upoważnionych.
  2. Ewidencja może być prowadzona w wersji papierowej lub elektronicznej z możliwością jej wydruk.
  3. Ewidencja zawiera:
  • imię i nazwisko osoby upoważnionej;
  • datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych;
  • identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
  1. Wzór ewidencji stanowi Załącznik 5 do niniejszej Polityki.

SZKOLENIA

  • 22
  1. Administrator odpowiada za zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
  2. Zapoznanie, o którym mowa w ust. 1 odbywa się w postaci szkolenia dla osób upoważnionych do przetwarzania danych osobowych w zakresie obowiązujących przepisów, procedur oraz podstawowych zagrożeń związanych z przetwarzaniem danych.
  3. Szkolenie jest przeprowadzane przed dopuszczeniem osoby upoważnionej do czynności przetwarzania danych oraz przed nadaniem upoważnienia.
  4. Szkolenia prowadzi Administrator.
  5. Przeprowadzenie szkolenia jest dokumentowane stosownymi zaświadczeniami.

 

 

WYKAZ BUDYNKÓW, POMIESZCZEŃ LUB CZĘŚCI POMIESZCZEŃ TWORZĄCYCH OBSZAR
W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE

  • 23

Administrator przetwarza dane jedynie w pomieszczeniach do tego przeznaczonych w sposób uniemożliwiający dostęp do danych osobom nieuprawnionym.

 

OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH

  • 24
  1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym w szczególności:
  • pseudonimizację i szyfrowanie Danych osobowych;
  • zdolność do ciągłego zapewnienia poufności, Integralności, dostępności i odporności Systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności Danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
  1. Każdy, kto przetwarza dane osobowe w imieniu administratora obowiązany jest zachować w tajemnicy dane osobowe do których posiada dostęp, sposoby zabezpieczania danych jak również wszelkie informacje, które powziął w czasie przetwarzania danych, zarówno w sposób zamierzony jak i przypadkowy. Obowiązek zachowania danych w tajemnicy jest bezterminowy.
  2. Podczas przetwarzania danych trzeba zachować szczególną ostrożność i podjąć wszelkie możliwe środki umożliwiające zabezpieczenie oraz ochronę danych przed nieuprawnionym dostępem, modyfikacją, zniszczeniem lub ujawnieniem.
  3. Hasła i loginy do systemu informatycznego nie mogą być ujawniane nawet po utracie ich ważności.
  4. Należy dochować należytej staranności podczas przesyłania dokumentów zawierających dane za pomocą środków komunikacji elektronicznej, w szczególności należy upewnić się czy przesyłane za pomocą poczty elektronicznej dokumenty trafiły do właściwego odbiorcy.
  5. W przypadku przesyłania za pomocą środków komunikacji elektronicznej zestawień, spisów czy innych dokumentów zawierających dane osobowe, przesyłany dokument trzeba zaszyfrować, a hasło przesłać , w miarę możliwości innym środkiem komunikacji elektronicznej.
  6. Zabronione jest wynoszenie z miejsca pracy nośników danych osobowych zarówno w wersji papierowej, jak i elektronicznej (w szczególności laptopów, pendrivów etc).
  7. Konieczne jest w szczególności staranne przechowywanie (także elektronicznie) wszelkich zgód podmiotów danych, a także zgłoszonych sprzeciwów.

 

  • 25
  1. Wszelkie dokumenty zwierające dane osobowe przechowywane są w szufladach, szafach lub pomieszczeniach zamykanych na klucz.
  2. Osoba będąca dysponentem kluczy nie może przekazywać kluczy do budynków i pomieszczeń, w których przetwarzane są dane osobom nieuprawnionym, a ponadto obowiązana jest przedsięwziąć działania celem wykluczenia ryzyka ich utraty.
  3. Osoba która utraciła posiadane klucze do pomieszczeń, w których przetwarzane są dane, niezwłocznie zgłasza tą okoliczność Administratorowi.
  4. Administrator, w zakresie swoich kompetencji, podejmuje wszelkie niezbędne środki techniczne i organizacyjne w celu zabezpieczenia pomieszczenia, do którego klucze utracono.

 

  • 26
  1. Osoba przetwarzająca dane po zakończeniu pracy porządkuje swoje stanowisko, zabezpieczając dokumenty i nośniki elektroniczne z danymi w specjalnie do tego przeznaczonych szufladach, szafach lub pomieszczeniach.
  2. Niszczenie dokumentów zawierających dane odbywa się jedynie za pomocą niszczarki gwarantującej odpowiedni stopień rozdrobnienia.
  3. Każdy dokument zawierający dane, a nieużyteczny niszczy się niezwłocznie.
  4. Podczas korzystania z urządzeń wielofunkcyjnych należy zachować szczególną ostrożność. Dokumenty kopiowane bądź skanowane wyjmowane są z urządzenia wielofunkcyjnego niezwłocznie po ich użyciu. Dotyczy to również dokumentów powstałych na skutek kopiowania bądź skanowania.
  5. Podczas wysyłania korespondencji, zarówno w formie papierowej jak i elektronicznej, dokonuje się weryfikacji zarówno wysyłanych dokumentów jak i odbiorcy korespondencji tak, by wysyłane informacje zostały ujawnione wyłączne właściwemu adresatowi.
  6. Przebywanie osób trzecich w obszarze, w którym przetwarzane są dane jest dopuszczalne za zgodą właściwego Administratora lub w obecności osoby upoważnionej.
  7. Skrócony opis procedur dla pracowników, jako Regulamin Przetwarzania Danych Osobowych, stanowi Załącznik 6 do niniejszej Polityki.

 

 

POSTĘPOWANIE W RAZIE ZAISTNIENIA INCYDENTÓW BEZPIECZEŃSTWA

  • 27
  1. W przypadku podejrzenia naruszenia zasad bezpieczeństwa danych osobowych lub naruszenia zabezpieczeń stosowanych przez administratora dla ochrony przetwarzanych danych osobowych osoba, która jako pierwsza stwierdziła możliwość naruszenia zasad bezpieczeństwa niezwłocznie zawiadamia administratora.
  2. W przypadku opisanym w ust. 1 Administrator przeprowadza sprawdzenie doraźne. Sprawdzenie jest dokonywane niezwłocznie.
  3. W przypadku naruszenia administrator bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłaszają je właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
  4. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie to jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d RODO.
  5. W stosunku do powyższych zawiadomień stosuje się art. 33 i 34 RODO.

 

POSTANOWIENIA KOŃCOWE

  • 28
  1. Dokumentacja przetwarzania danych osobowych stanowi wewnętrzną regulację administratora i obowiązuje wszystkich pracowników i współpracowników.
  2. Niniejsza Polityka obowiązuje od dnia jej wejścia w życie.
  3. Każdy, kto ma dostęp do danych osobowych przetwarzanych przez administratora zobowiązany jest do zapoznania się z niniejszą Polityką oraz stosowania jej przy codziennej pracy i jakimkolwiek przetwarzaniu danych.
  4. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu potraktowane będą jako ciężkie naruszenie obowiązków pracowniczych lub niewykonanie zobowiązania w przypadku stosunku prawnego innego niż stosunek pracy.
  5. W sprawach nieuregulowanych w niniejszej polityce bezpieczeństwa mają zastosowanie przepisy powszechnie obowiązującego prawa, w tym w szczególności przepisy RODO.

 

any_name}.
Przez korzystanie ze stron i aplikacji wyrażasz zgodę na używanie ciasteczek zgodnie z tą polityką. Jeżeli nie zgadzasz się na używanie przez nas plików cookie, powinieneś zmienić ustawienia swojej przeglądarki w odpowiedni sposób lub zrezygnować z używania stron oraz aplikacji.

Co to są ciasteczka?
Ciasteczka (ang. cookies) to niewielkie pliki, zapisywane i przechowywane na twoim komputerze, tablecie lub smartphonie podczas gdy odwiedzasz różne strony w internecie. Ciasteczko zazwyczaj zawiera nazwę strony internetowej, z której pochodzi, "długość życia" ciasteczka (to znaczy czas jego istnienia) oraz przypadkowo wygenerowany unikalny numer służący do identyfikacji przeglądarki, z jakiej następuje połączenie ze stroną internetową.

Do czego używamy ciasteczek?
ARESPOL SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ SPÓŁKA KOMANDYTOWA używa ciasteczek w różnych celach: by strony i aplikacje działały szybciej i by były łatwiejsze w użyciu, aby lepiej dopasować treści i reklamy do twoich oczekiwań i zainteresowań oraz do zbierania anonimowych, zagregowanych statystyk, które pomagają w poprawianiu funkcjonalności i zawartości stron i aplikacji. Używając ciasteczek w wyżej opisany sposób nigdy nie identyfikujemy tożsamości użytkowników na podstawie informacji przechowywanych w ciasteczkach.

 


Tę stronę możesz zmieniać tutaj:
Panel administratora > Zawartość > Strony informacyjne > Polityka prywatności

do góry
Sklep jest w trybie podglądu
Pokaż pełną wersję strony
Sklep internetowy Shoper.pl