DO KOSZYKA
Strona główna

 

 

Polityka Ochrony Danych  Osobowych

 

w Bartosz Czapiewski BARTI

 

z siedzibą w Juszkowo

kod 83-000

przy ul.  Zdrowa 4 F

 

 

NIP 5831846860  REGON 192110857

 

 

 

 

 

 

 

Dnia 01.01.2021                                     ADO Bartosz Czapiewski BARTI

 

 

 

Spis treści:

Wstęp. Postanowienia ogólne …………………………………………………………………………………3

  1. Rozdział. Podstawy i zasady  przetwarzania ……………………………………………….. 4
  2. Rozdział. Definicje ………………………………………………………………………………………. 5
  3. Rozdział. Administrator danych osobowych ……………………………………………….. 8

Obowiązki ADO …………………………………………………………………………………………… 8

Prawa ADO …………………………………………………………………………………………………..9

Wyznaczenie Inspektora ochrony danych …………………………………………………….9

Powierzenie przetwarzania …………………………………………………………………………10

Realizacja zasad privacy by design i privacy by default ………………………………  12

  1. Rozdział. Zakres stosowania ………………………………………………………………………  12
  2. Rozdział. Wykaz zbiorów …………………………………………………………………………....14
  3. Rozdział. Wykaz budynków, pomieszczeń, obszarów przetwarzania ………..… 15
  4. Rozdział. Wykaz zbiorów i programów w których przetwarzane są dane …... 16
  5. Rozdział. Środki organizacyjne i techniczne zabezpieczenia danych …………….17
  6. Rozdział. Postanowienia końcowe. …………………………………………………………….. 18
  7. Załączniki ………………………………………………………………………………………………….... 19

 

1/ Instrukcja zarządzania systemem informatycznym.

2/ Rejestr realizacji żądań podmiotu danych.

3/1 Wzór upoważnienia do przetwarzania

3/2Umowa powierzenia- wzór.

4/Polityka prywatności na stronę www

5/ Polityka prywatności na Allegro

6/ Rejestr czynności przetwarzania

7/Polityka naruszeń

7.1 Raport w sprawie naruszenia- wzór

7. 2 Zgłoszenie naruszenia organowi – wzór

7.3 Zawiadomienie o naruszeniu osoby, której dane dotyczą-wzór

7.4 Rejestr naruszeń- wzór

8/ klauzule informacyjne, zgody:

8.1 Klauzula dla celu zawarcia umowy- wzór,

8.2 Klauzula pod oknem kontaktu

8.3 Klauzula w poczcie e-mail

8.4 Zgoda marketingowa

8.5 Klauzula w mediach społecznościowych FB, Instagram

8.6 Klauzula na Allegro

9. Rejestr udostępnień danych osobowych

 

 

 

 

Rozdział   1

Postanowienia  ogólne

 

§ 1

Celem Polityki ochrony danych  osobowych, zwanej dalej „Polityką ” w Bartosz Czapiewski BARTI ,zwanej dalej „Organizacją”, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych, poziomu bezpieczeństwa przetwarzania informacji zawierających dane osobowe. Administrator mając na uwadze ochronę prywatności podmiotów danych, deklaruje podejmowanie wszelkich możliwych działań koniecznych do zapewnienia ochrony danych osobowych przed wszelakiego rodzaju zagrożeniami, tak wewnętrznymi jak i zewnętrznymi, świadomymi lub nieświadomymi.

 

§ 2

Polityka ochrony danych  osobowych została opracowana  w oparciu o wytyczne  zawarte w:

  • Rozporządzeniu Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str.1/,
  • Ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych /Dz. U. 24.05. 2018 r., poz. 1000/,

§ 3

Polityka ochrony danych osobowych realizowana jest poprzez przyjęte:

  • zabezpieczenia fizyczne,
  • organizacyjne,
  • oprogramowanie systemowe,
  • aplikacje,
  • procedury obowiązujące i realizowane przez użytkowników

proporcjonalnie i adekwatnie do ryzyka naruszenia bezpieczeństwa danych osobowych przetwarzanych w ramach prowadzonej działalności w Bartosz Czapiewski BARTI

Należy przez powyższe rozumieć realizację w niniejszym dokumencie wymogu opisania sposobu przetwarzania danych osobowych, oraz środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń, oraz kategorii danych objętych ochroną.

Wszystkie dokumenty uzupełniające treść Polityki ochrony danych osobowych  stanowią załączniki do niniejszego opracowania.

§ 4

Zasady przetwarzania danych osobowych

1.         Zapewnienie bezpieczeństwa przetwarzanych danych osobowych w Organizacji rozumiane jest jako zachowanie ich poufności, integralności, rozliczalności oraz dostępności, a miarą bezpieczeństwa jest akceptowalny poziom ryzyka związanego z ochroną danych osobowych. Administrator realizując ten postulat przetwarza dane osobowe zgodnie z zasadami  zawartymi art.5 RODO zapewniając, że dane osobowe:

a)     przetwarzane są zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);

 

b)     zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);

 

c)      są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);

 

d)    są prawidłowe i w razie potrzeby uaktualniane; a gdyby takie nie były zostaną usunięte albo sprostowane („prawidłowość”);

 

e)     przechowywane są w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane, zgodnie z przyjętą polityką retencji i wymogami („ograniczenie przechowywania”);

 

f)      przetwarzane są w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych i organizacyjnych („integralność i poufność”).

 

2. Administrator danych osobowych jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie  realizując zasadę rozliczalności.

 

3. Przetwarzanie danych osobowych przez Administratora odbywa się wyłącznie na podstawie jednej z przesłanek określonych w art.  6 ust. 1 lit. a-f  Rozporządzenia ogólnego o ochronie danych osobowych (RODO), tj. w przypadku, gdy:

a/        osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b/        przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c/         przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze;

d/        przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e/        przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym, lub w ramach sprawowania władzy publicznej powierzonej Administratorowi;

f/         przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora, lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

 

Rozdział  2

§ 5

Definicje

Przez użyte w Polityce Ochrony Danych Osobowych określenia należy rozumieć:

1. Polityka – rozumie się przez to Politykę Ochrony Danych Osobowych.

2. Administrator Danych Osobowych (ADO) oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony Administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;

3. Inspektor Ochrony Danych (IOD) –  To osoba fizyczna  wspierająca, zatrudniona (lub zewnętrzny podmiot związany umową) przez Administratora danych w realizacji obowiązków dotyczących ochrony danych osobowych, zgodnie z art. 37, 38, 39 RODO.

4. RODO – albo Rozporządzenie, rozumie się przez to ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

5. Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

6. Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

7. Ograniczenie przetwarzania oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

8. Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;

9. Pseudonimizacja oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

10. Zbiór danych - to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

11. Podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora;

12. Odbiorca danych rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, w tym procesora, z wyjątkiem organów publicznych, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii Europejskiej lub prawem polskim;

13. Strona trzecia oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;

14. Zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

15. Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

16. Dane biometryczne - to dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;

17. Szczególne kategorie danych osobowych– rozumie się przez to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby,

18. Przedstawiciel – to osoba fizyczna lub prawna mającą miejsce zamieszkania lub siedzibę w Unii, która została wyznaczona na piśmie przez Administratora lub podmiot przetwarzający na mocy art. 27 do reprezentowania Administratora lub podmiotu przetwarzającego w zakresie ich obowiązków wynikających z niniejszego Rozporządzenia;

19. Przedsiębiorca oznacza osobę fizyczną lub prawną prowadzącą działalność gospodarczą, niezależnie od formy prawnej, w tym spółki osobowe lub zrzeszenia prowadzące regularną działalność gospodarczą;

20. Organ nadzorczy oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51 RODO; - w Polsce Prezes Urzędu Ochrony Danych Osobowych;

21. Transgraniczne przetwarzanie oznacza: a) przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej, niż jednym państwie członkowskim Administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim; albo b)przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim;

22. Baza danych osobowych - zbiór uporządkowanych powiązanych ze sobą tematycznie zapisanych danych. Baza danych jest złożona z elementów o określonej strukturze - rekordów lub obiektów, w których są zapisane dane osobowe.

23. System informatyczny (system) – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

24. Zabezpieczenie systemu informatycznego – należy przez to rozumieć wdrożenie stosownych środków administracyjnych, technicznych i fizycznych w celu zabezpieczenia zasobów technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych, a także ich utratą.

25. Użytkownik – pracownik posiadający uprawnienia do pracy w systemie informatycznym zgodnie ze swoim  zakresem obowiązków.

26. Dane osobowe zwykłe – rozumie się przez to dane osobowe, które nie są danymi osobowymi szczególnych kategorii ani danymi dotyczącymi wyroków i naruszeń prawa.

27. Hasło – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie Użytkownikowi.

28. Identyfikator – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w Systemie informatycznym;

29. Nośnik komputerowy (wymienny) – nośnik służący do zapisu i przechowywania informacji np. CD, dyskietki, dyski twarde, pendrive, smartfony, dysk zewnętrzny.

 

Rozdział 3

§ 6

ADMINISTRATOR DANYCH OSOBOWYCH

 

  1. Obowiązki Administratora Danych Osobowych.

 

Do najważniejszych obowiązków ADO należy:

 

  1. uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, zadaniem Administratora jest wdrażanie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z wytycznymi RODO i ustawy o ochronie danych osobowych. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
  2. jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez Administratora odpowiednich polityk ochrony danych i instrukcji (załącznik nr1)
  3. stosowanie zatwierdzonych kodeksów postępowania, o których mowa w art. 40 RODO, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42, jako elementu potwierdzającego przestrzeganie przez Administratora ciążących na nim obowiązków.
  4. zapewnienie przetwarzania danych zgodnie z uregulowaniami niniejszej Polityki,
  5. nadawanie upoważnień do przetwarzania danych osobowych dla osób

 przetwarzających te dane,

  1. prowadzenie „Ewidencji osób upoważnionych do przetwarzania danych osobowych”,
  2. prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych,
  3. nadzór nad bezpieczeństwem danych osobowych,
  4. kontrola działań poszczególnych osób oraz komórek organizacyjnych pod względem zgodności przetwarzania danych z przepisami o ochronie danych osobowych oraz niniejszą dokumentacją,
  5. kontrola przesłanek legalności przetwarzania danych osobowych zwykłych i wrażliwych,
  6. dokonywanie anonimizacji danych w celu ochrony interesów osób, których dane dotyczą, w szczególności zapewnienie, aby dane te byłym merytorycznie poprawne, prawidłowe, rzetelne i minimalne w stosunku do celów, w jakich są przetwarzane,
  7. inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych.
  8. zapewnienie przetwarzania danych zgodnie z zasadą integralności, rozliczalności, poufności, przejrzystości, zgodnie z prawem, z zapewnieniem minimalizacji danych przy zachowaniu adekwatności przetwarzania,
  9. prowadzenie rejestru realizacji żądań podmiotu danych(Załącznik nr 2)

o) prowadzenie rejestru czynności przetwarzania, gdy wymaga tego przepis, czy rejestru udostępnień ( Załącznik nr 6 i nr 9)

 

2. Prawa Administratora Danych Osobowych.

 

Administrator Danych Osobowych ma prawo :

 

  1. wyznaczania, rekomendowania i egzekwowania wykonania zadań związanych
    z ochroną danych osobowych  w całej organizacji,
  2. wstępu do pomieszczeń, w których zlokalizowane są zbiory danych i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z obowiązującymi w tym zakresie przepisami oraz niniejszą dokumentacją,
  3. żądania złożenia pisemnych lub ustnych wyjaśnień w zakresie niezbędnym
    do ustalenia stanu faktycznego,
  4. żądania okazania dokumentów i wszelkich danych mających bezpośredni związek
    z problematyką kontroli,
  5. żądania udostępnienia do kontroli urządzeń, nośników oraz systemów

 informatycznych służących do przetwarzania danych osobowych.

 

 

3. Wyznaczenie Inspektora ochrony danych.(IOD)

 

Do zadań ADO należy również wyznaczenie  inspektora ochrony danych, zawsze gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

 

  • Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO.
  • ADO oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39 RODO, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.
  • ADO oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.
  • ADO oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.
  • Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii lub prawem państwa członkowskiego.

 

Biorąc pod uwagę przesłanki zobowiązujące ADO do powołania IOD, firma nie ma

obowiązku powołania osoby pełniącej taką funkcję. Zadania te realizuje sam

 Administrator Danych Osobowych.

 

4.Powierzenie przetwarzania danych.

 

ADO powierza przetwarzanie danych podmiotom przetwarzającym zgodnie z poniższymi zasadami:

  1. Jeżeli przetwarzanie ma być dokonywane w imieniu Administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Rozporządzenia i chroniło prawa osób, których dane dotyczą.
  2. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia podmiotów przetwarzających, dając tym samym Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
  3. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy (wzór umowy stanowi Załącznik nr 3.2) lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i Administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa Administratora. Umowa ta lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:
  • przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
  • zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  •  podejmuje wszelkie środki wymagane na mocy art. 32 RODO;
  • przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 4.b i 4.d;
  • biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO;
  • uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO;
  •  po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
  • udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule, oraz umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów.
  1. Jeżeli do wykonania w imieniu Administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między Administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego Rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.
  2. Wystarczające gwarancje, o których mowa w ust. 4.a i 4.d niniejszego artykułu, podmiot przetwarzający może wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 RODO lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42 RODO.
  3. ADO w celu spełnienia gwarancji, o których mowa w ust.4.a i 4.d  niniejszego artykułu, każdorazowo bada podmiot przetwarzający, czy spełnia wymogi odnośnie zabezpieczeń organizacyjnych, systemu informatycznego i przygotowania kadry.
  4. Bez uszczerbku dla indywidualnych umów między Administratorem a podmiotem przetwarzającym, umowa lub inny akt prawny, o których mowa w ust. 4.c i 4.d niniejszego artykułu, mogą się opierać w całości lub w części na standardowych klauzulach umownych, także gdy są one elementem certyfikacji udzielonej Administratorowi lub podmiotowi przetwarzającemu zgodnie z art. 42 i 43 RODO.
  5. Umowa lub inny akt prawny, o których mowa w art. 4.c i 4.d, mają formę pisemną, w tym formę elektroniczną.
  6. Bez uszczerbku dla art. 82, 83 i 84 RODO, jeżeli podmiot przetwarzający naruszy niniejsze Rozporządzenie przy określaniu celów i sposobów przetwarzania, uznaje się go za Administratora w odniesieniu do tego przetwarzania.
  7. Podmiot przetwarzający oraz każda osoba działająca z upoważnienia Administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie Administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.
  8. ADO jako podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora .

 

5. Realizacja zasad privacy by design i privacy by default.

 

  1. Administrator w momencie ustalania sposobów przetwarzania danych, jak i w trakcie samego procesu przetwarzania, wdraża odpowiednie środki techniczne i organizacyjne, tak aby przetwarzanie było zgodne z wymogami Rozporządzenia i efektywnie chroniło prawa osób, których dane dotyczą, przy uwzględnieniu charakteru, zakresu, kontekstu i celu przetwarzania danych oraz wynikającego z nich ryzyka dla praw i wolności osób fizycznych.
  2. Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.

W szczególności środki te gwarantują, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.

  1. Administrator dokumentuje projektowanie ochrony danych osobowych, za pomocą

listy kontrolnej podsumowującej fazę projektowania ze wskazaniem przeanalizowanych rozwiązań w zakresie ochrony danych osobowych, zapewni to rozliczalność tego etapu ochrony danych przez ADO.

 

 

 

 

 

 

Rozdział 4

§ 7

Zakres stosowania

  1. W Organizacji przetwarzane są  dane osobowe klientów, kontrahentów, dostawców i osób kontaktujących się z firmą innych niż wymienieni, zebrane w zbiorach danych osobowych.
  2. Informacje te są przetwarzane zarówno w postaci dokumentacji tradycyjnej, jak i elektronicznej.   
  3. Polityka ochrony danych osobowych zawiera uregulowania dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.
  4. Innymi dokumentami regulującymi ochronę danych osobowych w Organizacji są:   
  • instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Organizacji,
  • rejestr czynności przetwarzania danych osobowych,
  • procedura postępowania w przypadku naruszenia ochrony danych osobowych,
  • polityka prywatności ( Załącznik nr 4 i 5)

 

§ 8

  1. Politykę Ochrony Danych Osobowych stosuje się w szczególności do:
  • danych osobowych przetwarzanych w systemie: Microsoft Office,
  • wszystkich informacji dotyczących danych klientów i kontrahentów,
  • odbiorców danych osobowych, którym przekazano dane osobowe do przetwarzania w oparciu o umowy powierzenia, lub przepis prawa,
  • informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych,
  • innych dokumentów zawierających dane osobowe.

§ 9

  1. Zakresy ochrony danych osobowych określone przez Politykę Ochrony Danych oraz inne z nią związane dokumenty mają zastosowanie do:
  • wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe podlegające ochronie,
  • wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie,
  • wszystkich osób mających dostęp do informacji podlegających ochronie.
  1. Do stosowania zasad określonych przez Politykę Ochrony Danych Osobowych oraz inne z nią związane dokumenty zobowiązane są wszystkie osoby mające dostęp do danych osobowych podlegających ochronie.

  

Rozdział 5

Wykaz zbiorów danych osobowych

 

§ 10

1. Dane osobowe gromadzone są w zbiorach:

1/ Rejestr klientów

2/Umowy zawierane z kontrahentami,

 

3/ Sprzedaż

4/ Reklamacje

5/ Inne kontakty

§ 11

Dane osobowe gromadzone w zbiorach wymienionych w §  10  podlegają przetwarzaniu  przy użyciu systemu informatycznego Microsoft Office

 

 

 

 

 

 

 

Rozdział 6

Wykaz budynków, pomieszczeń, w których wykonywane są operacje przetwarzania danych osobowych

§ 12

1. Dane osobowe przetwarzane są w budynku, mieszczącym się w Juszkowo  przy ulicy Zdrowa 4 F gdzie znajduje się siedziba Administratora Danych osobowych oraz:

a/siedziba biura rachunkowego  KPF Spółka z o.o. 94-303 Łódż Ul.Konstantynowska 34 lok.304

b/ siedziba Hostingodawcy  dhosting.pl Sp. z o.o. Al. Jerozolimskie 98, 00-807 Warszawa

c/ siedziba Allegro Allegro.pl sp. z o.o.  Poznań ul. Grunwaldzkiej 182, 60-166 Poznań

1.

 Pomieszczenia, w których przetwarzane są dane osobowe

Siedziba firmy, Siedziba biura rachunkowego, Platforma Allegro, Hurtownie  w ramach dropshipingu, Hostingodawca

2.

Pomieszczenia, w których znajdują się komputery stanowiące element systemu informatycznego

Siedziba firmy, Siedziba biura rachunkowego, Platforma Allegro, , Hurtownie  w ramach dropshipingu, Hostingodawca

3.

Pomieszczenia, gdzie przechowuje się wszelkie nośniki informacji zawierające dane osobowe (szafy z dokumentacją papierową, szafy zawierające komputerowe nośniki informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe)

Siedziba firmy, Siedziba biura rachunkowego, Platforma Allegro, , Hurtownie  w ramach dropshipingu, Hostingodawca

4.

pomieszczenia, w których składowane są uszkodzone komputerowe nośniki danych (taśmy, dyski, płyty CD, dyski przenośne, uszkodzone komputery)

Siedziba firmy, Siedziba biura rachunkowego, Platfroma Allegro, , Hurtownie  w ramach dropshipingu, Hostingodawca

5.

pomieszczenia archiwum

Siedziba firmy, Siedziba biura rachunkowego, Platforma Allegro, , Hurtownie  w ramach dropshipingu, Hostingodawca
 

 

 

 

 

 

 

 

Rozdział 7

7.1 Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych.

§ 13

 

Lp.

Zbiór danych

Dział/ jednostka organizacyjna

Program

Lokalizacja bazy danych

Miejsce przetwarzania danych

1

Umowy zawierane z kontrahentami,

 

Właściciel firmy, Allegro

MS Office, Platforma sprzedażowa Allegro

Siedziba firmy, Allegro

Siedziba firmy, Allegro

2

Rejestr klientów,

Właściciel firmy, Allegro

MS Office

Siedziba firmy, Allegro

Siedziba firmy, Allegro

3.

Sprzedaż

Właściciel firmy, Allegro

MS Office,
Allegro

Siedziba firmy, Allegro

Siedziba firmy , Allegro.

4.

Reklamacje

Właściciel firmy

MS Office,
Allegro

Siedziba firmy, Allegro

Siedziba firmy, Allegro

5.

Inne kontakty

Właściciel firmy

MS Office,
Allegro

Siedziba firmy, Allegro

Siedziba firmy, Allegro
 

 

  

7.2 Struktura zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych

§ 14

Struktura zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych dla programów i systemów stosowanych w Organizacji przedstawia się w sposób następujący:

 

  1. Rejestr klientów, kontrahenci i sprzedaż:

a/ nazwa firmy/imię i nazwisko

b/ adres siedziby/adres zamieszkania

c/ NIP

d/adres e-mail,  

e/ numer telefonu,       

2. Reklamacje

    a/  imię i nazwisko

    b/ w przypadku zakupów na Allegro : nick kupującego i nr transakcji

   c/ nr telefonu

   d/ opcjonalnie nr rachunku bankowego

3. Inne kontakty ( korespondencja drogą e-mail i na Allegro)

a/ imię i nazwisko,

b/ adres e-mail,

c/ nr telefonu

d/ nick klienta Allegro

§ 15

Procesy przetwarzania danych osobowych realizowane są w wyżej prezentowanych zbiorach
i obejmują czynności na danych osobowych zgodnie z załącznikiem  nr 6 tj. rejestrem czynności przetwarzania.

 

Rozdział 8

Środki organizacyjne i techniczne zabezpieczenia danych osobowych

 

§ 16

  1. Zabezpieczenia organizacyjne
  • opracowano i wdrożono Politykę Ochrony Danych Osobowych,
  • sporządzono i wdrożono Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Organizacji,
  • stworzono procedurę postępowania w sytuacji naruszenia ochrony danych osobowych,(załączniki 7, 7.1,7.2,7.3,7.4)
  • opracowano i bieżąco prowadzi się rejestr czynności przetwarzania
  • przetwarzanie danych odbywa się wyłącznie przez Administratora, Procesorów i Platformę Allegro,
  • przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych,
  •  przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności Administratora oraz w warunkach zapewniających bezpieczeństwo danych,
  •  dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń do tego przeznaczonych lub dokonuje się takiej ich modyfikacji, która nie pozwoli na odtworzenie ich treści.,
  • systematycznie wykonywane są kopie zapasowe plików zawierających dane osobowe.
  • w miejscach kontaktu z osobami, których dane dotyczą umieszczono odpowiednie klauzule informacyjne ( załącznik nr 8)
  • raz w roku przeprowadzane są audyty wewnętrzne sprawdzające realizację założeń  powyższej Polityki ochrony danych osobowych.

 

  1. Zabezpieczenia techniczne
  • wewnętrzną sieć komputerową zabezpieczono poprzez odseparowanie od sieci publicznej za pomocą zapory Firewall,
  • stanowiska komputerowe wyposażono w indywidualną ochronę antywirusową,
  • komputery zabezpieczono przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą indywidualnego identyfikatora użytkowania i cykliczne wymuszanie zmiany hasła,
  1. Środki ochrony fizycznej:
  • obszar, na którym przetwarzane są dane osobowe, poza godzinami pracy, chroniony jest alarmem,
  • obszar, na którym przetwarzane są dane osobowe objęty jest całodobowym monitoringiem,
  • urządzenia służące do przetwarzania danych osobowych umieszczone są w zamykanych pomieszczeniach,
  • dokumenty i nośniki informacji zawierające dane osobowe przechowywane są w zamykanych na klucz szafach.

 

Rozdział 9

Postanowienia końcowe

§ 17

  1. Administrator  jako  jedyna osoba przetwarzająca dane osobowe w firmie i dopuszczona do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej został odpowiednio przeszkolony w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych.
  2. Zakres szkolenia obejmował zaznajomienie z przepisami RODO oraz ustawy o ochronie danych osobowych i wydanymi na jej podstawie aktami wykonawczymi.
  3.  Niniejsza Polityka Ochrony Danych Osobowych wraz z innymi związanymi z nią dokumentami obowiązującymi u Administratora danych osobowych,  zostaje wdrożona do stosowania we wszystkich obszarach działania firmy gdzie przetwarzane są dane osobowe.
  4. Wraz z rozwojem firmy i zwiększaniem zakresu przetwarzania danych osobowych wdrażane będą dodatkowe zabezpieczenia organizacyjne i fizyczne.

 

 

Rozdział10
 

Załączniki

 

Wykaz załączników stanowiących integralną część dokumentacji przyjętej Polityki Ochrony Danych Osobowych.

1/ Instrukcja zarządzania systemem informatycznym.

2/ Rejestr realizacji żądań podmiotu danych.

3/1 Wzór upoważnienia do przetwarzania

3/2 Umowa powierzenia- wzór.

4/Polityka prywatności na stronę www

5/ Polityka prywatności na Allegro

6/ Rejestr czynności przetwarzania

7/Polityka naruszeń

7.1 Raport w sprawie naruszenia- wzór

7. 2 Zgłoszenie naruszenia organowi – wzór

7.3 Zawiadomienie o naruszeniu osoby, której dane dotyczą-wzór

7.4 Rejestr naruszeń- wzór

8/ klauzule informacyjne, zgody:

8.1 Klauzula dla celu zawarcia umowy- wzór,

8.2 Klauzula pod oknem kontaktu

8.3 Klauzula w poczcie e-mail

8.4 Zgoda marketingowa

8.5 Klauzula w mediach społecznościowych FB, Instagram

8.6 Klauzula na Allegro

9. Rejestr udostępnień danych osobowych

 

 

Funkcja dostępna tylko dla zalogowanych.