Polityka bezpieczeństwa
POLITYKA BEZPIECZEŃSTWA INFORMACJI w Sprzedaje.tv spółka z ograniczoną odpowiedzialnością, z siedzibą w Imielinie zarejestrowanej w Centralnej Ewidencji i Informacji o Działalności Gospodarczej, REGON: 526480820, NIP: 6463006982 KRS: 0001059914.
Imielin, dnia 22 luty 2024 roku
Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona w celu wykazania, że dane osobowe są przetwarzane i zabezpieczone zgodnie z wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczenia danych w Sprzedaje.tv spółka z ograniczoną odpowiedzialnością, z siedzibą w Imielinie, w tym z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO).
Definicje:
- Administrator Danych – Sprzedaje.tv spółka z ograniczoną odpowiedzialnością, z siedzibą w Imielinie, adres siedziby: ulica Xawerego Dunikowskiego 13a, 41-407 Imielin, zarejestrowanej
w Centralnej Ewidencji i Informacji o Działalności Gospodarczej, REGON: 526480820, NIP: 6463006982 KRS: 0001059914. - Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej
do zidentyfikowania osoby fizycznej. - System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji narzędzi programowych zastosowanych w celu przetwarzania danych.
- Użytkownik – osoba upoważniona przez Administratora Danych do Przetwarzania danych osobowych.
- Zbiór danych – każdy uporządkowany zestaw danych o charakterze osobowym, dostępny według określonych kryteriów.
- Przetwarzanie danych – jakiekolwiek operacje wykonywane na Danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie w formie tradycyjnej oraz w systemach informatycznych.
- Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym (Użytkownika) w razie Przetwarzania danych osobowych w takim systemie.
- Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym (Użytkownikowi) w razie przetwarzania danych osobowych w takim systemie.
- Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu (Użytkownika).
- Sprzedawca – Daniel Bryniarski reprezentujący spółkę Sprzedaje.tv spółka z ograniczoną odpowiedzialnością, z siedzibą w Imielinie, adres siedziby: ulica Xawerego Dunikowskiego 13a, 41-407 Imielin, zarejestrowanej w Centralnej Ewidencji i Informacji o Działalności Gospodarczej, REGON: 526480820, NIP: 6463006982 KRS: 0001059914
Postanowienia ogólne
- Polityka dotyczy wszystkich Danych osobowych przetwarzanych w Sprzedaje.tv spółka z ograniczoną odpowiedzialnością, z siedzibą w Imielinie, niezależnie od formy ich przetwarzania (przetwarzane tradycyjnie zbiory ewidencyjne, systemy informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane w zbiorach danych.
- Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w siedzibie Administratora.
- Polityka jest udostępniana do wglądu osobom posiadającym upoważnienie
do przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma zostać nadane upoważnienie do przetwarzania danych osobowych, celem zapoznania się z jej treścią. - Dla skutecznej realizacji Polityki Administrator Danych zapewnia:
a) odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne
i rozwiązania organizacyjne,
b) kontrolę i nadzór nad Przetwarzaniem danych osobowych,
c) monitorowanie zastosowanych środków ochrony.
- Monitorowanie przez Administratora Danych zastosowanych środków ochrony obejmuje m.in. działania Użytkowników, naruszanie zasad dostępu do danych, zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi.
- Administrator Danych zapewnia, że czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem danych osobowych są zgodne z niniejszą polityką oraz odpowiednimi przepisami prawa.
Dane osobowe przetwarzane u administratora danych
- Dane osobowe przetwarzane przez Administratora Danych gromadzone są w zbiorach danych.
- Administrator danych nie podejmuje czynności przetwarzania, które mogłyby się wiązać
z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator wykona czynności określone w art. 35 i nast. RODO. - W przypadku planowania nowych czynności przetwarzania Administrator dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony danych w fazie ich projektowania.
- Administrator danych prowadzi rejestr czynności przetwarzania.
Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem
- Wszystkie osoby zobowiązane są do przetwarzania danych osobowych zgodnie
z obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Danych Polityką Bezpieczeństwa, Instrukcją Zarządzania Systemem Informatycznym, a także innymi dokumentami wewnętrznymi i procedurami związanymi z Przetwarzaniem danych osobowych w Sprzedaje.tv spółka z ograniczoną odpowiedzialnością, z siedzibą w Imielinie. - Wszystkie dane osobowe w Sprzedaje.tv spółka z ograniczoną odpowiedzialnością, z siedzibą w Imielinie są przetwarzane z poszanowaniem zasad przetwarzania przewidzianych przez przepisy prawa:
a) W każdym wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstaw dla przetwarzania danych.
b) Dane są przetwarzane rzetelnie i w sposób przejrzysty.
c) Dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach
i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
d) Dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu przetwarzania danych.
e) Dane osobowe są prawidłowe i w razie potrzeby uaktualniane.
f ) Czas przechowywania danych jest ograniczony do okresu ich przydatności do celów,
do których zostały zebrane, a po tym okresie są one zanonimizowane bądź usuwane.
g) Wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie
z treścią art. 13 i 14 RODO.
h) Dane są zabezpieczone przed naruszeniami zasad ich ochrony.
- Administrator danych nie przekazuje osobom, których dane dotyczą, informacji w sytuacji, w której dane te muszą zostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej (art. 14 ust 5 pkt d RODO).
- Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony Danych osobowych uważa się w szczególności:
a) naruszenie bezpieczeństwa Systemów informatycznych, w których przetwarzane są dane osobowe, w razie ich przetwarzania w takich systemach;
b) udostępnianie lub umożliwienie udostępniania danych osobom lub podmiotom do tego nieupoważnionym;
c) zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia danym osobowym ochrony;
d) niedopełnienie obowiązku zachowania w tajemnicy Danych osobowych oraz sposobów ich zabezpieczenia;
e) przetwarzanie Danych osobowych niezgodnie z założonym zakresem i celem ich zbierania;
f) spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie Danych osobowych;
g) naruszenie praw osób, których dane są przetwarzane.
- W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych Użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego powiadomienia Administratora Danych.
- Do obowiązków Administratora Danych w zakresie zatrudniania, zakończenia lub zmiany warunków zatrudnienia pracowników lub współpracowników (osób podejmujących czynności na rzecz Administratora Danych na podstawie innych umów cywilnoprawnych) należy dopilnowanie, by:
a) pracownicy byli odpowiednio przygotowani do wykonywania swoich obowiązków,
b) każdy z przetwarzających Dane osobowe był pisemnie upoważniony do przetwarzania zgodnie z „Upoważnieniem do przetwarzania danych osobowych”.
c) każdy pracownik zobowiązał się do zachowania danych osobowych przetwarzanych
w przedsiębiorstwie w tajemnicy. „Oświadczenie i zobowiązanie osoby przetwarzającej dane osobowe do zachowania tajemnicy” stanowi element „Upoważnienia do przetwarzania danych osobowych”.
- Pracownicy zobowiązani są do:
a) ścisłego przestrzegania zakresu nadanego upoważnienia;
b) przetwarzania i ochrony danych osobowych zgodnie z przepisami;
c) zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
d) zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu.
Obszar przetwarzania danych osobowych
- Obszar, w którym przetwarzane są Dane osobowe na terenie Sprzedaje.tv spółka z ograniczoną odpowiedzialnością, z siedzibą w Imielinie, adres siedziby: ulica Xawerego Dunikowskiego 13a, 41-407 Imielin, zarejestrowanej w Centralnej Ewidencji i Informacji
o Działalności Gospodarczej, REGON: 526480820, NIP: 6463006982, KRS: 0001059914. - Dodatkowo obszar, w którym przetwarzane są Dane osobowe, stanowią wszystkie komputery przenośne oraz inne nośniki danych znajdujące się poza obszarem wskazanym powyżej.
Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych
- Administrator Danych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości Przetwarzanych danych.
- Zastosowane środki ochrony (techniczne i organizacyjne) powinny być adekwatne
do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów
i kategorii danych.
Środki obejmują:
a) Ograniczenie dostępu do pomieszczeń, w których przetwarzane są dane osobowe, jedynie do osób odpowiednio upoważnionych. Inne osoby mogą przebywać w pomieszczeniach wykorzystywanych do przetwarzania danych jedynie w towarzystwie osoby upoważnionej.
b) Zamykanie pomieszczeń tworzących obszar Przetwarzania danych osobowych określony w pkt IV powyżej na czas nieobecności pracowników, w sposób uniemożliwiający dostęp
do nich osób trzecich.
c) Wykorzystanie zamykanych szafek i sejfów do zabezpieczenia dokumentów.
d) Wykorzystanie niszczarki do skutecznego usuwania dokumentów zawierających dane osobowe.
e) Ochronę sieci lokalnej przed działaniami inicjowanymi z zewnątrz przy użyciu sieci firewall.
f ) Wykonywanie kopii awaryjnych danych na dysku zewnętrznym.
g) Ochronę sprzętu komputerowego wykorzystywanego u administratora przed złośliwym oprogramowaniem.
h) Zabezpieczenie dostępu do urządzeń przedsiębiorstwa przy pomocy haseł dostępu.
i) Wykorzystanie szyfrowania danych przy ich transmisji.
Naruszenia zasad ochrony danych osobowych
- W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
- W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – jeżeli to wykonalne, nie później niż
w terminie 72 godzin po stwierdzeniu naruszenia. Wzór zgłoszenia określa załącznik nr 1
do niniejszej polityki. - Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia
o incydencie także osobę, której dane dotyczą.
Powierzenie przetwarzania danych osobowych
- Administrator Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie
z wymogami wskazanymi dla takich umów w art. 28 RODO i tylko jeżeli są to dane, które może ujawnić bez naruszenia tajemnicy zawodowej. - Przed powierzeniem przetwarzania danych osobowych Administrator w miarę możliwości uzyskuje informacje o dotychczasowych praktykach procesora dotyczących zabezpieczenia danych osobowych.
Przekazywanie danych do państwa trzeciego
Administrator Danych Osobowych nie będzie przekazywał danych osobowych do państwa trzeciego, poza sytuacjami w których następuje to na wniosek osoby, której dane dotyczą.
Postanowienia końcowe
- Za niedopełnienie obowiązków wynikających z niniejszego dokumentu pracownik ponosi odpowiedzialność na podstawie Kodeksu pracy, Przepisów o ochronie danych osobowych oraz Kodeksu karnego w odniesieniu do danych osobowych objętych tajemnicą zawodową.
- Integralną część niniejszej Polityki bezpieczeństwa stanowią następujące Załączniki:
Załącznik nr 1
Wzór zgłoszenia naruszenia zasad ochrony danych do organu nadzorczego
Załącznik nr 1 – Wzór zgłoszenia incydentu naruszenia ochrony danych osobowych
. . . . . . . . . . . . . . . . . . . , dn. . . . . . . . . . . . . . . . r.
[data sporządzenia]
Prezes Urzędu Ochrony Danych Osobowych
ZGŁOSZENIE INCYDENTU NARUSZENIA OCHRONY DANYCH OSOBOWYCH
Działając na podstawie art. 33 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), niniejszym zgłaszam zajście incydentu naruszenia ochrony danych osobowych.
Dane Administratora Danych osobowych – ………………………………………………………
Miejsce i dzień naruszenia – ………………………………………………………………………….
Kategoria i przybliżona liczba osób, których dane dotyczą – ……………………………………..
Kategoria i przybliżona liczba wpisów danych osobowych, których dotyczy naruszenie – ……………………………………………………………………………………………………………
Opis charakteru naruszenia ochrony danych -……………………………………………………..
Możliwe konsekwencje naruszenia ochrony danych – …………………………………………..
Środki zastosowane w celu zminimalizowania ewentualnych negatywnych skutków naruszenia ochrony danych – ………………………………………………………………………
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[administrator danych]