• Piotr Gut, Mariusz Murzyn MERCATO WAP SPÓŁKA CYWILNA
  • Mercato Wap
    Wąchocka 11B
    27-200 Starachowice
    NIP: 6642134969

  • E-mail:sklep@mercatowap.pl
  • Telefon514-222-888
Twój koszyk jest pusty ...
Strona główna » POLITYKA OCHRONY DANYCH OSOBOWYCH

POLITYKA OCHRONY DANYCH OSOBOWYCH

POLITYKA OCHRONY DANYCH OSOBOWYCH

w

 MERCATO WAP S.C.

 

Spis treści

1. WSTĘP............................................................................................................................................. 2

2. DEFINICJE...................................................................................................................................... 3

3. OGÓLNE ZASADY OCHRONY DANYCH OSOBOWYCH....................................................... 5

3.1 ZAWARTOŚĆ POLITYKI........................................................................................................ 5

3.2 ODPOWIEDZIALNOŚĆ.......................................................................................................... 5

3.3 CZTERY FUNDAMENTY POLITYKI SPÓŁKI..................................................................... 5

3.3.1 REALIZACJA ZASADY LEGALNOŚCI........................................................................ 6

3.3.2 REALIZACJA ZASADY RESPEKTOWANIA PRAW JEDNOSTKI............................. 6

3.3.3 REALIZACJA ZASADY BEZPIECZNEGO PRZETWARZANIA................................. 7

3.3.4 REALIZACJA ZASADY ROZLICZALNOŚCI............................................................. 10


 

  1. WSTĘP

            Niniejszy dokument zatytułowany „Polityka ochrony danych osobowych” (dalej jako Polityka) powstał w celu określenia standardów bezpiecznego przetwarzania danych osobowych w przedsiębiorstwie Administratora.

            W związku z przetwarzaniem danych przez Administratora powołano niniejszą Politykę, której zadaniem jest zapewnienie przestrzegania podczas przetwarzania danych praw i wolności osób fizycznych, a w szczególności ich prawa do ochrony danych osobowych przed wszelakiego rodzaju zagrożeniami, tak wewnętrznymi jak i zewnętrznymi, świadomymi lub nieświadomymi.

            Niniejsza Polityka jest jednym z głównych środków organizacyjnych, stanowi zestaw wymogów, zasad i regulacji ochrony danych osobowych powołanych w celu zapewnienia oraz wykazania przetwarzania tych danych zgodnie z ogólnym rozporządzeniem o ochronie danych – RODO
 

  1. DEFINICJE

Przez użyte w Polityce określenia należy rozumieć:

 

Polityka - oznacza niniejszą Politykę ochrony danych osobowych.

 

RODO - oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1).

 

Administrator -  oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

W przypadku niniejszej Polityki Administratorem jest: MERCATO WAP

 

Dane osobowe - oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

 

Przetwarzanie - oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

 

Dane wrażliwe - oznaczają dane o szczególnych kategoriach oraz dane karne.

 

Szczególne kategorie danych - oznaczają dane wymienione w art. 9 ust. 1 RODO, tj. dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

 

Dane karne oznaczają dane wymienione w art. 10 RODO, tj. dane dotyczące wyroków skazujących i naruszeń prawa.

 

Osoba - oznacza osobę fizyczną, której dane dotyczą.

Podmiot przetwarzający - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora; Podmiot przetwarzający jest odrębnym bytem prawnym. Może wykonywać operacje przetwarzania jedynie na udokumentowane polecenie Administratora. W obszarze ISO podmiot ten najczęściej nazywany jest – procesorem.

 

Odbiorca - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są uznawane za odbiorców.

 

Czynność przetwarzania - oznacza mniejszy lub większy (krótszy lub dłuższy) wycinek procesu „biznesowego”/ procesu przetwarzania danych realizowanego w konkretnym celu przetwarzania danych. Czynności przetwarzania danych składają się z operacji przetwarzania danych.

 

Profilowanie - oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

 

IOD lub Inspektor - oznacza Inspektora Ochrony Danych Osobowych.

 

Zagrożenie – jest to potencjalna przyczyna niepożądanego incydentu, który może powodować szkody dla systemu lub organizacji. Incydenty powstają wskutek zagrożeń. Na zagrożenie i jego prawdopodobieństwo mają wpływ: okoliczności, stan prawny, stan faktyczny, działania, zaniechanie działań i wydarzenia zewnętrzne oraz wewnętrzne, które mogą ale nie muszą wywołać ryzyko wystąpienia incydentu.

 

Incydent bezpieczeństwa informacji - jest zdarzeniem, którego bezpośrednim lub pośrednim skutkiem jest lub może być naruszenie ochrony danych osobowych.

 

Naruszenie ochrony danych osobowych - oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. W ISO konsekwencja, rezultat zdarzenia;

 

Pseudonimizacja - oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

 

Zgoda - osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

 

Ograniczenie przetwarzania - oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

 

Dane dotyczące zdrowia -  oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej - w tym o korzystaniu z usług opieki zdrowotnej - ujawniające informacje o stanie jej zdrowia; Zgodnie z Preambułą w motywie (35) - do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE; numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.

Rejestr Czynności Przetwarzania Danych - (RCPD) stanowi formę dokumentowania czynności przetwarzania danych, pełni rolę mapy przetwarzania danych i jest jednym z kluczowych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności. Pełni również funkcję informacyjną, w tym stanowi źródło informacji o procesach przetwarzania danych w danej organizacji dla organu nadzorczego.

 

Ocena Skutków Dla Ochrony Danych - jeżeli planowany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Jest to sformalizowana analiza ryzyka przetwarzania danych dla sytuacji, w których to ryzyko zostało ustalone przez organizację jako wysokie.

  1. OGÓLNE ZASADY OCHRONY DANYCH OSOBOWYCH

3.1 ZAWARTOŚĆ POLITYKI

Polityka zawiera:

  1. opis wymogów, zasad i regulacji ochrony danych osobowych powołanych w celu zapewnienia oraz wykazania przetwarzania danych Spółki zgodnie z RODO;
  2. odwołania do załączników uszczegóławiających (wzorcowe procedury lub instrukcje dotyczące poszczególnych obszarów, procesów z zakresu ochrony danych osobowych wymagających doprecyzowania w odrębnych dokumentach).

3.2 ODPOWIEDZIALNOŚĆ

Polityka Spółki oparta jest na zasadzie odpowiedzialności:

  1. odpowiedzialnym za wdrożenie i utrzymanie niniejszej Polityki jest Administrator  (Spółka) reprezentowany przez Zarząd Spółki;
  2. Zarząd Spółki wyznacza Członka zarządu, któremu powierza nadzór nad obszarem ochrony danych osobowych w celu zapewnienia zgodności przetwarzania danych zgodnie z wymogami RODO oraz Polityką;
  3.  za nadzór i monitorowanie przestrzegania Polityki odpowiada powołany Inspektor Ochrony Danych (IOD);
  4. za stosowanie niniejszej Polityki odpowiedzialni są:

- Spółka reprezentowana przez zarząd;

- wszyscy członkowie personelu Spółki;

  1. Administrator zapewnia by w przypadkach, w których zachodzi powierzenie danych, Spółka korzystać będzie z usług tylko takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane im powierzono.

3.3 CZTERY FUNDAMENTY POLITYKI SPÓŁKI

Polityka ochrony danych Spółki oparta została na czterech fundamentalnych zasadach:

 

  1. Zasada legalności − Spółka dba by przetwarzanie danych odbywało się zgodnie z prawem dbając o ochronę prywatności.
  2. Zasada respektowania praw jednostki − Spółka umożliwia osobom, których dane przetwarza, wykonywanie swoich praw i prawa te realizuje.
  3. Zasada bezpiecznego przetwarzania − Spółka zapewnia odpowiedni poziom bezpieczeństwa przetwarzania danych, analizując i monitorując ryzyko oraz zapewniając i wdrażając odpowiednie środki bezpieczeństwa.
  4. Zasada rozliczalności − Spółka dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej chwili móc wykazać zgodność.

3.3.1 REALIZACJA ZASADY LEGALNOŚCI

Spółka przetwarza dane osobowe w poszanowaniu i realizacji następujących zasad:

  1. Legalność – Spółka przetwarza dane tylko w oparciu o podstawę prawną, zapewniając rzetelność i przejrzystość dla i wobec osoby, której dane dotyczą.
  2. Celowość – Spółka zbierane dane tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie przetwarza  ich dalej w sposób niezgodny z tymi celami.
  3. Adekwatność – Spółka zbiera dane adekwatnie, stosownie oraz ograniczając się do danych niezbędnych do realizacji celów, w których są przetwarzane.
  4. Merytoryczna poprawności – Spółka gromadzi i przetwarza dane z dbałością o ich merytoryczną poprawność i prawidłowość.
  5. Ograniczenie czasowe – Spółka zapewnia by przechowywanie danych w formie umożliwiającej identyfikację osoby, nie trwało przez okres dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
  6. Właściwe zabezpieczenie – Spółka dokłada wszelkiej staranności by sposób przetwarzania przez nią danych zapewniał dla nich odpowiedni poziom bezpieczeństwa, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem ("integralność i poufność").

Administrator na bieżąco prowadzi inwentaryzację czynności przetwarzania danych analizując przestrzeganie powyższych zasad legalności. Aktualny stan zasobów oraz bieżące zmiany Spółka prowadzi w Rejestrze Czynności Przetwarzania Danych.

3.3.2 REALIZACJA ZASADY RESPEKTOWANIA PRAW JEDNOSTKI

Spółka realizuje obowiązek spełnienia praw osób, których dane dotyczą poprzez:

  1. dbanie o czytelność, przejrzystość, rzetelność oraz zwięzłość przekazywanych informacji w komunikacji z osobami, których dane przetwarza;
  2. ułatwianie osobom w korzystaniu z ich praw poprzez różne działania, w tym: zamieszczenie na stronie internetowej Spółki oraz tablicy ogłoszeń informacji o prawach osób, sposobie skorzystania z nich, kanałach kontaktu ze Spółką oraz ewentualnym cenniku żądań „dodatkowych” itp.;
  3. dbanie o dotrzymywanie prawnych terminów realizacji obowiązków względem osób;
  4. zapewnienie właściwej realizacji obowiązku informacyjnego przy zbieraniu danych i w innych sytuacjach
  5. stosowania procedury pozwalającej na ustalenie konieczności zawiadomienia osób dotkniętych zidentyfikowanym naruszeniem ochrony danych.

W celu realizacji praw jednostki Spółka zapewnia procedury i mechanizmy pozwalające zidentyfikować dane konkretnych osób przetwarzane przez Spółkę, zintegrować te dane, wprowadzać do nich zmiany i usuwać w sposób zintegrowany.

Spółka dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań osób.

Prawa osób, których dane dotyczą:

  1. Prawo dostępu do informacji
  2. Prawo do sprostowania danych
  3. Prawo do usunięcia danych („prawo do bycia zapomnianym”)
  4. Prawo do ograniczenia przetwarzania
  5. Prawo o powiadomieniu przez Administratora o sprostowaniu, usunięciu, ograniczeniu
  6. Prawo do przenoszenia danych
  7. Prawo do sprzeciwu
  8. Prawo do niepodleganiu zautomatyzowanej decyzji

3.3.3 REALIZACJA ZASADY BEZPIECZNEGO PRZETWARZANIA

            Zapewnienie odpowiedniego bezpieczeństwa przetwarzania danych osobowych Spółka realizuje w oparciu o system ochrony danych osobowych składający się z następujących elementów:

  1. Inwentaryzacja danych - Spółka dokonuje inwentaryzacji zasobów danych osobowych w kontekście czynności przetwarzania ze szczególnym uwzględnieniem: procesów biznesowych, klas danych, zależności między zasobami, okresem przechowywania danych, identyfikacją oraz skutecznością aktualnych środków bezpieczeństwa, prawnych przesłanek przetwarzania danych, obszarów przetwarzania.
  1. pierwszą inwentaryzację Spółka dokonuje poprzez przeprowadzenie „audytu zgodności przetwarzania danych z RODO” na podstawie.
  2. aktualny stan zasobów oraz bieżące zmiany Spółka prowadzi w RCPD.
  1. RCPD - Spółka opracowuje, prowadzi i utrzymuje Rejestr Czynności Przetwarzania Danych - Rejestr. Rejestr jest narzędziem rozliczania zgodności z ochroną danych w Spółce.
    1. RCPD stanowi formę dokumentowania czynności przetwarzania danych, pełni rolę mapy przetwarzania danych i jest jednym z kluczowych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności.
    2. Spółka prowadzi Rejestr Czynności Przetwarzania Danych, w którym inwentaryzuje i monitoruje sposób, w jaki wykorzystuje dane osobowe.
    3. Rejestr jest jednym z podstawowych narzędzi umożliwiających Spółce rozliczanie większości obowiązków ochrony danych.
    4. W Rejestrze dla każdej czynności przetwarzania danych, którą Spółka uznała za odrębną dla potrzeb Rejestru, Spółka odnotowuje co najmniej:
  • nazwę czynności,
  • zakres przetwarzania (opis czynności przetwarzania – procesu biznesowego – opis etapów),
  • cel przetwarzania,
  • podstawę prawną przetwarzania, wraz z wyszczególnieniem kategorii uzasadnionego interesu Spółki, jeśli podstawą jest uzasadniony interes,
  • kontekst oraz charakter przetwarzania,
  • opis kategorii osób,
  • opis kategorii danych,
  • okres przechowywania,
  • sposób realizacji spełnienia obowiązku informacyjnego,
  • opis kategorii odbiorców danych (w tym przetwarzających),
  • opis aktualnych procedur organizacyjnych,
  • ogólny opis technicznych i organizacyjnych środków ochrony danych.
    1. Wzór Rejestru stanowi – „Wzór Rejestru Czynności Przetwarzania Danych”. Wzór Rejestru zawiera także kolumny nieobowiązkowe. W kolumnach nieobowiązkowych Spółka rejestruje informacje w miarę potrzeb i możliwości, z uwzględnieniem tego, że pełniejsza treść Rejestru ułatwia zarządzanie zgodnością ochrony danych i rozliczenie się z niej.
    2. W ramach RCPD. Spółka identyfikuje oraz weryfikuje podstawy prawne przetwarzania danych i rejestruje je w Rejestrze, w tym:
  • utrzymuje system zarządzania zgodami na przetwarzanie danych i komunikację na odległość,
  • inwentaryzuje i uszczegóławia uzasadnienie przypadków, gdy Spółka przetwarza dane na podstawie prawnie uzasadnionego interesu Spółki.
  1. Minimalizacja - Spółka posiada zasady i metody zarządzania minimalizacją (privacy by default), a w tym:
    1. zasady zarządzania adekwatnością danych – minimalizacja zakresu:
  • Spółka każdorazowo weryfikuje zakres pozyskiwanych danych, zakres ich przetwarzania i ilość przetwarzanych danych pod kątem adekwatności do celów przetwarzania;
  • Spółka dokonuje okresowego przeglądu ilości przetwarzanych danych i zakresu ich przetwarzania nie rzadziej niż raz na rok.
    1. zasady reglamentacji i zarządzania dostępem do danych  - minimalizacja dostępu (dostępu do danych):
  • Spółka stosuje ograniczenia dostępu do danych osobowych:
  • prawne (zobowiązania do poufności, zakresy upoważnień),
  • fizyczne (strefy dostępu, zamykanie pomieszczeń),
  • logiczne (ograniczenia uprawnień do systemów przetwarzających dane osobowe i zasobów sieciowych, w których rezydują dane osobowe).
  • Spółka nadaje dostęp do przetwarzanych danych osobowych wyłącznie tym osobom, które:
  • zostały skutecznie zapoznane z wyciągiem z podstawowych zasad bezpieczeństwa danych osobowych.
  • zobowiązały się do jego przestrzegania w drodze oświadczenia, oraz do zachowania do zachowania poufności.
  • oraz otrzymały upoważnienie –  ściśle precyzujące zakres czynności, które związane są z dostępem do danych osobowych.

 

  • Spółka prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych.
  • Spółka dokonuje aktualizacji uprawnień dostępowych przy zmianach w składzie personelu i zmianach ról osób, oraz zmianach podmiotów przetwarzających.
  • Spółka dokonuje okresowego przeglądu ustanowionych użytkowników systemów i aktualizuje ich nie rzadziej niż raz na rok.
  • Szczegółowe zasady kontroli dostępu fizycznego i logicznego zawarte są w procedurach bezpieczeństwa fizycznego i bezpieczeństwa informacji Spółki.
    1. zasady reglamentacji i zarządzania dostępem do danych  - minimalizacja czasu (okres przechowywania danych):
  • Spółka wdraża mechanizmy kontroli cyklu życia danych osobowych w Spółce, w tym weryfikacji dalszej przydatności danych względem terminów i punktów kontrolnych wskazanych w Rejestrze.
  • Dane, których zakres przydatności ulega ograniczeniu wraz z upływem czasu są usuwane z systemów produkcyjnych Spółki, jak też z akt podręcznych i głównych. życia danych, a w tym wymogi usuwania danych.
  1. Bezpieczeństwo - Spółka zapewnia odpowiedni poziom bezpieczeństwa danych, poprzez:
  1. przeprowadzanie analizy ryzyka dla czynności przetwarzania dany.
  • Spółka zapewnia odpowiedni stan wiedzy o bezpieczeństwie informacji, cyberbezpieczeństwie i ciągłości działania − wewnętrznie lub ze wsparciem podmiotów wyspecjalizowanych.
  • Spółka kategoryzuje dane oraz czynności przetwarzania pod kątem ryzyka, które przedstawiają.
  • Spółka przeprowadza analizy ryzyka naruszenia praw lub wolności osób fizycznych dla czynności przetwarzania danych lub ich kategorii. Spółka analizuje możliwe sytuacje i scenariusze naruszenia ochrony danych osobowych uwzględniając charakter, zakres, kontekst i cele przetwarzania, ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.
  • Spółka ustala możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa i ocenia koszt ich wdrażania. W tym Spółka ustala przydatność i stosuje takie środki i podejście jak:

- pseudonimizacja,

- szyfrowanie danych osobowych,

- inne środki cyberbezpieczeństwa składające się na zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,

- środki zapewnienia ciągłości działania i zapobiegania skutkom katastrof, czyli zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.

  1. przeprowadzanie w określonych prawem sytuacjach oceny skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw i wolności osób jest wysokie;
  2. dostosowywanie odpowiednich środki ochrony do ustalonego ryzyka;
  3. monitorowanie właściwego działania zabezpieczeń oraz cykliczne audyty bezpieczeństwa;
  4. stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych − zarządza incydentami.
  1. Powierzenie przetwarzania - Spółka posiada zasady doboru przetwarzających dane na rzecz Spółki, wymogów co do warunków przetwarzania (umowa powierzenia), zasad weryfikacji wykonywania umów powierzenia.

Spółka zapewnia by w przypadkach, w których zachodzi powierzenie danych, korzystać będzie z usług tylko takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane im powierzono.

Spółka przyjęła minimalne wymagania co do umowy powierzenia przetwarzania danych stanowiące.

Spółka rozlicza przetwarzających z wykorzystania podprzetwarzających, jak też z innych wymagań wynikających z Zasad powierzenia danych osobowych.

Spółka prowadzi rejestr umów powierzenia.

3.3.4 REALIZACJA ZASADY ROZLICZALNOŚCI

Spółka dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej chwili móc wykazać zgodność.

            Wszystkie działania dotyczące realizacji zasad bezpieczeństwa w Spółce są dokumentowane. Szczególnymi dokumentami służącymi do potwierdzenia rozliczalności Spółki są:

  1. Raport z audytu zgodności przetwarzania danych z RODO
  2. Analiza ryzyka dotycząca czynności przetwarzania danych
  3. Rejestr czynności Przetwarzania Danych
  4. Ocena skutków dla ochrony danych
  5. Rejestr naruszeń
  6. Rejestr incydentów
  7. Rejestr wydanych upoważnień
  8. Rejestr umów powierzenia przetwarzania
  9. Rejestr obsługi zgłoszeń osób fizycznych

Przejdź do strony głównej
Korzystanie z tej witryny oznacza wyrażenie zgody na wykorzystanie plików cookies. Więcej informacji możesz znaleźć w naszej Polityce Cookies.
Nie pokazuj więcej tego komunikatu
Sklep przeznaczony jest wyłącznie dla osób pełnoletnich!
1. Na tej witrynie znajdują się artykuły dla osób pełnoletnich.

2. Jeżeli jesteś osobą niepełnoletnią - opuść tę stronę!

3. Przekonaj się że korzystając z naszej wyjątkowej oferty, oszczędzasz czas i pieniądze, kupując w przyjemny i wygodny sposób.
Wejdź do sklepuZrezygnuj