POLITYKA BEZPIECZEŃSTWA INFORMACJI
ZiTOK Józefa Hausner
Rudnik nad Sanem, dnia 19 maja 2021 r.
Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona dla potwierdzenia, że dane osobowe są przetwarzane i zabezpieczone zgodnie z wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczenia danych - w tym z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO).
Definicje:
Administrator Danych – Hurtownia Elektryczna ZiTOK Józefa Hausner
Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji narzędzi programowych zastosowanych w celu przetwarzania danych;
Użytkownik – osoba upoważniona przez Administratora Danych do Przetwarzania danych osobowych;
Zbiór danych – każdy uporządkowany zestaw danych o charakterze osobowym, dostępny według określonych kryteriów;
Przetwarzanie danych – jakiekolwiek operacje wykonywane na Danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie w formie tradycyjnej oraz w systemach informatycznych;
Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym (Użytkownika) w razie Przetwarzania danych osobowych w takim systemie;
Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym (Użytkownikowi) w razie przetwarzania danych osobowych w takim systemie;
Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu (Użytkownika).
-
Postanowienia ogólne
-
Polityka dotyczy wszystkich Danych osobowych przetwarzanych w ZiTOK Józefa Hausner, niezależnie od formy ich przetwarzania (przetwarzane tradycyjnie zbiory ewidencyjne, systemy informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane w zbiorach danych.
-
Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w siedzibie Administratora.
-
Polityka jest udostępniana do wglądu osobom posiadającym upoważnienie do przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma zostać nadane upoważnienie do przetwarzania danych osobowych, celem zapoznania się z jej treścią.
-
Dla skutecznej realizacji Polityki Administrator Danych zapewnia:
-
odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne,
-
kontrolę i nadzór nad Przetwarzaniem danych osobowych,
-
monitorowanie zastosowanych środków ochrony.
-
-
Monitorowanie przez Administratora Danych zastosowanych środków ochrony obejmuje m.in. działania Użytkowników, naruszanie zasad dostępu do danych, zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi.
-
Administrator Danych zapewnia, że czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem danych osobowych są zgodne z niniejszą polityką oraz odpowiednimi przepisami prawa.
-
Dane osobowe przetwarzane u administratora danych
-
Dane osobowe przetwarzane przez Administratora.
-
Administrator danych nie podejmuje czynności przetwarzania, które mogły- by się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator wykona czynności określone w art. 35 i nast. RODO.
-
W przypadku planowania nowych czynności przetwarzania Administrator dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony danych w fazie ich projektowania.
-
Administrator danych prowadzi rejestr czynności przetwarzania.
Wzór klauzuli informacyjnej przetwarzania danych osobowych stanowi załącznik nr 2 do niniejszej polityki.
-
Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem
-
Wszystkie osoby zobowiązane są do przetwarzania danych osobowych zgodnie z obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Danych Polityką Bezpieczeństwa, Instrukcją Zarządzania Systemem Informatycznym, a także innymi dokumentami wewnętrznymi i procedurami związanymi z Przetwarzaniem danych osobowych ZiTOK Józefa Hausner
-
Wszystkie dane osobowe w ZiTOK Józefa Hausner są przetwarzane z poszanowaniem zasad przetwarzania przewidzianych przez przepisy prawa:
-
W każdym wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstaw dla przetwarzania danych.
-
-
-
Dane są przetwarzane są rzetelnie i w sposób przejrzysty.
-
-
-
Dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
-
Dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu przetwarzania danych.
-
Dane osobowe są prawidłowe i w razie potrzeby uaktualniane.
-
Czas przechowywania danych jest ograniczony do okresu ich przydatności do celów, do których zostały zebrane, a po tym okresie są one anonimizowane bądź usuwane.
-
Wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie z treścią art. 13 i 14 RODO.
-
Dane są zabezpieczone przed naruszeniami zasad ich ochrony.
-
-
Administrator danych nie przekazuje osobom, których dane dotyczą, informacji w sytuacji, w której mowa w art. 14 ust 5 pkt a-d RODO.
-
Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony Danych osobowych uważa się w szczególności:
-
naruszenie bezpieczeństwa Systemów informatycznych, w których przetwarzane są dane osobowe, w razie ich przetwarzania w takich systemach;
-
-
-
udostępnianie lub umożliwienie udostępniania danych osobom lub pod- miotom do tego nieupoważnionym;
-
-
-
zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia danym osobowym ochrony;
-
niedopełnienie obowiązku zachowania w tajemnicy Danych osobowych oraz sposobów ich zabezpieczenia;
-
przetwarzanie Danych osobowych niezgodnie z założonym zakresem i celem ich zbierania;
-
spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie Danych osobowych;
-
naruszenie praw osób, których dane są przetwarzane.
-
-
W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych Użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego powiadomienia Administratora Danych,
-
Do obowiązków Administratora Danych w zakresie zatrudniania, zakończenia lub zmiany warunków zatrudnienia pracowników lub współpracowników (osób podejmujących czynności na rzecz Administratora Danych na podstawie innych umów cywilnoprawnych) należy dopilnowanie, by:
-
pracownicy byli odpowiednio przygotowani do wykonywania swoich obowiązków,
-
-
-
każdy z przetwarzających Dane osobowe był pisemnie upoważniony do przetwarzania zgodnie z „Upoważnieniem do przetwarzania danych osobowych”.
-
-
-
każdy pracownik zobowiązał się do zachowania danych osobowych przetwarzanych ZiTOK Józefa Hausner w tajemnicy.
-
-
Pracownicy zobowiązani są do:
-
ścisłego przestrzegania zakresu nadanego upoważnienia;
-
-
-
przetwarzania i ochrony danych osobowych zgodnie z przepisami;
-
-
-
zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
-
zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu.
-
-
Obszar przetwarzania danych osobowych
-
-
Obszar, w którym przetwarzane są Dane osobowe na terenie ZiTOK Józefa Hausner w Rudniku nad Sanem, obejmuje :
-
- sklep
- magazyn
Obiekt jest monitorowany.
-
-
Dodatkowo obszar, w którym przetwarzane są Dane osobowe, stanowią wszystkie komputery przenośne oraz inne nośniki danych znajdujące się poza obszarem wskazanym powyżej.
-
W celu zapewnienia bezpieczeństwa i porządku publicznego oraz ochrony osób i mienia na obszarze wskazanym w punkcie 1 dokonuje się nagrywania wizerunku osób znajdujących się w tych obszarach /monitoring/ - wzór informacji o stosowaniu monitoringu stanowi załącznik nr 1.
-
-
Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
-
Administrator Danych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości Przetwarzanych danych.
-
Zastosowane środki ochrony (techniczne i organizacyjne) powinny być adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych, Środki obejmują:
-
Ograniczenie dostępu do pomieszczeń, w których przetwarzane są dane osobowe, jedynie do osób odpowiednio upoważnionych. Inne osoby mogą przebywać w pomieszczeniach wykorzystywanych do przetwarzania danych jedynie w towarzystwie osoby upoważnionej.
-
Zamykanie pomieszczeń tworzących obszar Przetwarzania danych osobowych określony w pkt IV powyżej na czas nieobecności pracowników, w sposób uniemożliwiający dostęp do nich osób trzecich.
-
Wykorzystanie zamykanych szafek i sejfów do zabezpieczenia dokumentów.
-
Wykorzystanie niszczarki do skutecznego usuwania dokumentów zawierających dane osobowe.
-
Ochronę sieci lokalnej przed działaniami inicjowanymi z zewnątrz przy użyciu sieci firewall.
-
Wykonywanie kopii awaryjnych danych.
-
Ochronę sprzętu komputerowego wykorzystywanego u administratora przed złośliwym oprogramowaniem.
-
Zabezpieczenie dostępu do urządzeń przy pomocy haseł dostępu.
-
Wykorzystanie szyfrowania danych przy ich transmisji.
-
-
Naruszenia zasad ochrony danych osobowych
-
-
W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
-
W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki
-
– jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
-
-
Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o incydencie także osobę, której dane dotyczą.
-
-
Powierzenie przetwarzania danych osobowych.
-
Administrator Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO.
-
Przed powierzeniem przetwarzania danych osobowych Administrator w miarę możliwości uzyskuje informacje o dotychczasowych praktykach procesora dotyczących zabezpieczenia danych osobowych.
-
Przekazywanie danych do państwa trzeciego
1. Administrator Danych Osobowych nie będzie przekazywał danych osobowych do państwa trzeciego, poza sytuacjami w których następuje to na wniosek osoby, której dane dotyczą.
-
-
-
Postanowienia końcowe.
-
-
Integralną część niniejszej Polityki bezpieczeństwa stanowią następujące Za- łączniki:
-
a) załącznik nr 1 - Wzór informacji o stosowaniu monitoringu.
b) załącznik nr 2 - Wzór klauzuli informacyjnej.
Załącznik nr 1, jeśli jest monitoring
Wzór Klauzula informacyjnej-monitoring
„Monitoring prowadzony jest przez ZiTOK Józefa Hausner, z siedzibą: ul. Mickiewicza 57, 37-420 Rudnik nad Sanem, w celu zapewnienie bezpieczeństwa i porządku publicznego oraz ochrony osób i mienia obejmuje sklep oraz magazyn Więcej informacji można uzyskać telefonicznie pod numerem telefonu 518 49 00 69, lub drogą elektroniczną: hurtownia@zitok.pl
Załącznik nr 2 Wzór klauzuli informacyjnej.
KLAUZULA INFORMACYJNA O PRZETWARZANIU DANYCH
Na podstawie art. 13 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodne- go przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), informuję że:
-
Administrator Pani/Pan danych osobowych.
Administratorem Pani/Pana danych osobowych jest Hurtownia Elektryczna ZiTOK Józefa Hausner z siedzibą: ul. Mickiewicza 57, 37-420 Rudnik nad Sanem, hurtownia@zitok.pl.
-
Podstawa prawna.
Przetwarzanie Pani/Pana danych osobowych odbywać się będzie na podstawie art. 6 ust.1 pkt a-d, f RODO, czyli na podstawie zgody osoby, której dane dotyczą, lub na innej poniższej wymienionej podstawie i wyłącznie w celu:
-
wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
-
wypełnienia obowiązku prawnego ciążącego na administratorze;
-
ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
-
realizacji prawnie uzasadnionych interesów administratora lub przez stronę trzecią z wyłączeniem przetwarzania danych osobowych dzieci, bowiem w takim przypadku zachodzi sytuacja, w której nadrzędny charakter wobec interesów realizowanych przez administratora lub przez stronę trzecią mają interesy lub podstawowe prawa i wolności dziecka, wymagające ochrony danych osobowych. Prawnie uzasadniony interesem, na który powołuje się administrator danych jest:
-
prowadzenie działalności marketingowej bezpośredniej, a także prowadzenie działalności w celu marketingowym innych podmiotów (marketing cudzych produktów i usług),
-
podjęcie działań celem dochodzenia roszczenia, w szczególności skorzystanie z usług profesjonalnego pełnomocnika czy firmy windykacyjnej,
-
do zapobiegania oszustwom (zgodnie z motywem 47 preambuły do RODO)
-
Czas przechowywania Pani/Pan danych osobowych.
Pani/Pana dane osobowe będą przechowywane do czasu zakończenia realizacji umowy/ uczestniczenia w rekrutacji z tym zastrzeżeniem, że:
-
dane zawarte w dokumentach księgowo-podatkowych - będą przechowywane 5 lat licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku,
-
dane zawarte w dokumentach pracowniczych- dotyczące okresów zatrudnienia i wynagrodzenia za pracę- przez okres 50 lat od zakończenia przez ubezpieczonego świadczenia pracy.
-
dane zawarte w dokumentacji ZUS w deklaracjach rozliczeniowych i imiennych raportach miesięcznych oraz dokumentach korygujących będą przechowywane przez 5 lat od dnia ich przekazania do wskazanej przez ZUS jednostki organizacyjnej ZUS,
-
dane zawarte w protokołach ustalenia okoliczności i przyczyn wypadku przy pracy oraz innej dokumentacji powypadkowej będą przechowywane przez się 10 lat
-
dane zwarte w innych dokumentach kadrowych, np. listy obecności i harmonogramy czasu pracy będą przechowywane przez okres 3 lata
-
Dane dotyczące rekrutacji do pracy do czasu jej zakończenia
-
Pozostałe dane nie dłużej niż to wynika z regulacji prawnych
4. Cofnięcie zgody, odstęp, sprostowanie, ograniczenie Pani/Pan danych osobowych.
Posiada Pani/Pan prawo dostępu do treści swoich danych osobowych, prawo do ich sprostowania, usunięcia oraz prawo do ograniczenia ich przetwarzania. Ponadto także prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, prawo do przenoszenia danych oraz prawo do wniesienia sprzeciwu wobec przetwarzania Pani/Pana danych osobowych.
W sytuacji gdy przetwarzanie danych odbywa się na podstawie zgody, posiada Pani/ Pan prawo do cofnięcia zgody w dowolnym momencie. Cofnięcie zgody pozostaje bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
W przypadku zaś gdy przetwarzanie danych odbywa się w oparciu o realizację prawnie uzasadnionych interesów administratora lub przez stronę trzecią, lub gdy dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, do celów badań naukowych, historycznych lub do celów statystycznych, Posiada Pani/ Pan prawo do wniesienia sprzeciwu wobec przetwarzania tych danych.
5. Prawo wniesienia skargi do organu nadzorczego:
Przysługuje Pani/Panu prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy RODO.
6. Konsekwencje niepodania danych osobowych:
Podanie przez Panią/Pana danych osobowych jest wymogiem umownym, ustawowym/warunkiem zawarcia umowy/ warunkiem uczestniczenia w rekrutacji.
Jest Pan/Pani zobowiązana jedynie do podania danych niezbędnych dla wykonania umowy, której stroną jest osoba, której dane dotyczą, żądane dane są także niezbędne do wypełnienia obowiązków prawnych ciążących na administratorze; a konsekwencją niepodania tych danych osobowych będzie brak możliwości zawarcia i wykonania umowy zamówienia w Hurtownia Elektryczna ZiTOK Józefa Hausner w Rudniku.
7. Odbiorcy danych:
Naszym dostawcom, którym zlecimy usługi związane z przetwarzaniem danych osobowych, np. dostawcom usług księgowych. Takie podmioty przetwarzają dane na podstawie umowy z nami i tylko zgodnie z naszymi poleceniami.
8. Przekazanie danych do państwa trzeciego/organizacji międzynarodowej:
Nie dotyczy.
9. Zautomatyzowane podejmowanie decyzji, profilowanie.
Nie dotyczy.
…..…………………, dnia …………………………..
[miejscowość]
………………………………
Podpis przyjmującego informację