POLITYKA BEZPIECZEŃSTWA INFORMACJI
w
Piłat Beauty & SPA
Łódź ul. Tuwima 20
25.05.2018
1
CEL POWSTANIA DOKUMENTU I OŚWIADCZENIA ADMINISTRATORA DANYCH OSOBOWYCH
- Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona i wdrożona w celu wykazania, że dane osobowe są przetwarzane i zabezpieczone zgodnie z wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczenia danych w kancelarii, w tym z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako RODO).
- Przedmiotem Polityki jest m.in. określenie, opisanie i zawarcie w niej, jak również w załączonych dokumentach:
- zasad przetwarzania danych osobowych,
- zastosowanych środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń,
- kategorii danych osobowych objętych ochroną, a w szczególności:
- zabezpieczeń danych osobowych przed ich udostępnieniem osobom nieupoważnionym,
- zabraniem przez osobę nieuprawnioną,
- przetwarzaniem z naruszeniem ustawy,
- zmianą, utratą, uszkodzeniem lub zniszczeniem.
- Piłat Beauty & SPA jest Administratorem Danych Osobowych osób fizycznych, które są przetwarzane w ramach prowadzonej przez niego działalności gospodarczej – FORUM 92-543 Łódź ul.Czernika 2/6 NIP 7281625964.
- Administrator zapewnia, że:
- nie prowadzi przetwarzania danych, które wiązałoby się z wysokim ryzykiem naruszenia praw lub wolności osoby fizycznej;
- uwzględnia ochronę danych w fazie projektowania oraz stosuje domyślną politykę ochrony tam, gdzie ma to zastosowanie (tzw. „privacy by design” i „privacy by default”);
- respektuje prawa osoby, której dane dotyczą, w szczególności prawa dostępu do danych, sprostowania danych, bycia zapomnianym, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych, prawo do sprzeciwu, zgodnie z aktualnie obowiązującymi przepisami prawa;
- dokona oceny skutków dla planowanych operacji przetwarzania danych osobowych przed rozpoczęciem przetwarzania – jeśli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
- Administrator Danych Osobowych nie podlega obowiązkowi powołania Inspektora Ochrony Danych Osobowych. Samodzielnie wykonuje jego zadania, zgodnie z aktualnie obowiązującymi przepisami prawa.
- Pracownicy i współpracownicy Administratora Ochrony Danych Osobowych są zobowiązani do zapoznania się z obowiązującymi procedurami i instrukcjami, a także postępowania zgodnie z nimi.
2
DEFINICJE
- Administrator Danych Osobowych lub Administrator – Piłat Beauty & SPA
Dane osobowe zwykłe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników, określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne, np.: imię, nazwisko, numer PESEL, adres e-mail, data urodzenia, adres zamieszkania.
- Dane osobowe wrażliwe – dane osobowe, ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, stan zdrowia i wszelkie informacje dotyczące zdrowia psychicznego lub fizycznego, kod genetyczny, dane genetyczne i biometryczne, nałogi lub życie seksualne, dotyczące skazań, orzeczeń o ukaraniu, mandatów karnych.
- System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji narzędzi programowych zastosowanych w celu przetwarzania danych
- Użytkownik – osoba upoważniona przez Administratora Danych do Przetwarzania danych osobowych. Użytkownikiem może być pracownik, osoba wykonująca pracę na podstawie umowy zlecenia lub innej umowy cywilnoprawnej.
- Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym (Użytkownika) w razie Przetwarzania danych osobowych w takim systemie
- Odbiorca danych – każdy, komu udostępnia się dane osobowe, z wyłączeniem:
- Osoby, której dane dotyczą,
- Osoby upoważnionej do przetwarzania danych,
- Podmiotu, któremu powierzono przetwarzanie danych,
- Organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.
- Osoba upoważniona – osoba, która została upoważniona przez Administratora danych osobowych do przetwarzania danych w celu i w zakresie wskazanym w upoważnieniu. Może nią być osoba zatrudniona na podstawie umowy o pracę, umowy cywilnoprawnej, wolontariusz, stażysta, itp.
- Zbiór danych – każdy uporządkowany zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego czy jest rozproszony, czy podzielony funkcjonalnie.
- Przetwarzanie danych – jakiekolwiek operacje wykonywane na Danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie w formie tradycyjnej oraz w systemach informatycznych. Zasady zawarte w niniejszej Polityce należy stosować przy każdej operacji na danych.
- Udostępnienie danych – przekazanie danych osobowych innemu administratorowi danych na podstawie właściwych przepisów prawa, np. sądowi, policji, prokuraturze.
- Powierzenie danych – przekazanie danych osobowych innemu podmiotowi w określonym celu i zakresie, na podstawie zawartej umowy i w ramach jej realizacji, np. umowy z biurem rachunkowym.
- Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym (Użytkownikowi) w razie przetwarzania danych osobowych w takim systemie.
- Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu (Użytkownika) w systemach informatycznych, najczęściej polegające na wpisaniu loginu i hasła użytkownika.
- RODO – oznacza Rozporządzenie Parlamentu Europejskiego i Rady EU 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne Rozporządzenie o Ochronie Danych).
3
POSTANOWIENIA OGÓLNE I OBOWIĄZKI ADMINISTRATORA
- Polityka dotyczy wszystkich danych osobowych przetwarzanych w Piłat Beauty&SPA, niezależnie od formy ich przetwarzania (przetwarzane tradycyjnie zbiory ewidencyjne, systemy informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane w zbiorach danych.
- Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w siedzibie Administratora.
- Polityka jest udostępniana do wglądu osobom posiadającym upoważnienie do przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma zostać nadane upoważnienie do przetwarzania danych osobowych, celem zapoznania się z jej treścią.
- Dokument Polityki, wraz z załącznikami, stanowi tajemnicę przedsiębiorstwa Administratora Danych Osobowych i jest klasyfikowany jako dokument wewnętrzny.
- Dla skutecznej realizacji Polityki Administrator Danych zapewnia:
- odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne,
- kontrolę i nadzór nad Przetwarzaniem danych osobowych,
- monitorowanie zastosowanych środków ochrony.
- Monitorowanie przez Administratora Danych zastosowanych środków ochrony obejmuje m.in. działania Użytkowników, naruszanie zasad dostępu do danych, zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi.
- Administrator Danych zapewnia, że czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem danych osobowych są zgodne z niniejszą polityką oraz odpowiednimi przepisami prawa.
- Każde naruszenie zasad Polityki może być uznane za poważne naruszenie podstawowych obowiązków pracowniczych lub wynikających z umów cywilnoprawnych o współpracy, i może skutkować konsekwencjami i odpowiedzialnością przewidzianymi w przepisach prawnych, takich jak m.in. ustawa Kodeks pracy, ustawa Kodeks cywilny, czy ustawa o Ochronie danych osobowych.
4
DANE OSOBOWE PRZETWARZANE U ADMINISTRATORA DANYCH I OPIS STRUKTURY ZBIORÓW DANYCH
- Dane osobowe przetwarzane przez Administratora Danych gromadzone są w zbiorach danych.
- Administrator prowadzi opis struktury zbiorów danych osobowych w systemach informatycznych, jak poniżej:
Lp. | Kategoria danych osobowych | Opis struktury zbiorów i zawartość pól informacyjnych |
1. | Dane osobowe pracowników | Np. imię, nazwisko, adres, numer PESEL, numer dowodu osobistego, itd. |
2. | Dane osobowe subskrybentów | Np. imię, nazwisko, e-mail, data urodzenia itd. |
3. | Dane osobowe klientów | Np. imię, nazwisko, adres, e-mail, tel., itd. |
- Administrator danych nie podejmuje czynności przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator wykona czynności określone w art. 35 i nast. RODO.
- W przypadku planowania nowych czynności przetwarzania Administrator dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony danych w fazie ich projektowania.
5
REJESTR CZYNNOŚCI PRZETWARZANIA
- Administrator Danych Osobowych prowadzi Rejestr czynności przetwarzania, ze względu na przetwarzanie szczególnych kategorii danych osobowych tzw. danych wrażliwych, np. dotyczących zdrowia klientów salonu.
- Administrator każdorazowo weryfikuje podstawę prawną, cel oraz zakres utworzenia nowego zbioru danych, a następnie ustala, czy przetwarzanie danych jest legalne.
6
PODSTAWOWE ZASADY PRZETWARZANIA DANYCH OSOBOWYCH
- Administrator przetwarza dane osobowe wyłącznie, gdy jest to dopuszczone aktualnie obowiązującymi przepisami prawa.
- Dane osobowe mogą być przetwarzane wyłącznie w celu i zakresie, w jakim zostały zgromadzone, a także nie dłużej niż jest to niezbędne dla osiągnięcia tego celu.
- Dane osobowe po wykorzystaniu są niezwłocznie usuwane lub przechowywane wyłącznie w postaci uniemożliwiającej identyfikację osób, których dotyczą, o ile przepisy odrębnych ustaw nie podają określonego czasu przechowywania danych.
- Dane osobowe są przetwarzane przez Administratora, gdy:
- osoba, której dane dotyczą wyraziła na to zgodę, np. newsletter, karta zdrowia;
- jest to niezbędne do wykonania umowy, której strona jest osobą lub do podjęcia działań na żądanie osoby, której dane dotyczą przed zawarciem umowy, np. e-sklep, zawarcie umowy na usługę kosmetyczną;
- jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze Danych Osobowych, np. w związku z zatrudnieniem;
- jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez podmiot trzeci, np. marketing własnych produktów lub usług;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, np. ochrona zdrowia lub życia.
- Administrator Danych nie przetwarza danych na teranie państwa trzeciego, ani nie powierza danych innym podmiotom poza obszarem Europejskiego Obszaru Gospodarczego.
- Administrator Danych przetwarza szczególne kategorie danych, dane wrażliwe, gdy:
- jest to niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez Administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone przepisami prawa,
- osoba, której dane dotyczą wyraziła na to zgodę, np. w przypadku wywiadu – uzupełnienia karty zdrowia przed zabiegiem,
- jest to niezbędne do ustalenia, dochodzenia lub obrony roszczeń, związanych z udzielonymi usługami w ramach wykonywanej przez Administratora działalności gospodarczej.
- W przypadku gdy dane osobowe są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy lub są zbędne do realizacji celu, dla którego zostały zebrane, Administrator jest zobowiązany do ich uzupełnienia, uaktualnienia, sprostowania lub usunięcia.
- Administrator stosuje ogólne zasady przetwarzania danych osobowych zawarte w RODO, w szczególności w art. 5 RODO.
7
OBOWIĄZKI I ODPOWIEDZIALNOŚĆ W ZAKRESIE ZARZĄDZANIA BEZPIECZEŃSTWEM DANYCH
- Wszystkie osoby zobowiązane są do przetwarzania danych osobowych zgodnie z obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Danych Polityką Bezpieczeństwa, Instrukcją Zarządzania Systemem Informatycznym, a także innymi dokumentami wewnętrznymi i procedurami związanymi z przetwarzaniem danych osobowych w Piłat Beauty&SPA
- Wszystkie dane osobowe u Administratora są przetwarzane z poszanowaniem zasad przetwarzania przewidzianych przez przepisy prawa:
- W każdym wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstaw dla przetwarzania danych,
- Dane przetwarzane są rzetelnie i w sposób przejrzysty,
- Dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,
- Dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu przetwarzania danych,
- Dane osobowe są prawidłowe i w razie potrzeby uaktualniane,
- Czas przechowywania danych jest ograniczony do okresu ich przydatności do celów, do których zostały zebrane, a po tym okresie są one anonimizowane bądź usuwane,
- Wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie z treścią art. 13 i 14 RODO,
- Dane są zabezpieczone przed naruszeniami zasad ich ochrony.
- Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony Danych osobowych uważa się w szczególności:
- naruszenie bezpieczeństwa Systemów informatycznych, w których przetwarzane są dane osobowe, w razie ich przetwarzania w takich systemach;
- udostępnianie lub umożliwienie udostępniania danych osobom lub podmiotom do tego nieupoważnionym;
- zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia danym osobowym ochrony;
- niedopełnienie obowiązku zachowania w tajemnicy Danych osobowych oraz sposobów ich zabezpieczenia;
- przetwarzanie Danych osobowych niezgodnie z założonym zakresem i celem ich zbierania;
- spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie Danych osobowych;
- naruszenie praw osób, których dane są przetwarzane.
- W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych Użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego powiadomienia Administratora Danych.
- Do obowiązków Administratora Danych w zakresie zatrudniania, zakończenia lub zmiany warunków zatrudnienia pracowników lub współpracowników (osób podejmujących czynności na rzecz Administratora Danych na podstawie innych umów cywilnoprawnych) należy dopilnowanie, aby:
- pracownicy byli odpowiednio przygotowani do wykonywania swoich obowiązków,
- każdy z przetwarzających Dane osobowe był pisemnie upoważniony do przetwarzania zgodnie z „Upoważnieniem do przetwarzania danych osobowych”
- c) każdy pracownik zobowiązał się do zachowania danych osobowych przetwarzanych u Administratora w tajemnicy poprzez podpisanie „Oświadczenia o poufności”.
- Pracownicy zobowiązani są do:
- ścisłego przestrzegania zakresu nadanego upoważnienia;
- przetwarzania i ochrony danych osobowych zgodnie z przepisami;
- zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
- zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu.
- Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby, które posiadają imienne upoważnienie nadane przez Administratora Danych Osobowych.
- Upoważnienie wydawane jest przed rozpoczęciem o przetwarzania danych osobowych na czas trwania umowy o pracę lub innej umowy cywilnoprawnej, a także na czas wykonania określonego zadania, które związane jest z przetwarzaniem danych, w celu i zakresie wynikającym z zadań i obowiązków służbowych.
- Osoba upoważniona do przetwarzania danych osobowych składa pisemne oświadczenia o zobowiązaniu do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia.
- Administrator Danych Osobowych prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych.
- Administrator Danych Osobowych aktualizuje ewidencję osób upoważnionych za każdym razem, gdy upoważnia do przetwarzania nowe osoby, zmienia zakres i cel nadanego już upoważnienia lub gdy osoba upoważniona zakończy z nim współpracę.
- Osoba upoważniona do przetwarzania danych jest zobowiązana do:
- przetwarzania danych osobowych zgodnie z upoważnieniem wydanym przez Administratora Danych Osobowych;
- stosowania się do instrukcji i procedur przetwarzania danych osobowych, zawartych w politykach wewnętrznych wydanych przez Administratora Danych Osobowych;
- stosowania wprowadzonych środków organizacyjnych i technicznych, zapewniających ochronę przetwarzania danych, w szczególności przed ich udostępnieniem, kradzieżą, uszkodzeniem lub zniszczeniem przez osoby nieupoważnione;
- umożliwienia przeprowadzenia czynności w toku sprawdzenia planowanego lub doraźnego prowadzonego przez Administratora Danych Osobowych lub na jego zlecenie;
- sprawowania nadzoru nad obiegiem oraz przechowywaniem i zabezpieczeniem dokumentów zawierających dane osobowe, do których ma dostęp w chwili wykonywania czynności służbowych;
- każdorazowego niezwłocznego informowania Administratora Danych Osobowych w sytuacji naruszenia ochrony danych osobowych lub uzasadnionego podejrzenia takiego naruszenia.
8
OBOWIĄZEK INFORMACYJNY REALIZOWANY PRZEZ ADMINISTRATORA
- Administrator Danych Osobowych respektuje prawa, które przysługują każdej osobie, której dane dotyczą, w szczególności prawo do kontroli przetwarzania danych.
- Administrator Danych informuje osoby, których dane dotyczą, o swoich danych, adresie, siedzibie, celu zbierania danych, obowiązku lub dobrowolności ich podania, a także przekazuje inne informacje, które mogą być wymagane aktualnie obowiązującymi przepisami prawa.
- Obowiązek informacyjny w przypadku pozyskiwania danych bezpośrednio od osoby, której dane dotyczą wykonywany jest przed rozpoczęciem ich gromadzenia.
- Osobę, której dane dotyczą informuje się o:
- dokładnej nazwie i adresie swojej siedziby;
- celu zbierania danych;
- dobrowolności lub obowiązku podania danych, a jeżeli taki obowiązek istnieje o jego podstawie prawnej;
- prawie wglądu do treści swoich danych oraz możliwości ich poprawiania;
- innych informacjach, wynikających z aktualnych przepisów prawa, w szczególności o:
- celu przetwarzania danych na podstawie interesu prawnego administratora danych,
- zamiarze przekazania danych do państwa trzeciego,
- okresie przez który dane będą przetwarzane, a gdy nie jest możliwe jego ustalenie to o kryteriach ustalenia tego okresu,
- prawie do żądania sprostowania, usunięcia lub ograniczenia przetwarzania,
- prawie do wniesienia sprzeciwu wobec przetwarzania,
- prawie do przenoszenia danych (jeśli przetwarzanie odbywa się na podstawie umowy lub zgody),
- prawie do cofnięcia zgody w dowolnym momencie (jeśli przetwarzanie odbywa się na podstawie zgody osoby), bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
- prawie wniesienia skargi do organu nadzorczego,
- profilowaniu i jego konsekwencjach, jeśli jest to zasadne.
- Powyższych informacji nie udziela się jeśli osoba dysponuje już tymi informacjami, a Administrator będzie w stanie to wykazać lub, gdy obowiązek ich ujawnienia wynika z prawa UE lub prawa krajowego.
- W przypadku zbierania danych osobowych nie bezpośrednio od osoby, której one dotyczą, osobę tę należy w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych – poinformować dodatkowo o:
- źródle danych;
- innych uprawnieniach wynikających z aktualnie obowiązujących przepisów.
- Administrator ma również na uwadze, że każda osoba, której dane dotyczą, może wystąpić z wnioskiem o otrzymanie informacji o jej danych, które są przetwarzane w zbiorze u Administratora, zgodnie z obowiązującymi przepisami. Odpowiedź na zapytanie osoby, której dane dotyczą, jest udzielana na piśmie w terminie nieprzekraczającym miesiąca od daty wpłynięcia wniosku.
- Wyłączenie obowiązku udzielenia odpowiedzi następuje wyłącznie w przypadkach, określonych aktualnie obowiązującymi przepisami prawa.
- Obowiązek informacyjny realizowany jest poprzez podanie niezbędnych informacji na formularzach, umowach, w regulaminie lub kwestionariuszach osobowych.
- Administrator, celem ochrony danych wrażliwych, które przetwarza, głównie danych o zdrowiu, oraz w celu zapewnienia realizacji praw podmiotów danych, wprowadza i przestrzega u siebie „Procedurę realizacji praw podmiotów danych zgodnie z RODO”.
9
UDOSTĘPNIANIE DANYCH OSOBOWYCH
- Administrator Danych udostępnia dane osobowe przetwarzane w zbiorach danych wyłącznie osobom lub podmiotom uprawnionym do ich otrzymania na podstawie aktualnych przepisów prawnych.
- Dane osobowe mogą być udostępniane na podstawie:
- wniosku od podmiotu uprawnionego do otrzymywania danych osobowych na podstawie przepisów prawa, w szczególności wniosku sądu, prokuratury, policji, komornika, ZUS, Urzędu Skarbowego, itp.,
- wniosku innej osoby lub podmiotu, na zasadach określonych w przepisach prawa;
- Wszystkie osoby upoważnione, które otrzymają wniosek o udostępnienie danych, zobowiązane są do przekazywania go bezpośrednio do Administratora, który podejmuje decyzję o udostępnieniu lub odmowie udostępnienia.
10
OBSZAR PRZETWARZANIA DANYCH OSOBOWYCH
- Obszar, w którym przetwarzane są Dane osobowe na terenie Piłat Beauty&SPA, obejmuje wszystkie pomieszczenie zlokalizowane w Łodzi ul. Tuwima 20
- Dodatkowo obszar, w którym przetwarzane są Dane osobowe, stanowią wszystkie komputery przenośne oraz inne nośniki danych – kalendarz, system rezerwacji wizyt znajdujące się poza obszarem wskazanym powyżej, na których przechowuje się nośniki informacji zawierające dane osobowe.
- Dostęp do pomieszczenia, w którym dane osobowe są przetwarzane mogą mieć wyłącznie osoby upoważnione. Inne osoby mogą przebywać w obszarze przetwarzania danych wyłącznie pod nadzorem osoby upoważnionej.
- Gdy nie jest możliwe nadzorowanie pracy osób nieupoważnionych w obszarze przetwarzania danych osobowych, Administrator zapewnia zabezpieczenie danych osobowych, znajdujących się w danym pomieszczeniu, w taki sposób, aby nie było możliwe zabranie, zniszczenie lub jakikolwiek dostęp do tych danych.
11
SPOSÓB PRZEPŁYWU DANYCH POMIĘDZY SYSTEMAMI
- Administrator danych nie prowadzi opisu sposobu przepływu danych pomiędzy systemami służących do przetwarzania danych osobowych, gdyż dane te przetwarzane są w jednym systemie informatycznym.
12
OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH
- Administrator Danych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości Przetwarzanych danych.
- Zastosowane środki ochrony (techniczne i organizacyjne) powinny być adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych. Środki obejmują w szczególności:
- Ograniczenie dostępu do pomieszczeń, w których przetwarzane są dane osobowe, jedynie do osób odpowiednio upoważnionych. Inne osoby mogą przebywać w pomieszczeniach wykorzystywanych do przetwarzania danych jedynie w towarzystwie osoby upoważnionej.
- Zamykanie pomieszczeń tworzących obszar Przetwarzania danych osobowych określony w §10 na czas nieobecności pracowników, w sposób uniemożliwiający dostęp do nich osób trzecich.
- Wykorzystanie zamykanych szafek do zabezpieczenia dokumentów.
- Wykorzystanie niszczarki do skutecznego usuwania dokumentów zawierających dane osobowe.
- Ochronę sieci lokalnej przed działaniami inicjowanymi z zewnątrz przy użyciu sieci firewall.
- Ochronę sprzętu komputerowego wykorzystywanego u Administratora przed złośliwym oprogramowaniem.
- Zabezpieczenie dostępu do urządzeń salonu przy pomocy haseł dostępu.
- g) Wykorzystanie szyfrowania danych przy ich transmisji.
13
NARUSZENIA ZASAD OCHRONY DANYCH OSOBOWYCH
- W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
- W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
- Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o incydencie także osobę, której dane dotyczą.
- Poinformowania o naruszeniu organu nadzorczego i osoby, której dane dotyczą nie stosuje się, jeśli przepisy prawa krajowego wyłączają odpowiedzialność Administratora w tym zakresie.
- Naruszenia nie zgłasza się organowi nadzorczemu, ani osobie, której dane dotyczą, jeśli Administrator jest w stanie wykazać małe prawdopodobieństwo naruszenia praw lub wolności osób fizycznych.
- Wszystkie osoby upoważnione do przetwarzania danych osobowych są zobowiązane poinformować Administratora o ewentualnych naruszeniach bezpieczeństwa ochrony danych osobowych lub uzasadnionych podejrzeniach wystąpienia takiego naruszenia.
- W przypadku jakiegokolwiek naruszenia ochrony danych osobowych Administrator sprawdza, dlaczego doszło do naruszenia i jakie środki zapobiegawcze wprowadzić.
14
POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
- Administrator Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO, lub poprzez akceptację regulaminu świadczonej usługi pomiędzy Administratorem a podmiotem trzecim, któremu dane się powierza w celu i w zakresie wykonania konkretnej czynności w imieniu Administratora.
- Przed powierzeniem przetwarzania danych osobowych Administrator w miarę możliwości uzyskuje informacje o dotychczasowych praktykach procesora dotyczących zabezpieczenia danych osobowych.
- Administrator powierza przetwarzane dane osobowe osób fizycznych, w szczególności w celu:
- Prowadzenia obsługi w zakresie BHP – dotyczy pracowników
- Prowadzenia obsługi księgowej – dotyczy właściciela
- Serwisu i konserwacji urządzeń, na których znajdują się dane osobowe,
- Usługi IT, administrowanie serwerem, hosting,
- Usługa chmurowa,
- Utrzymywania bazy danych subskrybentów w zewnętrznych bazach mailingowych i systemach do obsługi newslettera,
- Umowa powierzenia określa w szczególności cel i zakres powierzenia przetwarzania danych osobowych.
- Administrator sprawuje kontrolę nad tym w jakim zakresie i w jakim celu powierza dane osobowe. Prowadzi w tym celu ewidencję podmiotów, którym dane zostały powierzone do przetwarzania.
- Administrator powierza dane osobowe tylko tym podmiotom, które gwarantują zastosowanie środków organizacyjnych i technicznych, zabezpieczających dane przed dostępem osób nieupoważnionych na zasadach określonych w przepisach prawa.
15
PRZEKAZYWANIE DANYCH DO PAŃSTWA TRZECIEGO
Administrator Danych Osobowych nie będzie przekazywał danych osobowych do państwa trzeciego, poza sytuacjami w których następuje to na wniosek osoby, której dane dotyczą.
16
POSTANOWIENIA KOŃCOWE
- Wszyscy pracownicy, współpracownicy i osoby upoważnione do przetwarzania danych osobowych w imieniu Administratora są zobowiązani do zapoznania się i przestrzegania zasad, instrukcji i procedur wprowadzonej dokumentacji przetwarzania danych osobowych.
- Za niedopełnienie obowiązków wynikających z niniejszego dokumentu osoby wymienione w ust. 1 ponoszą odpowiedzialność na podstawie Kodeksu pracy, Przepisów o ochronie danych osobowych, ustawy Kodeks karny oraz innych przepisów.
- Dopuszcza się dokonywanie zmian w niniejszym dokumencie oraz dokumentach powiązanych tylko przez osoby upoważnione.
- Zmiany w dokumencie Polityki oraz w załącznikach wprowadzane są w chwili pojawienia się ważnych okoliczności lub nowych przepisów prawnych, istotnych dla spójności i aktualności Polityki, bądź aktualizacji dotychczasowych przepisów dotyczących ochrony lub przetwarzania danych osobowych. Zmiany zatwierdzane są przez Administratora i podawane do wiadomości osób uczestniczących w przetwarzaniu danych osobowych poprzez publikację w intranecie lub dokumentach formalnych udostępnianych w ustalony wewnętrznie sposób.
- Integralną część niniejszej Polityki są wymienione w jej treści dokumenty i wzory, a także inne dokumenty mające na celu ochronę danych osobowych a wdrożone przez Administratora.