Polityka plików cookies
Ta witryna używa plików cookie.
"Cookies" (ciasteczka) co to takiego?
"Cookies" (ciasteczka) są to pliki tekstowe wysyłane przez odwiedzane strony internetowe i przechowywane na komputerze Internauty. Domyślne parametry ciasteczek pozwalają na odczytanie informacji w nich zawartych jedynie serwisowi, który je wcześniej utworzył.
Przykłady wykorzystania plików cookies na stronach:
- przy informacjach na temat bieżącej sesji przeglądania,
- mierzenie ruchu użytkownika na stronach za pomocą statystyk,
- zapamiętywanie rozmiaru czcionki,
- pliki cookies serwisu Facebook oraz YouTube.
Użytkownik może nie wyrazić zgody na umieszczanie plików typu cookies na jego urządzeniu. Istnieje możliwość zablokowania zapisywania cookies, zmieniając ustawienia przeglądarki.
POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W
Lech Consulting Spółka z ograniczoną odpowiedzialnością
Autor: Natalia Kamińska | Kamińska Sarnowska Kancelaria Radców Prawnych Sp. p. | 31.08.2018 r.
BYDGOSZCZ 2018
Spis treści
Rozdział 1. Postanowienia wstępne. 3
Rozdział 2. Definicje. 4
Rozdział 3. Zasady ochrony danych osobowych. 5
Rozdział 4. Bezpieczeństwo danych osobowych. 6
Rozdział 5. Informacja i dostęp do danych. 6
Rozdział 6. Rejestrowanie czynności przetwarzania. 7
Rozdział 7. Ocena skutków dla ochrony danych. 7
Rozdział 8. Postanowienia końcowe. 8
1. Postanowienia wstępne
Polityka ochrony danych osobowych w Lech Consulting Spółka z ograniczoną odpowiedzialnością, zwana dalej „Polityką”, została opracowana na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, celem dostosowania działalności Spółki Lech Consulting (dalej: Spółka) do wymogów w/w Rozporządzenia.
Niniejsza Polityka jest dokumentem opisującym zasady ochrony danych osobowych stosowane przez Spółkę.
Zakres przedmiotowy stosowania Polityki obejmuje wszystkie dane osobowe przetwarzane w Spółce, zarówno w formie elektronicznej, jak i manualnie.
Zakres podmiotowy obejmuje wszystkie osoby współpracujące ze Spółką, zarówno na podstawie umowy o pracę, jak i umów cywilnoprawnych.
Spółka zabezpiecza dane osobowe pod kątem ochrony podstawowych praw i wolności osób fizycznych, w związku z przetwarzaniem ich danych osobowych.
Przez bezpieczeństwo danych osobowych należy rozumieć zapewnienie ich poufności, integralności, dostępności oraz rozliczalności, na zasadach przewidzianych w niniejszej polityce i innych regulacjach wewnętrznych, do których ona odsyła, poprzez wdrożenie i stosowanie niezbędnych do tego celu mechanizmów technicznych i organizacyjnych.
2. Definicje
Przez użyte w niniejszej Polityce określenia należy rozumieć:
Administrator (danych osobowych) – spółka Lech Consulting Spółka z ograniczoną odpowiedzialnością, jako podmiot, który ustala cele i sposoby przetwarzania danych osobowych, reprezentowana przez Zarząd,
Analiza ryzyka – dokonywana przez Administratora w wymaganych prawem sytuacjach ocena możliwych skutków planowanych operacji przetwarzania dla ochrony danych osobowych,
Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej
Instrukcja ODO – Instrukcja ochrony danych osobowych w Lech Consulting Spółka z ograniczoną odpowiedzialnością,
Instrukcja IT – Instrukcja zarządzania systemami informatycznymi w Lech Consulting Spółka z ograniczoną odpowiedzialnością,
Przetwarzanie danych osobowych – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
Rozporządzenie/RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE,
Zarząd – Prezes Zarządu Spółki.
3. Zasady ochrony danych osobowych Zasady przetwarzania danych osobowych
Zapewnienie przez Administratora bezpieczeństwa danych osobowych polega na zapewnieniu:
- przetwarzania zgodnego z prawem, rzetelnego i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”),
- zbierania danych osobowych w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”),
- adekwatności i stosowności zbieranych danych osobowych oraz ograniczenia ich do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”),
- prawidłowości i aktualności przetwarzanych danych („prawidłowość”),
- przechowywania w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”),
- przetwarzanie w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
Przetwarzanie danych osobowych u Administratora jest możliwe wyłącznie po spełnieniu jednego z poniższych warunków:
- osoba, której dane dotyczą wyrazi zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów,
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym,
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez
Administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.
4. Bezpieczeństwo danych osobowych
Administrator zapewnia bezpieczeństwo danych przetwarzanych w systemach informatycznych i poza nimi.
Szczegółowy opis stosowanych środków bezpieczeństwa znajduje się w Instrukcji ODO oraz Instrukcji IT.
5. Informacja i dostęp do danych
Administrator zapewnia osobom, których dane osobowe przetwarza, poszanowanie ich praw do:
- uzyskania informacji dotyczących przetwarzania jej danych osobowych,
- dostępu do przetwarzanych danych,
- przenoszenia swoich danych osobowych, przetwarzanych przez Administratora,
- sprzeciwu wobec przetwarzania i profilowania ich danych osobowych,
- żądania sprostowania i usuwania danych otrzymywania informacji o naruszeniu ochrony ich danych osobowych
- na zasadach określonych w Instrukcji ODO.
6. Rejestrowanie czynności przetwarzania
Z uwagi na brak sporadycznego charakteru przetwarzania danych osobowych w działalności Administratora oraz przetwarzanie w ramach tej działalności danych, o których mowa w art. 9 ust. 1 i art. 10 RODO, Administrator prowadzi Rejestr czynności przetwarzania, wg wzoru określonego w załączniku nr 1 do niniejszej Polityki.
Rejestr czynności przetwarzania ma formę elektroniczną.
7. Ocena skutków dla ochrony danych
Przed rozpoczęciem nowej operacji przetwarzania danych osobowych, a także w przypadku wystąpienia sytuacji opisanych w ust. 3 dla już istniejących operacji przetwarzania, Administrator dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.
Ocena skutków dla ochrony danych dokonywana jest w postaci Analizy Ryzyka, przy pomocy arkusza, którego wzór stanowi załącznik nr 2 do niniejszej Polityki.
Ocena zawiera poniższe elementy:
- systematyczny opis przeprowadzanych (lub planowanych) operacji i celów przetwarzania na danych osobowych, podlegających ocenie,
- ocenę, czy operacje przetwarzania są niezbędne i proporcjonalne w stosunku do celów,
- ocenę ryzyka naruszenia praw i wolności osób, których dane dotyczą,
- wskazanie i dokonanie oceny środków planowanych do zastosowania w celu minimalizacji ryzyka, w tym zabezpieczeń oraz środków i mechanizmów bezpieczeństwa, mających zapewnić ochronę danych osobowych i wykazać przestrzeganie przepisów niniejszej Polityki i powszechnie obowiązujących przepisów prawa, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą.
Oceny dokonuje się:
- przed wdrożeniem lub użyciem nowych technologii, takich jak np. nowych systemów informatycznych, nowych procesów, nowych funkcjonalności istniejących systemów lub dokonywania w nich zmian, w których przeprowadzane są operacje w zakresie przetwarzania danych Klientów czy też innych danych osobowych;
- nabyciem danych od innych administratorów danych, np. w związku
- z połączeniem z innym podmiotem gospodarczym,
- w przypadku naruszenia ochrony danych osobowych,
- w przypadku zmiany przepisów prawa w zakresie ochrony danych osobowych,
- przed przetwarzaniem danych biometrycznych lub innych szczególnych kategorii,
- pod warunkiem, że dany rodzaj przetwarzania ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Dla podobnych operacji przetwarzania danych wiążących się z podobnym ryzykiem można przeprowadzić pojedynczą ocenę.
8. Postanowienia końcowe
Niniejsza polityka podlega przeglądom i aktualizacji nie rzadziej niż raz w roku.
Poza planowymi przeglądami, niniejsza Polityka podlega obowiązkowej aktualizacji w przypadku zmian przepisów dotyczących ochrony danych osobowych lub zmian w funkcjonowaniu Spółki, mających wpływ na system zabezpieczenia danych osobowych.