Menu

O nas

POLITYKA PRYWATNOŚCI



1. INFORMACJE OGÓLNE


  1. Operatorem Serwisu [www.miss-quote.com] jest Sylwia Węglarz MISS QUOTE ul. Starowiślna 70/8, 31-035 Kraków. NIP: 5532473434, REGON: 364744550

  2. Serwis realizuje funkcje pozyskiwania informacji o użytkownikach i ich zachowaniu w następujący sposób:

    1. Poprzez dobrowolnie wprowadzone w formularzach informacje.

    2. Poprzez zapisywanie w urządzeniach końcowych pliki cookie (tzw. "ciasteczka").

    3. Poprzez gromadzenie logów serwera www przez operatora hostingowego Krakowskie e-Centrum Informatyczne Jump s.j. funkcjonującego pod adresem www.kei.pl



2. INFORMACJE W FORMULARZACH


  1. Serwis zbiera informacje podane dobrowolnie przez użytkownika.

  2. Serwis może zapisać ponadto informacje o parametrach połączenia (oznaczenie czasu, adres IP)

  3. Dane w formularzu nie są udostępniane podmiotom trzecim inaczej, niż za zgodą użytkownika.

  4. Dane podane w formularzu mogą stanowić zbiór potencjalnych klientów, zarejestrowany przez Operatora Serwisu w rejestrze prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych.

  5. Dane podane w formularzu są przetwarzane w celu wynikającym z funkcji konkretnego formularza, np w celu dokonania procesu obsługi zgłoszenia serwisowego lub kontaktu handlowego.

  6. Dane podane w formularzach mogą być przekazane podmiotom technicznie realizującym niektóre usługi – w szczególności dotyczy to przekazywania informacji o posiadaczu rejestrowanej domeny do podmiotów będących operatorami domen internetowych (przede wszystkim Naukowa i Akademicka Sieć Komputerowa j.b.r – NASK), serwisów obsługujących płatności lub też innych podmiotów, z którymi Operator Serwisu w tym zakresie współpracuje.



3. INFORMACJA O PLIKACH COOKIES


  1. Serwis korzysta z plików cookies.

  2. Pliki cookies (tzw. „ciasteczka”) stanowią dane informatyczne, w szczególności pliki tekstowe, które przechowywane są w urządzeniu końcowym Użytkownika Serwisu i przeznaczone są do korzystania ze stron internetowych Serwisu. Cookies zazwyczaj zawierają nazwę strony internetowej, z której pochodzą, czas przechowywania ich na urządzeniu końcowym oraz unikalny numer.

  3. Podmiotem zamieszczającym na urządzeniu końcowym Użytkownika Serwisu pliki cookies oraz uzyskującym do nich dostęp jest operator Serwisu.

  4. Pliki cookies wykorzystywane są w następujących celach:

    1. tworzenia statystyk, które pomagają zrozumieć, w jaki sposób Użytkownicy Serwisu korzystają ze stron internetowych, co umożliwia ulepszanie ich struktury i zawartości;
    2. utrzymanie sesji Użytkownika Serwisu (po zalogowaniu), dzięki której Użytkownik nie musi na każdej podstronie Serwisu ponownie wpisywać loginu i hasła;

    3. określania profilu użytkownika w celu wyświetlania mu dopasowanych materiałów w sieciach reklamowych, w szczególności sieci Google.

  5. W ramach Serwisu stosowane są dwa zasadnicze rodzaje plików cookies: „sesyjne” (session cookies) oraz „stałe” (persistent cookies). Cookies „sesyjne” są plikami tymczasowymi, które przechowywane są w urządzeniu końcowym Użytkownika do czasu wylogowania, opuszczenia strony internetowej lub wyłączenia oprogramowania (przeglądarki internetowej). „Stałe” pliki cookies przechowywane są w urządzeniu końcowym Użytkownika przez czas określony w parametrach plików cookies lub do czasu ich usunięcia przez Użytkownika.

  6. Oprogramowanie do przeglądania stron internetowych (przeglądarka internetowa) zazwyczaj domyślnie dopuszcza przechowywanie plików cookies w urządzeniu końcowym Użytkownika. Użytkownicy Serwisu mogą dokonać zmiany ustawień w tym zakresie. Przeglądarka internetowa umożliwia usunięcie plików cookies. Możliwe jest także automatyczne blokowanie plików cookies Szczegółowe informacje na ten temat zawiera pomoc lub dokumentacja przeglądarki internetowej.

  7. Ograniczenia stosowania plików cookies mogą wpłynąć na niektóre funkcjonalności dostępne na stronach internetowych Serwisu.

  8. Pliki cookies zamieszczane w urządzeniu końcowym Użytkownika Serwisu i wykorzystywane mogą być również przez współpracujących z operatorem Serwisu reklamodawców oraz partnerów.

  9. Zalecamy przeczytanie polityki ochrony prywatności tych firm, aby poznać zasady korzystania z plików cookie wykorzystywane w statystykach: Polityka ochrony prywatności Google Analytics

  10. Pliki cookie mogą być wykorzystane przez sieci reklamowe, w szczególności sieć Google, do wyświetlenia reklam dopasowanych do sposobu, w jaki użytkownik korzysta z Serwisu. W tym celu mogą zachować informację o ścieżce nawigacji użytkownika lub czasie pozostawania na danej stronie.

  11. W zakresie informacji o preferencjach użytkownika gromadzonych przez sieć reklamową Google użytkownik może przeglądać i edytować informacje wynikające z plików cookies przy pomocy narzędzia: https://www.google.com/ads/preferences



4. LOGI SERWERA


  1. Informacje o niektórych zachowaniach użytkowników podlegają logowaniu w warstwie serwerowej. Dane te są wykorzystywane wyłącznie w celu administrowania serwisem oraz w celu zapewnienia jak najbardziej sprawnej obsługi świadczonych usług hostingowych.

  2. Przeglądane zasoby identyfikowane są poprzez adresy URL. Ponadto zapisowi mogą podlegać:

    1. czas nadejścia zapytania,

    2. czas wysłania odpowiedzi,

    3. nazwę stacji klienta – identyfikacja realizowana przez protokół HTTP,

    4. informacje o błędach jakie nastąpiły przy realizacji transakcji HTTP,

    5. adres URL strony poprzednio odwiedzanej przez użytkownika (referer link) – w przypadku gdy przejście do Serwisu nastąpiło przez odnośnik,

    6. informacje o przeglądarce użytkownika,

    7. Informacje o adresie IP.

  3. Dane powyższe nie są kojarzone z konkretnymi osobami przeglądającymi strony.

  4. Dane powyższe są wykorzystywane jedynie dla celów administrowania serwerem.



5. UDOSTĘPNIANIE DANYCH


  1. Dane podlegają udostępnieniu podmiotom zewnętrznym wyłącznie w granicach prawnie dozwolonych.

  2. Dane umożliwiające identyfikację osoby fizycznej są udostępniane wyłączenie za zgodą tej osoby.

  3. Operator może mieć obowiązek udzielania informacji zebranych przez Serwis upoważnionym organom na podstawie zgodnych z prawem żądań w zakresie wynikającym z żądania.



6. ZARZĄDZANIE PLIKAMI COOKIES – JAK W PRAKTYCE WYRAŻAĆ I COFAĆ ZGODĘ?


  1. Jeśli użytkownik nie chce otrzymywać plików cookies, może zmienić ustawienia przeglądarki. Zastrzegamy, że wyłączenie obsługi plików cookies niezbędnych dla procesów uwierzytelniania, bezpieczeństwa, utrzymania preferencji użytkownika może utrudnić, a w skrajnych przypadkach może uniemożliwić korzystanie ze stron www

  2. W celu zarządzania ustawieniami cookies wybierz z listy poniżej przeglądarkę internetową/ system i postępuj zgodnie z instrukcjami:

    1. Internet Explorer

    2. Chrome

    3. Safari

    4. Firefox

    5. Opera

    6. Android

    7. Safari (iOS)

    8. Windows Phone

    9. Blackberry

POLITYKA BEZPIECZEŃSTWA

OCHRONY DANYCH OSOBOWYCH

W FIRMIE

Sylwia Pacura MISS QUOTE

Kraków, Maj 2018

ROZDZIAŁ I

POSTANOWIENIA OGÓLNE

§ 1

  1. Podstawę prawną niniejszych unormowań stanowią:

  1. RODO - Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.

  2. inne akty prawne dotyczące ochrony danych osobowych.

  1. Ilekroć dalej jest mowa o:

  1. danych osobowych – należy przez to rozumieć wszelkie informacje dotyczące
    zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, tj. osoby
    której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne,

  2. Firma Sylwia Pacura MISS QUOTE - należy przez to rozumieć właściciela działalności gospodarczej w Krakowie,

  3. Administratora Danych – należy przez to rozumieć Właściciel Firmy, decydujących o celach i środkach
    przetwarzania danych osobowych w zakładzie,

  4. Administratorze Systemu Informatycznego (ASI) – należy przez to rozumieć
    właściciela Firmy, upoważnionego do Administrowania systemem informatycznym firmy, przetwarzającym elektronicznie dane osobowe.

  5. przetwarzaniu danych osobowych – należy przez to rozumieć jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemie informatycznym,

ROZDZIAŁ II

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE Sylwia Pacura MISS QUOTE

§ 2

  1. Celem polityki bezpieczeństwa jest określenie działań, jakie należy podejmować oraz ustanowienie zasad, praw, reguł, procedur i praktycznych doświadczeń regulujących sposób przetwarzania, zarządzania, ochrony i dystrybucji danych osobowych wewnątrz Spółki i kontaktach z otoczeniem oraz sposobu zabezpieczania tych danych w Spółce.

  2. Polityka bezpieczeństwa zawiera:

  1. wykaz pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe,

  2. wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,

  3. ocena skutków dla ochrony danych - cena ryzyka przetwarzania danych osobowych,

  4. określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych,

  5. instrukcja naruszenia bezpieczeństwa informacji,

§ 3

    1. Infrastruktura teleinformatyczna Firmy obejmuje pomieszczenia Firmy usytuowane przy ul. Halickiej 10/11 lok.203 w Krakowie, w których przechowywane są dane osobowe, oraz dane kontrahentów.

§ 4

        1. Wykaz zbiorów danych osobowych gromadzonych i przetwarzanych w Firmie

          w systemie informatycznym oraz programów zastosowanych do przetwarzania tych danych w formie elektronicznej zawiera dokumentacja prowadzona przez Administratora Danych Osobowych

§ 5

Strukturę zbiorów danych osobowych i zawartość poszczególnych pól informacyjnych tworzą:

  1. Dane osobowe przetwarzane w systemie informatycznym w formie elektronicznej i tradycyjnej papierowej.

  2. Dane osobowe przetwarzane w zbiorach danych, zestawach oraz pojedynczych informacjach osobowych.

§6

  1. Firma, ze względu na połączenie z siecią publiczną, zobowiązana jest stosować środki bezpieczeństwa przetwarzania danych osobowych w formie elektronicznej, w systemie informatycznym.

  2. Administrator Danych Osobowych analizuje i zapobiega zagrożeniom dla przetwarzanych i gromadzonych danych osobowych, którymi są:

  1. połączenie z siecią Internet,

  2. niebezpieczeństwo pożarów, włamań, kradzieży,

  3. błędy ludzkie, które dzielą się na:

  1. świadome, obejmujące:

  • ujawnianie przez użytkownika elektronicznego systemu informatycznego identyfikatora i hasła dostępu do systemu współpracownikom i osobom obcym,

  • udostępnianie stanowisk pracy wraz z danymi osobowymi osobom nieuprawnionym,

  • udostępnianie osobom nieuprawnionym programów komputerowych zainstalowanych w elektronicznym systemie informatycznym,

  • używanie oprogramowania zainstalowanego w elektronicznym systemie informatycznym, w innym zakresie niż pozwala na to umowa licencyjna,

  • przenoszenie programów komputerowych, dysków twardych z jednego stanowiska na inne,

  • kopiowanie danych na nośniki informacji, kopiowanie na inne systemy celem wyniesienia poza zakład,

  • samowolne instalowanie i używanie jakichkolwiek programów komputerowych, w tym również programów do użytku prywatnego,

  • używanie nośników danych udostępnionych przez osoby postronne,

  • otwieranie załączników i wiadomości poczty elektronicznej od nieznanych nadawców,

  • używanie nośników danych niesprawdzonych, niewiadomego pochodzenia lub niezwiązanych z wykonywaną pracą,

  • tworzenie kopii zapasowych niechronionych hasłem i/lub bez odpowiednich zabezpieczeń miejsca ich przechowywania,

  • narażanie urządzeń komputerowych i nośników danych na kradzież, w tym pozostawienie komputera przenośnego w miejscu publicznym lub w samochodzie bez zabezpieczenia, wyrzucanie dokumentów zawierających dane osobowe bez uprzedniego ich trwałego zniszczenia uniemożliwiającego ich odczytanie lub odtworzenie,

  • pozostawianie dokumentów na biurku po zakończonej pracy, pozostawianie otwartych dokumentów na ekranie monitora bez blokady konsoli,

  • ignorowanie nieznanych osób poruszających się w obszarze przetwarzania danych osobowych,

  • ignorowanie przepisów, zasad i wymaganych działań z zakresu danych osobowych.

  1. nieświadome, obejmujące:

  • zapominanie o wylogowaniu się z systemu komputerowego przed opuszczeniem pomieszczenia,

  • złe ustawienie monitora komputerowego, które umożliwia wgląd w ekran z wyświetlonymi danymi osobowymi osobom postronnym,

  • pozostawianie bez nadzoru osób trzecich przebywających w pomieszczeniach zakładu, w których przetwarzane są dane osobowe,

  • pozostawianie zewnętrznych nośników informacji podłączonych do obsługiwanego komputera, tj. zewnętrznych dysków, pamięci flash (pendrive), dyskietek i płyt w napędzie,

  • zapisywanie na kartkach i pozostawianie haseł wejściowych w miejscach widocznych dla innych osób,

  • pozostawianie dokumentów, kopii dokumentów zawierających dane osobowe w drukarkach, kserokopiarkach lub w miejscach wydruku,

  • pozostawianie kluczy w drzwiach szaf i biurek, zostawianie otwartych pomieszczeń, w których przetwarza się dane osobowe.

§ 7

Administrator Danych Osobowych stosuje środki techniczne i organizacyjne służące zapewnieniu poufności, integralności i rozliczalności przetwarzania danych w formie elektronicznej w ramach systemu informatycznego i w formie tradycyjnej papierowej.

  1. Zasady:

  1. ochrony danych osobowych przetwarzanych w formie elektronicznej,

  2. ochrony systemu informatycznego służącego do przetwarzania danych osobowych w formie elektronicznej,

  3. ochrony oprogramowania systemu informatycznego służącego do przetwarzania danych osobowych w formie elektronicznej.

  1. Ochrona danych osobowych przetwarzanych i zamieszczanych w dokumentach sporządzonych w formie tradycyjnej papierowej odbywa się zgodnie z następującymi zasadami:

  • dane osobowe przetwarzane i zamieszczane w dokumentach sporządzanych w formie papierowej gromadzone są w zbiorach, które stanowią segregatory,

  • zbiory zawierające dane osobowe dokumentów sporządzonych w formie papierowej podlegają przechowywaniu w pomieszczeniach odpowiednio zabezpieczonych,

  • obszary przetwarzania i gromadzenia danych osobowych zamieszczanych w dokumentach sporządzanych w formie papierowej zabezpiecza się przed dostępem osób postronnych, a ich przebywanie na tym obszarze może nastąpić za zgodą właściciela Firmy,

  • Sposób postępowania z kluczami do pomieszczeń należących do obszaru przetwarzania i gromadzenia danych osobowych.

  1. W zakresie nadawania prawa dostępu do systemu informatycznego i przetwarzania danych osobowych obowiązują następujące procedury:

  • do przetwarzania danych osobowych i obsługi systemu informatycznego dopuszczeni jest tylko właściciel Firmy oraz osoby upoważnione,

  • upoważnienia do przetwarzania danych osobowych i obsługi systemu informatycznego wydawane są w Firmie na podstawie umów ( jakich, o pracę, zleceń etc.),

  • ewidencję osób upoważnionych do przetwarzania danych osobowych i obsługi systemu informatycznego, prowadzi właściciel Firmy

  • ewidencja powinna zawierać następujące dane:

    • imię i nazwisko osoby upoważnionej,

    • wskazanie stanowiska pracy, w której użytkownik wykonuje zadania na rzecz Firmy.

  1. Ochrona obszaru, w którym przetwarzane są dane osobowe odbywa się w następujący sposób:

  • pomieszczenie właściciela Firmy wyposażone jest w czujki alarmowe
    (z interwencją ochrony), z kodem zabezpieczającym,

  • wszystkie pomieszczenia posiadają czujki ruchu aktywujące alarm,

  • sygnalizacja alarmu objęta jest całodobowym monitoringiem,

  • system alarmowy powinien być objęty stałym nadzorem specjalistycznym, a czujki okresowo sprawdzane.

  1. Ochrona fizyczna budynków i pomieszczeń, w których przetwarzane są dane osobowe, odbywa się w następujący sposób:

  • wejście do budynku odbywa się poprzez domofon, do budynku można się dostać tylko posiadając klucz lub kod wejściowy,

  • pomieszczenie Firmy, w której przetwarzane są dane osobowe, powinny być zabezpieczone w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym, w czasie nieobecności osób, które posiadają upoważnienie do przetwarzania tych danych,

  • pomieszczenia Firmy, w którym przetwarzane są dane osobowe, muszą posiadać, co najmniej następujące zabezpieczenia:

    • drzwi do pomieszczeń powinny być zamykane na klucz,

    • dokumenty z danymi osobowymi po zakończeniu pracy powinny być chowane w biurkach, szafach lub sejfach zamykanych na klucz, a klucze od nich należy przechowywać w szufladzie zamykanej na zamek,

    • Pomieszczenie powinno podlegać ochronie i/lub monitorowaniu w systemie 24 godzinnym.

  • pomieszczenie biurowe tworzące obszar, w którym przetwarzane są dane osobowe są miejscem podlegającymi szczególnej ochronie, a zatem po godzinach pracy drzwi wejściowe do tego pomieszczenia powinny być bezwzględnie zamykane przez ostatnią kończącą pracę osobę, która posiada upoważnienie do przetwarzania tych danych,

  • klucze do drzwi wejściowych pomieszczeń biurowych tworzących obszary,

    w których przetwarzane są dane osobowe, przechowywane są przez właściciela Firmy

  1. Szkolenia z zakresu danych osobowych:

  • każdy użytkownik powinien mieć świadomość zagrożeń wpływających na bezpieczeństwo przetwarzania danych osobowych w Firmie,

  • każda nowa osoba, której powierzono wykonywanie zadań na rzecz Firmy powinna być zapoznana z ogólnymi zasadami i przepisami dotyczącymi bezpieczeństwa przetwarzania danych osobowych w Firmie, a szczególnie wynikających z norm prawa o ochronie danych osobowych i niniejszej polityki,

  • w miarę potrzeby należy przeprowadzać szkolenia z udziałem osób, którym powierzono wykonywanie zadań na rzecz Firmy, omawiając problematykę bezpieczeństwa danych osobowych w Firmy, ze szczególnym uwzględnieniem nowych uregulowań prawnych, które powinny zorientować te osoby w skali zagrożeń oraz uświadomić rangę zabezpieczeń, zwłaszcza stosowanych na poziomie użytkownika oraz informować o grożących konsekwencjach w sytuacjach lekceważenia zasad bezpieczeństwa przy przetwarzaniu danych osobowych w Firmie.

§ 8

  1. Naruszenie przepisów o ochronie danych osobowych jest zagrożone sankcjami karnymi wynikającymi z Nowej Ustawy o Ochronie Danych Osobowych oraz z art. 130, 266 – 269, 287 Kodeksu Karnego, jak również sankcjami finansowymi.

  2. Niezależnie od odpowiedzialności przewidzianej w przepisach wskazanych w ust. 1, naruszenie zasad ochrony danych osobowych obowiązujących w Firmie może zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych i skutkować odpowiedzialnością dyscyplinarną przewidzianą w kodeksie pracy w przypadku pracowników względnie rozwiązaniem umowy zawartej z osobą, której powierzono wykonywanie zadań na rzecz Firmy na podstawie innego tytułu niż umowa o pracę.

§ 9

  1. Udostępniane danych osobowych poza siedzibę Firmy może odbywać się tylko za zgodą właściciela Firmy

  2. Udostępnianie danych osobowych kontrahentom Firmy może następować wyłącznie w realizacji zawartych z nimi umów lub porozumień, w których powinny być zamieszczone klauzule zobowiązujące ich do skutecznej należytej ochrony udostępnionych im danych osobowych oraz przetwarzania ich wyłącznie do celów określonych w umowie lub porozumieniu i w sposób zgodny z obowiązującymi przepisami prawa.

§ 10

  1. Przez naruszenie ochrony danych osobowych w Firmie rozumie się:

  1. stwierdzone naruszenie zabezpieczenia elektronicznego systemu informatycznego,

  2. sytuacje, w których stan urządzeń, zawartość zbioru danych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci telekomunikacyjnej mogą wskazywać na naruszenie zabezpieczenia danych,

  3. stwierdzone naruszenie zabezpieczenia dokumentacji w formie papierowej, zaginięcie dokumentu, próba jego powielenia, samowolnego wyniesienia poza teren Firmy względnie udostępnienia w sposób niezgodny z upoważnieniem,

  4. udostępnienie danych osobom nieupoważnionym, zabieranie nośników zawierających dane osobowe przez osoby nieuprawnione, przetwarzanie danych z naruszeniem norm prawa z zakresu ochrony danych osobowych oraz ich zmianę, utratę, uszkodzenie lub zniszczenie,

  5. naruszenie dostępu do pomieszczeń, w których są przechowywane lub przetwarzane dane osobowe.

  1. Każda osoba, której powierzono wykonywanie zadań na rzecz Firmy, a w szczególności osoba, która posiada upoważnienie do przetwarzania danych osobowych jest obowiązana niezwłocznie powiadomić o zaistniałym przypadku naruszenia ochrony danych osobowych w Firmie od spraw bezpieczeństwa ochrony danych osobowych.

  1. O przypadku naruszenia ochrony danych osobowych w Firmie właściciel jest obowiązany:

  1. zarejestrować fakt naruszenia danych osobowych poprzez sporządzenie notatki z podaniem miejsca, daty i przypuszczalnego zakresu ich naruszenia,

  2. podjąć natychmiastowe działania zmierzające do usunięcia stwierdzonych naruszeń,

  3. ustalić osobę odpowiedzialną za zaistniałą sytuację,

  4. przeprowadzić analizę aktualnego sposobu zabezpieczenia danych,

  5. przedstawić propozycję naprawy systemu, która uniemożliwi w przyszłości naruszenie danych osobowych na obszarze ich przetwarzania,

  6. wyłączyć z użytku pomieszczenie, w którym doszło do naruszenia ochrony danych osobowych, do momentu usunięcia przyczyn tego naruszenia,

  7. w przypadku naruszenia danych w systemie informatycznym ustala się zakres naruszenia danych elektronicznych z równoczesnym blokowaniem ścieżki naruszenia ochrony (sieć, końcówka, konto użytkownika) do momentu ustalenia przyczyn naruszenia i ich usunięcia.

§ 11

  1. Zgłoszenie naruszenia danych osobowych do organów nadzorczych dochodzi wtedy, gdy doszło do naruszenia praw i wolności osób fizycznych, zgodnie z art. 33 RODO

  2. Każdy pracownik Firmy oraz inna osoba zobowiązana do przestrzegania Polityki Bezpieczeństwa Ochrony Danych Osobowych, która była świadkiem lub otrzymała informację o naruszeniu danych osobowych w podmiocie niezwłocznie jest zobowiązana do powiadomienia Administratora Danych Osobowych o zdarzeniu, podać wszelkie istotne informacje mogące pomóc w ustaleniu przyczyny naruszenia zasad ochrony danych osobowych.

  3. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi Danych Osobowych.

  4. W przypadku stwierdzenia wystąpienia incydentu naruszenia ochrony danych osobowych, administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki – jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by to naruszenie danych osobowych mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można wnieść zgłoszenia w terminie 72 godzin, powinno mu towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki.

  5. Administrator Danych Osobowych zobowiązany jest do prowadzenia rejestru incydentów zgodnie z wzorem stanowiącym załącznik nr 9 do niniejszej instrukcji.

§ 12

Zarządzanie przetwarzaniem danych osobowych w Firmie należy do:

  1. Właściciela Firmy

§ 13

  1. Właściciel Firmy jako Administrator danych osobowych w Firmie zobowiązany jest do udzielania upoważnień do przetwarzania danych osobowych i obsługi systemu informatycznego,

  2. Prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych i obsługi systemu informatycznego.

  3. Opracowywanie wytycznych mających zastosowanie przy wdrażaniu i doskonaleniu niniejszej polityki oraz nadzór nad jej przestrzeganiem.

  4. Nadzór nad fizycznym zabezpieczeniem pomieszczeń Firmy, w których przetwarzane są dane osobowe.

  5. Nadzór i kontrola nad przestrzeganiem w Firmie obowiązków wynikających z przepisów norm prawa z zakresu danych osobowych.

  6. Zapewnienie dostępu do przetwarzania danych osobowych wyłącznie przez osoby upoważnione mogące wykonywać wyłącznie uprawnione operacje.

  7. Szkolenia osób dopuszczonych do przetwarzania danych osobowych, w tym ich zaznajamianie i szkolenie z przepisami prawa z zakresu ochrony danych osobowych i postanowieniami zawartymi w niniejszej polityce oraz odbieranie od nich oświadczeń o odbyciu takiego szkolenia.

  8. Prowadzenie rejestru osób dopuszczonych do przetwarzania danych osobowych,

  9. Nadzór nad przekazywaniem danych osobowych na zewnątrz Firmy.

  10. Tworzenie Ocenę skutków dla ochrony danych tzw. Analiza ryzyka przetwarzania danych osobowych, - ponieważ ryzyko utraty danych wiąże się zarówno po stronie informatycznej oraz tradycyjnej, ocena ryzyka ma wpływ na podejmowanie decyzji, które mogą wpłynąć na funkcjonowanie zakładu.

§ 14

  1. Administrator Danych Osobowych odpowiedzialny jest za administrowanie  systemem informatycznym przetwarzającym dane osobowe zgodnie z zasadami niniejszej polityki.

 

§ 15

  1. Treść polityki jest aktualizowana w przypadku wprowadzenia lub zmiany środków technicznych lub organizacyjnych służących ochronie danych osobowych zawartych w systemach elektronicznych oraz zamieszczonych w dokumentach sporządzanych w formie papierowej przy użyciu tradycyjnych środków pisarskich.

ROZDZIAŁ III

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Niniejsza Instrukcja zarządzania systemem informatycznym stanowi załącznik do obowiązującej Polityki Bezpieczeństwa Ochrony Danych Osobowych i obejmuje swoim zakresem wszystkie osoby biorące udział w procesie przetwarzania danych osobowych w systemach informatycznych. Obszarem przetwarzania danych osobowych przez Administratora Danych osobowych jest pomieszczenie firmy Sylwia Pacura MISS QUOTE, do których dostęp ma właściciel Firmy, oraz osoby wykonujące na jej rzecz usługi na podstawie umowy lub innej formy zatrudnienia.

Adres biura: ul. Halicka 10/11 lok.203, 31-036 Kraków

§ 16

  1. W skład systemu informatycznego Firmy Sylwia Pacura MISS QUOTE wchodzą:

  1. sieć radiowa ( Internet od lokalnego dostawcy ),

  2. 2 stanowiska komputerowe (obejmujące jeden komputer stacjonarny), oraz jeden laptop właściciela Firmy

  3. oprogramowanie systemowe,

  4. aplikacje i programy użytkowe,

  5. urządzenia awaryjnego zasilania,

  6. system kont pocztowych,

  7. strona WWW.

  1. Oprogramowanie systemowe zainstalowane na stanowiskach komputerowych podlega ochronie polegającej na:

    1. instalacji oprogramowania antywirusowego (o ile to jest możliwe),

    2. instalacji aktualizacji.

Administrator Systemu Informatycznego stosuje hasła dostępu o dużym stopniu skomplikowania ( litery, cyfry, znaki duże i małe, minimum 10 znaków), jak również on ma tylko możliwość ingerowania w system, samodzielnego instalowaniu bądź usuwaniu elementów składowych systemu.

  1. System kont pocztowych, jak i strona WWW znajdują się na serwerze zewnętrznym. Administratorem kont pocztowych, jak również strony WWW jest właściciel Firmy Sylwia Pacura MISS QUOTE. Zabrania się umieszczania na stronie WWW jakichkolwiek danych osobowych. Dane osobowe mogą być przekazywane przy użyciu kont pocztowych tylko w sposób zaszyfrowany.

  2. Dane osobowe przetwarzane są w systemie informatycznym w celu realizacji zadań wynikających z profilu Firmy oraz innych przepisów odnoszących się do jej działalności.

  3. Zabrania się kopiowania i przenoszenia danych osobowych na nośnikach nie należących do Firmy – (nośniki prywatne, telefony prywatne itp.)

  4. Do podstawowych zadań Administratora Systemu Informatycznego należy w szczególności:

  1. zapewnianie awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych osobowych w Firmie,

  2. nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych, na których zapisane są dane osobowe,

  3. nadzór nad czynnościami związanymi ze sprawdzaniem systemu informatycznego pod kątem obecności wirusów komputerowych, częstotliwości ich sprawdzania oraz nadzorowanie uaktualniania systemów antywirusowych i ich konfiguracji,

  4. nadzór nad wykonywaniem kopii zabezpieczających, ich przechowywaniem oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności do odtwarzania danych,

  5. nadzór nad przeglądami, konserwacjami oraz uaktualnianiem obsługiwanego systemu informatycznego w Firmie oraz wszelkimi czynnościami administracyjnymi wykonywanymi na bazach danych osobowych.

  1. Stanowiska komputerowe stanowiące wyposażenie stanowisk pracy podlegają ochronie przed dostępem osób nieupoważnionych, oraz jakimkolwiek modyfikacjom istniejącego oprogramowania bez zgody Administratora Systemu Informatycznego.

  2. Oprogramowanie zainstalowane podlega szczególnej ochronie polegającej na:

  1. instalacji oprogramowania antywirusowego,

  2. pełnej kontroli dostępu użytkowników systemu,

  3. wykonywania kopii bezpieczeństwa systemu,

  4. aktualizacji systemu,

  5. okresowemu przeglądowi.

§ 17

  1. Administratorem Systemu Informatycznego w Firmie Sylwia Pacura MISS QUOTE jest właściciel Firmy, do których należą takie zadania jak:

  1. zapewnienie awaryjnego zasilania komputerów, oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych w Firmie,

  2. nadzór nad naprawami, przeglądami, konserwacją, oraz usunięciem uszkodzonych urządzeń na których zapisane są dane osobowe,

  3. bezpośredni nadzór nad systemem informatycznym pod kątem obecności wirusów komputerowych, oraz prawidłowa pracą sieci komputerowej,

  4. zarządzanie hasłami użytkowników,

  5. nadzór nad wykonywaniem kopii zapasowych, oraz ich przechowywanie

  6. bieżący monitoring oraz zapewnienie ciągłości działania obsługiwanego systemu informatycznego,

  7. instalacja i konfigurowanie sprzętu sieciowego, oraz oprogramowania przy współpracy z dostawcami tego sprzętu,

  8. prowadzenie ewidencji użytkowników systemu informatycznego, która powinna zawierać następujące dane:

    1. imię i nazwisko osoby upoważnionej

    2. stanowisko

§ 18

  1. Użytkownikiem Systemu Informatycznego mogą być tylko właściciel Firmy Sylwia Pacura MISS QUOTE, oraz osoby posiadające upoważnienie do przetwarzania danych osobowych.

  2. Każdy nowy użytkownik systemu informatycznego przed uzyskaniem dostępu do systemu informatycznego musi zostać przeszkolony z zakresu jego obsługi.

  3. Do podstawowych obowiązków użytkownika systemu informatycznego należy:

    1. przestrzeganie zapisów polityki bezpieczeństwa ochrony danych osobowych wraz z niniejszą instrukcją,

    2. zmiana hasła dostępu co 30 dni,

    3. zabezpieczenie danych przed ich nieupoważnionym wykorzystaniem,

    4. zabezpieczenie stanowiska pracy odpowiednim hasłem dostępu, oraz wylogowanie po zakończeniu pracy,

    5. zabezpieczenia pomieszczenia, w którym przetwarzane są dane osobowe przed dostępem osób nieupoważnionych,

    6. zgłaszanie naruszeń dostępu do systemu,

    7. prowadzenie ewidencji udostępnień danych osobowych w formie elektronicznej.

  4. Zabrania się użytkownikom:

  1. dokonywania samodzielnej modyfikacji sprzętu, oprogramowania, bez zgody Administratora systemu informatycznego,

  2. przyłączania do gniazd sieci urządzeń, oraz ich zmiany lokalizacji bez zgody Administratora systemu informatycznego,

  3. otwierania załączników i wiadomości poczty elektronicznej od nieznanych i nie zaufanych nadawców.

§ 19

  1. Dane osobowe w systemie informatycznym są zabezpieczone za pomocą:

    1. urządzeń zabezpieczających przed awarią zasilania lub zakłóceniami w sieci,

    2. sporządzania kopii zapasowych co najmniej raz w miesiącu.

  2. Za tworzenie kopii bezpieczeństwa systemu informatycznego odpowiedzialny jest Administrator Systemu Informatycznego lub wyznaczona przez niego osoba.

  3. Kopie zapasowe należy sukcesywnie sprawdzać pod kątem ich przydatności do odtworzenia w przypadku awarii systemu.

  4. Kopie zapasowe powinny być przechowywane w innych pomieszczeniach niż dane osobowe, oraz zabezpieczone przed zniszczeniem i temperaturą.

  5. Dostęp do nośników z kopiami zapasowymi systemu, oraz kopiami danych osobowych ma wyłącznie Administrator Danych Osobowych i Systemu Informatycznego.

§ 20

Do naruszenia bezpieczeństwa ochrony danych możemy zaliczyć:

  1. próbę błędnego logowania do systemu przetwarzającego dane,

  2. próbę nieautoryzowanego dostępu do bazy danych,

  3. próbę wynoszenia danych na nośnikach pamięci,

  4. pozostawienie dokumentacji zawierającej dane osobowe w miejscach nie chronionych,

  5. wysyłanie przez osoby nieupoważnione dokumentów, informacji zawierające dane osobowe za pośrednictwem poczty elektronicznej.

Wykaz załączników:

  1. Uchwała Spółki o wprowadzeniu Polityki Bezpieczeństwa Ochrony Danych Osobowych w Firmie Sylwia Pacura MISS QUOTE

  2. Wykaz pomieszczeń gdzie przetwarzane są dane osobowe

  3. Rejestr czynności przetwarzania danych osobowych

  4. Rejestr kategorii czynności przetwarzania osobowych

  5. Instrukcja naruszenia bezpieczeństwa ochrony danych osobowych

  6. Wzór upoważnienia do przetwarzania danych osobowych

  7. Wzór umowy powierzenia danych osobowych

  8. Rejestr incydentów naruszenia ochrony danych osobowych