POLITYKA BEZPIECZEŃSTWA 

TSR POLAND SP. Z O.O. 

1. PODSTAWA PRAWNA DOKUMENTU 

Niniejszy dokument został opracowany na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO). 

2. CEL POLITYKI BEZPIECZEŃSTWA 

Niniejszy dokument ma na celu określenie zasad oraz wymagań w zakresie gromadzenia i przetwarzania danych osobowych, których administratorem jest spółka. Dokument ten ma zabezpieczyć prawidłowość przetwarzania danych i zapewnić zgodność tych czynności z wymaganiami przepisów prawa. 

3. DEFINICJE 

3.1. Administrator   Danych  - TSR Poland sp. z o.o. (dalej również jako Spółka), Ul. Budowlanych 6/1A, 41-303 Dąbrowa Górnicza, NIP: 5562722971, REGON: 3407997580, wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy Katowice-Wschód w Katowicach, VIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000364086, kapitał zakładowy 2 000 000,00 zł. 

3.2. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (osoby, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne), 

3.3. Informatyczne nośniki danych – materiały lub urządzenia służące do zapisywania, przechowywania i odczytywania danych osobowych w postaci cyfrowej lub analogowej, 

3.4. Integralność danych – właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, 

3.5. Poufność danych – właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom, 

3.6. Przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie udostępnianie i usuwanie, a zwłaszcza te które wykonuje się w systemach informatycznych, 

3.8. Zbiór danych – każdy uporządkowany zestaw danych o charakterze osobowym, dostępny według określonych kryteriów 

3.9. RODO - Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE 

3.10. Pseudonimizacja – przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, które dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. 

3.11. Państwo trzecie – państwo nienależące do Europejskiego Obszaru Gospodarczego. 

3.12. Profilowanie - dowolna forma zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. 

3.13. Pracownik – osoba fizyczna zatrudniona w Spółce 

3.14. Organ Nadzorczy - Niezależny organ publiczny ustanowiony przez państwo członkowskie UE zgodnie z art. 51 RODO, który odpowiedzialny jest za monitorowanie stosowania RODO w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w UE; w Polsce Prezes Urzędu Ochrony Danych Osobowych. 

4. ZAKRES STOSOWANIA POLITYKI BEZPIECZEŃSTWA 

1. Dla skutecznej realizacji niniejszej polityki Administrator stosuje odpowiednie zabezpieczenia dla: 

5. DANE OSOBOWE PRZETWARZANE U ADMINISTRATORA 

1. Dane osobowe przetwarzane przez Administratora Danych gromadzone są w zbiorach danych. 

2. Administrator Danych nie podejmuje czynności przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator Danych wykona czynności określone w art. 35 i nast. RODO. 

3. W przypadku planowania nowych czynności przetwarzania Administrator Danych dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony danych w fazie ich projektowania. 

4. Administrator Danych prowadzi rejestr czynności przetwarzania.  

6. OBOWIĄZKI I ODPOWIEDZIALNOŚĆ W ZAKRESIE ZARZĄDZANIA BEZPIECZEŃSTWEM 

1. Wszystkie osoby zobowiązane są do przetwarzania danych osobowych zgodnie z obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Danych Polityką Bezpieczeństwa. 

2. Wszystkie dane osobowe w Spółce są przetwarzane z poszanowaniem zasad przetwarzania przewidzianych przez przepisy prawa: 

a) W każdym wypadku występuje chociaż jedna z przewidzianych  przepisami prawa podstaw dla przetwarzania danych. 

b) Dane są przetwarzane rzetelnie i w sposób przejrzysty. 

c) Dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. 

d) Dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu przetwarzania danych. 

e) Dane osobowe są prawidłowe i w razie potrzeby uaktualniane. 

f) Czas przechowywania danych jest ograniczony do okresu ich przydatności do celów, do których zostały zebrane, a po tym okresie są one anonimizowane bądź usuwane. 

g) Wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie z treścią art. 13 i 14 RODO. 

h) Dane są zabezpieczone przed naruszeniami zasad ich ochrony. 

3. Administrator danych nie przekazuje osobom, których dane dotyczą,     informacji w sytuacji, w której dane te muszą zostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej (art. 14 ust 5 pkt d RODO). 

4. Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony Danych osobowych uważa się w szczególności: 

a) naruszenie bezpieczeństwa Systemów informatycznych, w których przetwarzane są dane osobowe, w razie ich przetwarzania w takich systemach; 

b) udostępnianie lub umożliwienie udostępniania danych osobom lub podmiotom do tego nieupoważnionym; 

c) zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia danym osobowym ochrony; 

d) niedopełnienie obowiązku zachowania w tajemnicy Danych osobowych oraz sposobów ich zabezpieczenia; 

e) przetwarzanie Danych osobowych niezgodnie z założonym zakresem i celem ich zbierania; 

f) spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie Danych osobowych; 

g) naruszenie praw osób, których dane są przetwarzane. 

5. W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych Użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego powiadomienia Administratora Danych, 

6. Do obowiązków Administratora Danych w zakresie zatrudniania, zakończenia lub zmiany warunków zatrudnienia pracowników lub współpracowników (osób podejmujących czynności na rzecz Administratora Danych na podstawie innych umów cywilnoprawnych) należy dopilnowanie, by: 

a) pracownicy byli odpowiednio przygotowani do wykonywania swoich obowiązków, 

b) każdy z przetwarzających Dane osobowe był pisemnie upoważniony do przetwarzania zgodnie z „Upoważnieniem do przetwarzania danych osobowych”. 

c) każdy pracownik zobowiązał się do zachowania przetwarzanych danych osobowych w tajemnicy. 

7. Pracownicy zobowiązani są do: 

a) ścisłego przestrzegania zakresu nadanego upoważnienia; 

b) przetwarzania i ochrony danych osobowych zgodnie z przepisami; 

c) zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia; 

d) zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu. 

7. OBSZAR PRZETWARZANIA DANYCH OSOBOWYCH  

1. Obszar, w którym przetwarzane są Dane osobowe na terenie Spółki obejmuje pomieszczenia zlokalizowane w siedzibie Spółki tj. Budowlanych 6/1A, Dąbrowa Górnicza  

2. Dodatkowo obszar, w którym przetwarzane są Dane osobowe, stanowią wszystkie komputery przenośne oraz inne nośniki danych znajdujące się poza obszarem wskazanym powyżej. 

8. NARUSZENIA ZASAD OCHRONY DANYCH OSOBOWYCH 

1. W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator Danych dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. 

2. W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator Danych zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – jeżeli jest to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.  

3. Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator Danych zawiadamia o incydencie także osobę, której dane dotyczą. 

9. POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH 

1. Administrator Danych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO. 

2. Przed powierzeniem przetwarzania danych osobowych Administrator Danych w miarę możliwości uzyskuje informacje o dotychczasowych praktykach procesora dotyczących zabezpieczenia danych osobowych.