RODO

 

 

 

 POLITYKA BEZPIECZEŃSTWA 

TSR POLAND SP. Z O.O. 

 

1. PODSTAWA PRAWNA DOKUMENTU 

Niniejszy dokument został opracowany na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO). 

 

2. CEL POLITYKI BEZPIECZEŃSTWA 

Niniejszy dokument ma na celu określenie zasad oraz wymagań w zakresie gromadzenia i przetwarzania danych osobowych, których administratorem jest spółka. Dokument ten ma zabezpieczyć prawidłowość przetwarzania danych i zapewnić zgodność tych czynności z wymaganiami przepisów prawa. 

 

3. DEFINICJE 

3.1. Administrator   Danych  - TSR Poland sp. z o.o. (dalej również jako Spółka), Ul. Budowlanych 6/1A, 41-303 Dąbrowa Górnicza, NIP: 5562722971, REGON: 3407997580, wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy Katowice-Wschód w Katowicach, VIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000364086, kapitał zakładowy 2 000 000,00 zł. 

 

3.2. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (osoby, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne), 

 

3.3. Informatyczne nośniki danych – materiały lub urządzenia służące do zapisywania, przechowywania i odczytywania danych osobowych w postaci cyfrowej lub analogowej, 

 

3.4. Integralność danych – właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, 

 

3.5. Poufność danych – właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom, 

 

3.6. Przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie udostępnianie i usuwanie, a zwłaszcza te które wykonuje się w systemach informatycznych, 

 

3.8. Zbiór danych – każdy uporządkowany zestaw danych o charakterze osobowym, dostępny według określonych kryteriów 

 

3.9. RODO - Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE 

 

3.10. Pseudonimizacja – przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, które dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. 

 

3.11. Państwo trzecie – państwo nienależące do Europejskiego Obszaru Gospodarczego. 

 

3.12. Profilowanie - dowolna forma zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. 

 

3.13. Pracownik – osoba fizyczna zatrudniona w Spółce 

 

3.14. Organ Nadzorczy - Niezależny organ publiczny ustanowiony przez państwo członkowskie UE zgodnie z art. 51 RODO, który odpowiedzialny jest za monitorowanie stosowania RODO w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w UE; w Polsce Prezes Urzędu Ochrony Danych Osobowych. 

 

 

 

 

4. ZAKRES STOSOWANIA POLITYKI BEZPIECZEŃSTWA 

 

1. Dla skutecznej realizacji niniejszej polityki Administrator stosuje odpowiednie zabezpieczenia dla: 

  1. sprzętu komputerowego – serwer, komputery osobiste (w tym laptopy) i inne urządzenia zewnętrzne, 

  1. oprogramowania, 

  1. danych osobowych zapisanych na informatycznych nośnikach danych oraz danych  przetwarzanych w systemach informatycznych, 

  1. haseł użytkowników, 

  1. baz danych i kopii zapasowych, 

  1. wydruków, 

  1. przetwarzania danych za pomocą dokumentacji papierowej. 

 

Stosowane zabezpieczenia zapewniają kontrolę i nadzór nad Przetwarzaniem danych osobowych oraz reakcję na naruszenia przepisów prawa. 

 

2. Do elementów zabezpieczenia danych osobowych przez Spółkę zalicza się: 

  1. stosowane metody ochrony pomieszczeń, w których przetwarzane są dane osobowe (zabezpieczenia fizyczne), 

  1. odpowiednie środki zabezpieczenia danych w systemach informatycznych (zabezpieczenia techniczne), 

  1. nadzór administratora danych nad wprowadzonymi zasadami i procedurami zabezpieczenia danych (zabezpieczenie organizacyjne), 

  1. bezpieczeństwo osobowe. 

 

  1. zabezpieczenia fizyczne obejmują: 

- wydzielenie obszaru przetwarzania danych, 

- samodzielny dostęp do pomieszczeń jest możliwy wyłącznie dla osób upoważnionych, wstęp osób postronnych jest możliwy jedynie podczas obecności osób upoważnionych, 

- przechowywanie dokumentów w wersji papierowej w specjalnie do tego celu przeznaczonych pomieszczeniach, w zamykanych na klucz szafach, 

 

  1. zabezpieczenia techniczne obejmują: 

- systemy informatyczne zastosowane do przetwarzania danych osobowych spełniają wymagania określone w RODO, 

- w systemach informatycznych obowiązują zabezpieczenia na odpowiednim poziomie, 

- zastosowano mechanizmy kontroli dostępu do systemów informatycznych i ich zasobów; uprawnienia są różne dla różnych grup użytkowników, 

- zastosowano odpowiednie i regularnie aktualizowane narzędzia ochronne, w tym oprogramowanie antywirusowe, które jest regularnie aktualizowane, 

- system informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych i logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem, 

- tworzone są regularnie kopie zapasowe zbiorów danych przetwarzanych w systemach informatycznych oraz kopie programów służących do przetwarzania danych osobowych, 

- zastosowano zabezpieczenia systemu przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej (listwy przeciwzakłóceniowe), 

 

  1. zabezpieczenia organizacyjne obejmują: 

- osobą odpowiedzialną za bezpieczeństwo danych osobowych jest administrator danych, który opracowuje i aktualizuje Politykę bezpieczeństwa,  

- pracownicy, którzy na bieżąco kontrolują pracę systemu informatycznego z należytą starannością, zgodnie z aktualnie obowiązującą w tym zakresie wiedzą, o zaobserwowanych nieprawidłowościach informują administratora danych lub wyznaczoną przez niego osobę; 

- osoby upoważnione do przetwarzania danych osobowych mające dostęp do danych osobowych, które są w dyspozycji Spółki, zobowiązane są do utrzymywania w tajemnicy danych osobowych i sposobów ich zabezpieczenia, również po odwołaniu z określonego stanowiska, a także po ustaniu zatrudnienia; w tym celu osoby te podpisują oświadczenie o utrzymywaniu w tajemnicy danych osobowych i sposobów ich zabezpieczenia, 

- Przetwarzanie danych osobowych może być wykonywane wyłącznie przez osoby, które zostały upoważnione do przetwarzania danych osobowych, 

- Osoby przetwarzające dane osobowe zostały upoważnione do przetwarzania danych osobowych poprzez wpisanie określonych kompetencji do zakresu obowiązków na danym stanowisku.  

 

  1. zabezpieczenie osobowe 

- należy stosować klauzulę o zachowaniu poufności danych osobowych w umowach o pracę oraz w umowach ze zleceniobiorcami, z którymi związane jest przetwarzanie danych osobowych; 

- wprowadza się obowiązek raportowania do administratora danych wszelkich naruszeń (incydentów), zauważonych podatności i innych słabych punktów oraz przypadków błędnego działania sprzętu  i oprogramowania. 

 

5. DANE OSOBOWE PRZETWARZANE U ADMINISTRATORA 

 

1. Dane osobowe przetwarzane przez Administratora Danych gromadzone są w zbiorach danych. 

2. Administrator Danych nie podejmuje czynności przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator Danych wykona czynności określone w art. 35 i nast. RODO. 

3. W przypadku planowania nowych czynności przetwarzania Administrator Danych dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony danych w fazie ich projektowania. 

4. Administrator Danych prowadzi rejestr czynności przetwarzania.  

 

 

6. OBOWIĄZKI I ODPOWIEDZIALNOŚĆ W ZAKRESIE ZARZĄDZANIA BEZPIECZEŃSTWEM 

 

1. Wszystkie osoby zobowiązane są do przetwarzania danych osobowych zgodnie z obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Danych Polityką Bezpieczeństwa. 

2. Wszystkie dane osobowe w Spółce są przetwarzane z poszanowaniem zasad przetwarzania przewidzianych przez przepisy prawa: 

a) W każdym wypadku występuje chociaż jedna z przewidzianych  przepisami prawa podstaw dla przetwarzania danych. 

b) Dane są przetwarzane rzetelnie i w sposób przejrzysty. 

c) Dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. 

d) Dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu przetwarzania danych. 

e) Dane osobowe są prawidłowe i w razie potrzeby uaktualniane. 

f) Czas przechowywania danych jest ograniczony do okresu ich przydatności do celów, do których zostały zebrane, a po tym okresie są one anonimizowane bądź usuwane. 

g) Wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie z treścią art. 13 i 14 RODO. 

h) Dane są zabezpieczone przed naruszeniami zasad ich ochrony. 

3. Administrator danych nie przekazuje osobom, których dane dotyczą,     informacji w sytuacji, w której dane te muszą zostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej (art. 14 ust 5 pkt d RODO). 

4. Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony Danych osobowych uważa się w szczególności: 

a) naruszenie bezpieczeństwa Systemów informatycznych, w których przetwarzane są dane osobowe, w razie ich przetwarzania w takich systemach; 

b) udostępnianie lub umożliwienie udostępniania danych osobom lub podmiotom do tego nieupoważnionym; 

c) zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia danym osobowym ochrony; 

d) niedopełnienie obowiązku zachowania w tajemnicy Danych osobowych oraz sposobów ich zabezpieczenia; 

e) przetwarzanie Danych osobowych niezgodnie z założonym zakresem i celem ich zbierania; 

f) spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie Danych osobowych; 

g) naruszenie praw osób, których dane są przetwarzane. 

5. W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych Użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego powiadomienia Administratora Danych, 

6. Do obowiązków Administratora Danych w zakresie zatrudniania, zakończenia lub zmiany warunków zatrudnienia pracowników lub współpracowników (osób podejmujących czynności na rzecz Administratora Danych na podstawie innych umów cywilnoprawnych) należy dopilnowanie, by: 

a) pracownicy byli odpowiednio przygotowani do wykonywania swoich obowiązków, 

b) każdy z przetwarzających Dane osobowe był pisemnie upoważniony do przetwarzania zgodnie z „Upoważnieniem do przetwarzania danych osobowych”. 

c) każdy pracownik zobowiązał się do zachowania przetwarzanych danych osobowych w tajemnicy. 

7. Pracownicy zobowiązani są do: 

a) ścisłego przestrzegania zakresu nadanego upoważnienia; 

b) przetwarzania i ochrony danych osobowych zgodnie z przepisami; 

c) zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia; 

d) zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu. 

 

7. OBSZAR PRZETWARZANIA DANYCH OSOBOWYCH  

 

1. Obszar, w którym przetwarzane są Dane osobowe na terenie Spółki obejmuje pomieszczenia zlokalizowane w siedzibie Spółki tj. Budowlanych 6/1A, Dąbrowa Górnicza  

2. Dodatkowo obszar, w którym przetwarzane są Dane osobowe, stanowią wszystkie komputery przenośne oraz inne nośniki danych znajdujące się poza obszarem wskazanym powyżej. 

 

8. NARUSZENIA ZASAD OCHRONY DANYCH OSOBOWYCH 

 

1. W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator Danych dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. 

2. W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator Danych zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – jeżeli jest to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.  

3. Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator Danych zawiadamia o incydencie także osobę, której dane dotyczą. 

 

 

 

 

9. POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH 

 

1. Administrator Danych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO. 

2. Przed powierzeniem przetwarzania danych osobowych Administrator Danych w miarę możliwości uzyskuje informacje o dotychczasowych praktykach procesora dotyczących zabezpieczenia danych osobowych.  

 

10. PRZEKAZYWANIE DANYCH DO PAŃSTWA TRZECIEGO 

 

Administrator Danych nie będzie przekazywał danych osobowych do państwa trzeciego lub organizacji międzynarodowej, poza sytuacjami w których następuje to na wniosek osoby, której dane dotyczą. 

Zapewniamy, że w takiej sytuacji przekazywanie danych będzie odbywać się w oparciu  
o odpowiednie zabezpieczenia prawne, którymi są standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską. 

Przekazywane dane związane są tylko i wyłącznie z życiem zawodowym Pracownika, a więc będą dotyczyć informacji takich jak: 

  • Imię i nazwisko Pracownika. 

  • Stanowisko służbowe Pracownika. 

  • Służbowy adres poczty elektronicznej Pracownika. 

  • Numer telefonu służbowego Pracownika. 

 

 

 

 

11. POSTANOWIENIA KOŃCOWE 

 

Za niedopełnienie obowiązków wynikających z niniejszego dokumentu pracownik ponosi odpowiedzialność na podstawie Kodeksu pracy oraz Przepisów o ochronie danych osobowych.