KD KONSTRUKCJE

Polityka prywatności

Karolina Dzikowska KD KONSTRUKCJE
ul. Grunwaldzka, nr 38 lok. 9, 50-356 Wrocław, Poland, NIP 6181880679, REGON 541973962
POLITYKA PRYWATNOŚCI
Karolina Dzikowska KD KONSTRUKCJE

Informacje ogólne
Niniejsze zasady bezpieczeństwa danych osobowych, w dalszej części zwane „Polityką”, określają zasady bezpieczeństwa
przetwarzania danych osobowych, które obowiązują pracowników i współpracowników firmy od nazwą Karolina Dzikowska
KD KONSTRUKCJE, którzy przetwarzają dane osobowe, jak również wyznacza podstawowe ramy przetwarzania danych
osobowych w Karolina Dzikowska KD KONSTRUKCJE.

Niniejsza Polityka Bezpieczeństwa wdrażana jest przez Karolina Dzikowska KD KONSTRUKCJE, zwaną dalej
„Administratorem Danych Osobowych”. Jej opracowanie ma miejsce w związku z wejściem w życie rozporządzenia
Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy
95/46/WE, dalej zwane „RODO”.

Administrator Danych Osobowych, będąc świadomym, iż jest zwolniony z obowiązku rejestracji zbiorów danych, a także posiadania samej Polityki Bezpieczeństwa postanawia wdrożyć niniejszy dokument przy zachowaniu wszelkich standardów wymaganych prawem dla przetwarzania danych osobowych. Opracowanie niniejszego dokumentu wynika ze zrozumienia znaczenia bezpieczeństwa danych we współczesnym świecie.
Głównym celem wprowadzenia Polityki Bezpieczeństwa jest zapewnienie bezpieczeństwa przetwarzanych danych w
strukturze podległej Administratorowi Danych Osobowych oraz dostosowanie organizacji do standardów RODO, ustawy o
ochronie danych osobowych z 2018 r. oraz aktów wykonawczych, a także:
a) zapewnienie prawidłowej ochrony danych osobowych przetwarzanych przez Karolina Dzikowska KD KONSTRUKCJE rozumianej jako ochronę danych przed ich zmianą lub zabraniem przez osobę nieuprawnioną,
przetwarzaniem z naruszeniem obowiązujących przepisów oraz utratą, uszkodzeniem lub zniszczeniem oraz minimalizację ryzyka w obszarze przetwarzania i ochrony danych osobowych;
b) zabezpieczenie przed dostępem do danych osobowych osób nieupoważnionych, na każdym etapie ich przetwarzania;
c) podnoszenie świadomości pracowników w zakresie obowiązków dotyczących ochrony danych osobowych oraz ich pełne zaangażowanie w ochronę danych przetwarzanych w Karolina Dzikowska KD KONSTRUKCJE.

Polityka Bezpieczeństwa została opracowana w oparciu o wytyczne zawarte w następujących aktach prawnych:
a) rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego
przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
b) ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000). W przypadku pytań dotyczących Twoich danych osobowych prosimy o kontakt pod adresem: karolina@kdkon.eu,
Dane kontaktowe Inspektora Ochrony Danych: karolina@kdkon.eu,

Wyjaśnienie terminów używanych w dokumencie

KD KONSTRUKCJE – oznacza Karolina Dzikowska KD KONSTRUKCJE z siedzibą: ul. Grunwaldzka, nr 38 lok. 9, 50-356
Wrocław, Poland, NIP 6181880679, REGON 541973962, e-mail: karolina@kdkon.eu, która świadczy usługi też drogą
elektroniczną.

Usługi – oznaczają usługi świadczone przez KD KONSTRUKCJE drogą elektroniczną, w tym za pośrednictwem strony
internetowej www.kdkon.eu.

Klient – oznacza każdą osobę, na rzecz której mogą być świadczone Usługi.

Operator – podmiot będący przedsiębiorcą, z którego usług Klient korzysta lub zamierza skorzystać, uzyskując dostęp do usług Operatora za pomocą systemów mobilnych lub aplikacji należących do KD KONSTRUKCJE .

RODO – oznacza ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w
sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich
danych oraz uchylenia Dyrektywa 95/46/WE (ogólne rozporządzenie o ochronie danych).

Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,

Przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych lub danych istotnych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,

Poufność danych – właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom.

Instrukcje zarządzania systemami informatycznymi – zespół norm oraz zasad obowiązujących w systemach informatycznych Administratora Danych Osobowych, służące m.in. zapewnieniu bezpieczeństwa oraz poufności danych.

Rozporządzenie – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Osoby odpowiedzialne za ochronę danych osobowych

Osobami odpowiedzialnymi za przetwarzanie danych osobowych oraz ich ochronę zgodnie z postanowieniami Ustawy, RODO, Polityki Bezpieczeństwa oraz Instrukcji zarządzania systemami informatycznymi są:
a) Administrator Danych Osobowych,
b) Inspektor Ochrony Danych (zwany dawniej IODO),
c) Osoby wykonujące pracę bądź świadczące usługi cywilnoprawne na rzecz Administratora Danych Osobowych.

Osoby wymienione w ust. 1 pkt. c uzyskują stosowne upoważnienie do przetwarzania danych osobowych.

Administrator danych osobowych
a. Administratorem Danych Osobowych jest Karolina Dzikowska KD KONSTRUKCJE
b. Administrator Danych Osobowych przetwarza dane osobowe na podstawie zgody osób których dane są przetwarzane, ale również w swoim prawnie uzasadnionym interesie jakim jest konieczność
przetwarzania danych osobowych osób zatrudnionych, świadczących usługi oraz kontrahentów.

Inspektor ochrony danych

Administrator Danych Osobowych powołał Inspektora Ochrony Danych Osobowych.

Do zadań IODO należą poniższe czynności:
a. stały nadzór nad treścią Polityki Bezpieczeństwa,
b. aktualizacja i modyfikacja ww. dokumentu,
c. informowanie Administratora Danych Osobowych, podmioty przetwarzające oraz pracowników, którzy przetwarzają dane osobowe o obowiązkach związanych z przetwarzaniem danych osobowych spoczywających na nich na mocy przepisów prawa,
d. monitorowanie przestrzegania przepisów ochrony danych osobowych poprzez dokonywanie czynności sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
e. podejmowanie działań zwiększających świadomość ochrony danych osobowych personelu zatrudnionego u Administratora Danych Osobowych uczestniczącego w operacjach przetwarzania, w tym m.in. szkolenia i audyty,
f. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych,
g. prowadzenie rejestru czynności przetwarzania, jeżeli taki obowiązek zaistnieje na podstawie przepisów prawa lub IODO uzna to za słuszne,
h. pełnienie funkcji punktu kontaktowego dla osób przetwarzanych oraz Prezesa Urzędu Ochrony Danych Osobowych w kwestiach związanych z przetwarzaniem danych osobowych,
i. udział w kontrolach prowadzonych przez Prezesa Urzędu Ochrony Danych Osobowych.

Administrator systemów informatycznych

Administrator Danych Osobowych powołał Administratora Systemów Informatycznych (osoba odpowiedzialna za system informatyczny).

Do jego zadań należą poniższe czynności:
a) nadzór nad nadawaniem uprawnień do przetwarzania danych osobowych w systemach informatycznych,
b) nadzór nad stosowaniem środków zapewniających bezpieczeństwo przetwarzania danych osobowych w systemach informatycznych, a w szczególności przeciwdziałających dostępowi osób niepowołanych do
tych systemów,
c) zapewnienie ciągłości działania systemów informatycznych,
d) sprawne realizowanie procedur tworzenia kopii zapasowych,
e) podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń,
f) identyfikacja i analiza zagrożeń oraz ocena ryzyka, na które może być narażone przetwarzanie danych osobowych w systemach informatycznych i tradycyjnych.

Osoby upoważnione do przetwarzania danych osobowych

Każda osoba, która uzyskała upoważnienie do przetwarzania danych osobowych zobowiązana jest do ich ochrony w sposób zgodny z przepisami Ustawy, RODO, Polityki Bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym.

Osoba upoważniona zobowiązana jest do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia.
Obowiązek ten istnieje także po ustaniu zatrudnienia.

Każda upoważniona osoba, wraz z wydaniem dostępu do systemu informatycznego, powinna zobowiązać się do zachowania poufności zgodnie ze wzorem stanowiącym załącznik nr 3 do niniejszej Polityki.

Upoważnienie do przetwarzania danych

Upoważnienie do przetwarzania danych osobowych oraz innych istotnych danych wydaje Administrator Danych Osobowych.

Przyznawanie użytkownikowi dostępu do systemów informatycznych oraz nadawania lub modyfikację uprawnień użytkownika do zasobów systemu informatycznego spoczywa na Administratorze Systemów Informatycznych.

Wniosek o wydanie oraz cofnięcie upoważnienia kierowany jest przez właściwego przełożonego.

Cofnięcie upoważnienia powinno następować wraz z ustaniem stosunku prawnego pomiędzy pracownikiem lub współpracownikiem, a Administratorem Danych Osobowych lub w przypadku stwierdzenia istotnego naruszenia przez osobę upoważnioną do stosowania zasad bezpieczeństwa informacji.

Upoważnienie wydawane jest w formie pisemnej.

Każde upoważnienie zawiera zakres oraz cel przetwarzania danych.

Rejestr osób upoważnionych do korzystania z systemów informatycznych oraz przetwarzania zawartych w nich danych
osobowych jest prowadzony w bazach danych tych systemów informatycznych.

Umowy powierzenia przetwarzania danych osobowych

W przypadku, gdy Administrator Danych Osobowych zechce powierzyć przetwarzanie danych osobowych zewnętrznym podmiotom może się to obyć wyłącznie w drodze umowy powierzenia zawartej w formie pisemnej.

Umowa powierzenia przetwarzania powinna być przygotowana lub zatwierdzona przez Inspektora Ochrony Danych.

Inspektor Ochrony Danych prowadzi rejestr umów powierzenia przetwarzania danych osobowych.

W umowie powierzenia należy określić zbiór, który zostanie przekazany, cel tego przekazania oraz zakres planowanego przetwarzania danych przez inny podmiot, obowiązki przetwarzającego, prawo do kontroli dokonywanej przez przekazującego, zakres odpowiedzialności przetwarzającego oraz czas obowiązywania umowy. Umowa powinna
zakazywać profilowania oraz przenoszenia danych osobowych poza terytorium Europejskiego Obszaru Gospodarczego.

W związku z ryzykiem związanym z powierzaniem przetwarzania danych osobowych zewnętrznym podmiotom należy robić to tylko, gdy jest to zasadne pod względem zabezpieczenia żywotnych interesów Administratora Danych Osobowych.

Zasady przetwarzania danych osobowych
W trakcie przetwarzania danych osobowych w Karolina Dzikowska KD KONSTRUKCJE stosowane będą następujące zasady:
a. Zasada przejrzystości zgodnie z którą wszelkie komunikaty związane z przetwarzaniem danych osobowych były prezentowane w łatwo dostępny, zrozumiały sposób, a także jasnym i prostym językiem,
b. Zasada zgodności z prawem, która wymaga aby przetwarzanie danych osobowych było wykonywane na podstawie przesłanek legalności, tj. najczęściej zgody osoby fizycznej lub prawnie uzasadnionego interesu
Administratora Danych Osobowych,
c. Zasada ograniczenia celu przetwarzania danych osobowych, która wymaga aby dane były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z
tymi celami,
d. Zasada minimalizacji danych, która wymaga aby dane osobowe były adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności
zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum,
e. Zasada prawidłowości danych, zgodnie z którą dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane,
f. Zasada ograniczenia przechowywania danych, która wymaga, aby okres przetwarzania danych był ograniczony do czasu jaki jest niezbędny do tego, aby osiągnąć założony cel przetwarzania danych,
g. Zasada integralności i nienaruszalności zgodnie z którą dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed
nieuprawnionym dostępem do nich.

DANE OSOBISTE

Polityka prywatności ma zastosowanie, jeśli korzystasz z usług KD KONSTRUKCJE, tj. korzystasz z systemów KD KONSTRUKCJE, rejestrujesz się w systemach lub aplikacjach i korzystasz z ich funkcjonalności, kontaktujesz się z nami np. za pośrednictwem poczty elektronicznej, formularza dostępnego na stronie internetowej KD KONSTRUKCJE za pośrednictwem portali społecznościowych lub telefonicznie, jeśli otrzymujesz wiadomości od nas za pomocą środków komunikacji elektronicznej.

Przesłanką legalności jest dobrowolna zgoda na przetwarzanie danych osobowych, która powinna mieć brzmienie zgodne z poniższym: „Wyrażam zgodę na przetwarzanie moich danych osobowych tj. ……..(np. imię, nazwisko, adres e-mail, nazwa firmy, numer telefonu) przez Administratora Danych Osobowych. Moja zgoda może zostać cofnięta, może być wniesiony sprzeciw wobec przetwarzania Państwa danych osobowych lub mogą być one przeniesione w dowolnym momencie. Aby
skontaktować się z Administratorem Danych Osobowych należy wysłać wiadomość e-mail na adres karolina@kdkon.eu spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani, a dane będą udostępniane innym podmiotom uprawnionym jedynie na podstawie porozumienia. Podanie danych jest dobrowolne. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.”

W zależności od Usług, z których korzystasz, KD KONSTRUKCJE przetwarza następujące dane osobowe:
a) podczas rejestracji w systemach lub aplikacjach KD KONSTRUKCJE: adres e-mail, Imię i Nazwisko;
b) w przypadku korzystania z formularza kontaktowego w serwisie oraz korespondencji elektronicznej: Imię, Nazwisko, nazwa firmy, numer telefonu, adres e-mail, treść korespondencji, w tym treść dobrowolnie dodanej przez Klienta wiadomości;
c) przy uczestnictwie w wydarzeniach, np. konferencjach, szkoleniach itp. organizowanych przez KD Konstrukcje: adres e-mail, imię i nazwisko, firma;

KD KONSTRUKCJE wykorzystuje dane osobowe w celu świadczenia Klientom Usług KD KONSTRUKCJE , zarządzania kontem w systemie i korzystania z ich funkcjonalności, obsługi reklamacji, do celów księgowych i podatkowych, a także odbierania i wysyłania wiadomości e-mail oraz korespondencji w związku z wykonania umowy lub przed jej zawarciem, prowadzenia działań marketingowych. Podstawą przetwarzania danych jest przetwarzanie niezbędne do wykonania umowy lub podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (podstawa z art. 6 ust. 1 lit. b RODO), oraz w
niektórych przypadkach podstawą prawną może być również przepis szczególny, który pozwala KD KONSTRUKCJE przetwarzać dane w celu wywiązania się z obowiązku prawnego – np. przepisów rachunkowych i podatkowych (podstawa z art. 6 ust. 1 lit. c RODO).

KD KONSTRUKCJE wykorzystuje dane osobowe do kontaktowania się z Klientami, na przykład za pośrednictwem poczty elektronicznej, a także odpowiadania na posty w mediach społecznościowych, które zostały skierowane do KD KONSTRUKCJE , w celu lepszego wykonywania Usług, informowania o zmianach oraz udzielania wyjaśnień i informacji. Podstawą przetwarzania danych jest prawnie uzasadniony interes KD KONSTRUKCJE (podstawa z art. 6 ust. 1 lit. f RODO).

KD KONSTRUKCJE wysyła komunikaty marketingowe na podany przez Klienta adres poczty elektronicznej tylko wtedy, gdy Klient wyraził na to zgodę. Podstawą do przetwarzania danych jest zgoda Klienta (podstawa z art. 6 ust. 1 lit. a RODO). Klient może zrezygnować z otrzymywania korespondencji w każdym czasie. Wycofanie zgody jest możliwe np. poprzez wysłanie wiadomości mailowej na adres: karolina@kdkon.eu,. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania
danych, którego dokonano na podstawie zgody przed jej wycofaniem. KD KONSTRUKCJE może przekazać dane podane przez Klienta wskazanemu partnerowi KD KONSTRUKCJE , w celach marketingowych partnera, wyłącznie w przypadku, gdy Klient wyraził zgodę na przekazanie danych partnerowi KD KONSTRUKCJE w oznaczonym w zgodzie celu.

Jeżeli w ramach świadczonych przez Operatora usług Operator zapewnia możliwość rejestracji lub logowania do usług Operatora (np. do strony internetowej, formularz rejestracyjny) za pośrednictwem systemu KD KONSTRUKCJE , w przypadku wystąpienia Zgoda Klienta na przekazanie danych Operator, KD KONSTRUKCJE przekaże Operatorowi dane osobowe Klienta podane podczas rejestracji w systemie lub aplikacji, tj.: imię, nazwisko, adres e-mail. Podstawą udostępnienia Operatorowi
przez KD KONSTRUKCJE Operatorowi wskazanych powyżej danych Klienta jest zgoda Klienta.

KD KONSTRUKCJE wymaga od Klienta podania danych osobowych, które są niezbędne do wykonania umowy – wykonania Usług. W przypadku, gdy te informacje nie zostaną dostarczone przez Klienta, KD KONSTRUKCJE nie będzie w stanie świadczyć Usług. Jeżeli wymagają tego przepisy prawa, np. podatkowe, KD KONSTRUKCJE może również zażądać podania innych niezbędnych danych. Poza powyższymi przypadkami podanie danych osobowych przez Klienta jest dobrowolne.

KD KONSTRUKCJE powierza dane osobowe do przetwarzania dostawcom usług, którzy wykonują określone obowiązki i funkcje w imieniu KD KONSTRUKCJE. KD KONSTRUKCJE dostarcza dane usługodawcom: wsparcie strony internetowej, usługi informatyczne związane ze wykonaniem usług projektowych i ekspertyz, usługi księgowe dla KD KONSTRUKCJE. KD KONSTRUKCJE powierza wymienionym powyżej usługodawcom tylko takie dane, które są niezbędne do prawidłowego

wykonywania usług na rzecz lub w imieniu KD KONSTRUKCJE. W przypadku transmisji danych KD KONSTRUKCJE zapewnia, że usługodawca przetwarza dane zgodnie z wymogami bezpieczeństwa i nie wykorzystuje danych do celów innych niż świadczenie usług na rzecz KD KONSTRUKCJE .

KD KONSTRUKCJE nie przekazuje danych osobowych innym podmiotom, niż usługodawcy opisani powyżej, z wyjątkiem sytuacji, gdy jest to konieczne w związku z przepisami prawa lub decyzją organów, a także w przypadku konieczności ustanowienia, wykonania lub obrony KD KONSTRUKCJE prawa.

KD KONSTRUKCJE nie przekazuje danych osobowych poza Unię Europejską.

Usługodawca powierza przetwarzanie danych osobowych Użytkownika lub innych danych, o których mowa w Polityce Prywatności, na podstawie pisemnej umowy, podmiotom świadczącym na rzecz Usługodawcy usługi hostingu, administracji, utrzymywania oraz zarządzania Serwisem, jak również usługi w zakresie optymalizacji przekazu oraz zarządzania kampaniami, a także powierzenie danych może nastąpić powierzane m.in. kurierom, ubezpieczycielom, instytucjom finansowym. Ponadto powierzenie danych osobowych Użytkownika może nastąpić na rzecz Zaufany Partnerów, na cele określone w Polityce
Prywatności.

KD KONSTRUKCJE przetwarza dane osobowe Klienta wyłącznie przez taki okres, jaki jest niezbędny do prawidłowej realizacji umów z Klientami, tj. świadczenia Usług, a także obsługi procesu reklamacyjnego, dochodzenia roszczeń w związku z wykonaniem umowy, a także przez okres wynikający z obowiązków nałożonych na KD KONSTRUKCJE przez przepisy prawa (np. w zakresie obowiązków podatkowych i rachunkowych, zgodnie z odpowiednimi przepisami przez okres 5 lat), tylko w niezbędnym zakresie. W celach marketingowych dane są przechowywane przez okres obowiązywania umowy lub do czasu
wniesienia przez Klienta sprzeciwu wobec takiego przetwarzania.

KD KONSTRUKCJE zapewnia stosowanie odpowiednich zabezpieczeń technicznych i organizacyjnych dla danych osobowych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych.

Klienci mają prawo dostępu do swoich danych osobowych, w tym żądania informacji o swoich danych lub dostarczenia kopii tych danych przetwarzanych przez KD KONSTRUKCJE .

Klientom przysługuje prawo do poprawiania swoich danych osobowych, jeżeli dane są niekompletne, nieaktualne lub nieprawidłowe.

Klientom przysługuje prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych przez KD KONSTRUKCJE .
Sprzeciw „marketingowy” – Klient ma prawo wnieść sprzeciw wobec przetwarzania jego danych w celu marketingu bezpośredniego. Sprzeciw ze względu na szczególną sytuację – Klientowi przysługuje również prawo wniesienia sprzeciwu wobec przetwarzania jego danych na podstawie prawnie uzasadnionego interesu w celach innych niż marketing bezpośredni, a także gdy przetwarzanie jest niezbędne do wykonania zadania w interesie publicznym. Należy wówczas wskazać konkretną sytuację, która uzasadnia zaprzestanie przez KD KONSTRUKCJE rozpatrywania sprzeciwu. KD KONSTRUKCJE zaprzestanie przetwarzania danych Klienta w tych celach, chyba że wykaże, że podstawy przetwarzania danych przez KD KONSTRUKCJE są
nadrzędne wobec praw Klienta lub że dane są przez KD KONSTRUKCJE niezbędne do ustalenia, dochodzenia lub obrony roszczeń.

Klientom przysługuje prawo żądania ograniczenia przetwarzania danych osobowych przez KD KONSTRUKCJE .

Klientom przysługuje prawo żądania usunięcia danych osobowych.

Klientom przysługuje prawo żądania przeniesienia danych osobowych do Klienta lub wskazanej osoby trzeciej.

Klientom przysługuje prawo wniesienia skargi do właściwego organu nadzorczego ds. ochrony danych osobowych, w Polsce: Urząd Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, Polska, strona internetowa:
http://www.uodo.gov.pl/

OGÓLNE ZASADY BEZPIECZEŃSTWA OBOWIĄZUJĄCE PRZY PRZETWARZANIU DANYCH OSOBOWYCH

Wprowadzenie, odpowiednich ze względu na charakter organizacji pracy Administratora Danych Osobowych, ogólnych zasad bezpieczeństwa przetwarzania danych – zgodnie z wymaganiami przepisów prawnych z zakresu ochrony danych osobowych – pozwoli na prawidłowe przetwarzanie danych.

Za bezpieczeństwo przetwarzania danych osobowych i danych istotnych w określonym zbiorze, indywidualną odpowiedzialność ponosi przede wszystkim każdy pracownik mający dostęp do danych.

Pracownicy mający dostęp do danych osobowych i danych istotnych nie mogą ich ujawniać zarówno w miejscu pracy, jak i poza nim, w sposób wykraczający poza czynności związane z ich przetwarzaniem w zakresie obowiązków służbowych, w ramach udzielonego upoważnienia do przetwarzania danych.

W miejscu przetwarzania danych osobowych i danych istotnych utrwalonych w formie papierowej pracownicy zobowiązani są do stosowania zasady tzw. „czystego biurka”. Zasada ta oznacza niepozostawianie materiałów zawierających dane osobowe i dane istotne w miejscu umożliwiającym fizyczny dostęp do nich osobom
nieuprawnionym. Za realizację powyższej zasady odpowiedzialny jest na swym stanowisku każdy z pracowników.

Niszczenie brudnopisów, błędnych lub zbędnych kopii materiałów zawierających dane osobowe i dane istotne musi odbywać się w sposób uniemożliwiający odczytanie zawartej w nich treści, np. z wykorzystaniem niszczarek.

Niedopuszczalne jest wynoszenie materiałów zawierających dane osobowe i dane istotne poza obszar ich przetwarzania bez związku z wykonywaniem czynności służbowych. Za bezpieczeństwo i zwrot materiałów zawierających dane osobowe i dane istotne odpowiada w tym przypadku osoba dokonująca ich wyniesienia oraz jej
bezpośredni przełożony.

Przebywanie osób nieuprawnionych w pomieszczeniu, w którym przetwarzane są dane osobowe lub dane istotne jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania danych, chyba że dane te są w odpowiedni sposób zabezpieczone przed dostępem.

Pracownicy zobowiązani są do zamykania na klucz wszelkich pomieszczeń lub budynków wchodzących w skład obszarów, w których przetwarzane są dane osobowe i dane istotne w czasie ich chwilowej nieobecności w pomieszczeniu pracy, jak i po jej zakończeniu, a klucze nie mogą być pozostawione w zamku w drzwiach. Pracownicy zobowiązani są do dołożenia należytej staranności w celu zabezpieczenia posiadanych kluczy przed nieuprawnionym dostępem.

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Każda osoba, która poweźmie wiadomość w zakresie naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe lub dane istotne bądź posiada informacje mogące mieć wpływ na bezpieczeństwo danych, jest zobowiązana fakt ten niezwłocznie zgłosić Inspektorowi Ochrony Danych osobowych oraz jeśli związane jest to z systemem informatycznym – Administratorowi Systemów Informatycznych.

Do czasu przybycia na miejsce naruszenia ochrony danych Inspektora Ochrony Danych Osobowych lub Administratora Systemów Informatycznych lub upoważnionej przez niego osoby, osoba powiadamiająca powinna:
a) niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków, a następnie ustalić
przyczyny, lub sprawców zaistniałego zdarzenia, jeżeli jest to możliwe,
b) zaniechać dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić jego udokumentowanie i analizę,
c) udokumentować wstępnie zaistniałe naruszenie,
d) nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia Administratora Systemów Informatycznych lub osoby upoważnionej.

Po przybyciu na miejsce naruszenia ochrony danych osobowych lub danych istotnych IODO lub ASI:
a) zapoznaje się z zaistniałą sytuacją i dokonuje wyboru metod dalszego postępowania,
b) wysłuchuje relacji osoby zgłaszającej z zaistniałego naruszenia, jak również relacji każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem.

Administrator Systemów Informatycznych dokumentuje zaistniały przypadek naruszenia w systemie informatycznym oraz sporządza raport w ciągu 48 godzin od incydentu, według wzoru stanowiącego Załącznik nr 6 do niniejszej Polityki. Raport, o którym mowa powyżej Administrator Systemów Informatycznych niezwłocznie przekazuje Inspektorowi Ochrony Danych, a w przypadku jego nieobecności osobie wyznaczonej.

W ciągu 72 godzin od incydentu Inspektor Ochrony Danych ma obowiązek zgłoszenia tego faktu Prezesowi Urzędu Ochrony Danych Osobowych.

Po wyczerpaniu niezbędnych środków doraźnych po zaistniałym naruszeniu, Administrator Systemów Informatycznych zasięga niezbędnych opinii i proponuje postępowanie naprawcze (w tym ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń) i zarządza termin wznowienia przetwarzania danych.

ZARZĄDZANIE INCYDENTAMI

W przypadku stwierdzenia lub powzięcia podejrzenia przez Osobę Upoważnioną lub ADO wystąpienia:
a. naruszenia zabezpieczeń Systemu Informatycznego,
b. naruszenia integralności lub bezpieczeństwa Zbioru Danych Osobowych,
c. ujawnienia metody pracy lub sposobu działania Systemu Informatycznego osobom nieupoważnionym,
d. innych zdarzeń mogących negatywnie oddziaływać na bezpieczeństwo Danych Osobowych (zalanie, pożar itp.),
osoba która powzięła wiedzę o zaistnieniu lub podejrzenie zaistnienia takiego zdarzenia jest zobowiązana do bezzwłocznego
powiadomienia o stwierdzonym incydencie ADO (a w szczególności osobę bezpośrednio przełożoną), zgodnie z ustalonymi w
organizacji zasadami.

Osoba która powzięła wiedzę o zaistnieniu lub podejrzenie zaistnienia zdarzenia, o którym mowa w powyżej, zobowiązana
jest również:
a. o ile istnieje taka możliwość, niezwłocznie podjąć czynności konieczne dla powstrzymania niepożądanych skutków zaistniałego incydentu, a następnie podjąć starania w celu ustalenia przyczyn oraz tożsamości osób odpowiedzialnych za naruszenie bezpieczeństwa Zbiorów Danych Osobowych,
b. wstępnie udokumentować zaistniały incydent,
c. nie opuszczać bez uzasadnionej potrzeby miejsca incydentu do czasu przybycia osoby wyznaczonej przez ADO, osoby bezpośrednio przełożonej nad Osobą Upoważnioną lub innej osoby upoważnionej przez osobę bezpośrednio przełożoną.

ADO oraz osoba bezpośrednio przełożona nad osobą, która ujawniła incydent, zobowiązani są do:
a. zapoznania się z zaistniałym lub grożącym incydentem i podjęcia decyzji w przedmiocie dalszego postępowania, w szczególności mając na względzie ewentualne zagrożenia bezpieczeństwa Zbiorów Danych Osobowych;
b. uzupełnienia wpisu w rejestrze naruszeń, opisującego zaistniały incydent, w szczególności w oparciu o informacje uzyskane od osoby, która ujawniła incydent oraz innych osób, które mogą posiadać informacje związane z zaistniałym incydentem, jak również pozyskane z innych źródeł,
c. w razie konieczności, do zasięgnięcia opinii podmiotów trzecich, których przedmiotem działalności są usługi w zakresie ochrony informacji,
d. usunięcia skutków incydentu w możliwie najszerszym zakresie,
e. podjęcia decyzji o zgłoszeniu naruszenia organowi nadzorczemu (art. 33 ust. 1 14. Rozporządzenia) oraz dokonania zgłoszenia (w terminie nie dłuższym niż 72 godziny po jego stwierdzeniu, chyba, że naruszenie nie
skutkuje powstaniem ryzyka naruszenia praw i wolności osób, których dane dotyczą) i/albo o zawiadomieniu osoby, której dane dotyczą o naruszeniu ochrony danych osobowych.

W rejestrze, o którym mowa w punkcie 13 lit (b) powyżej, ujawnia się przynajmniej następujące informacje:
a. wskazanie osoby ujawniającej incydent oraz innych osób, które przekazały informacje w związku z incydentem, wraz z konkluzjami wynikającymi z udostępnionych informacji;
b. określenie czasu i miejsca incydentu;
c. wstępną ocenę przyczyn wystąpienia incydentu oraz wskazanie skutków naruszenia;
d. wskazanie działań, które zostaną podjęte w celu usunięcia skutków incydentu;
e. wskazanie, czy istnieje obowiązek zgłoszenia incydentu organowi nadzorczemu;
f. wskazanie, czy powiadomiona zostaje osoba, której dane dotyczą.


KONTROLA PRZETWARZANIA I STANU ZABEZPIECZENIA DANYCH OSOBOWYCH
W imieniu Administratora Danych nadzór i kontrolę nad ochroną danych osobowych przetwarzanych w Karolina Dzikowska KD Konstrukcje sprawuje Inspektor Ochrony Danych oraz Administrator Systemów Informatycznych – w odniesieniu do danych osobowych i danych istotnych przetwarzanych w systemach informatycznych służących do przetwarzania tych danych.

ZASADY DOTYCZĄCE OKRESÓW RETENCJI (OKRESÓW PRZECHOWYWANIA) DANYCH OSOBOWYCH

Dane Osobowe w organizacji są przetwarzane przez okres nie dłuższy, niż jest to niezbędne do realizacji celów, dla których zostały pozyskane.

Po realizacji ostatniego z celów, dla którego Dane Osobowe zostały pozyskane, powinny one zostać usunięte lub zanonimizowane (tj. zmodyfikowane w sposób uniemożliwiający identyfikację osoby, której dane dotyczą).

Za weryfikację i bieżącą kontrolę nad okresami retencji Danych Osobowych sprawuje ADO lub osoba wyznaczona przez ADO.

W organizacji obowiązują następujące okresy retencji Danych Osobowych:
a. dokumenty w zakresie akt osobowych pracowników, w tym dokumenty dotyczące urlopów oraz wniosków pracowniczych, przechowywane są przez okres zatrudnienia oraz po jego zakończeniu przez okres wskazany
we właściwych przepisach;
b. faktury VAT: do czasu upływu terminu przedawnienia zobowiązania podatkowego (zasadniczo 5 lat od końca roku w którym upłynął termin płatności podatku) – zgodnie z art. 112 ustawy o VAT;
c. raporty sprzedażowe: do czasu upływu terminu przedawnienia zobowiązania podatkowego (zasadniczo 5 lat od końca roku w którym upłynął termin płatności podatku) – zgodnie z art. 111 ust. 3a pkt 9 w zw. z art.112 ustawy o VAT; (d) Dane Osobowe kontrahentów z umów zawieranych przez Spółkę (przetwarzanych w związku i w celu wykonania ww. umów – art. 6 ust. 1 lit. b) Rozporządzenia): przez okres realizacji umowy oraz do momentu upływu okresów przedawnienia roszczeń mogących powstać na gruncie umowy lub upływu
okresów gwarancyjnych;
d. Dane Osobowe przetwarzane na podstawie zgody (art. 6 ust. 1 lit. a) Rozporządzenia: przez okres ważności udzielonej zgody (do momentu jej wycofania).

POSTANOWIENIA KOŃCOWE

Niezależnie od odpowiedzialności określonej w przepisach prawa powszechnie obowiązującego, naruszenie zasad określonych w Polityce oraz Instrukcji stanowi naruszenie obowiązków pracowniczych, która dopuściła się naruszenia lub podstawę do odpowiedzialności o charakterze odszkodowawczym.

Osoby dopuszczone do przetwarzania Danych Osobowych zgromadzonych w KD KONSTRUKCJE zobowiązane są do stosowania przy przetwarzaniu Danych Osobowych postanowień zawartych w niniejszej Polityce oraz Instrukcji.

W sprawach nieuregulowanych w Polityce, zastosowanie mają przepisy Rozporządzenia.

Wszelkie zmiany Polityki wymagają dla swej ważności formy pisemnej pod rygorem nieważności.

Dokumenty powiązane z Polityką stanowią jej integralną część.

Pracownicy zobowiązani są do zapoznania się treścią Polityki oraz Instrukcji, udostępnionej przez ADO, przed rozpoczęciem Przetwarzania Danych Osobowych.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH
Opracowana zgodnie z §3 ust.1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024).


§ 1
Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem

Środki uwierzytelniania dostępu do systemu informatycznego służącego do przetwarzania danych osobowych to identyfikator użytkownika i hasło dostępu.

Każdy identyfikator użytkownika zabezpieczony jest hasłem.

Administrator Danych Osobowych stosuje następujące zasady tworzenia hasła:
a) hasło nie może składać się z żadnych danych personalnych (imienia, nazwiska, adresu zamieszkania użytkownika lub najbliższych osób) lub ich fragmentów,
b) hasło musi składać się z co najmniej 8 znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne,
c) hasło nie może składać się z identycznych znaków lub ciągu znaków z klawiatury,
d) hasło nie może być jednakowe z identyfikatorem użytkownika,
e) hasło musi być unikalne, tj. takie, które nie było poprzednio stosowane przez użytkownika.

Hasło, w trakcie wpisywania, nie może być wyświetlane na ekranie. Użytkownik jest zobowiązany do utrzymania hasła w tajemnicy, również po utracie jego ważności.

Zaleca się zmienianie hasła nie rzadziej niż co 30 dni. Jeżeli zmiana hasła nie jest możliwa w wymaganym czasie, należy jej dokonać w najbliższym możliwym terminie. Zmiana wymuszana jest przez system.

W przypadku złamania poufności hasła, użytkownik zobowiązany jest niezwłocznie zmienić hasło i poinformować o tym fakcie Administratora Danych.

Identyfikator użytkownika nie powinien być zmieniany, a po wyrejestrowaniu użytkownika z systemu informatycznego służącego do przetwarzania danych osobowych nie powinien być przydzielany innej osobie. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych osobowych, należy niezwłocznie zablokować w systemie informatycznym służącym do przetwarzania danych osobowych oraz unieważnić przypisane mu hasło.


§ 2
Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu informatycznego służącego do przetwarzania danych

Przed rozpoczęciem przetwarzania danych osobowych użytkownik powinien sprawdzić, czy nie ma oznak fizycznego naruszenia zabezpieczeń. W przypadku wystąpienia jakichkolwiek nieprawidłowości, należy powiadomić Administratora Systemów Informatycznych.

Przystępując do pracy w systemie informatycznym służącym do przetwarzania danych osobowych, użytkownik jest zobowiązany wprowadzić swój identyfikator oraz hasło dostępu. Zabrania się wykonywania jakichkolwiek operacji w systemie informatycznym służącym do przetwarzania danych osobowych z wykorzystaniem identyfikatora i hasła dostępu innego użytkownika.

W przypadku opuszczenia stanowiska pracy trwającego dłużej niż 1 h, użytkownik musi wylogować się z systemu informatycznego służącego do przetwarzania danych osobowych lub danych istotnych.

Zakończenie pracy w systemie informatycznym służącym do przetwarzania danych osobowych następują poprzez wylogowanie się z tego systemu. Za wykonanie kopii danych odpowiedzialny jest Administrator Systemów Informatycznych. Użytkownik może wykonywać kopie tylko pod nadzorem Administratora Systemów Informatycznych.


§ 3
Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania

Za sporządzanie kopii zapasowych zbiorów danych odpowiedzialny jest Administrator Systemów Informatycznych systemu informatycznego służącego do przetwarzania danych osobowych.

Kopie zapasowe powinny być kontrolowane przez Administratora Systemów Informatycznych, w szczególności pod kątem prawidłowości ich wykonania poprzez częściowe lub całkowite odtworzenie na wydzielonym sprzęcie komputerowym.

Nośniki informatyczne zawierające dane osobowe lub kopie systemów informatycznych służących do przetwarzania danych osobowych lub danych istotnych są przechowywane w sposób uniemożliwiający ich utratę, uszkodzenie lub dostęp osób nieuprawnionych.

W przypadku likwidacji nośników informatycznych zawierających dane osobowe lub kopie zapasowe systemów informatycznych służących do przetwarzania danych osobowych należy przed ich likwidacją usunąć dane osobowe lub uszkodzić je w sposób uniemożliwiający odczyt danych osobowych.

§ 4
Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych

Nie należy przechowywać zbędnych nośników informacji zawierających dane osobowe oraz kopii zapasowych, a także wydruków i innych dokumentów zawierających dane osobowe. Po upływie okresu ich użyteczności lub przechowywania, dane osobowe powinny zostać skasowane lub zniszczone tak, aby nie było możliwe ich odczytanie.

Elektroniczne nośniki informacji zawierające dane osobowe oraz kopie zapasowe nie mogą być wynoszone poza pomieszczenia stanowiące obszar przetwarzania danych osobowych, określony w Polityce Bezpieczeństwa.

Elektroniczne nośniki informacji zawierające dane osobowe oraz kopie zapasowe, a także wydruki i inne dokumenty zawierające dane osobowe przechowywane są w zamykanych szafach w pomieszczeniach stanowiących obszar przetwarzania danych osobowych, określony w Polityce Bezpieczeństwa, w sposób zabezpieczający je przed
nieuprawnionym przejęciem, modyfikacją, uszkodzeniem i zniszczeniem.

W przypadku uszkodzenia lub zużycia nośnika informacji zwierających dane osobowe lub dane istotne należy go fizycznie zniszczyć tak, aby nie było możliwe odczytanie danych.


§ 5
Sposób zabezpieczenia systemu informatycznego służącego do przetwarzania danych osobowych przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego służącego do przetwarzania danych osobowych

Do ochrony przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego służącego do przetwarzania danych osobowych stosowane jest oprogramowanie antywirusowe.

Każdy zbiór wczytywany do komputera, w tym także wiadomość e-mail, musi być przetestowany programem antywirusowym.

Na każdym stanowisku wyposażonym w dostęp do sieci Internet musi być zainstalowanie oprogramowanie antywirusowe. Niedopuszczalne jest stosowanie dostępu do sieci Internet bez aktywnej ochrony antywirusowej oraz zabezpieczenia przed dostępem szkodliwego oprogramowania.

Aktualizacje oprogramowania antywirusowego powinno odbywać się nie rzadziej niż raz na dobę.

Cały ruch pomiędzy stanowiskami na których przetwarzane są dane osobowe a siecią internetową kontrolowany jest przez urządzenia UTM.


§ 6
Sposób zapewnienia odnotowania informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia

W systemie informatycznym służącym do przetwarzania danych osobowych odnotowywane są informacje o odbiorcach danych, a w szczególności imię i nazwisko lub nazwa odbiorcy, data udostępnienia oraz zakres udostępnienia.

W przypadku, gdy w systemie informatycznym służącym do przetwarzania danych osobowych nie jest możliwe odnotowywanie takich informacji, Administrator Danych Osobowych odnotowuje je w rejestrze odbiorców danych osobowych.

W rejestrze odnotowywane są imię i nazwisko lub nazwa odbiorcy, data udostępnienia oraz zakres udostępnienia. Rejestr prowadzony w formie elektronicznej będzie przekazywany w formie wydruku z systemu informatycznego na każdorazowe żądanie Inspektora Ochrony Danych.

§ 7
Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych

Przeglądy i konserwacje sprzętu komputerowego oraz nośników informacji służących do przetwarzania danych osobowych, przeprowadzane są w pomieszczeniach stanowiących obszar przetwarzania danych osobowych, określony w Polityce Bezpieczeństwa przez firmy zewnętrzne na podstawie zawartych umów. W umowie musi znajdować się zapis o powierzeniu danych osobowych.

W przypadku przekazywania do naprawy sprzętu komputerowego z zainstalowanym systemem informatycznym służącym do przetwarzania danych osobowych lub nośnikiem informacji służących do przetwarzania danych osobowych, powinien on zostać pozbawiony danych osobowych przez fizyczne wymontowanie dysku lub skasowanie danych lub
naprawa powinna zostać przeprowadzona w obecności Administratora Danych Osobowych lub Administratora Systemów Informatycznych lub pracownika Działu Informatyki. Przeglądy techniczne wykonywane muszą być nie rzadziej niż raz w roku.

Nadzór nad przeprowadzaniem przeglądów technicznych, konserwacji i napraw sprzętu komputerowego, na którym zainstalowano system informatyczny służący do przetwarzania danych osobowych, systemu informatycznego służącego do przetwarzania danych osobowych oraz nośników informacji służących do przetwarzania danych osobowych pełni Administrator Systemów Informatycznych.

Zabronione jest wykonywanie przeglądów i konserwacji systemów informatycznych służących do przetwarzania danych osobowych oraz nośników informacji służących do przetwarzania danych osobowych samodzielnie.


§ 8
Pozostałe zasady ochrony systemu informatycznego służącego do przetwarzania danych osobowych

Administrator Danych Osobowych ma prawo do kontroli stanu zabezpieczeń oraz przestrzegania zasad ochrony danych
osobowych w dowolnym terminie.