Bądź z nami na Xopero Backup Summit już 16-18 kwietnia! Rejestracja 🚀

POLITYKA OCHRONY DANYCH OSOBOWYCH


w spółce


„XOPERO SOFTWARE” S.A.

Z SIEDZIBĄ W GORZOWIE WLKP.


WERSJA DOKUMENTU: 2.0

WESZŁA W ŻYCIE (wersja 1.0): 05.02.2018 r.

WESZŁA W ŻYCIE (wersja 2.0): 02.01.2023 r.

TERMIN NASTĘPNEJ WERYFIKACJI: 31.01.2024 r.


DZIAŁ I: ZASADY


§ 1.

CEL POLITYKI OCHRONY DANYCH OSOBOWYCH


  1. Polityka Ochrony Danych Osobowych została utworzona w związku z wymaganiami zawartymi w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

  1. Określa się następujące definicje najważniejszych pojęć użytych w niniejszym dokumencie:

  1. Polityka lub PODO – niniejsza Polityka Ochrony Danych Osobowych.

  1. Spółka – rozumie się przez to XOPERO SOFTWARE S.A. z siedzibą w Gorzowie Wlkp., ul. Herberta 3, 66-400 Gorzów Wlkp., wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS 0000684240, NIP nr 599-306-66-03, REGON nr 080285693.

  1. Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

  1. Przetwarzanie – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

  1. Zbiór danych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.


§ 2.

PODSTAWOWE ZASADY


Spółka wdraża niniejszą Politykę, aby zapewnić, że dane osobowe przekazane do przetwarzania przez Spółkę będą:

  1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;

  1. zbierane w konkretnych, wyraźnych i uzasadnionych celach oraz nieprzetwarzane dalej w sposób niezgodny z tymi celami;

  1. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;

  1. prawidłowe i w razie potrzeby uaktualniane;

  1. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;

  1. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.


§ 3.

ZGODA NA PRZETWARZANIE DANYCH OSOBOWYCH


  1. Przetwarzanie danych osobowych przez Spółkę w podstawowym zakresie odbywa się na podstawie zgody osoby, której dane dotyczą.

  1. Zgoda może być udzielona zarówno pisemnie, jak i za pośrednictwem środków porozumiewania się na odległość.

  1. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Jednakże wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.

  1. Przetwarzanie danych osobowych przez Spółkę odbywa się ponadto w zakresie, w jakim jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.

  1. Zgoda na przetwarzanie danych osobowych może być udzielona jedynie przez osobę, która ukończyła 18 rok życia. W imieniu osób poniżej tej granicy wieku, zgoda musi być wyrażona przez przedstawicieli ustawowych tej osoby.


§ 4.

POZOSTAŁE PODSTAWY PRZETWARZANIA DANYCH OSOBOWYCH


Spółka może przetwarzać dane osobowe także, gdy:

  1. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

  1. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

  1. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

  1. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

  1. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.


§ 5.

DOSTĘP DO DANYCH OSOBOWYCH


  1. Osoba, której dotyczą dane osobowe, jest uprawniona do uzyskania od Spółki potwierdzenia, czy przetwarzane są przez Spółkę dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

  1. cele przetwarzania;

  1. kategorie odnośnych danych osobowych;

  1. informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;

  1. w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

  1. jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;

  1. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

  1. Spółka dostarczy osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, Spółka może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych.

  1. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.


§ 6.

SPROSTOWANIE DANYCH OSOBOWYCH


Osoba, której dane dotyczą, ma prawo żądania niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.


§ 8.

USUNIĘCIE DANYCH OSOBOWYCH („BYCIE ZAPOMNIANYM”)


  1. Osoba, której dane dotyczą, ma prawo żądania niezwłocznego usunięcia dotyczących jej danych osobowych, a Spółka bez zbędnej zwłoki usunie dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

  1. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

  1. osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania;

  1. osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;

  1. dane osobowe były przetwarzane niezgodnie z prawem;

  1. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii Europejskiej lub prawie polskim;

  1. dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.

  1. W przypadku gdy Spółka dokonała upublicznienia danych osobowych, a ma obowiązek usunąć te dane zgodnie z postanowieniem powyżej, to – biorąc pod uwagę dostępną technologię i koszt realizacji – Spółka podejmuje rozsądne działania, w tym środki techniczne, by poinformować wszystkich innych administratorów przetwarzających takie dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

  1. Spółka będzie miała prawo odmówić usunięcia w całości lub części danych osobowych, jeżeli ich przetwarzanie jest niezbędne:

  1. do korzystania z prawa do wolności wypowiedzi i informacji;

  1. do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa, któremu podlega Spółka;

  1. do ustalenia, dochodzenia lub obrony roszczeń.


DZIAŁ II: KWESTIE PODSTAWOWE


§ 9.

OSOBY ZAANGAŻOWANE W PROCES PRZETWARZANIA DANYCH OSOBOWYCH


  1. Administrator danych osobowych


Administratorem danych osobowych jest:

Nazwa:

XOPERO SOFTWARE S.A.

Forma prawna:

spółka akcyjna

NIP:

599-306-66-03

REGON:

080285693

KRS:

0000684240

Adres:

ul. Herberta 3

66-400 Gorzów Wlkp., Polska


  1. Osoby upoważnione do przetwarzania danych osobowych


  1. Spółka prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych ze wskazaniem celów konkretnego upoważnienia oraz zbiorów danych osobowych, których dotyczy upoważnienie.

  1. Ewidencja osób upoważnionych do przetwarzania danych osobowych prowadzona jest w formie pisemnej oraz może być prowadzona także w formie elektronicznej. Forma pisemna stanowi załącznik nr 1 do Polityki.

  1. Upoważnienia nadaje oraz cofa Zarząd Spółki w formie pisemnej. Wzór upoważnienia stanowi załącznik nr 2 do Polityki.


  1. Inspektor Ochrony Danych Osobowych (IOD)


  1. IOD będzie wyznaczony, ponieważ Spółka przetwarza dane osobowe z wielu źródeł, świadcząc usługi na rzecz licznych podmiotów, tak więc profesjonalizacja kwestii dotyczących ochrony danych osobowych jest w pełni uzasadniona.

  1. Inspektor Ochrony Danych Osobowych będzie wyznaczany przez Zarząd Spółki na co najmniej 5-letnie kadencje. IOD bezpośrednio podlega najwyższemu kierownictwu Spółki.

  1. IOD będzie właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

  1. IOD nie będzie otrzymywał instrukcji dotyczących wykonywania swoich zadań. Nie może być on odwołany ani karany za wypełnianie swoich zadań.

  1. Osoby, których dane dotyczą, mogą kontaktować się z IOD we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem przysługujących im praw.

  1. IOD jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań.

  1. Wzór wyznaczenia IOD stanowi załącznik nr 3 do Polityki.


  1. Podmioty przetwarzające


  1. Spółka może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej lub elektronicznej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO.

  1. Przed powierzeniem przetwarzania danych osobowych Administrator w miarę możliwości uzyskuje informacje o dotychczasowych praktykach podmiotu przetwarzającego dotyczących zabezpieczenia danych osobowych.

  1. Wykaz podmiotów przetwarzających, z którymi jest prowadzona współpraca stanowi załącznik nr 4 do Polityki.


§ 10.

RODZAJE PRZETWARZANYCH

DANYCH OSOBOWYCH


  1. Spółka, różnych sytuacjach, przetwarza lub może przetwarzać następujące rodzaje danych osobowych:

  1. Imię i nazwisko,

  1. Numer identyfikacyjny (NIP, PESEL);

  1. Ograniczone dane finansowe;

  1. Dane kontaktowe: numery telefonów, e-maile, adresy korespondencyjne;

  1. Adresy IP.

  1. Nie jest wykluczone przetwarzanie innych danych, niż tylko te, które zostały wskazane powyżej, lecz każdorazowo musi się to odbywać albo na podstawie zgody, o której mowa w Dziale I punkt III lub na jednej z pozostałych podstaw wskazanych w Dziale I punkt IV.


§ 11.

ZBIORY DANYCH OSOBOWYCH


  1. Spółka dokonuje podziału posiadanych i przetwarzanych danych osobowych na zbiory, które utworzone są w oparciu o cechę kluczową osób, których dany zbiór dotyczy, lub zawartości tego zbioru, lub sposobu pozyskiwania danych do danego zbioru.

  1. Jednie osoby upoważnione do przetwarzania danego zbioru mogą mieć do niego dostęp.

  1. Lista zbiorów danych osobowych stanowi załącznik nr 5 do Polityki.


§ 12.

NOŚNIKI DANYCH OSOBOWYCH I SYSTEMY INFORMATYCZNE


  1. W ramach przetwarzania danych osobowych Spółka będzie wykorzystywać następujące nośniki danych:

  1. Dokumentacja papierowa;

  1. Dyski twarde;

  1. Telefony komórkowe;

  1. Pendrive;

  1. Płyty DVD/CD.

  1. Systemy informatyczne i programy komputerowe, które są wykorzystywane, lub będą wykorzystywane:

  1. Internetowe skrzynki pocztowe;

  1. Aplikacje web.

  1. Pakiety biurowe.


§ 13.

POMIESZCZENIA, W KTÓRYCH SĄ PRZETWARZANE DANE OSOBOWE


  1. W zakresie zabezpieczenia organizacyjnego i technicznego niniejsza Polityka dotyczy siedziby Spółki i wszelkich nieruchomości znajdujących się pod bezpośrednią kontrolą Spółki.

  1. Budynek, w którym znajdują się pomieszczenia, w których przetwarzane są dane osobowe, znajduje się pod całodobową ochroną zleconą profesjonalnemu podmiotowi zewnętrznemu (firma ochroniarska). Drzwi wejściowe do budynku zamknięte są w godzinach od 21:00 do 06:00 i uzyskanie klucza wejściowego może nastąpić wyłącznie za pośrednictwem ochrony. Dostęp do biur poza godzinami pracy mają tylko upoważnione osoby.

  1. Budynek, jego najbliższe otoczenie oraz wewnętrzne części wspólne (klatki schodowe, korytarze) objęte są monitoringiem audio-wizualnym. Zapis z monitoringu przechowywany jest przez 30 dni od jego wykonania.

  2. Dodatkowo na korytarzu firmy umieszczona jest kamera, z której zapis przechowywany jest przez 90 dni.

  1. W ramach pomieszczeń zajmowanych przez Spółkę wydziela się sektory tematyczne, oddzielone ścianami i drzwiami, z możliwością zakluczenia. Sektory są następujące:

  1. Dział biurowo-administracyjny.

  1. Dział techniczny.

  1. Dział developmentu.

  1. Dział sprzedaży.

  1. Spółka wdrożyła szczegółową politykę zarządzania kluczami wewnętrznymi, która ma na celu ograniczenie dostępności określonych sektorów jedynie do upoważnionych osób.


DZIAŁ III: PRACOWNICY


Niniejszy dział poświęcony jest szczególnym zasadom przetwarzania danych osobowych pracowników. W zakresie nieuregulowanym postanowienia Działów I i II Polityki mają odpowiednie zastosowanie.


§ 14.

RODZAJE DANYCH OSOBOWYCH PRACOWNIKÓW


Spółka, przetwarza lub może przetwarzać następujące rodzaje danych osobowych pracowników:

  1. Imię i nazwisko;

  1. dane teleadresowe;

  1. numer identyfikacyjny;

  1. numer konta bankowego;

  1. dane dotyczące rodziny;

  1. podstawowe dane dotyczące zdrowia;

  1. historia zatrudnienia

  1. wykształcenie,

  1. zainteresowania.


§ 15.

RODZAJE POD-ZBIORÓW ZAWIERAJĄCYCH DANE OSOBOWE PRACOWNIKÓW


  1. Spółka dokonuje podziału zbioru danych pracowników na pod-zbiory, które utworzone są w oparciu o wyróżniającą cechę kluczową z uwagi na zawartości tego pod-zbioru, lub sposobu pozyskiwania danych do danego pod-zbioru.

  1. Jednie osoby upoważnione do przetwarzania danego pod-zbioru mogą mieć do niego dostęp.

  1. Utworzone zostały następujące pod-zbiory w Spółce:

  1. Akta osobowe,

  1. Listy płac,

  1. Listy obecności,

  1. Rejestr czasu pracy,

  1. Rejestr kar dyscyplinarnych.


§ 16.

SYSTEMY INFORMATYCZNE I PROGRAMY KOMPUTEROWE, KTÓRE SĄ LUB BĘDĄ WYKORZYSTYWANE


Dodatkowe systemy informatyczne i programy komputerowe, które są wykorzystywane, lub będą wykorzystywane przy przetwarzaniu danych osobowych pracowników:

a) Płatnik;


§ 17.

POMIESZCZENIA, W KTÓRYCH SĄ PRZETWARZANE DANE OSOBOWE PRACOWNIKÓW


  1. Dane osobowe pracowników będą mogły być przetwarzanie w ramach sektora Biurowo-administracyjnego.

  1. Dopuszcza się przekazanie do przetwarzania danych osobowych pracowników podmiotu trzeciego – zewnętrznej firmy księgowej lub kadrowej.


§ 18.

CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH PRACOWNIKÓW


Wykaz podejmowanych czynności przetwarzania wraz z ich opisem:

  1. Rekrutacja – pobranie kwestionariusza CV, listu motywacyjnego, zgody na przetwarzanie danych osobowych.

  1. Zatrudnienie – podpisanie umowy, wstępne badania lekarskie, szkolenie BHP, kwestionariusz osoby zatrudnionej.

  1. Świadczenie pracy – weryfikacja obecności, rejestracja czasu pracy, wypłata wynagrodzeń, opłacanie należności publiczno-prawnych, nadzór nad obowiązkami pracowniczymi, korzystanie z urlopów.

  1. Zakończenie pracy – wydanie świadectwa pracy, wypłata należnych świadczeń.


§ 19.

OPIS PROCESU REKRUTACYJNEGO


  1. Rekrutacja odbywa się poprzez umieszczenie ogłoszenia w wybranym serwisie internetowym – przy czym Spółka może przeprowadzać rekrutację bezpośrednio lub przy pomocy podmiotów trzecich.

  1. Na podstawie przesłanych dokumentów dokonuje się wstępnej selekcji kandydatów.

  1. Wybrane osoby są zapraszane na rozmowy kwalifikacyjne do siedziby Spółki.

  1. Rozmowa prowadzona jest przez Zarząd oraz kierownika działu do którego jest nabór.

  1. Zdarza się, że po kilku rozmowach kwalifikacyjnych kandydaci są zapraszani na jeszcze jedną dodatkową rozmowę.


§ 20.

OPIS CZYNNOŚCI ZWIĄZANYCH Z ZAKOŃCZENIEM STOSUNKU PRACY


  1. Po ustaniu stosunku pracy niezwłocznie wydawane jest świadectwo pracy.

  1. Akta osobowe zostają zarchiwizowane w siedzibie Spółki. Konto e-mailowe zostaje dezaktywowane, karta dostępu jest przeprogramowywana, wykasowane zostają dane z rejestratora czasu pracy.


§ 21.

DOKUMENTY ŻĄDANE OD PRACOWNIKÓW W TRAKCIE ZATRUDNIENIA


  1. Rodzaje dokumentów wymaganych od pracowników w trakcie zatrudnienia:

  1. Świadectwa pracy,

  1. Dyplomy,

  1. Inne certyfikaty.

  1. Oświadczenia o członkach rodziny podlegających zgłoszeniu do ubezpieczeń

  1. Zaświadczenie lekarskie o braku przeciwwskazań do wykonywanej pracy

  1. Oświadczenie o niepełnosprawności, przynależności do oddziału NFZ, o podleganiu pod Urząd Skarbowy, o chęci skorzystania z prawa do opieki na dziecko, o zapoznaniu się przepisami BHP, regulacjami wewnętrznymi.

  1. Dokumenty są kompletowane w dziale administracji Spółki. Po skompletowaniu zostają dostarczone do działu kadr zewnętrznej firmy kadrowej W dziale kadr zakładane i prowadzone są akta osobowe w formie papierowej. Akta osobowe przechowywane są w szafie pancernej.


§ 22.

PROWADZENIE REJESTRU WYJŚĆ POZA ZAKŁAD PRACY I ZBIORCZYCH LIST OBECNOŚCI


Rejestr wyjść poza zakład pracy jest prowadzony w formie papierowej, znajduje się w dziale administracji.


Obecność jest potwierdzana poprzez kartę magnetyczną lub brelok magnetyczny.

Prowadzone są również osobowe listy obecności w formie papierowej.


§ 23.

PASKI WYNAGRODZEŃ


  1. Paski wynagrodzeń są spięte w sposób uniemożliwiający odczyt bez ich zniszczenia.

  1. Rozdawane indywidualnie przez osobę upoważnioną.


DZIAŁ IV: REALIZACJA OBOWIĄZKÓW ADMINISTRATORA DANYCH OSOBOWYCH


§ 24.

FORMY REALIZACJI OBOWIĄZKÓW INFORMACYJNYCH


Formy przekazywania informacji osobom fizycznym:

  1. Na stronie internetowej;

  1. Pisemnie,

  1. E-mail,

  1. Telefon.


§ 25.

SPOSOBY REALIZACJI OBOWIĄZKÓW INFORMACYJNYCH


Sposoby przekazywania informacji przewidzianych w RODO:

  1. specjalny dział na stronie internetowej,

  1. dedykowany dokument – karta informacyjna, udostępniona na stronie internetowej oraz jednocześnie z pobraniem danych osobowych i wyrażeniu zgody na ich przetwarzanie.

  1. w przypadkach indywidualnych – osobiste, mailowe i telefoniczne przez Inspektora Ochrony Danych Osobowych.


§ 26.

SPOSOBY UZYSKIWANIA ZGODY NA PRZETWARZANIE DANYCH OSOBOWYCH


Formy i sposoby uzyskiwania zgody:

  1. Formularz elektroniczny.

  1. Telefon.

  1. Formularz papierowy.


Wycofanie zgody na przetwarzanie danych osobowych może nastąpić w dowolnej formie z powyższych.


§ 27.

PROCEDURA WERYFIKACJI TOŻSAMOŚCI ZGŁASZAJĄCEGO


Opis sposobów weryfikacji tożsamości zgłaszającego:

  1. W przypadku kontaktu osobistego – prośba o okazanie dokumentu tożsamości, bez prawa jego zatrzymania czy też wykonania kopii.

  1. W przypadku kontaktu na odległość – pytania o rzeczy charakterystyczne i indywidualne dla konta (np. nazwa loginu, nazwa usługi, nazwa projektu, adres e-mail)


§ 28.

PROCEDURA ROZPOZNANIA ZGŁOSZEŃ ZWIĄZANYCH Z REALIZACJĄ PRAW


Opis sposobu realizacji procedury związanej z realizacją praw osób, których dane osobowe są przetwarzane:

  1. Wystosowanie zgłoszenia do IOD.

  1. Przyjęcie zgłoszenia.

  1. Weryfikacja tożsamości osoby zgłaszającej

  1. Rozpatrzenie zgłoszenia – do 30 dni.

  1. Możliwość przedłużenia terminu rozpatrzenia zgłoszenia do 90 dni

  1. Podjęcie decyzji

  1. Realizacja decyzji


§ 29.

PROCEDURA ZGŁASZANIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH ORGANOWI NADZORCZEMU


  1. W przypadku naruszenia ochrony danych osobowych, Administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO – Prezesowi Urzędu Ochrony Danych Osobowych.

  1. W przypadku gdy Administrator stwierdzi, że jest mało prawdopodobne, by zidentyfikowane naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, możliwe jest odstąpienie od zawiadomienia, o którym mowa w pkt 1 powyżej. W takim przypadku Administrator sporządzi protokół z oceny ryzyka do akt.

  1. Jeżeli zgłoszenie, o którym mowa w pkt 1 powyżej, będzie niemożliwe do wykonania w terminie 72 godzin, Administrator dokona zgłoszenia w najszybszym możliwym terminie, a do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołączy pisemne wyjaśnienie przyczyn opóźnienia.

  1. Zgłoszenie, o którym mowa w pkt 1 powyżej, musi co najmniej:

  1. opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

  1. zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

  1. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

  1. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

  1. Każdy przypadek stwierdzonego naruszenia ochrony danych osobowych będzie odnotowany w prowadzonym przez Administratora rejestrze naruszeń ochrony danych osobowych.


DZIAŁ V: REJESTRY I EWIDENCJE


§ 30.

REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH


Spółka tworzy i utrzymuje na bieżąco rejestr czynności przetwarzania danych osobowych, który stanowi załącznik nr 6 do Polityki.


§ 31.

REJESTR NARUSZEŃ OCHRONY DANYCH OSOBOWYCH


Spółka tworzy i utrzymuje na bieżąco rejestr naruszeń danych osobowych, który stanowi załącznik nr 7 do Polityki.


§ 32.

EWIDENCJA OSÓB UPOWAŻNIONYCH DO PRZETWARZANIA DANYCH OSOBOWYCH I ICH UPRAWNIEŃ


Spółka tworzy i utrzymuje na bieżąco ewidencję osób upoważnionych do przetwarzania danych osobowych, która stanowi załącznik nr 1 do Polityki.


DZIAŁ VI:

ŚRODKI BEZPIECZEŃSTWA


§ 33.

ŚRODKI ZABEZPIECZEŃ DANYCH OSOBOWYCH POZA SYSTEMAMI INFORMATYCZNYMI


  1. odpowiednie zamki w drzwiach

  1. magnetyczne karty dostępu

  1. system kontroli dostępu do pomieszczeń

  1. fizyczne ograniczenie dostępu do serwerów i infrastruktury sieciowej

  1. ochrona fizyczna

  1. monitoring wizyjny

  1. systemy alarmowe

  1. całodobowy monitoring sygnału alarmu

  1. ograniczenie dostępu do szyfrów rozbrajających alarm

  1. nadzór nad kluczami do pomieszczeń

  1. nadzór nad kluczami do szafy pancernej

  1. szafa pancerna

  1. polityka czystego biurka

  1. odpowiednie ustawienie monitora

  1. właściwy obieg dokumentów


§ 34.

ŚRODKI ZABEZPIECZEŃ DANYCH OSOBOWYCH W SYSTEMACH INFORMATYCZNYCH


  1. odpowiednia polityka haseł

  1. odrębny identyfikator dla każdego użytkownika w systemie informatycznym

  1. używanie oprogramowania umożliwiającego tworzenie kont użytkowników

  1. blokada przydzielania tego samego identyfikatora innej osobie

  1. dostęp do systemu możliwy po wprowadzeniu danych uwierzytelniających

  1. dostęp do urządzeń po podaniu loginu i hasła

  1. ograniczenie dostępu użytkownika do określonych zasobów

  1. automatyczne wylogowanie z systemu po określonym czasie braku aktywności

  1. testowanie jakości aplikacji (przegląd kodu, testy typu czarne skrzynka, testy siłowe)

  1. programy i skanery antywirusowe

  1. Firewall

  1. Proxy

  1. DNS

  1. ochrona przed phishingiem

  1. ochrona przed atakami Cross Site Scripting

  1. ochrona przed Cross Site Request Forgery

  1. ochrona przed atakami SQL Injection

  1. wykorzystanie VNC, RConsole, TeamViewer (przy ich należytym zabezpieczeniu)

  1. regularne aktualizowanie oprogramowania

  1. wykonywanie kopii zapasowych danych

  1. wykonywanie kopii zapasowych programów

  1. wykonywanie kopii zapasowych serwerów

  1. standaryzacja sprzętu

  1. standaryzacja oprogramowania

  1. kontrola instalowanego oprogramowania

  1. Pseudonimizacja