Foto_1 Foto_2 Foto_3 Foto_1 Foto_2 Foto_3 Foto_1

RODO

Polityka ochrony danych osobowych


Celem Polityki ochrony danych osobowych, zwanej dalej Polityka, jest wprowadzenie i utrzymanie

wymaganej przez przepisy rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia

2016 r. oraz ustawy o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000) właściwej ochrony danych

osobowych w związku z przetwarzaniem danych osobowych w Mico Electric Sp. z o.o.

 

Niniejsza Polityka dotyczy zarówno danych osobowych przetwarzanych w sposób tradycyjny w księgach,

aktach, wykazach i innych zbiorach ewidencyjnych, jak i w systemach informatycznych. Dotyczy istniejących

oraz przetwarzanych w przyszłości zbiorów danych osobowych. Procedury i zasady określone w niniejszym

dokumencie stosuje się do wszystkich osób upoważnionych do przetwarzania danych osobowych, zarówno

zatrudnionych, jak i innych, np. wolontariuszy, praktykantów, stażystów.

 

W skład obszaru przetwarzania danych osobowych Mico Electric Sp. z o.o. wchodzą budynki i lokale

położone w Nowych Oborzyskach, Ul. Prosta 5, 64-000 Kościan.

 

Określenia użyte w Polityce ochrony danych osobowych oznaczają:

1. administratorem danych osobowych (ADO) jest Mico Electric Sp. z o.o.,

2. administrator systemów informatycznych (ASI) - osoba zobowiązana do zarządzania systemami

informatycznymi wykorzystywanymi do przetwarzania danych osobowych,

3. dane osobowe — wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania

osoby fizycznej,

4. przetwarzanie danych osobowych — gromadzenie, utrwalanie, przechowywanie, opracowywanie,

modyfikowanie, udostępnianie i usuwanie danych osobowych, zwłaszcza w systemach

informatycznych,

5. użytkownik — osoba upoważniona do przetwarzania danych osobowych,

6. system informatyczny — system (urządzenia, narzędzia, programy), w którym przetwarzane są dane

osobowe,

7. zabezpieczenie systemu informatycznego — należy przez to rozumieć wdrożenie stosowanych środków

administracyjnych, technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym

dostępem i ujawnieniem lub pozyskaniem danych osobowych a także ich utratą,

8. RODO — rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w

sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie

swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE,

9. ustawa o ochronie danych osobowych — ustawa z dnia 10 maja 2018 r. o ochronie danych

osobowych (Dz. U. z 2018 r. poz. 1000).

 

Zasady przetwarzania danych osobowych


1.1.

Administrator danych przetwarza dane osobowe:

• zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczy („zgodność z

prawem, rzetelność i przejrzystość”),

• zbiera je w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie przetwarza ich dalej w

sposób niezgodny z tymi celami („ograniczenie celu”),

• adekwatnie, stosownie oraz w sposób ograniczony do tego, co niezbędne do celów, w których są

przetwarzane („minimalizacja danych”),

• prawidłowo i w razie potrzeby uaktualnia zebrane dane („prawidłowość”),

• przechowuje je w formie umożliwiającej identyfikację osoby, której dane dotyczy, przez okres nie

dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie

przechowywania”),

• w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochrony przed

niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem

lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych

(„integralność i poufność”).

 

1.2.

W celu realizacji tych zasad administrator danych przetwarza dane legalnie, na podstawie przesłanek

opisanych w art. 6 RODO. Pobiera dane osobowe adekwatnie do celów przetwarzania i przetwarza je przez

określony czas. Wobec osób, których dane przetwarza wypełnia obowiązki informacyjne określone w art. 13

RODO lub w art. 14 RODO (gdy informacje pobiera się w sposób inny niż od osoby, której dane dotyczy) oraz

wskazuje przysługujące im uprawnienia takie jak prawo do:

• dostępu do danych,

• sprostowania danych,

• usunięcia danych (prawo do bycia zapomnianym),

• przenoszenia,

• sprzeciwu wobec przetwarzania,

• ograniczenia przetwarzania,

• wniesienia skargi do organu nadzorczego,

• sprzeciwu wobec bycia profilowanym Administrator danych zapewnia ochronę danych w przypadku

korzystania z usług podmiotów zewnętrznych w postaci zawierania stosownych umów powierzenia

oraz korzystając z usług podmiotów przetwarzających realizujących obowiązki wynikające z RODO. W

razie wystąpienia incydentu technicznego lub fizycznego administrator danych zapewnia zdolności

do szybkiego przywrócenia dostępności do danych osobowych i dostępu do nich.

 

1.3.

 

Potwierdzenie spełniania obowiązków informacyjnych przez administratora danych stanowią klauzule

informacyjne przekazywane osobom, których dane są przetwarzane. W przypadku pracowników przedstawia

się im klauzule do podpisania i zamieszcza w aktach osobowych pracowników. W przypadku klientów i

kontrahentów przekazywane im są w momencie zawierania umowy,

 

Upoważnienia do przetwarzania danych

 

Administrator danych zapewnia aby dostęp do danych osobowych w Mico Electric Sp. z o.o. miały

tylko osoby legitymujące się nadanym przez ADO upoważnieniem. Upoważnienia określają do jakich operacji

użytkownicy są uprawnieni, tj. tworzenia, usuwania, wglądu, przekazywania danych, w jakich systemach oraz

na jaki czas. Administrator danych prowadzi ewidencję osób upoważnionych. Upoważnienia do przetwarzania

danych osobowych mogą być nadawane na wniosek bezpośredniego przełożonego użytkownika systemu.


Analiza ryzyka

 

Administrator danych prowadzi analizę ryzyka w celu zabezpieczenia danych osobowych adekwatnie do

zidentyfikowanych zagrożeń. Analiza prowadzona jest w przypadku zaistnienia zagrożenia oraz cyklicznie co rok. Analiza

danych prowadzona jest osobno dla każdego zbioru danych lub dla kilku zbiorów o podobnym zakresie danych.

W przypadku konieczności przeprowadza się oceny skutków dla oceny ryzyka na mocy art. 35 RODO.


Wykaz zabezpieczeń

 

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele

przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o doraźnym prawdopodobieństwie

wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki

techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.


Rejestr czynności przetwarzania

 

Administrator danych prowadzi rejestr czynności przetwarzania. W rejestrze tym zamieszcza się:

a) imię i nazwisko oraz dane kontaktowe administratora,

b) cele przetwarzania,

c) opis kategorii osób, których dane dotyczy, oraz kategorii danych osobowych,

d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w

państwach trzecich lub w organizacjach międzynarodowych,

e) gdy ma to zastosowanie, informacje na temat przekazania danych osobowych do państwa trzeciego

lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji

międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO,

dokumentację odpowiednich zabezpieczeń,

f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnychkategorii danych,

g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których

mowa w art. 32 ust. 1 RODO.

 

Powołanie inspektora ochrony danych

 

Administrator Danych Osobowych może być zobowiązany powołać inspektora ochrony danych. W

przypadku powołania inspektora ochrony danych do jego zadań należy:

• informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają

dane osobowe, o obowiązkach spoczywających na nich na mocy przepisów RODO oraz ustawy o

ochronie danych osobowych,

• monitorowanie przestrzegania przepisów RODO oraz ustawy o ochronie danych osobowych oraz

Polityki ochrony danych obowiązującej w jednostce, w tym podział obowiązków, działania zwiększające

świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym

audyty, udzielanie na zadanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie

jej wykonania zgodnie z art. 35 RODO,

• współpraca z organem nadzorczym, tj. Prezesem Urzędu Ochrony Danych Osobowych,

• pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z

przetwarzaniem, w tym z uprzednimi konsultacjami, oraz w stosownych przypadkach prowadzenie

konsultacji we wszelkich innych sprawach.

 

W przypadku wyznaczenia inspektora ochrony danych należy zgłosi jego powołanie Prezesowi Urzędu

Ochrony Danych Osobowych w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko, adres poczty

elektronicznej lub numer telefonu inspektora.


Procedura postępowania z incydentami

 

Administrator danych wprowadza do stosowania procedurę postępowania z incydentami naruszenia

ochrony danych osobowych. Celem tej procedury jest wypełnienie obowiązku wynikającego z art. 33

RODO. Procedura określa sposób definiowania incydentów zagrażających bezpieczeństwu danych osobowych

oraz sposób reagowania na nie, a także procedurę wprowadzenia działań naprawczych. Każda osoba

upoważniona do przetwarzania danych osobowych ma obowiązek poinformowania o możliwości wystąpienia

incydentu lub o jego wystąpieniu. Taka informacja powinna być przekazana bezpośredniemu przełożonemu


Powiadomienia wymagają:

• niewłaściwe zabezpieczenie sprzętu elektronicznego, oprogramowania przed wyciekiem, kradzieżą i

utratą danych osobowych, udostępnienie haseł osobom postronnym,

• niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,

• nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady

czystego biurka/ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek, przyklejanie kartek z

hastami w szufladach),

• ślady na drzwiach, oknach i szafach wskazujące na próbę włamania,

• dokumentacja zawierająca dane osobowe niszczona bez użycia niszczarki,

• otwarte drzwi do pomieszczeń, szaf, gdzie przechowywane są dane osobowe,

• obecności osób postronnych w jednostce,

• złe ustawienie monitorów pozwalające na wgląd osób postronnych w dane osobowe,

• wynoszenie danych osobowych w wersji papierowej i elektronicznej na zewnątrz jednostki bez

upoważnienia administratora danych,

• awarie serwera, komputerów, twardych dysków, oprogramowania,

• udostępnienie danych osobowych osobom nieupoważnionym,

• telefoniczne próby wyłudzenia danych osobowych,

• kradzież, zagubienie komputerów lub CD, twardych dysków, pendrive’a z danymi osobowymi,

• maile nakłaniające do ujawnienia identyfikatora lub hasła,

• zainfekowanie komputerów wirusem lub inne błędne zachowanie komputerów,

• zdarzenia losowe (pożar obiektu, zalanie wodą, utrata zasilania, utrata łączności),włamanie do systemu

informatycznego lub pomieszczeń,

• kradzież danych/sprzętu,

• świadome zniszczenie dokumentów.

 

Należy również powiadomić administratora systemów informatycznych. Ponadto należy udokumentować

wystąpienie incydentu, jego skutki oraz podjęte działania naprawcze i zaradcze. W przypadku gdy incydent

skutkuje naruszeniem praw lub wolności osób fizycznych, administrator danych zgłasza je w ciągu 72 godzin

Prezesowi Urzędu Ochrony Danych Osobowych oraz gdy istnieje taki wymóg, powiadamia o tym fakcie osoby,

których incydent dotyczył.

 

Regulamin ochrony danych osobowych i szkolenia wewnętrzne

 

Regulamin ochrony danych osobowych w celu zapewnienia osobom przetwarzającym dane osobowe

pełny zakres wiedzy na temat zasad przetwarzania danych osobowych w jednostce oraz obciążających je

obowiązków z tym związanych. Osoby zapoznane z Regulaminem zobowiązane są potwierdzić fakt zapoznania

się z tym dokumentem oraz zdeklarował stosowanie się do jego zasad. Każda osoba przed zatrudnieniem

powinna zostać zapoznana z Regulaminem. Administrator danych zapewnia również przeszkolenie

pracowników z zakresu stosowania przepisów dotyczących ochrony danych osobowych, a obecności

pracowników należy potwierdzić pisemnie.

 

Zadania Administratora systemu informatycznego

 

Administrator systemu informatycznego realizuje zadania w zakresie zarządzania i bieżącego nadzoru

nad systemem informatycznym administratora danych. W związku z tym:

• zarządza systemem informatycznym, w którym przetwarzane są dane osobowe, posługując się

hasłem dostępu do wszystkich stacji roboczych i serwera z pozycji administratora,

• przeciwdziała dostępowi osób niepowołanych do systemu informatycznego, w którym przetwarzane

są dane osobowe,

• przydziela każdemu użytkownikowi identyfikator oraz hasto do systemu informatycznego oraz

dokonuje ewentualnych modyfikacji uprawnień, a także usuwa konta użytkowników zgodnie z

zasadami określonymi w instrukcji zarządzania systemem informatycznym służącym do

przetwarzania danych osobowych,

• przeprowadza szkolenie stanowiskowe użytkownika w zakresie korzystania ze sprzętu

komputerowego i zasobów sieci, zapoznaje z obowiązującymi w tym zakresie dokumentami,

• nadzoruje działanie mechanizmów uwierzytelniania użytkowników oraz kontroli dostępu do danych

osobowych,

• w sytuacji stwierdzenia naruszenia zabezpieczeń systemu informatycznego informuje administratora

danych/inspektora ochrony danych o naruszeniu i współdziała z nim przy usuwaniu skutków

naruszenia,

• prowadzi szczegółową dokumentacja naruszeń bezpieczeństwa danych osobowych przetwarzanych

w systemie informatycznym,

• sprawuje nadzór nad wykonywaniem napraw, konserwacją oraz likwidacją urządzeń

komputerowych, na których zapisane się dane osobowe, nad wykonywaniem kopii zapasowych, ich

przechowywaniem oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności do

odtwarzania danych w przypadku awarii systemu informatycznego,

• podejmuje działania służące zapewnieniu niezawodności zasilania komputerów, innych urządzeń

mających wpływ na bezpieczeństwo przetwarzania danych oraz zapewnieniu bezpiecznej wymiany

danych w sieci wewnętrznej i bezpiecznej teletransmisji.

 

Umowy powierzenia przetwarzania danych osobowych

 

10.1.

 

W przypadku zlecania przetwarzania danych osobowych podmiotom zewnętrznym administrator danych

zobowiązany jest zawrzeć umowy powierzenia. W jednostce prowadzony jest rejestr umów powierzenia

przetwarzania danych osobowych.

 

10.2.

 

Umowa określa kategorie osób, których dane dotyczy, obowiązki i prawa administratora. Ponadto

zobowiązuje podmiot przetwarzający do:

a) przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora — co

dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji

międzynarodowej,

b) zapewniania, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do

zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania

tajemnicy,

c) podejmowania wszelkich środków wymaganych na mocy art. 32 RODO,

d) przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego,

e) pomagania administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązywania się

z obowiązku odpowiadania na zadania osoby, której dane dotyczy, w zakresie wykonywania jej praw

określonych w rozdziale III RODO,

f) pomagania administratorowi wywiązać się z obowiązków określonych w art. 32—36 RODO,

g) usuwania lub zwracania administratorowi danych osobowych oraz usuwania wszelkich istniejących

kopii, chyba ze prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych

osobowych, udostępniania administratorowi wszelkich informacji niezbędnych do wykazania

spełnienia obowiązków określonych w przepisach RODO oraz umożliwiania administratorowi lub

audytorowi upoważnionemu przez administratora przeprowadzania audytów, w tym inspekcji, i

przyczynia sit do nich.

 

Czynności kontrolne

 

Nadzór i kontrolę nad ochroną danych osobowych sprawuje administrator danych. Czynności kontrolne

przeprowadzane są raz na rok. Z czynności kontrolnych sporządza się protokół, w którym dokonuje się

dokładnego opisu zakresu kontroli i przeprowadzonych czynności, a także zalecenia i działania naprawcze.

Protokół podpisywany jest przez osoby wykonujące czynności kontrolne.

 

Odpowiedzialność osób upoważnionych do przetwarzania danych

 

Niezastosowanie się do prowadzonej przez administratora danych Polityki ochrony danych osobowych,

której założenia określa niniejszy dokument, i naruszenie procedur ochrony danych przez pracowników

upoważnionych do przetwarzania danych osobowych może być potraktowane jako ciężkie naruszenie

obowiązków pracowniczych.