Inmode BodyTite

Inmode BodyTite

Liposukcja wspomagana RF

Lumecca

Lumecca

Nowe narzędzie do leczenia zmian naczyniowych

Diolaze

Diolaze

Laser diodowy z mieszaną długością fali

HIFU Butera

HIFU Butera

Ultradźwiękowe ujędrnianie skóry

Beladona

Beladona

Stworzony do rewitalizacji intymnych narządów kobiecych

CoolTech

CoolTech

Bestseller do redukcji obwodu ciała

FracTotal

FracTotal

Hybrydowe odmładzanie skóry

SlimSpec

SlimSpec

Radialna fala uderzeniowa

Polityka Ochrony danych osobowych

w SHAR-POL 

 

 I. Postanowienia wprowadzające

  1. Cele i deklaracje

1)   Zarząd administratora danych, świadomy wagi zagrożeń jakie niesie ze sobą przetwarzanie danych osobowych dla wolności i praw osób, których dane dotyczą, uznaje ochronę tych danych, w szczególności zapewnienie ich bezpieczeństwa, za jeden z priorytetów działalności SHAR-POL.

2)    Zarząd administratora danych podejmuje działania mające na celu wdrożenie przez  SHAR-POL przepisów o ochronie danych osobowych oraz zapewnienie stałej zgodności działalności SHAR-POL z tymi przepisami. 

3)    W celu realizacji zadań określonych w ppkt. 1) i 2) ustanawia się Politykę ochrony danych osobowych w SHAR-POL. Niniejszy dokument stanowi politykę ochrony danych w rozumieniu art. 24 ust. 2 Rozporządzenia 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich  danych  oraz uchylenia dyrektywy 95/46/WE (dalej RODO).

4)    Zarząd administratora danych oczekuje, że zasady i procedury określone w niniejszym dokumencie będą faktycznie wdrożone i stosowane przez ich adresatów. Zobowiązuje się wszystkie osoby dopuszczone do przetwarzania danych osobowych w SHAR-POL do dostosowania ich postępowania do wymogów wynikających z niniejszej Polityki ochrony danych osobowych.

   2. Zakres stosowania

1)    Zasady i procedury określone w niniejszym dokumencie stosuje się zarówno do danych osobowych przetwarzanych w sposób tradycyjny w księgach, wykazach i innych zbiorach ewidencyjnych, jak i przetwarzanych w systemach informatycznych.

2)    Zasady i procedury określone w niniejszym dokumencie stosuje się do wszystkich osób przetwarzających dane osobowe w ramach SHAR-POL, zarówno do zatrudnionych w  SHAR-POL, jak i pozostałych, które zostały dopuszczone do przetwarzania na podstawie umów zawartych z SHAR-POL

   3. Definicje

Ilekroć w polityce bezpieczeństwa danych osobowych jest mowa o:

1)    administratorze danych – rozumie się przez to SHAR-POL sp. z o. o. reprezentowaną przez prezesa zarządu,

2)     haśle – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie użytkownikowi,

3)     identyfikatorze – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym,

4)      integralności danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione, usunięte lub zniszczone w sposób nieautoryzowany,

5)      odbiorcy danych – rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem:

-   osoby, której dane dotyczą,

-   osoby upoważnionej do przetwarzania danych,

-   przedstawiciela, o którym mowa w art. 27 RODO,

-   podmiotu przetwarzającego, o którym mowa w art. 28 RODO,

-   organów publicznych, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z przepisami prawa,

6)       pełnomocniku bezpieczeństwa informacji – rozumie się przez to osobę, której administrator danych powierzył realizację zadania w zakresie nadzoru nad przestrzeganiem zasad ochrony danych osobowych,

7)       poufności danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom,

8)       podmiocie przetwarzającym – rozumie się przez to podmiot, któremu zostało powierzone przetwarzanie danych osobowych na podstawie umowy zawartej zgodnie z art. 28 RODO,

9)       raportach – rozumie się przez to przygotowane przez system informatyczny zestawienia zakresu i treści przetwarzanych danych,

10)   RODO – rozumie się przez to rozporządzenia 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich  danych  oraz uchylenia dyrektywy 95/46/WE,

11)   rozliczalności – rozumie się przez to właściwość zapewniającą, że podejmowane działania mogą być przypisane w sposób jednoznaczny konkretnej osobie lub podmiotowi,

12)   sieci publicznej – rozumie się przez to publiczną sieć telekomunikacyjną
w rozumieniu art. 2 pkt 29 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (t.j. DzU z 2014, poz. 243 z późn. zm.),

13)   serwisancie – rozumie się przez to firmę lub pracownika firmy zajmującej się sprzedażą, instalacją, naprawą i konserwacją sprzętu komputerowego,

14)   systemie informatycznym administratora danych – rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów procedur przetwarzania informacji i narzędzi programowych; w systemie tym pracuje co najmniej jeden komputer centralny
i system ten tworzy sieć teleinformatyczną administratora danych,

15)   ustawie – rozumie się przez to ustawę z dnia 10.05.2018 o ochronie danych osobowych

16)   uwierzytelnianiu – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu, upoważnionym - rozumie się przez to osobę, która została upoważniona do przetwarzania danych osobowych

17)   użytkowniku – rozumie się przez to upoważnionego, któremu nadano identyfikator
 i przyznano hasło.

  II. Organizacja przetwarzania danych osobowych

1. Administrator danych osobowych

Administrator danych osobowych reprezentowany przez prezesa zarządu realizuje zadania w zakresie ochrony danych osobowych, w tym zwłaszcza:

1)     podejmuje decyzje o celach i środkach przetwarzania danych osobowych
z uwzględnieniem przede wszystkim zmian w obowiązującym prawie, organizacji administratora danych oraz technik zabezpieczenia danych osobowych;

2)     upoważnia i odwołuje upoważnienia dla poszczególnych osób do przetwarzania danych osobowych w określonym indywidualnie zakresie, odpowiadającym zakresowi ich obowiązków;

3)     wyznacza pełnomocnika bezpieczeństwa informacji oraz określa zakres jego zadań i czynności;

4)      wyznacza kierownika biura jako właściwego do prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych oraz określa podmioty do przetwarzania danych osobowych na podstawie umowy

5)      we współpracy z pełnomocnikiem bezpieczeństwa informacji zapewnia użytkownikom odpowiednie stanowiska pracy umożliwiające bezpieczne przetwarzanie danych;

6)     podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia procedur bezpiecznego przetwarzania danych osobowych.

2. Pełnomocnik bezpieczeństwa informacji

Pełnomocnik bezpieczeństwa informacji realizuje zadania w zakresie nadzoru nad przestrzeganiem zasad ochrony danych osobowych, w tym zwłaszcza:

1)     sprawuje nadzór nad wdrożeniem stosownych środków fizycznych, organizacyjnych  i technicznych – w celu zapewnienia bezpieczeństwa danych,

2)     sprawuje bieżący nadzór nad funkcjonowaniem systemu zabezpieczeń danych osobowych,

3)     przeprowadza wewnętrzne audyty (sprawdzenia) przestrzegania przepisów o ochronie danych osobowych, aktualności dokumentacji z zakresu ochrony danych osobowych oraz przestrzegania określonych w niej zasad,

4)   nadzoruje udostępnianie danych osobowych odbiorcom danych i innym podmiotom,

5)   zapoznaje się na bieżąco z przepisami dotyczącymi ochrony danych osobowych i wytycznymi organu nadzorczego w tej dziedzinie, dbając o dostosowanie działalności SHAR-POL do aktualnych wymogów. 

6)   przygotowuje lub zatwierdza dokumenty lub odpowiednie klauzule w dokumentach dotyczące ochrony danych osobowych,

7)   prowadzi lub nadzoruje prowadzenie dokumentacji z zakresu ochrony danych osobowych,

8)   podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia ochrony danych osobowych,

9)   nadzoruje realizację obowiązku zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie tych danych, w szczególności decyduje
o terminach i sposobach przeprowadzenia szkoleń w tym zakresie,

10)   w porozumieniu z administratorem danych osobowych na czas nieobecności (urlop, choroba) wyznacza swojego zastępcę.

4. Kierownik biura

Kierownik biura realizuje następujące zadania w zakresie ochrony danych osobowych - prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych,

5. Upoważniony

Każdy upoważniony do przetwarzania danych osobowych jest zobowiązany przestrzegać następujących zasad:

1)   może przetwarzać dane osobowe wyłącznie w zakresie ustalonym indywidualnie przez administratora danych w upoważnieniu i tylko w celu wykonywania nałożonych na nią obowiązków. Zakres dostępu do danych przypisany jest do niepowtarzalnego identyfikatora użytkownika, niezbędnego do rozpoczęcia pracy w systemie. Rozwiązanie stosunku pracy, odwołanie z pełnionej funkcji powoduje wygaśnięcie upoważnienia do przetwarzania danych osobowych.

2)   musi zachować w tajemnicy treść danych osobowych oraz sposób ich zabezpieczenia.  Użytkownik jest zobowiązany do zachowania powyższych tajemnic przez cały okres zatrudnienia u administratora danych, a także po ustaniu stosunku pracy lub odwołaniu z pełnionej funkcji;

3)   zapoznaje się z przepisami prawa w zakresie ochrony danych osobowych oraz postanowieniami Polityki bezpieczeństwa danych osobowych w Shar-POL oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych;

4)   stosuje się do wydawanych przez administratora danych, pełnomocnika bezpieczeństwa informacji oraz innych przełożonych procedur, wytycznych oraz poleceń służbowych mających na celu zapewnienie zgodnego z prawem przetwarzania danych osobowych;

5)   korzysta z systemu informatycznego administratora danych w sposób zgodny ze wskazówkami zawartymi w instrukcjach obsługi urządzeń wchodzących w skład systemu informatycznego, oprogramowania i nośników;

6)   zabezpiecza dane przed ich utratą, nieautoryzowanym zmienieniem lub ujawnieniem osobom nieupoważnionym.

III. Infrastruktura przetwarzania danych osobowych

1. Obszar przetwarzania danych osobowych

Obszar przetwarzania danych osobowych obejmuje lokale SHAR-POL.

2. Zasoby danych osobowych

1)      Na zasoby danych osobowych SHAR-POL składają się zarówno dane osobowe przetwarzane w sposób tradycyjny w księgach, wykazach i innych zbiorach ewidencyjnych, jak i przetwarzanych w systemach informatycznych.  

2)      Opis zasobów danych osobowych SHAR-POL obejmujący  informację o treści i strukturze każdego z zasobów oraz o sposobie przepływu danych pomiędzy zasobami 

3. System informatyczny

1)      System informatyczny administratora danych opisuje dokument „ Opis systemu informatycznego

2)      Sposób przetwarzania danych osobowych w systemie informatycznym administratora danych określają Opis zasobów danych osobowych oraz Ewidencja czynności przetwarzania.

4. Dokumentacja ochrony danych osobowych

    SHAR-POL prowadzi dokumentację ochrony danych osobowych na którą składają się:

  1.  opis obszaru przetwarzania danych osobowych

  2.  opis zasobów danych osobowych 

  3.  ewidencje 

  4.  rejestr czynności przetwarzania

  5.  dokumentacja audytów

  6.  umowy z podmiotami przetwarzającymi

    W ramach dokumentacji ochrony danych osobowych kierownik biura prowadzi  ewidencje:

      a.   osób upowaznionych do przetwarzania danych osobowych i umów powierzenia danych z podmiotami zewnętrznymi

      b.   użytkowników systemu informatycznego

 IV.Identyfikacja zagrożeń bezpieczeństwa danych osobowych

Identyfikuje się nastepujące zagrożenia bezpieczeństwa danych osobowych przetwarzanych w SHAR-POL:

  1. sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu

  2. niewlasciwe parametry środowiska zakłócajace prace urzadzeń komputerowych awarie sprzętu lub oprogramowania (losowe, spowodowane niewłaściwym działaniem użytkowników)

  3. zastosowanie niewłasciwych metod zabezpieczenia systemu informatycznego lub brak dostosowania poziomu zabezpieczeń do aktualnego poziomu wyzwań technologicznych

  4. dzialania przestępcze

  5. naruszenia zasad i procedur przez osoby upowaznione do przetwarzania danych osobowych będących skutkiem nieprzestrzegania procedur ochrony danych

V Przeciw działanie zagrożeniom danych osobowych

1. Strefy bezpieczeństwa

W siedzibie adminisratora danych wydzielono klasy bezpieczeństwa. W klasie I dostęp do informacji zabezpieczony jest wewnętrznymi środkami kontroli. W sklad strefy wchodzą: serwerownia, w której mogą przebywac wylacznie administrator systemu, inne osoby upowanione upowaznione do przetwarzania tylko w obecności administratora, osoby postronne nie mają wstępu, klucz jest przechowywany w sejfie W klasie II maja dostęp osoby upowaznione do przetwarzania danych osobowych zgodnie z zakresami upowaznień, a osoby postronne moga w niej przebywać tylko w obecności pracownika upoważnionego. Strefa ta obejmuje wszystkie pomieszczenia zaliczone do pbszaru przetwarzania danych.

2. Zabezpieczenie sprzętu

1) Serwer jest zlokalizowany w odrebnym pomieszczeniu bez okna z klimatyzavcją, drzwi zamykane na klucz

2) administrator systemu wskazuje uzytkownikom , jak postepować, aby zapewnić prawidłową eksploatację urzadzeń i systemu informatycznego

3) Wszystkie urzadzenia systemu informatycznegosą zasilane za pośrednictwem zasilaczy awaryjnych(UPS)

4) Okablowanie sieciowe- dostęp do linii transmisyjnych jest możliwy tylko z pomieszczeń zamykanych na klucz. Kable sieciowe nie krzużują się z kablami zasilajacymi co zapobiega interferencjom.

5) Bieżaca konserwacja sprzętu wykorzystywana do przetwarzania danych osobowychprowadzona jest przez upoważnioną firmę lub pod ich nadzorem przez innyh upoważnionych

6) W przypadku konieczności naprawy sprzętu wykorzystywanego do przetwarzania danych osobowych dokonuje się tego z podmiotem wykonujacym naprawę umowy o powierzenie przetwarzania danych osobowych lub po usunięciu tych danych

7) Dopuszcza się konserwowanie i naprawę sprzętu pza siedzibą administratora danych jedynie po trwałymusunięciu danych osobowych lub po podpisaniu umowy o powierzenie przetwarzania danych osobowych

8) Zużyty sprzęt może być zbywany po trwałym usunięciu danych osobowych. Urządzenia uszkodzone mogą być utylizowane przez podmioty z którymi zawarto umowy o powierzenie przetwarzania danych osobowych jesli trwałe usunięcie danych jest zbyt kosztowne

3. Zabezpieczenie systemu informatycznego

1) System informatyczny posiada szerokopasmowe połączenie z Internetem, Administrator danych wykorzystuje centralną zaporę sieciową w celu separacji lokalnej sieci od publicznej

2) Przed atakami z sieci zewnętrznej wszystkie komputery ( w tym także przenośne) chronione są środkami dobranymi przez administratora w porozumieniu z pełnomocnikiem bezpieczeństwa informacji. Aktualizacja zabezpieczeń odbywa się bez udziału użytkowników rozbudowy systemu informatycznego

3) Administratora w porozumieniu z pełnomocnikiem bezpieczeństwa informacji dobiera elektroniczne środki ochrony przed atakami z sieci stosownie do pojawiania się nowych zagrożeń, a także stosownie do rozbudowy systemu i powiększania bazy danych.

4. Kontrola dostępu do systemu i monitorowanie pracy użytkowników

1) Poszczególnym osobom upowaznionym do przetwarzania danych osobowych przydziela się konta optrzone niepowtarzalnym identyfikatorem umożliwiającym dostęp do danych zgodnie z zakresem upowaznienia.

2) System informatyczny administratora danych poprzez moduł może sledzić kto kiedy i jakie programy uruchamia na poszczególnych stacjach roboczych. Ponadto system ten zapewnia odnotowanie:

 - daty pierwszego wprowadzenia danych do systemu

 - identyfikatora użytkownika wprowadzajacego dane osobowe do systemu

- źródła danych - w przypadku zbierania danych nie od osoby, ktorej one dotyczą 

- informacji o odbiorcach danych którym dane osobowe zostaly udostępnione, o dacie i zkresie tego udostepnienia

- wniesienia sprzeciwu wobec przetwarzania danych osobowych o ktorym mowa w art 21 RODO

Odnotowanie daty pierwszego wprowdzenia danych do systemu ora identyfikatora użytkownika następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych

3) Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym system zapewnia sporzadzenie i wydrukowanie raportu zawierajacego w powszechnie zrozumiałej formie informacje 

 4) System informatyczny administratora danych umozliwia zapisywanie zdarzeń wyjątkowych na potrzeby audytu i przechowywanie informacji o nich przez określony czas. Zapisy obejmują:

- identyfikator uzytkownika

- datę i czas zalogowania i wylogowania systemu

- tożsamość stacji roboczej

-zapisy udanychi nieudanych prób dostępu do systemu

- zapisy udanych i nieudanych prób dostępu do danych i innych zasobów systemowych  

5. Polityka osobowa        

1) Nabór pracowników na stanowiska zwiazane z przetwarzaniem danych osobowych dokonywany jest z uwzględnieniem kompetencji merytorycznych oraz kwalifikacji moralnych kandydatów

2) Dopuszczenie do stanowisk związanych z przetwarzaniem danych osobowych nastepuje po zrealizowaniu obowiązków wynikajacych z przepisów prawa oraz niniejszej Polityki bezpieczeństwa informacji, w szczególności po wystawieniu stosowanego indywidualnego upoważnienia oraz zapoznaniu osób dopuszczonych do przetwarzania z zasadami bezpieczeństwa danych osobowych.

3) Ryzyko naruszenia zasad ochrony danych osobowych ze strony osób, które nie zostały upowaznione do przetwarzania danych osobowych (np. personel sprzatajacy) jest minimalizowane przez odpowiednie przeszkolenie ich (pouczenie) oraz zobowiazywanie do zachowania tajemnicy.

6. Indywidualne wymagania dotyczące użytkowników

Użytkownicy zobowiązani sa do zachowania następujących reguł bezpieczeństwa:

1) powstrzymywania się od samodzielnej ingerencji w oprogramowanie i konfigurację powierzonego sprzetu oraz instalowania nieautoryzowanego oprogramowania, nawet gdy z pozoru mogloby to usprawnić pracę lub podnieść poziom bezpieczeństwa danych

2) dbania o prawidłowa wentylację komputerów

3)niepodłaczania do listew podtrzymujacych napięcie przeznaczonych dla sprzetu komputerowego innych urzadzeń

4) zamykania okien

5) przestrzegania indywidualnych uprawnień i realizacji obowiązków w zakresie przetwarzania danych osobowych w szczególności wlasciwego korzystania z powierzonych sprzętów i udostepnionych zasobów oraz używania wyłącznie własnego identyfikatora i hasła

6) odpowiedniego zabezpieczenia identyfikatora i hasła oraz nieudostepniania go innym osobom

7) zachowania danych osobowych i sposobu ich zabezpieczenia w tajemnicy, w tym także wobec osób najbliższych

8) ustawiania ekranów komputerowych tak, aby osoby nieuprawnione nie widziały treści wyświetlanych na ekranie

9) niepozostawianie osób postronnych w pomieszczeniu, w którym przetwarzane sa dane osobowe bez obecności osóbupoważnionych do przetwarzania danych osobowych

10)niepozostawiania bez kontroli właczonych urzadzeń zawierających dane osobowe oraz niezabezpieczonych dokumentów

11) niszczenia niepotrzebnych wydruków i kopii dokumentów po ich wykorzystaniu oraz kasowania po wykorzystaniu z dysków przenośnych

12) powstrzymania się od przesylania danych osobowych pocztą elektroniczną

13) kończenia pracy na stacji roboczej po wprowadzeniu danych przetwarzanych tego dnia w odpowiednie obszary serwera, a nastepnie prawidłowym wylogowaniu się użytkownika i wyłaczeniu komputera

14) zadbanie o odpowiednie zabezpieczenie: pomieszczeń oraz wszelkich dokumentów i wydruków zawierajacych dane osobowe przed opuszczeniem miejsca pracy

7. Komputery przenośne i praca poza siedzibą administratora

1)       Wynoszenie poza obszar przetwarzania danych urządzeń i dokumentów zawierających dane osobowe jest dopuszczalne jedynie za wiedzą i zgodą pełnomocnika bezpieczeństwa informacji lub bezpośredniego przełożonego, gdy konieczność taka została uzgodniona z pełnomocnikiem bezpieczeństwa informacji.

2)       Urządzenia zawierające dane osobowe wynoszone poza obszar przetwarzania danych należy chronić przed uszkodzeniami fizycznymi. Należy też bezwzględnie przestrzegać zaleceń producentów dotyczących ochrony sprzętu. W szczególności należy pamiętać, że urządzenia elektroniczne mogą ulec uszkodzeniu w skutek działanie silnego pola elektromagnetycznego i chronić je przed takim oddziaływaniem.

3)       Urządzenia przenośne, nośniki danych oraz dokumenty wynoszone poza obszar przetwarzania danych nie powinny być pozostawiane bez nadzoru. W szczególności zabrania się pozostawiania urządzeń i dokumentów zawierających dane osobowe bez odpowiedniego zabezpieczenia w miejscach publicznych, pokojach hotelowych oraz w samochodach.

4)       Wykorzystywanie urządzeń przenośnych, nośników danych oraz dokumentów zawierających dane osobowe w miejscach publicznych jest dozwolone, o ile otoczenie, w którym znajduje się osoba upoważniona do przetwarzania danych osobowych, stwarza warunki minimalizujące ryzyko utraty, zniszczenia lub zapoznania się z danymi przez osoby nieupoważnione. Za miejsca szczególnego ryzyka należy uznać restauracje oraz środki komunikacji publicznej.

5)       Niedozwolone jest udostępnianie urządzeń przenośnych i nośników danych należących do administratora danych osobom nieupoważnionym, w tym domownikom i osobom bliskim użytkownika. Użytkownik obowiązany jest zachować w tajemnicy wobec wszystkich osób, w tym wobec domowników i osób bliskich identyfikator i hasło, których podanie jest konieczne do rozpoczęcia pracy na komputerze przenośnym administratora danych lub chroniącym dostęp do nośników danych.

 VI. Zapewnienie zgodności działalności SHAR-POL z RODO (przeciwdziałanie ryzyku naruszenia wolności i praw osób, których dane dotyczą)

1. Realizacja zasad ochrony danych osobowych

1)     Zasada legalności przetwarzania. Należy zapewnić by dane osobowe były przetwarzane wyłącznie po spełnieniu jednego z warunków dopuszczalności przetwarzania określonych w art.. 6 ust. 1 RODO, a w przypadku szczególnych kategorii danych (tzw. danych wrażliwych) art.. 9 i art. 10 RODO.

2)     Zasada rzetelności przetwarzania. Przetwarzanie rzetelne należy rozumieć jako przetwarzanie uczciwie w stosunku do osoby, których dane. Podejmując dowolne czynności przetwarzania należy brać pod uwagę (respektować) prawa i interesy podmiotów danych. Należy wziąć pod uwagę, że przetwarzanie może być dokuczliwe dla podmiotu danych i spróbować zminimalizować te uciążliwości. Nie można też próbować oszukiwać, ani wykorzystywać braku wiedzy lub trudnej sytuacji podmiotu danych.  

3)     Zasada przejrzystości przetwarzania. Należy zapewnić przejrzystą informację podmiotom danych o dotyczącym ich przetwarzaniu. Powinny być stworzone ścieżki komunikacji umożliwiające zainteresowanym skorzystanie z przyznanych im praw.

4)     Zasada ograniczoności celu. Dane wolno zbierać jedynie w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie wolno ich przetwarzać po zebraniu w sposób niezgodny z tymi celami. Do celu należy dostosować nie tylko ilość zbieranych danych, ale też zakres ich przetwarzania oraz okres przez który są przechowywane.

5)      Minimalizacja danych. Dane powinny być adekwatne do celu, czyli ograniczone do niezbędnego minimum. Gdy cel przetwarzania tego nie wymaga to w ogóle nie należy dokonywać identyfikacji osobowej.

6)      Prawidłowość danych. Dane powinny być prawdziwe (zgodne z prawdą) i w razie potrzeby uaktualniane. Należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.

7)      Ograniczenie przechowywania. Dane wolno przechowywać w formie umożliwiającej identyfikację osoby, której one dotyczą, jedynie przez okres niezbędny dla realizacji celów, w których dane te są przetwarzane.

2. Realizacja obowiązków informacyjnych i zapewnienie przejrzystej komunikacji

8)       Informacje przekazywane podmiotom danych należy formułować w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

9)       Należy uprawdopodobnić, że informacje są przekazywane osobie, której dane dotyczą. W razie wątpliwości należy zażądać dodatkowych informacji w celu zweryfikowania tożsamości, osoby, która się kontaktuje w celu uzyskania informacji.

10)       Przekazując informacje podmiotowi danych należy zadbać o to by informacja ta obejmowała wyłącznie dane go dotyczące. Należy dołożyć starań, by informacja przekazywana jednej osobie nie zdradzała informacji o innych.

11)       Zbierając informacje bezpośrednio od osoby, której dotyczą należy jednocześnie przekazać tej osobie informacje wskazane w art. 13 ust. 1 i 2 RODO. Obowiązek ten należy zrealizować w trakcie pozyskiwania informacji.  

12)       Gdy dane są zbierane z innego źródła niż od osoby, której dotyczą to należy spełnić obowiązek informacyjny w zakresie art.. 14 ust. 1 i 2 RODO. Należy to zrobić 
w rozsądnym terminie (do miesiąca) od zebrania informacji, nie później jednak niż przy pierwszej komunikacji z podmiotem danych lub pierwszym udostępnieniem danych.

13)       Stosowną informację w zakresie art.. 13 ust. 1 i 2 lub art.. 14 ust. 1 i 2 RODO należy podmiotowi danych przekazać także w przypadku zmiany celu przetwarzania dokonanym po zebraniu danych, chyba, że został już o tym uprzedzony.

14)       Należy zapewnić ścieżki komunikacji umożliwiające osobom, których dane dotyczą kontakt w celu realizacji przyznanych im praw.

3. Realizacja żądań osób, których dane dotyczą

1)       Jeżeli zainteresowany skorzysta z prawa dostępu do danych (zażąda informacji na temat dotyczącego go przetwarzania) to udziela się mu jej zgodnie z art. 12 ust. 1 i 2 RODO. Jeśli podmiot danych tego zażąda, a jest to możliwe, przekazuje się mu także kopię dotyczących go danych. Informacji na żądanie udziela się zasadniczo w terminie miesiąc, chyba, że sprawa jest skomplikowana. Wtedy przedłużenie terminu następuje zgodni z art. 12 ust. 3 RODO.

2)       Jeżeli zainteresowany skorzysta z prawa do sprostowania to na jego żądanie dokonuje się sprostowania nieprawidłowych danych. Prawo to obejmuje też uzupełnienie niekompletnych danych, przy czym kompletność ocenia się z uwzględnieniem celów przetwarzania. O ile to możliwe to o dokonanym sprostowaniu informuje się odbiorców, którym dane zostały przekazane.

3)       Jeżeli zainteresowany skorzysta z prawa do usunięcia danych (bycia zapomnianym) to na jego żądanie usuwa się dotyczące go dane, chyba że spełnione są wymogi ich dalszego przetwarzania z art. 17 ust. 3 RODO. O  ile to możliwe to o dokonanym usunięciu informuje się odbiorców, którym dane zostały przekazane. Gdy dane zostały upublicznione należy podjąć starania w celu usunięcia wszelkich łączy do tych danych, ich kopii lub replikacji stworzonych przez innych administratorów.  

4)       Jeżeli zainteresowany skorzysta z prawa do ograniczenia przetwarzania to na jego żądanie należy ograniczyć przetwarzanie do wskazanych czynności, chyba, że zachodzą przesłanki ich dalszego przetwarzania, w szczególności te wymienione
w art. 18 ust. 2 RODO.  O ile to możliwe to o dokonanym ograniczeniu informuje się odbiorców, którym dane zostały przekazane.

5)       Jeżeli zainteresowany skorzysta z prawa do przeniesienia danych to dostarcza mu się dotyczących go danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego. Prawo to przysługuje, gdy dane mają postać zapisu elektronicznego i są przetwarzane na podstawie warunku zgody lub realizacji umowy. Na żądanie zainteresowanego dane dostarcza się bezpośrednio wskazanemu przez niego podmiotowi.     

6)      Jeżeli zainteresowany skorzysta z prawa sprzeciwu wobec przetwarzania jego danych osobowych, w tym profilowania, powołując się na swoją szczególną sytuację, to należy zaprzestać  dalszego przetwarzania dotyczących go danych, chyba, że spełnione są przesłanki dalszego przetwarzania określone w art. 21 ust. 1 RODO.

7)      Jeżeli zainteresowany skorzysta z prawa sprzeciwu wobec przetwarzania jego danych w celach marketingowych, w tym profilowania, to nie można nie uwzględnić sprzeciwu.

4. Zgoda na przetwarzanie danych osobowych

1)       Jeżeli zgodnie z art. 6 ust. 1 lub 9 ust. 1 RODO podstawą przetwarzania danych osobowych jest zgoda osoby, której dane dotyczą to przyzwolenie na przetwarzanie danych powinno być dobrowolne, konkretne, świadome i jednoznaczne. Musi spełniać też wymogi rozliczalności i transparentności.

2)       Zapewnia się prawo do wycofania zgody.

3)       Nie jest dopuszczalne uzależnienie wykonania usługi niezwiązanej bezpośrednio ze zgodą od jej udzielenia.

4)       W przypadku usług społeczeństwa informacyjnego oferowanych dziecku podejmuje się wszelkie niezbędne działania by uzyskać aprobatę opiekuna.

5. Profilowanie

1)       Podejmowanie zautomatyzowanych decyzji wobec indywidualnych osób, w tym profilowanie, jest dopuszczalne wyłącznie w przypadkach określonych w art. 22 ust. 3, w szczególności, gdy zainteresowana osoba wyraziła na to zgodę.

2)       Osobie, wobec której są podejmowane zautomatyzowane decyzje lub którą się profiluje zapewnia się:

- prawo do zakwestionowania tej decyzji;

- prawo do wyrażenia własnego stanowiska w przedmiocie podejmowanych wobec niej decyzji i profilowania;

- prawo do uzyskania interwencji ludzkiej, czyli do indywidualnego rozpatrzenia jej sprawy przez administratora danych;

- prawo do wniesienia sprzeciwu zgodnie z art. 21 ust. 1 i 2 RODO.

6. Udostępnianie danych osobowych

1)       Zgodnie z przepisami prawa administrator danych jest zobowiązany do przekazywana danych osobowych wskazanym podmiotom (np. Urzędowi Skarbowemu lub ZUS) to upoważnieni pracownicy administratora danych realizują ten wymóg zgodnie z zakresem swoich obowiązków służbowych stosując się ściśle do wskazanych przepisów.

2)       Jeśli do administratora danych wystąpi z wnioskiem o udzielenie informacji osobowej podmiot, który twierdzi, że jest uprawniony do uzyskania takiej informacji na podstawie przepisów prawa udostępnienie informacji może nastąpić jedynie po:

- zweryfikowaniu podstawy prawnej udostępnienia;

- zweryfikowaniu czy składający wniosek jest podmiotem za który się podaje;

- odnotowaniu udostępnienia w ewidencji udostępnień danych osobowych.

Ewidencję udostępnień danych osobowych prowadzi pełnomocnik bezpieczeństwa informacji.    

3)        W przypadku, gdy z wnioskiem o którym mowa w ppkt. 2) wystąpi uprawniony funkcjonariusz, w szczególności policji, i wnioskujący stwierdzi, że istnieje konieczność niezwłocznego działania udostępnienie informacji może nastąpić po:

- wylegitymowaniu funkcjonariusza;

- na podstawie pisemnego oświadczenia funkcjonariusza lub za pisemnym pokwitowaniem przez niego uzyskania dokumentów.

4)       Jeśli do administratora danych wystąpi z wnioskiem o udzielenie informacji osobowej podmiot, który nie jest uprawniony do uzyskania takiej informacji na podstawie przepisów prawa udostępnienie informacji może nastąpić jedynie gdy:

- cel przetwarzania nie ulega zmianie;

- osobie, której dane mają być udostępnione zostanie umożliwione skorzystanie z prawa sprzeciwu;

- nastąpi zweryfikowanie tożsamości podmiotu składającego wniosek;

- udostępnienie zostanie odnotowane w ewidencji udostępnień danych osobowych.

7. Współpraca z podmiotami przetwarzającymi

1)       Jeśli wymagają tego okoliczności administrator danych może podjąć decyzje
o powierzeniu przetwarzania danych osobowych podmiotowi przetwarzającemu.

2)       Wybierając podmiot przetwarzający administrator danych dokłada staranności, by podmiot ten zapewniał wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO.

3)       Powierzenie danych osobowych podmiotowi przetwarzającemu następuje na podstawie pisemnej umowy określającej przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora danych i podmiotu przetwarzającego.

4)       Umowa o której mowa w ppkt. 3) zawiera, jeśli to właściwe, w szczególności:

  1.  zobowiązanie przetwarzającego do tego, że przetwarzanie danych osobowych będzie się odbywało wyłącznie na udokumentowane polecenie administratora danych,
  2. . deklarację przetwarzającego, że osoby upoważnione przez niego do przetwarzania danych osobowych zobowiązały się lub zobowiążą do zachowania w tajemnicy dane osobowe oraz sposób ich zabezpieczenia;
  3. deklarację przetwarzającego, że wdrożył lub wdroży odpowiednie środki techniczne i organizacyjne, aby zapewnić odpowiedni stopień bezpieczeństwa zgodnie z art. 32 RODO,
  4.  deklarację przetwarzającego wskazującą, że jeśli korzysta lub będzie korzystać z usług innego podmiotu przetwarzającego, to wypełnia lub wypełni warunki określone w art. 28 ust. 2 i 4 RODO,
  5.  zobowiązanie przetwarzającego do pomocy administratorowi danych poprzez odpowiednie środki techniczne i organizacyjne w wywiązaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w pkt. 1-7,
  6.  zobowiązanie przetwarzającego do pomocy administratorowi danych
    w realizacji obowiązków określonych w częściach VIII i IX niniejszej Polityki,
  7.  zobowiązanie przetwarzającego do usunięcia lub zwrotu wszelkich danych osobowych administratora oraz wszelkich ich istniejących kopii po zakończeniu świadczenia usług, jeśli administrator danych wystąpi z takim żądaniem.

5)       Umowy z podmiotami przetwarzającymi są przekazywane pełnomocnikowi bezpieczeństwa informacji w celu włączenia do dokumentacji ochrony danych osobowych.

VII. Działania nadzorcze i audyty wewnętrzne.

1. Nadzór nad przestrzeganiem ochrony danych osobowych

1)       W celu zapewnienia ochrony wolności i praw osób, których dane dotyczą, a zwłaszcza bezpieczeństwa dotyczących ich danych, pełnomocnik bezpieczeństwa informacji zapewnia zgodność działalności SHAR-POL z przepisami.

2)        Realizując zadanie określone w ppkt. 1) pełnomocnik bezpieczeństwa informacji:

  1.  dokonuje inwentaryzacji zasobów danych osobowych i dba o aktualność ich opisu zgodnie z wymogami określonymi w części III pkt. 2 ppkt. 2 niniejszej Polityki,
  2.  przeprowadza ocenę ryzyka naruszenia ochrony danych osobowych
  3.  prowadzi rejestr czynności przetwarzania
  4.  jeśli to wymagane przeprowadza ocenę skutków dla ochrony danych
  5.  czuwa nad aktualnością dokumentacji z zakresu ochrony danych osobowych
  6.  czuwa nad przestrzegania zasad określonych w dokumentacji ochrony danych osobowych
  7.  czuwa nad zgodnością przetwarzania danych osobowych z przepisami
    o ochronie danych osobowych
  8.  prowadzi postępowanie wyjaśniające w przypadku stwierdzenia naruszenia lub podejrzenia naruszenia ochrony danych osobowych

3)       W celu realizacji zadań określonych w ppkt. 2 lit. f-h) pełnomocnik bezpieczeństwa informacji przeprowadza okresowe audyty wewnętrzne (tzw. sprawdzenia planowe). Realizując zadanie określone w ppkt. 2 lit. i pełnomocnik bezpieczeństwa informacji przeprowadza audyt wewnętrzny nieobjęty planem sprawdzeń (tzw. sprawdzenie doraźne).

4)       Pełnomocnik bezpieczeństwa informacji zapewnia (nadzoruje) realizację obowiązku zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami
o ochronie tych danych, w szczególności decyduje o terminach i sposobach przeprowadzenia szkoleń w tym zakresie.

2. Inwentaryzacja i opis zasobów

1)       Pełnomocnik bezpieczeństwa informacji dba o to by przetwarzanie danych osobowych w   SHAR-POL odbywało się wyłącznie za wiedzą, zgodą i pod nadzorem upoważnionych.

2)       W celu realizacji zadania określonego w ppkt. 1) pełnomocnik bezpieczeństwa informacji opisuje zasoby danych osobowych oraz sposób ich przetwarzania i zabezpieczenia 

3)       Pełnomocnik bezpieczeństwa informacji dba o aktualność opisu zasobów. Ocena aktualności opisu zasobów stanowi element okresowego przeglądu dokumentacji
o którym mowa w pkt.8.

3. Rejestr czynności przetwarzania

1)       SHAR-POL prowadzi rejestr czynności przetwarzania tak, by był on zgodny z wymogami art. 30 RODO. Przeprowadzając okresowy przegląd dokumentacji o którym mowa w pkt. 8 pełnomocnik bezpieczeństwa informacji dokonuje oceny spełnienia powyższego wymogu. 

2)       Pełnomocnik bezpieczeństwa informacji przekazuje rejestr czynności przetwarzania organowi nadzorczemu na jego żądanie.

4. Ocena ryzyka

1)       Celem oceny ryzyka jest ustalenie czy stopień bezpieczeństwa danych jest odpowiedni oraz czy nie zachodzi niebezpieczeństwo naruszenia praw i wolności osób fizycznych.

2)       Administrator danych zleca pełnomocnikowi bezpieczeństwa informacji przeprowadzenie oceny ryzyka, gdy:

  1.  są planowane lub podejmowane nowe czynności z wykorzystaniem danych osobowych,
  2.  dokonywane są zmiany sposobu działania SHAR-POL, w szczególności zmiany w zakresie wykorzystywanej technologii i organizacji pracy, gdy może to mieć wpływ na przetwarzanie danych osobowych.

3)       Wyniki oceny ryzyka pełnomocnik bezpieczeństwa informacji przedstawia niezwłocznie administratorowi danych. Jeśli na skutek przeprowadzonej oceny pełnomocnik bezpieczeństwa informacji ustali, że dany rodzaj przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to administrator danych rezygnuje z planowanych działań, albo podejmuje czynności wskazane w ppkt. 

4)       Jeśli administrator danych chce kontynuować planowane działania mimo, że z oceny ryzyka wynika, że z dużym prawdopodobieństwem mogą one powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to:

  1.  zleca właściwym podmiotom, w tym pełnomocnikowi bezpieczeństwa informacji, opracowanie i zastosowanie środków zaradczych, w tym zabezpieczeń oraz środków i mechanizmów bezpieczeństwa mających zapewnić ochronę danych osobowych i wykazać przestrzeganie postanowień RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy,
  2.  zleca pełnomocnikowi bezpieczeństwa informacji przeprowadzenie oceny skutków przetwarzania dla ochrony danych osobowych zgodnie z pkt. 5.
  3.  oceny skutków przetwarzania dla ochrony danych wskazanej w ppkt. 4 nie trzeba przeprowadzać, gdy przetwarzanie jest obowiązkiem wynikającym
    z przepisu prawa lub jest niezbędne do wykonania zadania realizowanego
    w interesie publicznym lub w ramach sprawowania władzy publicznej.

5)       Ocenę ryzyka pełnomocnik bezpieczeństwa informacji przeprowadza także w przypadku stwierdzenia naruszenia lub podejrzenia naruszenia ochrony danych osobowych zgodnie z częścią VIII niniejszej Polityki.

5. Ocena skutków przetwarzania dla ochrony danych

1)       Jeżeli administrator danych osobowych zlecił pełnomocnikowi bezpieczeństwa informacji przeprowadzenie oceny skutków przetwarzania dla ochrony danych zgodnie z pkt. 4 ppkt. 4 lit. b), to pełnomocnik bezpieczeństwa informacji przystępuje niezwłocznie do opracowania takiej oceny.

2)       Ocena skutków o której mowa w ppkt. 1) obejmuje:

  1.  systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
  2.  ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne
    w stosunku do celów;
  3.  wskazanie środków zaplanowanych w celu zaradzenia ryzyku, ze szczególnym wyróżnieniem tych opracowanych i wdrożonych w ramach działań podjętych na zlecenie wskazane w pkt. 4 ppkt. 4 lit. a).
  4.  ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, po zastosowaniu środków wskazanych w ppkt. 2 lit. c).

3)       Wyniki oceny skutków pełnomocnik bezpieczeństwa informacji przedstawia niezwłocznie administratorowi danych. Jeśli ocena skutków dla ochrony danych wykaże, że przetwarzanie powodowałoby nadal wysokie ryzyko naruszenia wolności lub praw osób, których dane dotyczą, a zastosowane środki wskazane w pkt. 5 ppkt. 2 lit. c) nie pozwalają na jego zminimalizowanie, to administrator danych rezygnuje się z podejmowania planowanych działań, albo przedstawia sprawę organowi nadzorczemu w trybie uprzednich konsultacji zgodnie z pkt. 6.

7. Audyty wewnętrzne

1)       W celu zapewnienia przestrzegania przepisów o ochronie danych osobowych pełnomocnik bezpieczeństwa informacji przeprowadza następujące audyty wewnętrzne:

- sprawdzenie prawidłowości i aktualności dokumentacji z zakresu ochrony danych osobowych;

- sprawdzenie przestrzegania zasad i procedur określonych w dokumentacji ochrony danych osobowych.

- sprawdzanie zgodności przetwarzania danych osobowych z przepisami
o ochronie danych osobowych;

2)       Audyty wewnętrzne wskazane w ppkt. 1) są przeprowadzane okresowo zgodnie z planem sprawdzeń przygotowywanym przez pełnomocnika bezpieczeństwa informacji (sprawdzenia planowe). Plan sprawdzeń obejmuje maksimum 1 rok. Jest on przekazywany administratorowi danych do wiadomości w terminie minimum 2 tygodni przed rozpoczęciem okresu, który plan obejmuje. Jeśli sprawdzenie planowe obejmuje kontrolę w  konkretnej jednostce lub dziale to kierownik tej jednostki jest zawiadamiany o sprawdzeniu nie później niż na 7 dni przed rozpoczęciem sprawdzenia.

3)       W sytuacji powzięcia wiadomości o naruszeniu ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia pełnomocnika bezpieczeństwa informacji przeprowadza audyt nieobjęty planem sprawdzeń (tzw. sprawdzenie doraźne). W przypadku sprawdzeń doraźnych terminy określone w ppkt. 2) nie obowiązują.  

4)       Pełnomocnik bezpieczeństwa informacji przygotowuje i gromadzi dokumentację przeprowadzonych audytów.

5)       Obowiązki określone w ppkt. 1-4) pełnomocnik bezpieczeństwa informacji realizuje we współpracy z kierownikiem biura 8. Zapewnienie aktualności dokumentacji z zakresu ochrony danych osobowych

6)      Pełnomocnik bezpieczeństwa informacji dokłada starań by dokumentacja ochrony danych osobowych była aktualna. 

7)      Niezależnie od działań wskazanych w ppkt. 1)  pełnomocnik bezpieczeństwa informacji nie rzadziej niż raz do roku dokonuje przeglądu dokumentacji pod kątem sprawdzenia jej aktualności i zgodności z przepisami.

9. Zapewnienie przestrzegania zasad określonych w dokumentacji ochrony danych osobowych.

1)       Pełnomocnik bezpieczeństwa informacji prowadzi bieżący nadzór nad działalnością SHAR-POL związaną z przetwarzaniem danych osobowych. Realizując powyższe zadanie pełnomocnik bezpieczeństwa informacji m.in. na bieżąco ocenia zagrożenia, sprawdza kluczowe punkty bezpieczeństwa, formułuje zalecenia i wskazówki, odpowiada na pytania i udziela porad.

2)       Niezależnie od działań wskazanych w ppkt. 1)  pełnomocnik bezpieczeństwa informacji nie rzadziej niż raz do roku przeprowadza audyt przestrzegania zasad i procedur ochrony danych osobowych w  SHAR-POL .

3)       W ramach audytu określonego w ppkt. 2) dokonuje się w szczególności analizy zagrożeń określonych w części IV niniejszej Polityki oraz sprawdza realizację wskazań i obowiązków określonych w części V niniejszej Polityki.

10. Zapewnienie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych

1)       Pełnomocnik bezpieczeństwa informacji na bieżąco śledzi zmiany prawne i zapoznaje się ze wskazówkami organu nadzorczego wydanymi w zakresie ich wdrożenia. Pełnomocnik bezpieczeństwa informacji informuje administratora danych o planowanych zmianach prawnych i w porozumieniu z nim oraz, gdy to właściwe, z udziałem administratora systemu, przygotowuje projekty dostosowujące działania, zasady i procedury wewnętrzne do nowych wymogów.

2)       Niezależnie od działań wskazanych w ppkt. 1)  pełnomocnik bezpieczeństwa informacji nie rzadziej niż raz do roku przeprowadza audyt zgodności przetwarzania danych osobowych z przepisami. SHAR-POL .

3)       W ramach audytu określonego w ppkt. 2) dokonuje się w szczególności oceny realizacji wymogów wskazanych w części VI niniejszej Polityki.

 VIII. Naruszenie ochrony danych osobowych.

1. Postępowanie w przypadku stwierdzenia lub podejrzenia stwierdzenia naruszenia ochrony danych osobowych

1)       Zasady postępowania w przypadku stwierdzenia naruszenia lub podejrzenia naruszenia bezpieczeństwa systemu informatycznego określa Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w SHAR-POL.

2)       Każdy kto stwierdził inne niż określone w ppkt. 1) naruszenie ochrony danych osobowych lub podejrzewa takie naruszenie powinien niezwłocznie poinformować
o tym pełnomocnika bezpieczeństwa informacji. Jako inne niż określone w ppkt. 1) naruszenie rozumie się w szczególności brak realizacji lub niewłaściwą realizację wymogów określonych w części VI niniejszej Polityki.

3)       Pełnomocnik bezpieczeństwa informacji po otrzymaniu zawiadomienia, o którym mowa w ppkt. 2) przeprowadza niezwłocznie postępowanie wyjaśniające w celu ustalenia czy naruszenie ochrony danych osobowych miało miejsce (tzw. sprawdzenie doraźne).

4)       Sprawdzenie doraźne może zostać wszczęte przez pełnomocnik bezpieczeństwa informacji także z własnej inicjatywy, gdy w inny sposób niż w skutek zawiadomienia poweźmie informację o naruszeniu lub możliwym naruszeniu ochrony danych osobowych.

5)       W przypadku stwierdzenia naruszenia ochrony danych osobowych w trybie określonym w ppkt. 3 lub 4) pełnomocnik bezpieczeństwa informacji:

  1.  podejmuje niezwłoczne, możliwe do wprowadzenia na bieżąco, działania zapobiegające dalszemu naruszaniu ochrony danych osobowych,
  2. stosuje niezwłoczne, możliwe do wprowadzenia na bieżąco, środki eliminujące lub zmniejszające ryzyko naruszenia praw lub wolności osoby, której dane dotyczą,
  3.  sporządza raport naruszenia ochrony danych osobowych, a następnie niezwłocznie przekazuje jego kopię administratorowi danych.

6)       Raport o którym mowa w ppkt. 5 lit.  c) zawiera w szczególności:

  1. opis okoliczności naruszenia ochrony danych osobowych;
  2. opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazuje kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  3. opis możliwych konsekwencji naruszenia ochrony danych osobowych;
  4. ocenę czy jest prawdopodobne, że naruszenie skutkowało ryzykiem lub wysokim ryzykiem naruszenia wolności lub praw osób fizycznych;
  5.  wskazanie zastosowanych lub proponowanych działań zaradczych, ze szczególnym uwzględnieniem takich, które zmierzają do zminimalizowania ewentualnych negatywnych skutków naruszenia.

7)       Administrator danych osobowych po zapoznaniu się z raportem o którym mowa w ppkt. 6) podejmuje decyzje o dalszym trybie postępowania, a w szczególności:

  1.  jeśli to właściwe, zarządza podjęcie czynności zmierzających do usunięcia naruszenia i jego skutków oraz zapobieżeniu naruszeniom ochrony danych osobowych na przyszłość.
  2. jeśli to możliwe, zarządza zastosowanie środków eliminujących lub zmniejszających prawdopodobieństwo ryzyka naruszenia praw lub wolności osoby, której dane dotyczą,
  3.  jeśli jest to właściwe zawiadamia o naruszeniu właściwe organy, w tym zgłasza naruszenie organowi nadzorczemu oraz informuje o naruszeniu osoby, których naruszenie dotyczy. Do zgłasza naruszeni organowi nadzorczemu zgodnie z art. 33 ust. 1 RODO oraz zawiadamia o naruszeniu osób, których dane dotyczą zgodnie z art. 34 ust. 1 RODO stosuje się postanowienia pkt. 2 i 3 niniejszej części
  1.  Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu i zawiadomienie osoby, której dane dotyczą.

1)       Jeśli administrator danych ustali, że jest prawdopodobne, że naruszenie ochrony danych osobowych stwierdzone w trybie określonym w pkt. 1 skutkowało ryzykiem naruszenia wolności lub praw osób fizycznych nakazuje pełnomocnikowi bezpieczeństwa informacji przygotowanie projektu zgłoszenia naruszenia organowi nadzorczemu,

2)       Zgłoszenie naruszenia wskazane w ppkt. 1) zawiera, w szczególności:

  1.  informacje zawarte w raporcie, zgodnie z pkt. 1 ppkt. 6),
  2.  wskazanie imienia i nazwiska oraz danych kontaktowych pełnomocnika bezpieczeństwa informacji, jako osoby właściwej do kontaktu w sprawie.
    W szczególnych przypadkach, po konsultacji z administratorem danych osobowych, do kontaktu w sprawie może być wskazana inna osoba niż pełnomocnik bezpieczeństwa informacji.

3)       Zgłoszenie naruszenia ochrony danych osobowych, o którym mowa w ppkt. 1-2) administrator danych zatwierdza i przekazuje organowi nadzorczemu bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.

4)       Jeżeli dotrzymanie terminu wskazanego w ppkt. 3) jest niemożliwe administrator danych do zgłoszenia dołącza wyjaśnienie przyczyn opóźnienia. Jeżeli – i w zakresie, w jakim – informacji nie da się udzielić od razu, administrator danych udziela tych informacji sukcesywnie, bez zbędnej zwłoki.

  1. 3. Zawiadomienie osoby, której dane dotyczą.

1)      Jeśli administrator danych ustali, że naruszenie ochrony danych osobowych stwierdzone w trybie określonym w pkt. 1 może powodować wysokie ryzyko naruszenia wolności lub praw osób fizycznych i nie da się zastosować środków eliminujących to wysokie ryzyko, nakazuje pełnomocnikowi bezpieczeństwa informacji przygotowanie projektu zawiadomienia o naruszeniu dla wszystkich osób, których danych naruszenie dotyczy.

2)       Zawiadomienie o którym mowa w ppkt. 1) powinno być napisane jasnym i prostym językiem oraz zawierać, w szczególności:

  1.  opis charakteru naruszenia,
  2.  opis możliwych konsekwencji naruszenia,
  3.  wskazanie zastosowanych lub planowanych działań zaradczych, ze szczególnym uwzględnieniem takich, które mogą zminimalizować ewentualne negatywne skutki naruszenia,
  4.  wskazanie imienia i nazwiska oraz danych kontaktowych pełnomocnika bezpieczeństwa informacji, jako osoby właściwej do kontaktu w sprawie.
    W szczególnych przypadkach, po konsultacji z administratorem danych osobowych, do kontaktu w sprawie może być wskazana inna osoba niż pełnomocnik bezpieczeństwa informacji.

3)      Zawiadomienie o naruszeniu ochrony danych osobowych, o którym mowa w ppkt. 1-2) administrator danych zatwierdza i przekazuje niezwłocznie wszystkim osobom, których danych naruszenie dotyczy.

4)       Jeżeli administrator danych oceni, że realizacja wymogów określonych w ppkt. 1-3) wymagałoby niewspółmiernie dużego wysiłku, w szczególności niewspółmiernie dużego wysiłku wymagałoby nawiązanie bezpośredniego, indywidualnego kontaktu z osobami, których danych naruszenie dotyczy, może podjąć decyzje o przekazaniu informacji zainteresowanym poprzez wydanie publicznego komunikatu lub o zastosowaniu innego podobnego środka, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

4. Dokumentacja naruszenia ochrony danych osobowych.

1)       Pełnomocnik bezpieczeństwa informacji prowadzi dokumentację naruszenia danych osobowych.

2)      W skład dokumentacji o której mowa w ppkt. 1) wchodzą:

  1.  kopia raportu o 
  2.  kopia zgłoszenia 
  3.  kopie zawiadomień
  4.  wszelkie inne dokumenty, w tym notatki służbowe, pliki, zdjęcia i inne dowody zebrane w trakcie przeprowadzania czynności wyjaśniających pozwalające ustalić okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.

3)       Dokumentacja naruszenia ochrony danych osobowych pozostaje do wglądu organu nadzorczego.

IX  Polityka cookies

1. Informacje ogólne

 Operatorem Serwisu www.shar-pol.pl jest SHAR-POL Sp. z o.o., ul.Św.Małgorzaty 6/1, 44-102 Gliwice, KRS 0000086727

  1.     Serwis realizuje funkcje pozyskiwania informacji o użytkownikach i ich zachowaniu w następujący sposób:

    1.         Poprzez dobrowolnie wprowadzone w formularzach informacje.

    2.         Poprzez zapisywanie w urządzeniach końcowych pliki cookie (tzw. "ciasteczka").

    3.         Poprzez gromadzenie logów serwera www przez operatora hostingowego Ogicom "Spider" Sp. z o.o. S.K.A.., funkcjonującego pod adresem www.ogicom.pl

2. Pliki cookie (ciasteczka)

  1. Serwis korzysta z plików cookies.
  2. Pliki cookies (tzw. "ciasteczka") stanowią dane informatyczne, w szczególności pliki tekstowe, które przechowywane są w urządzeniu końcowym Użytkownika Serwisu i przeznaczone są do korzystania ze stron internetowych Serwisu. Cookies zazwyczaj zawierają nazwę strony internetowej, z której pochodzą, czas przechowywania ich na urządzeniu końcowym oraz unikalny numer.
  3. Podmiotem zamieszczającym na urządzeniu końcowym Użytkownika Serwisu pliki cookies oraz uzyskującym do nich dostęp jest operator Serwisu.
  4. Pliki cookies wykorzystywane są w następujących celach:
    1. tworzenia statystyk, które pomagają zrozumieć, w jaki sposób Użytkownicy Serwisu korzystają ze stron internetowych, co umożliwia ulepszanie ich struktury i zawartości;
    2. utrzymanie sesji Użytkownika Serwisu (po zalogowaniu), dzięki której Użytkownik nie musi na każdej podstronie Serwisu ponownie wpisywać loginu i hasła;
    3. określania profilu użytkownika w celu wyświetlania mu dopasowanych materiałów w sieciach reklamowych, w szczególności sieci Google.
  5. W ramach Serwisu stosowane są dwa zasadnicze rodzaje plików cookies: "sesyjne" (session cookies) oraz "stałe" (persistent cookies). Cookies "sesyjne" są plikami tymczasowymi, które przechowywane są w urządzeniu końcowym Użytkownika do czasu wylogowania, opuszczenia strony internetowej lub wyłączenia oprogramowania (przeglądarki internetowej). "Stałe" pliki cookies przechowywane są w urządzeniu końcowym Użytkownika przez czas określony w parametrach plików cookies lub do czasu ich usunięcia przez Użytkownika.
  6. Oprogramowanie do przeglądania stron internetowych (przeglądarka internetowa) zazwyczaj domyślnie dopuszcza przechowywanie plików cookies w urządzeniu końcowym Użytkownika. Użytkownicy Serwisu mogą dokonać zmiany ustawień w tym zakresie. Przeglądarka internetowa umożliwia usunięcie plików cookies. Możliwe jest także automatyczne blokowanie plików cookies Szczegółowe informacje na ten temat zawiera pomoc lub dokumentacja przeglądarki internetowej.
  7. Ograniczenia stosowania plików cookies mogą wpłynąć na niektóre funkcjonalności dostępne na stronach internetowych Serwisu.
  8. Pliki cookies zamieszczane w urządzeniu końcowym Użytkownika Serwisu i wykorzystywane mogą być również przez współpracujących z operatorem Serwisu reklamodawców oraz partnerów.
  9. Zalecamy przeczytanie polityki ochrony prywatności tych firm, aby poznać zasady korzystania z plików cookie wykorzystywane w statystykach: Polityka ochrony prywatności Google Analytics
  10. Pliki cookie mogą być wykorzystane przez sieci reklamowe, w szczególności sieć Google, do wyświetlenia reklam dopasowanych do sposobu, w jaki użytkownik korzysta z Serwisu. W tym celu mogą zachować informację o ścieżce nawigacji użytkownika lub czasie pozostawania na danej stronie.
  11. W zakresie informacji o preferencjach użytkownika gromadzonych przez sieć reklamową Google użytkownik może przeglądać i edytować informacje wynikające z plików cookies przy pomocy narzędzia: https://www.google.com/ads/preferences/

3. Wyłączanie, usuwanie i zarządzanie plikami cookie

  1. Jeśli użytkownik nie chce otrzymywać plików cookies, może zmienić ustawienia przeglądarki. Zastrzegamy, że wyłączenie obsługi plików cookies niezbędnych dla procesów uwierzytelniania, bezpieczeństwa, utrzymania preferencji użytkownika może utrudnić, a w skrajnych przypadkach może uniemożliwić korzystanie ze stron www
  2. W celu zarządzania ustawieniami cookies wybierz z listy poniżej przeglądarkę internetową/ system i postępuj zgodnie z instrukcjami:
    1.         Internet Explorer
    2.         Chrome
    3.         Safari
    4.         Firefox
    5.         Opera

4. Logi serwera

  1.     Informacje o niektórych zachowaniach użytkowników podlegają logowaniu w warstwie serwerowej. Dane te są wykorzystywane wyłącznie w celu administrowania serwisem oraz w celu zapewnienia jak najbardziej sprawnej obsługi świadczonych usług hostingowych.
  2.     Przeglądane zasoby identyfikowane są poprzez adresy URL. Ponadto zapisowi mogą podlegać:
    1.         czas nadejścia zapytania,
    2.         czas wysłania odpowiedzi,
    3.         nazwę stacji klienta - identyfikacja realizowana przez protokół HTTP,
    4.         informacje o błędach jakie nastąpiły przy realizacji transakcji HTTP,
    5.         adres URL strony poprzednio odwiedzanej przez użytkownika (referer link) - w przypadku gdy przejście do Serwisu nastąpiło przez odnośnik,
    6.         informacje o przeglądarce użytkownika,
    7.         Informacje o adresie IP.
  3.     Dane powyższe nie są kojarzone z konkretnymi osobami przeglądającymi strony.
  4.     Dane powyższe są wykorzystywane jedynie dla celów administrowania serwerem.

      5.     Dane podlegają udostępnieniu podmiotom zewnętrznym wyłącznie w granicach prawnie dozwolonych.

      6. Dane umożliwiające identyfikację osoby fizycznej są udostępniane wyłączenie za zgodą tej osoby.

      7. Operator może mieć obowiązek udzielania informacji zebranych przez Serwis upoważnionym organom na podstawie zgodnych z prawem żądań w zakresie wynikającym z żądania.

Kontakt

SHAR-POL Sp. z o.o.
ul. Św. Małgorzaty 6/1, 44-102 Gliwice
Tel. (32) 231-36-07

Email: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

Scroll to top