Polityka prywatności

1. Informacje ogólne.

1. Operatorem Serwisu www.podeszwa.pl jest firma „PODESZWA”

2. Serwis realizuje funkcje pozyskiwania informacji o użytkownikach i ich zachowaniu w następujący sposób:

a. Poprzez dobrowolnie wprowadzone w formularzach informacje.

b. Poprzez zapisywanie w urządzeniach końcowych pliki cookie (tzw. "ciasteczka").

c. Poprzez gromadzenie logów serwera www przez operatora hostingowego Sklepu „PODESZWA” funkcjonującego pod adresem www.podeszwa.p;

2. Informacja o plikach cookies.

1. Serwis korzysta z plików cookies.

2. Pliki cookies (tzw. „ciasteczka”) stanowią dane informatyczne, w szczególności pliki tekstowe, które przechowywane są w urządzeniu końcowym Użytkownika Serwisu i przeznaczone są do korzystania ze stron internetowych Serwisu. Cookies zazwyczaj zawierają nazwę strony internetowej, z której pochodzą, czas przechowywania ich na urządzeniu końcowym oraz unikalny numer.

3. Podmiotem zamieszczającym na urządzeniu końcowym Użytkownika Serwisu pliki cookies oraz uzyskującym do nich dostęp jest operator Serwisu.

4. Pliki cookies wykorzystywane są w następujących celach:

a. tworzenia statystyk, które pomagają zrozumieć, w jaki sposób Użytkownicy Serwisu korzystają ze stron internetowych, co umożliwia ulepszanie ich struktury i zawartości;

b. utrzymanie sesji Użytkownika Serwisu (po zalogowaniu), dzięki której Użytkownik nie musi na każdej podstronie Serwisu ponownie wpisywać loginu i hasła;

c. określania profilu użytkownika w celu wyświetlania mu dopasowanych materiałów w sieciach reklamowych, w szczególności sieci Google.

5. W ramach Serwisu stosowane są dwa zasadnicze rodzaje plików cookies: „sesyjne” (session cookies) oraz „stałe” (persistent cookies). Cookies „sesyjne” są plikami tymczasowymi, które przechowywane są w urządzeniu końcowym Użytkownika do czasu wylogowania, opuszczenia strony internetowej lub wyłączenia oprogramowania (przeglądarki internetowej). „Stałe” pliki cookies przechowywane są w urządzeniu końcowym Użytkownika przez czas określony w parametrach plików cookies lub do czasu ich usunięcia przez Użytkownika.

6. Oprogramowanie do przeglądania stron internetowych (przeglądarka internetowa) zazwyczaj domyślnie dopuszcza przechowywanie plików cookies w urządzeniu końcowym Użytkownika. Użytkownicy Serwisu mogą dokonać zmiany ustawień w tym zakresie. Przeglądarka internetowa umożliwia usunięcie plików cookies. Możliwe jest także automatyczne blokowanie plików cookies Szczegółowe informacje na ten temat zawiera pomoc lub dokumentacja przeglądarki internetowej.

7. Ograniczenia stosowania plików cookies mogą wpłynąć na niektóre funkcjonalności dostępne na stronach internetowych Serwisu.

8. Pliki cookies zamieszczane w urządzeniu końcowym Użytkownika Serwisu i wykorzystywane mogą być również przez współpracujących z operatorem Serwisu reklamodawców oraz partnerów.

9. Zalecamy przeczytanie polityki ochrony prywatności tych firm, aby poznać zasady korzystania z plików cookie wykorzystywane w statystykach: Polityka ochrony prywatności Google Analytics

10. Pliki cookie mogą być wykorzystane przez sieci reklamowe, w szczególności sieć Google, do wyświetlenia reklam dopasowanych do sposobu, w jaki użytkownik korzysta z Serwisu. W tym celu mogą zachować informację o ścieżce nawigacji użytkownika lub czasie pozostawania na danej stronie.

11. W zakresie informacji o preferencjach użytkownika gromadzonych przez sieć reklamową Google użytkownik może przeglądać i edytować informacje wynikające z plików cookies przy pomocy narzędzia: https://www.google.com/ads/preferences/

3. Logi serwera.

1. Informacje o niektórych zachowaniach użytkowników podlegają logowaniu w warstwie serwerowej. Dane te są wykorzystywane wyłącznie w celu administrowania serwisem oraz w celu zapewnienia jak najbardziej sprawnej obsługi świadczonych usług hostingowych.

2. Przeglądane zasoby identyfikowane są poprzez adresy URL. Ponadto zapisowi mogą podlegać:

a. czas nadejścia zapytania,

b. czas wysłania odpowiedzi,

c. nazwę stacji klienta – identyfikacja realizowana przez protokół HTTP,

d. informacje o błędach jakie nastąpiły przy realizacji transakcji HTTP,

e. adres URL strony poprzednio odwiedzanej przez użytkownika (referer link) – w przypadku gdy przejście do Serwisu nastąpiło przez odnośnik,

f. informacje o przeglądarce użytkownika,

g. Informacje o adresie IP.

3. Dane powyższe nie są kojarzone z konkretnymi osobami przeglądającymi strony.

4. Dane powyższe są wykorzystywane jedynie dla celów administrowania serwerem.

4. Procedura przetwarzania i ochrony danych osobowych

Dokument został sporządzony na podstawie przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz przepisów ustawy o ochronie danych osobowych oraz ustawy wprowadzającej ustawę o ochronie danych osobowych. Dokument ten stanowi efekt przeprowadzonej analizy procesów przetwarzania danych osobowych i ich ochrony i został oparty na dokonanej ocenie ryzyka stanowiącej załącznik do procedury.

A. Definicje i wyjaśnienia.

Procedura Przetwarzania nadaje następującym pojęciom poniższe znaczenie:

a) dane osobowe - oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników

b) przetwarzanie - oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

c) zbiór danych - oznacza uporządkowany zestaw danych osobowych dostępnych stosownie do określonych kryteriów;

d) Administrator – Karolina Dudek;

e) podmiot przetwarzający - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora.

 

B. Administrator i jego obowiązki.

Do obowiązków Administratora w związku z przetwarzaniem i ochroną danych należy:

a) analizowanie procesów przetwarzania danych osobowych,

b) identyfikowanie zagrożeń i niezgodności w procesach przetwarzania danych osobowych,

c) opracowanie procedur przetwarzania o ochrony danych osobowych w oparciu o ocenę ryzyk i zastosowaniem zasady privacy by default i privacy by design,

d) wdrożenie procedury przetwarzania i ochrony danych osobowych,

e) kontrolowanie stosowania przepisów o ochronie danych osobowych oraz pro-cedury przetwarzania i ochrony danych osobowych w firmie,

f) wprowadzenie i stosowanie mechanicznych i elektronicznych środków ochrony danych osobowych zapewniających ochronę przed dostępem osób niepowoła-nych oraz przed utratą danych osobowych,

g) szkolenie pracowników i wydawaniem im upoważnień do przetwarzania da-nych,

h) powoływanie osób odpowiedzialnych za przetwarzanie,

i) powoływanie Inspektora Ochrony Danych Osobowych,

j) zgłaszanie do Prezesa Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych,

k) prowadzenie polityki informacyjnej wobec podmiotów, których dane są przetwa-rzane,

l) badanie zgodności przetwarzania danych z przepisami prawa i procedurą,

m) podpisywanie umów o powierzeniu przetwarzania danych osobowych,

n) archiwizowanie danych osobowych w przypadkach przewidzianych prawem.

Administrator powołuje osobę, która w strukturze Administratora odpowiada za rea-lizację jego obowiązków w zakresie przetwarzania i ochrony danych. W tym celu Administrator może powołać pracownika albo osobę niezatrudnioną na umową o pracę. Powołanie osoby wymaga uprzedniego przeszkolenia oraz podpisania przez nią klauzuli o zachowaniu poufności. Osoba taka nie będzie uprawniona na tej podstawie udzielać dalszych upoważnień, za wyjątkiem upoważnień udzielanych pracownikom do przetwarzania danych osobowych. Osoba upoważniona nie może również powoływać IODO, gdyż kompetencja ta stanowi wyłączne uprawnienie Administratora. 

Administrator może powołać, a jeżeli przepisy nakładają obowiązek, powołuje IODO. Administrator może powołać na IODO pracownika albo inną osobę, na podstawie zawartej z nią umowy cywilnoprawnej. W przypadku powołania u Administratora IODO, wykonuje on obowiązki osoby upoważnionej i zadania wyznaczone IODO w przepisach prawa. Powołanie IODO nie zwalnia w żaden sposób Administratora od odpowiedzialnością za przetwarzanie oraz ochronę danych zgodnie z przepisami prawa.

 

C. Dane osobowe i ich zbiory.

1. Administrator przetwarza dane osobowe w uporządkowanych zbiorach.

2. Zbiory danych osobowych występujące u Administratora mają formę:

a) papierową,

b) cyfrową na trwałych nośnikach,

c) cyfrową w chmurze obliczeniowej.

3. Wszystkie zbiory danych osobowych występujące u Administratora przed ich przetwarzaniem muszą zostać zidentyfikowane i opisane.

4. Administrator prowadzi rejestr zbiorów danych, w którym opisuje:

a) nazwę zbioru,

b) formę zbioru,

c) miejsce położenia zbioru.

5. Jeżeli przepisy prawa tego wymagają, Administrator prowadzi też rejestr czynności przetwarzania danych w zbiorze.

6. Rejestr czynności przetwarzania danych prowadzony jest odrębnie dla każdego zbioru.

7. Przetwarzanie danych w zbiorze wymaga uprzedniego zidentyfikowania:

a) rodzaju danych, które są przetwarzane w zbiorze,

b) celu, w którym są przetwarzane,

c) podstawy prawnej przetwarzania,

d) czasu przetwarzania,

e) szczególnych zasad przetwarzania, jeżeli są to dane szczególne.

8. Administrator obecnie przetwarza dane w następujących zbiorach:

a) Zbiór danych osobowych pracowników;

b) Zbiór danych osobowych klientów;

c) Zbiór danych osobowych - kontaktowych;

d) Zbiór danych osobowych - książka nadawcza;

e) Zbiór danych osobowych – Newsletter

f) Zbiór danych osobowyc – Reklamacje

g) Zbiór danych osobowych – Zwroty

h) Zbiór danych osobowych - Wymiana

 

9. W Zbiorze danych osobowych pracowników przetwarzane są:

a) imię i nazwisko pracownika,

b) PESEL albo numer dokumentu tożsamości,

c) adres zamieszkania,

d) numer telefonu,

e) dane dotyczące wykształcenia i przebiegu wcześniejszego zatrudnienia,

f) dane dotyczące zdolności do pracy,

g) numer rachunku bankowego.

 

10.W zbiorze danych osobowych kandydatów do pracy przetwarzane są:

a) imię i nazwisko kandydata,

b) adres do korespondencji,

c) numer telefonu lub adres poczty elektronicznej,

d) dane dotyczące wykształcenia i przebiegu wcześniejszego zatrudnienia.

 

11. W zbiorze danych osobowych klientów przetwarzane są:

a) imię i nazwisko,

b) numer telefonu

c) adres poczty elektronicznej

d) numer konta bankowego

e) adres do korespondencji

f) login serwisu Allegro

12. W zbiorze danych osobowych - kontaktowych przetwarzane są:

a) imię i nazwisko,

b) numer telefonu,

c) adres poczty elektronicznej,

d) adres do wysyłki

e) numer konta bankowego

f) login w serwisie Allegro

 

13. W zbiorze danych osobowych - książka nadawcza przetwarzane są:

a) imię i nazwisko,

b) adres do korespondencji,

c) adres poczty elektronicznej

d) numer telefonu

 

14. W zbiorze danych osobowych – Newsletter przetwarzane są:

a) Imię i nazwisko

b) Adres do korespondencji

c) Adres poczty elektronicznej

 

15. W zbiorze danych osobowych – Reklamacje przetwarzane są:

a) Imię i nazwisko

b) Adres do korespondencji

c) Adres poczty elektronicznej

d) Numer telefonu

e) Numer konta bankowego

f) Login serwisu Allegro

 

16. W zbiorze danych osobowych – Zwroty przetwarzane są:

a) Imię i nazwisko

b) Adres do korespondencji

c) Adres poczty elektronicznej

d) Numer telefonu

e) Numer konta bankowego

f) Login serwisu Allegro

 

17. W zbiorze danych osobowych – Wymiana przetwarzane są:

a) Imię i nazwisko

b) Adres do korespondencji

c) Adres poczty elektronicznej

d) Numer telefonu

e) Numer konta bankowego

f) Login serwisu Allegro

 

18. Dane osobowe w zbiorach przetwarzane są w następujących celach:

a) Zbiór danych osobowych pracowników:

- realizacja obowiązków stron wynikających z umowy o pracę,

- obowiązki pracodawcy wynikające z przepisów prawa podatkowego,

- obowiązki pracodawcy wynikające z przepisów o ubezpieczeniach społecznych,

 

b) Zbiór danych osobowych kandydatów do pracy:

- prowadzenie rekrutacji do pracy,

c) Zbiór danych osobowych klientów:

- realizacja umów zawartych z klientami,

- prowadzenie marketingu produktów i usług w formie elektronicznej i papierowej

 

d) Zbiór danych osobowych - kontaktowych:

- prowadzenia marketingu produktów i usług w formie elektronicznej i papierowej,

- składanie ofert i zapytań ofertowych

 

e) Zbiór danych osobowych - książka nadawcza:

- imię i nazwisko odbiorcy,

- adres odbiorcy,

- adres poczty elektronicznej,

- numer telefonu

 

f) Zbiór danych osobowych – Newsletter:

- prowadzenie marketingu produktów i usług w formie elektronicznej i papierowej,

 

g) Zbiór danych osobowych – Reklamacje:

- realizacja reklamacji Klientów

 

h) Zbiór danych osobowych – Zwroty:

- realizacja zwrotów Klientów

 

i) Zbiór danych osobowych – Wymiana:

- realizacja wymian Klientów.

 

16. Administrator udostępnia dane ze zbiorów następującym podmiotom:

a) Zbiór danych osobowych pracowników:

- organy podatkowe,

- Państwowa Inspekcja Pracy,

- Zakład Ubezpieczeń Społecznych,

- bank pracodawcy i bank pracownika,

- biuro rachunkowe

 

b) Zbiór danych osobowych Klientów:

- organy podatkowe,

- Państwowa Inspekcja Pracy,

- bank Klienta i bank Sprzedającego,

- serwis Allegro,

- biuro rachunkowe.

 

17. Podstawą prawną przetwarzania danych w zbiorach jest:

a) Zbiór danych osobowych pracowników - art. 221 § 1, 2 i 4 Kodeksu pracy i ustawy o podatku dochodowym od osób fizycznych i ustawy o systemie ubezpieczeń społecznych w związku z art. 6 ust. 1 lit A, B, C i F RODO;

b) Zbiór danych osobowych kandydatów do pracy - art. 221 § 1 Kodeksu pracy w związku z art. 6 ust. 1 lit A RODO;

c) Zbiór danych osobowych klientów - art. 6 ust. 1 lit A, B i F RODO;

d) Zbiór danych osobowych - kontaktowych - art. 6 ust. 1 lit A RODO;

e) Zbiór danych osobowych - książka nadawcza - art. 6 ust. 1 lit A, B i F RODO;

f) Zbiór danych osobowych – Newsletter - art. 6 ust. 1 lit A RODO;

g) Zbiór danych osobowych – Reklamacje - art. 6 ust. 1 lit A RODO;

h) Zbiór danych osobowych – Zwroty - art. 6 ust. 1 lit A RODO;

i) Zbiór danych osobowych – Wymiana - art. 6 ust. 1 lit A RODO;

 

18. Dane osobowe nie mogą być przekazywane pomiędzy zbiorami, chyba że wynika to z upoważnienia od Administratora i jest niezbędne dla realizacji celów przetwarzania.

19. W przypadku przekazywania danych pomiędzy zbiorami fakt ten należy odnotować w zbiorze, z którego dane są przekazywane, ze wskazaniem celu przekazania i zakresu przekazanych danych.

20. W przypadku udostępniania danych innym podmiotom, niż te, które ujęto w procedurze lub w rejestrze czynności przetwarzania, należy odnotować ten fakt przed udostępnieniem danych.

 

D. Pozyskiwanie danych osobowych.

1. Administrator przetwarza dane osobowe:

a) na podstawie uprawnienia wynikającego z przepisu prawa,

b) na podstawie zgody udzielonej przez osobę, której dane dotyczą.

2. W przypadku przetwarzania danych na podstawie zgody Administrator:

a) formułuje zgodę na przetwarzanie danych osobowych jasnym językiem,

b) umieszcza klauzule zgody w sposób wyraźnie wyodrębniony od innych treści,

c) formułuje zgodę na przetwarzanie odrębnie dla każdego celu umożliwiając wybór celów, przez osobę, której dane mają być przetwarzane,

d) informuje o prawie do cofnięcia zgody i sposobie jej cofnięcia.

3. Cofnięcie zgody nie może być trudniejsze, niż jej udzielenie.

4. Zgody udziela się i cofa ją w formie:

- elektronicznej

- papierowej

5. Zgody są przechowywane przez Administratora.

6. W przypadku pozyskiwania danych osobowych, od osoby, której dane te dotyczą, niezależnie od podstawy przetwarzania tych danych osobowych, Administrator informuje tę osobę o:

a) danych Administratora (w tym o jego adresie, numerze telefonu i adresie poczty elektronicznej),

b) danych osoby odpowiedzialnej u Administratora za przetwarzanie,

c) danych Inspektora Ochrony Danych Osobowych (jeżeli powołano),

d) celu albo celach przetwarzania danych,

e) podstawie prawnej przetwarzania,

f) szacowanym czasie przetwarzania,

g) podmiotach, którym dane są udostępnianie,

h) prawach osoby, które dane są przetwarzane,

i) prawie do wniesienia skargi do organu.

7. Dane osobowe pozyskują wyłącznie pracownicy upoważnieni do operacji przetwarzania danych lub podmioty trzecie, z którymi została zawarta w ramach umowy cywilnoprawnej umowa o powierzeniu przetwarzania.

8. Administrator pozyskuje wyłącznie dane niezbędne do realizacji celów, do których zostały pozyskane i przetwarza je tylko przez czas niezbędny do osiągnięcia tych celów.

 

E. Przetwarzanie danych osobowych u Administratora. 

1. Administrator przetwarza dane osobowe tylko w zakresie określonym w przepisach oraz na ich podstawie.

2. Uprawnienie do przetwarzania danych osobowych przysługuje wyłącznie:

- osobom przeszkolonym z zasad przetwarzania i ochrony danych,

- osobom, które podpisały zobowiązanie do zachowania poufności.

3. Podstawą udzielenia upoważnienia do przetwarzania danych osobowych u Administratora jest uprzednia realizacja obowiązków z ust. 2.

4. Administrator nie dopuszcza do przetwarzania danych osób, które nie są do tego upoważnione.

5. Osoby upoważnione nie mogą udzielać dalszych upoważnień.

6. Administrator nie dopuszcza do przetwarzania danych osobowych poza zakresem udzielonego upoważnienia.

7. Administrator udziela upoważnień wyłącznie w zakresie niezbędnym do realizacji celów przetwarzania.

8. W przypadku naruszenia zasad przetwarzania danych Administrator cofa upoważnienie udzielone osobie odpowiedzialnej za naruszenie.

9. Przetwarzanie danych odbywa się wyłącznie:

a) w pomieszczeniach do tego przeznaczonych.

b) na zabezpieczonym, dedykowanym sprzęcie elektronicznym,

c) w zabezpieczonej sieci przeznaczonej do przetwarzania.

10. Pomieszczenia przeznaczone do przetwarzania danych powinny mieć:

a) co najmniej wyodrębnione stanowisko do przetwarzania danych,

b) zabezpieczenia w postaci drzwi i zamków chroniących dostęp do niego,

c) wyposażenie w postaci zamykanych szafek, szuflad, sejfu etc. do których do-stęp mają wyłącznie upoważnione osoby.

11. Sprzęt elektroniczny przeznaczony do przetwarzania danych powinien mieć:

a) zawsze aktualne oprogramowanie, w tym antywirusowe,

b) firewall,

c) zabezpieczenie loginem i hasłem przypisanym do osoby upoważnionej.

12. Sieć przeznaczona do przetwarzania danych powinna być zabezpieczona przed dostępem osób niepowołanych.

13. W celu zapewnienia bezpieczeństwa oraz rozliczalności w przetwarzaniu danych osobowych przetwarzanie danych w systemach elektronicznych wymaga uprzedniego zalogowania się do systemu unikalnym loginem i hasłem przypisanym do konkretnej osoby.

14. Login i hasło ustala Administrator. Hasło musi liczyć co najmniej  osiem znaków i zawierać co najmniej jedną cyfrę. Hasło zmienia się nie rzadziej, niż raz na miesiąć.

15. Zabronione jest logowanie się do systemu za pomocą loginu i hasła, które nie jest przypisane do danej osoby.

16. Ujawnienie hasła stanowi poważne naruszenie zasad bezpieczeństwa.

17. Administrator w miarę możliwości technicznych zapewnia identyfikację operacji wykonywanych w systemie przez poszczególne osoby.

18. Osoby upoważnione do przetwarzania danych zobowiązane są:

a) przetwarzać dane zgodnie z przepisami prawa i procedurą,

b) przetwarzać dane wyłącznie w zakresie udzielonego upoważnienia,

c) chronić dane przed utratą lub niepowołanym dostępem,

d) zachować w tajemnicy login i hasło do systemu elektronicznego,

e) nie ujawniać danych osobowych osobom nieupoważnionym,

f) informować o wszelkich przypadkach naruszenia zasad przetwarzania lub bezpieczeństwa danych oraz o stwierdzonych zagrożeniach.

19. Osoby upoważnione do przetwarzania danych zobowiązane są ponadto:

a) przetwarzać dane osobowe w sposób uniemożliwiający dostęp do danych oso-bom nieupoważnionym,

b) w przerwie albo po zakończeniu pracy zabezpieczać dane poprzez zamknięcie dokumentów w szafach, szufladach, sejfach etc przeznaczonych do ich przechowywania (tzw. polityka czystego biurka),

c) w przerwie albo po zakończeniu pracy wylogować się z systemu elektronicznego, w którym przetwarzane są dane,

d) nie wynosić nośników danych poza obszar przeznaczonych do przetwarzania danych,

e) szyfrować elektroniczne nośniki danych,

f) weryfikować tożsamość osób, którym dane są udostępniane,

g) nie przesyłać danych wrażliwych za pomocą poczty elektronicznej bez uprzedniego zaszyfrowania.

20. Naruszenie któregokolwiek z obowiązków z pkt 19 lub pkt 20 stanowi poważne naruszenie zasad bezpieczeństwa.

 

F. Udostępnianie danych i powierzanie ich przetwarzania.

1. Administrator udostępnia dane osobowe w sytuacji, gdy:

a) obowiązek udostępnienia wynika z przepisów prawa,

b) osoba, której dane dotyczą wyraziła zgodę na udostępnienie jej danych.

2. Administrator odnotowuje w Rejestrze czynności przetwarzania kategorie podmiotów lub podmioty, którym udostępniono dane ze zbioru.

3. Podczas pozyskiwania danych Administrator informuje o podmiotach lub kategoriach podmiotów, którym dane będą udostępniane.

4. Jeżeli Administrator udostępnia dane innemu podmiotowi lub kategorii podmiotów, które nie były ujęte w informacji dla osoby, której dane są przetwarzane i udostępnienie nie następuje na podstawie powszechnie obowiązujących przepisów prawa, Administrator informuje o potrzebie udostępniania tych danych i w miarę możliwości pozyskuje zgodę osoby, które dane są przetwarzane.

5. Jeżeli przetwarzanie danych osobowych następuje w imieniu i na zlecenie Administratora, Administrator zobowiązany jest zawrzeć z podmiotem lub osobą przetwarzającą dane w jego imieniu Umowę o powierzeniu  przetwarzania danych osobowych.

6. Umowa o powierzeniu przetwarzania danych osobowych zawiera:

- Przedmiot przetwarzania,

- Czas trwania przetwarzania,

- Charakter i cel przetwarzania,

- Rodzaj danych osobowych,

- Kategorię osób, których dane dotyczą,

- Obowiązki i prawa administratora,

- Obowiązki podmiotu przetwarzającego.

7. Administrator kontroluje wykonanie Umowy o powierzeniu przetwarzania danych osobowych zgodnie z zasadami przewidzianym w procedurze i w umowie.

8. Zasady przetwarzania danych osobowych przez osoby lub podmioty, którym Administrator powierzył przetwarzanie danych muszą zapewniać co najmniej taki sam standard ochrony, jaki stosuje Administrator.

 

G. Zaprzestanie przetwarzania danych osobowych.

1. Administrator przetwarza dane osobowe przez czas:

a) wynikający z powszechnie obowiązujących przepisów prawa, lub

b) do momentu osiągnięcia celów, dla których dane są przetwarzane, lub

c) do czasu cofnięcia zgody, jeżeli podstawą przetwarzania danych była zgoda i nie ma innej podstawy przetwarzania danych osobowych.

2. W przypadku zaistnienia podstaw do zaprzestania przetwarzania przez Administratora danych osobowych, Administrator podejmuje czynności niezbędne do zaprzestania przetwarzania.

3. Administrator usuwa dane, których zaprzestaje przetwarzania, w taki sposób, aby uniemożliwić do nich dostęp osobom niepowołanym.

4. Usuwanie danych osobowych następuje w miejscach przeznaczonych do przetwarzania tych danych.

5. Dokumenty papierowe zawierające dane Administrator niszczy zgodnie z normą PN-EN ISO 9001:2001 oraz DIN 66399.

6. Nośniki cyfrowe zawierające dane osobowe Administrator niszczy metodą fizyczną, lub chemiczną, lub elektromagnetyczną lub poprzez nadpisanie na nich informacji w sposób uniemożliwiający ich odzyskanie.

7. Ze zniszczenia danych Administrator sporządza zbiorczy protokół.

8. Protokół zniszczenia zawiera:

a) zbiór danych, z którego dane usunięto

b) rodzaj danych,

c) datę i miejsce,

d) podpis osoby usuwającej dane.

9. Administrator może powierzyć usunięcie danych podmiotowi, który świadczy w tym zakresie profesjonalne usługi. Powierzenie wymaga uprzedniego zawarcia Umowy o powierzeniu przetwarzania danych.

 

H. Kontrola przetwarzania i ocena ryzyka.

1. Administrator cyklicznie weryfikuje zgodność procedury z:

a) aktualnie obowiązującymi przepisami prawa,

b) aktualnym stanem wiedzy technicznej,

c) rekomendacjami uprawnionych organów.

2. Administrator przeprowadza okresową kontrolę stosowania procedury przetwarzania w przedsiębiorstwie.

3. Kontrola jest przeprowadzana nie rzadziej, niż raz w roku. 

4. W toku kontroli Administrator sprawdza:

a) podstawy przetwarzania danych osobowych,

b) prawidłowość udzielanych zgód,

c) zakres udostępnianych danych,

d) wykonanie Umów o powierzeniu przetwarzania danych,

e) wykonanie obowiązków informacyjnych,

f) stosowanie zasad bezpieczeństwa przez osoby przetwarzające,

g) skuteczność stosowanych środków technicznych.

5. Z kontroli Administrator sporządza protokół kontroli okresowej. Protokół zawiera:

a) datę i miejsce przeprowadzonej kontroli,

b) stwierdzony stan faktyczny,

c) stwierdzone uchybienia,

d) podpis osoby kontrolującej.

6. Na podstawie sporządzonego protokołu kontroli Administrator dokonuje okresowej oceny ryzyka i sporządza pisemny raport.

7. W oparciu o protokół kontroli i raport oceny ryzyka Administrator, jeżeli zachodzi taka potrzeba, wdraża zmiany techniczne i proceduralne w celu dostosowania operacji przetwarzania do obowiązujących przepisów.

8. Administrator przechowuje protokoły kontroli i raporty oceny ryzyka.

9. W przypadku rozpoczęcia przez Administratora nowych operacji przetwarzania danych osobowych, Administrator dokonuje uprzedniej oceny ryzyka w odniesieniu do stosowanych procedur i zabezpieczeń technicznych, biorąc pod uwagę:

a) cel przetwarzania danych,

b) rodzaj przetwarzanych danych,

c) skalę przetwarzania danych,

d) udostępnianie danych lub powierzenie ich przetwarzania.

10. W przypadku stwierdzenia wyższego, niż przeciętne ryzyka dla nowych operacji przetwarzania danych, Administrator wprowadza uprzednio zmiany techniczne i proceduralne w celu zmniejszenia tego ryzyka.

11. Ocena ryzyka jest obowiązkowym procesem przeprowadzanym przez Administratora.

 

I. Działania w przypadku naruszenia zasad przetwarzania danych.

1. W przypadku stwierdzenia przez Administratora:

a) zagrożenia dla integralności danych osobowych,

b) zagrożenia bezpieczeństwa danych osobowych,

c) przetwarzania danych niezgodnie z przepisami, to jest:

- bez podstawy prawnej,

- w zakresie szerszym, niż dopuszczalny,

- ponad dopuszczalny okres,

- bez spełnienia obowiązków informacyjnych,

- pomimo uzasadnionego żądania zaprzestania lub ograniczenia przetwarzania,

d) naruszenia integralności danych, ich utraty lub uzyskania do nich dostępu przez osoby nieuprawnione,

Administrator niezwłocznie rozpoczyna postępowanie kontrolne zmierzające do zidentyfikowania istniejących zagrożeń, naruszeń i ich wyeliminowania.

2. Administrator podczas kontroli:

a) weryfikuje zgodność procedur z obowiązującymi przepisami,

b) sprawdza stosowanie procedur w strukturze przedsiębiorstwa,

c) analizuje zabezpieczenia techniczne i informatyczne.

3. Z kontroli Administrator sporządza raport, w którym umieszcza:

a) informacje pozyskane od osób biorących udział w procesie przetwarzania,

b) ocenę procesów przetwarzania i stosowanych procedur, ze wskazaniem wykrytych zagrożeń i przyczyn ich wystąpienia,

c) ocenę stanu technicznego zabezpieczeń, ze wskazaniem wykrytych zagrożeń i przyczyn ich wystąpienia,

d) doraźne zalecenia w celu wyeliminowania lub zminimalizowania zagrożeń.

4. Na podstawie sporządzonego raportu Administrator opracowuje i wdraża rozwiązania organizacyjne oraz techniczne w celu usunięcia zagrożeń i niezgodności stwierdzonych w toku kontroli.

5. Po wdrożeniu rozwiązań organizacyjnych i technicznych Administrator dokonuje ewaluacji tych rozwiązań w celu ustalenia ich skuteczności.

6. W przypadku utraty danych osobowych lub uzyskania do nich dostępu przez osoby niepowołane Administrator niezwłocznie zawiadamia o tym fakcie Prezesa Urzędu Ochrony Danych Osobowych, nie później, niż 72 godziny od wy-stąpienia zdarzenia.

7.Administrator może odstąpić od informowania o zaistniałym zdarzeniu, jeżeli zdarzenie to wiąże się z małym ryzykiem naruszenia praw lub wolności osób, których dane są przetwarzane.

8. W zgłoszeniu do organu Administrator podaje:

a) charakter naruszenia, w tym rodzaj danych i kategorie osób, których dotyczy naruszenie oraz przybliżoną liczbę,

b) dane kontaktowe,

c) możliwe konsekwencje zdarzenia,

d) podjęte środki zaradcze.

9. Jeżeli naruszenie powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, których dane są przetwarzane, Administrator informuje te oso-by o zdarzeniu, jego potencjalnych skutkach i podjętych krokach zaradczych.

10. Administrator dokumentuje wszystkie przypadki naruszenia, niezależnie od tego, czy występuje obowiązek zawiadomienia organu o naruszeniu.

J. Realizacja uprawnień osób, których dane są przetwarzane.

1. W przypadku zgłoszenia przez osobę, której dane są przetwarzane przez Administratora, żądania:

a) dostępu do danych,

b) poprawienia danych,

c) ograniczenia przetwarzania danych,

d) usunięcia danych,

Administrator przekazuje to żądanie do osoby odpowiedzialnej u niego za przetwarzanie danych osobowych celem jego rozpoznania.

2. Administrator, przed przystąpieniem do oceny zgłoszonego żądania, weryfikuje tożsamość osoby kierującej żądanie celem potwierdzenia przysługującego jej uprawnienia i ochrony danych osobowych.

3. W przypadku zgłoszenia żądania dostępu do danych Administrator w terminie nie dłuższym, niż 14 dni przesyła zestawienie danych osobowych do osoby składającej żądanie. Przekazanie następuje za potwierdzeniem odbioru.

4. Udostępnienie pierwszej kopii następuje nieodpłatnie. Uzyskanie kolejnej kopii wymaga uiszczenia opłaty odpowiadającej kosztowi sporządzenia tej kopii.

5. W przypadku żądania poprawienia danych Administrator weryfikuje treść po-siadanych danych ze zgłoszonym żądaniem i w przypadku stwierdzenia nie-zgodności aktualizuje dane.

6. W przypadku zgłoszenia żądania:

a) ograniczenia przetwarzania danych,

b) zaprzestania przetwarzania danych,

Administrator weryfikuje zgłoszone żądanie, a w szczególności, jakie istnieją pod-stawy przetwarzania tych danych.

7. Jeżeli Administrator stwierdzi, że przetwarzanie danych wynika:

a) z obowiązku prawnego nałożonego na Administratora, lub

b) z uzasadnionego interesu prawnego Administratora,

Administrator odmawia ograniczenia albo zaprzestania przetwarzania danych i in-formuje o tym fakcie żądającego wskazując na przyczynę odmowy oraz na możliwość wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

8. Jeżeli żądanie ograniczenia albo zaprzestania przetwarzania jest zasadne, Administrator niezwłocznie ogranicza albo zaprzestaje przetwarzania.

9. Do rozpatrywania żądań uprawniony jest wyłącznie Administrator albo osoba upoważniona przez Administratora. Pracownicy przekazują takie żądanie nie-zwłocznie do wskazanych w strukturze osób.

 

 K. Ocena ryzyka przetwarzania danych

 

  1.        Ryzyko wystąpienia zdarzeń niepożądanych.

a) dane przetwarzane automatycznie:   

 

TAK ………. (4pkt)             NIE ………. (0pkt)

 

b) dane przetwarzane w systemie z dostępem do sieci:

 

TAK ………. (3pkt)             NIE ………. (0pkt)

 

c) krąg osób przetwarzających dane:

 

1 osoba … (1pkt)                              2-10 osób … (2pkt)

 

11-20 osób … (3pkt)         powyżej 20 osób … (5pkt)

 

d) dane przetwarzane na serwerach zewnętrznych:

 

TAK ………. (2pkt)             NIE ………. (0pkt)

 

e) dostęp do systemu zabezpieczony loginem i hasłem:

 

TAK ………. (0pkt)             NIE ………. (1pkt)

 

f) dokumenty z danymi zamykane na klucz:

 

TAK ………. (0pkt)             NIE ………. (1pkt)

 

g) opisane zbiory danych i procedury:

 

TAK ………. (0pkt)             NIE ………. (1pkt)

 

h) wdrożona procedura ochrony:

 

TAK ………. (0pkt)             NIE ………. (1pkt)

 

i) przeszkolenie osób przetwarzających:

 

TAK ………. (0pkt)             NIE ………. (1pkt)

 

j) cykliczne kontrole:

 

TAK ………. (0pkt)             NIE ………. (1pkt)

 

k) powierzanie danych:

 

TAK ………. (1pkt)             NIE ………. (0pkt)

 

l) zawarte umowy o powierzenie:

 

TAK ………. (0pkt)             NIE ………. (1pkt)

 

m) szyfrowanie danych:

 

TAK ………. (-2pkt)            NIE ………. (0pkt)

 

n) anonimizacja danych:

 

TAK ………. (-2pkt)            NIE ………. (0pkt)

 

o) powołanie IODO:

 

TAK ………. (-1pkt)            NIE ………. (0pkt)

 

p) przetwarzanie wyłącznie w obszarach niedostępnych dla osób trzecich:

 

TAK ………. (-1pkt)            NIE ………. (0pkt)

 

q) niestandardowe rozwiązania techniczne w zakresie bezpieczeństwa:

 

TAK ………. (-2pkt)            NIE ………. (0pkt)

 

 

NISKIE …. (od 0 do 3 pkt)

 

ŚREDNIE …. (od 4 do 7)

 

WYSOKIE …. (od 8 do 12)

 

BARDZO WYSOKIE …. (od 13 do 22 pkt)

 

2.            Potencjalne skutki wystąpienia działań niepożądanych.

 

a) przetwarzanie danych wrażliwych:

 

TAK ………. (5pkt)             NIE ………. (0pkt)

 

b) przetwarzanie danych może skutkować kradzieżą tożsamości:

 

TAK ………. (4pkt)             NIE ………. (0pkt)

 

c) przetwarzanie danych majątkowych:

 

TAK ………. (3pkt)             NIE ………. (0pkt)

 

d) przetwarzanie danych na dużą skalę:

 

TAK ………. (3pkt)             NIE ………. (0pkt)

 

e) przetwarzanie danych może wywołać szkodę majątkową:

 

TAK ………. (2pkt)             NIE ………. (0pkt)

 

f) przetwarzanie danych może naruszyć dobra osobiste:

 

TAK ………. (2pkt)             NIE ………. (0pkt)

 

g) przetwarzanie danych może spowodować publiczne ich ujawnienie:

 

TAK ………. (2pkt)             NIE ………. (0pkt)

 

h) utrata danych może uniemożliwić korzystanie z uprawnień:

 

PERMANENTNE ……… (3pkt)    CZASOWE …….. (1pkt)    NIE ………. (0pkt)

 

 

MINIMALNE … (od 0 do 1 pkt)

 

ZAUWAŻALNE … (od 2 do 5 pkt)

 

POWAŻNE … (od 6 do 10 pkt)

 

B. POWAŻNE … (od 11 do 24 pkt)

 

          Ryzyko

 

Skutki

Niskie

Średnie

Wysokie

B. Wysokie

Minimalne

A

A

A

B

Zauważalne

A

A

B

C

Poważne

A

B

C

D

B. Poważne

B

C

D

D

 

Ocena A - Przetwarzanie związane z akceptowalnym stopniem ryzyka. Nie wymaga wdrażania dodatkowych rozwiązań. Wymaga okresowego monitorowania.

 

Ocena B - Przetwarzane związane z podwyższonym stopniem ryzyka. Wymaga regularnego monitorowania i okresowego testowania zabezpieczeń i procedur.

 

Ocena C - Przetwarzane związane z wysokim stopniem ryzyka. Wymaga nieustannego monitorowania i częstego testowania zabezpieczeń i procedur. Wskazane wprowadzenie dodatkowych zabezpieczeń.

 

Ocena D - Przetwarzanie związane z nieakceptowalnym stopniem ryzyka. Wymaga niezwłocznego wprowadzenia dodatkowych zabezpieczeń technicznych i organizacyjnych i nieustannego monitorowania i testowania zabezpieczeń i procedur.



 

Ocena ryzyka przetwarzania danych dla zbioru danych osobowych Pracowników – Przetwarzanie związane z akceptowalnym stopniem ryzyka. Nie wymaga wdrażania dodatkowych rozwiązań. Wymaga okresowego monitorowania.

Ocena ryzyka przetwarzania danych dla zbioru danych osobowych Klientów - Przetwarzane związane z wysokim stopniem ryzyka. Wymaga nieustannego monitorowania i częstego testowania zabezpieczeń i procedur.

Ocena ryzyka przetwarzania danych dla zbioru danych osobowych danych osobowych – kontaktowych - Przetwarzane związane z wysokim stopniem ryzyka. Wymaga nieustannego monitorowania i częstego testowania zabezpieczeń i procedur.

Ocena ryzyka przetwarzania danych dla zbioru danych osobowych  Książka nadawcza - Przetwarzane związane z wysokim stopniem ryzyka. Wymaga nieustannego monitorowania i częstego testowania zabezpieczeń i procedur

Ocena ryzyka przetwarzania danych dla zbioru danych osobowych Newsletter - Przetwarzanie związane z nieakceptowalnym stopniem ryzyka. Wymaga niezwłocznego wprowadzenia dodatkowych zabezpieczeń technicznych i organizacyjnych i nieustannego monitorowania i testowania zabezpieczeń i procedur.

Ocena ryzyka przetwarzania danych dla zbioru danych osobowych Reklamacje - Przetwarzane związane z wysokim stopniem ryzyka. Wymaga nieustannego monitorowania i częstego testowania zabezpieczeń i procedur

Ocena ryzyka przetwarzania danych dla zbioru danych osobowych Zwroty - Przetwarzane związane z wysokim stopniem ryzyka. Wymaga nieustannego monitorowania i częstego testowania zabezpieczeń i procedur

Ocena ryzyka przetwarzania danych dla zbioru danych osobowych Wymiana - Przetwarzane związane z wysokim stopniem ryzyka. Wymaga nieustannego monitorowania i częstego testowania zabezpieczeń i procedur

 

K. Postanowienia końcowe.

1. Niniejsza procedura wchodzi w życie z dniem 25.05.2018r.

2. W przypadku zmian w procedurze Administrator sporządza jednolity tekst nowej procedury.

3. Administrator przechowuje wszystkie wersje procedury i udostępnia je na żądanie uprawnionych organów.

4. W przypadku zmiany procedury Administrator przeprowadza szkolenie dla wszystkich osób przetwarzających dane z jego upoważnienia.

6. Zarządzanie plikami cookies – jak w praktyce wyrażać i cofać zgodę?

1. Jeśli użytkownik nie chce otrzymywać plików cookies, może zmienić ustawienia przeglądarki. Zastrzegamy, że wyłączenie obsługi plików cookies niezbędnych dla procesów uwierzytelniania, bezpieczeństwa, utrzymania preferencji użytkownika może utrudnić, a w skrajnych przypadkach może uniemożliwić korzystanie ze stron www

2. W celu zarządzania ustawieniami cookies wybierz z listy poniżej przeglądarkę internetową/ system i postępuj zgodnie z instrukcjami:

a. Internet Explorer

b. Chrome

c. Safari

d. Firefox

e. Opera

f. Android

g. Safari (iOS)

h. Windows Phone

i. Blackberry