O nas i RODO
Firma JAN-PES została założona w 2004r. Na początku swojego istnienia w swojej ofercie posiadała podstawowe artykuły biurowe oraz szkolne. W miarę upływu lat firma zaczęła poszerzać swój asortyment o kolejne produkty: kreatywne, artystyczne, plastyczne, jednorazowe, kartki okolicznościowe, ekskluzywne produkty piśmiennicze, gry, puzzle, teczki, portfele, sezonowo artykuły świąteczne, fajerwerki i wiele innych. Dzisiaj firma dysponuje dwoma sklepami w Tucholi przy ul. Kościuszki 1B: dolny poziom to szeroka oferta dla szkół, biur i firm, górny poziom to przedewszystkim produkty artstyczne, kreatywn i prezentowe.
Cały czas się rozwijamy, aby sprostać wymaganiom klienta. Dysponujemy wieloletnim doświadczeniem i dużą ilością produktów najwyższej jakości. Naszymi atutami są szybka i profesjonalna obsługa, możliwość dowozu towaru na życzenie klienta, realizacja nietypowych zamówień.
Wszystko to sprawia, że nasz sklep jest miejscem, gdzie warto robić zakupy, o czym świadczy stale powiększające się grono zadowolonych klientów. Jednocześnie tych z Państwa, którzy nie znają naszej firmy zachęcamy do zapoznania się z naszą ofertą i odwiedzenia nas w naszych sklepach. Mogą Państwo liczyć na miłą obsługę, atrakcyjne ceny, promocje i rabaty.
Naszym sukcesem jest systematycznie rosnąca liczba stałych klientów oraz nowych dostawców, sprawnie funkcjonująca obsługa, oryginalny towar sezonowy, wysokiej jakości artykuły.
Serdecznie zapraszamy,
Firma Jan-Pes
Szanowni Państwo,
25 maja 2018 roku weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady (EU) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (określane jako RODO, GDPR lub Ogólne Rozporządzenie o Ochronie Danych Osobowych). Celem RODO jest ujednolicenie zasad przetwarzania danych osobowych w całej Unii Europejskiej oraz ustandaryzowanie informacji kierowanych do klientów o ich prawach.
W związku z powyższym, w niniejszej informacji, znajdziecie Państwo dane dotyczące przetwarzania Państwa danych osobowych przez naszą firmę oraz zasady, na jakich będzie się to odbywać po 25 maja 2018 roku. Niniejsza informacja nie wymaga od Państwa żadnych dodatkowych działań.
Administratorem, czyli podmiotem decydującym o tym, jak będą wykorzystywane Twoje dane osobowe, jest Firma JAN-PES z siedzibą w Tucholi, ul. Garbary 2 (dalej Firma) operator strony internetowej www.jan-pes.pl oraz domeny handlowej www.pismiennicze.pl.
Napisz do wyznaczonego przez nas inspektora danych osobowych. Oto jego dane kontaktowe:
imię i nazwisko: Jan Pestka,
adres e-mail: jan-pes@wp.pl,
adres pocztowy: Firma JAN-PES, ul. Garbary 2, 89-500 Tuchola.
Twoje dane osobowe otrzymaliśmy od Ciebie w związku z transakcjami w sklepie internetowym dokonywanymi przez Ciebie bez konieczności uprzedniej rejestracji i posiadania konta.
Możemy przetwarzać Twoje dane osobowe, bo jest to niezbędne do wykonania umowy zawartej z Tobą w związku z dokonaniem w sklepie transakcji bez konieczności uprzedniej rejestracji i posiadania konta w tym do:
• umożliwienia świadczenia usługi drogą elektroniczną, oraz korzystania ze sklepu internetowego, w tym dokonywania transakcji na naszej platformie handlowej i wykonania płatności za towary sprzedane w sklepie internetowym;
• zapewnienia obsługi transakcji i rozwiązywania problemów technicznych;
• obsługi reklamacji, gdy złożysz taką reklamację;
• obsługi Twoich próśb, które do nas kierujesz (np. przez formularz kontaktowy); kontaktowania się z Tobą, w tym w celach związanych ze świadczeniem usług.
Dodatkowo, przepisy prawa wymagają od nas przetwarzania Twoich danych dla celów podatkowych i rachunkowych.
Przetwarzamy też Twoje dane osobowe w celach wskazanych poniżej, na podstawie prawnie uzasadnionego interesu, którym jest:
• zapewnienie obsługi usług płatniczych;
• zapewnienie bezpieczeństwa usług, które świadczymy Ci drogą elektroniczną, w tym egzekwowanie przestrzegania zasad wewnętrznych sklepu oraz przeciwdziałanie oszustwom i nadużyciom i zapewnienie bezpieczeństwa ruchu;
• obsługa Twoich próśb przekazywanych w szczególności działowi obsługi użytkownika oraz przez formularz kontaktowy w sytuacji, gdy nie są one związane wprost z wykonaniem umowy;
• windykacja należności; prowadzenie postępowań sądowych, arbitrażowych i mediacyjnych;
• prowadzenie analiz statystycznych;
• przechowywanie danych dla celów archiwalnych, oraz zapewnienie rozliczalności (wykazania spełnienia przez nas obowiązków wynikających z przepisów prawa).
Na podstawie i tylko o ile udzielisz na to zgody, firma przetwarza Twoje dane osobowe w celu:
• zapisywania danych w plikach cookies oraz gromadzenia danych ze stron www i aplikacji mobilnych.
Firma wymaga podania przez Ciebie adresu e-mail aby móc zawrzeć i wykonać umowę zawartą z Tobą, w związku z każdą transakcją dokonaną przez Ciebie w sklepie internetowym bez konieczności uprzedniej rejestracji i założenia konta. Jeśli z jakiegoś powodu nie podasz tych danych osobowych, niestety nie będziemy mogli zawrzeć z Tobą umowy, a w konsekwencji nie będziesz mógł korzystać ze sklepu w sposób opisany w zdaniu poprzedzającym.
Jeżeli wymagają tego przepisy prawa, możemy wymagać od Ciebie podania innych danych niezbędnych np. ze względów rachunkowych lub podatkowych. W pozostałym zakresie podanie Twoich danych jest dobrowolne.
Gwarantujemy spełnienie wszystkich Twoich praw wynikających z ogólnego rozporządzenia o ochronie danych, tj. prawo dostępu, sprostowania oraz usunięcia Twoich danych, ograniczenia ich przetwarzania, prawo do ich przenoszenia, niepodlegania zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu, a także prawo wyrazić sprzeciw wobec przetwarzania Twoich danych osobowych.
Uprawnienia te możesz wykonać, gdy:
• w odniesieniu do żądania sprostowania danych: zauważysz, że Twoje dane są nieprawidłowe lub niekompletne;
• w odniesieniu do żądania usunięcia danych: Twoje dane nie będą już niezbędne do celów, dla których zostały zebrane przez firmę; cofniesz swoją zgodę na przetwarzanie danych; zgłosisz sprzeciw wobec przetwarzania Twoich danych; Twoje dane będą przetwarzane niezgodnie z prawem; dane powinny być usunięte w celu wywiązania się z obowiązku wynikającego z przepisu prawa;
• w odniesieniu do żądania ograniczenia przetwarzania danych: zauważysz, że Twoje dane są nieprawidłowe – możesz żądać ograniczenia przetwarzania Twoich danych na okres pozwalający nam sprawdzić prawidłowość tych danych; Twoje dane będą przetwarzane niezgodnie z prawem, ale nie będziesz chciał/a, aby zostały usunięte; Twoje dane nie będą nam już potrzebne, ale mogą być potrzebne Tobie do obrony lub dochodzenia roszczeń; lub wniesiesz sprzeciw wobec przetwarzania danych – do czasu ustalenia, czy prawnie uzasadnione podstawy po naszej stronie są nadrzędne wobec podstawy sprzeciwu;
• w odniesieniu do żądania przeniesienia danych: przetwarzanie Twoich danych odbywa się na podstawie Twojej zgody lub umowy zawartej z Tobą oraz przetwarzanie to odbywa się w sposób automatyczny.
Masz prawo wnieść skargę w związku z przetwarzaniem przez nas Twoich danych osobowych do organu nadzorczego, którym jest Generalny Inspektor Ochrony Danych Osobowych (adres: Generalny Inspektor Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa).
Masz prawo wnieść sprzeciw wobec przetwarzania Twoich danych osobowych, gdy ich przetwarzanie odbywa się na podstawie prawnie uzasadnionego interesu lub dla celów statystycznych, a sprzeciw jest uzasadniony przez szczególną sytuację, w której się znalazłeś/aś.
Firma może udostępniać Twoje dane osobowe podmiotom wspierającym Firmę w świadczeniu usług drogą elektroniczną, czyli takim, które zapewniają usługi płatnicze, wykonują usługi konsultingowe lub audytowe. Firma może przekazać Twoje dane osobowe organom publicznym walczącym z oszustwami i nadużyciami.
Firma przechowuje Twoje dane osobowe w związku z dokonaniem przez Ciebie transakcji w sklepie internetowym bez uprzedniej rejestracji i założenia konta, przez czas niezbędny do realizacji danej transakcji oraz przez czas, w jakim możliwe jest dochodzenie roszczeń w związku z wykonaniem umowy, zawartej na skutek transakcji, maksymalnie 3,5 roku od dnia dokonania transakcji.
Dodatkowo, dane mogą być przez nas przechowywane dla celów zapobiegania nadużyciom i oszustwom, dla celów statystycznych i archiwizacyjnych przez okres 10 lat od dnia zakończenia obowiązywania umowy lub zdarzenia powodującego konieczność takiego przetwarzania.
Jednocześnie, w celu rozliczalności będziemy przechowywać dane przez okres, w którym firma zobowiązana jest do zachowania danych lub dokumentów je zawierających dla udokumentowania spełnienia wymagań prawnych, w tym umożliwienia kontroli ich spełnienia przez organy publiczne.
POLITYKA BEZPIECZEŃSTWA INFORMACJI
w firmie JAN-PES w Tucholi
Zgodnie z Rozporządzeniem PE i RE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO) Administrator Danych Osobowych wdraża dokument o nazwie „Polityka Bezpieczeństwa Informacji”.
- §1. Cel dokumentu
- Dokument ten jest środkiem organizacyjnym, mającym na celu wykazanie, że przetwarzanie danych osobowych odbywa się zgodnie z powyższym Rozporządzeniem. Polityka Bezpieczeństwa Informacji określa zasady przetwarzania danych osobowych oraz środki techniczne i organizacyjne zastosowane dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych w firmie JAN-PES w Tucholi. Niniejszy dokument służy zapewnieniu wysokiego poziomu bezpieczeństwa przetwarzanych danych osobowych oraz dotyczy zbiorów papierowych oraz w systemów informatycznych służących do ich przetwarzania.
§2. Definicje
- Administrator Danych Osobowych (ADO) - oznacza firmę JAN-PES reprezentowaną przez Jan Pestkę - właściciela.
- RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46 z dnia 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 04.05.2016).
- Dane osobowe - to wszelkie informacje związane ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. Osoba jest uznawana za osobę bezpośrednio lub pośrednio identyfikowalną poprzez odniesienie do identyfikatora, takiego jak nazwa, numer identyfikacyjny, dane dotyczące lokalizacji, identyfikator internetowy lub jeden lub więcej czynników specyficznych dla fizycznego, fizjologicznego, genetycznego, umysłowego, ekonomicznego, kulturowego lub społecznego. tożsamość tej osoby fizycznej.
- Przetwarzanie danych osobowych to dowolna zautomatyzowana lub niezautomatyzowana operacja lub zestaw operacji wykonywanych na danych osobowych lub w zestawach danych osobowych i obejmuje zbieranie, rejestrowanie, organizowanie, strukturyzowanie, przechowywanie, adaptację lub zmianę, wyszukiwanie, konsultacje, wykorzystanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, wyrównanie lub połączenie, ograniczenie, usunięcie lub zniszczenie danych osobowych.
- Ograniczenie przetwarzania - polega na oznaczeniu przetwarzanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania.
- Anonimizacja - zmiana danych osobowych w wyniku której dane te tracą charakter danych osobowych.
- Zgoda osoby, której dane dotyczą - oznacza dowolne, dowolnie określone, konkretne, świadome i jednoznaczne wskazanie osoby, której dane dotyczą, za pomocą oświadczenia lub wyraźnego działania potwierdzającego, wyrażającego zgodę na przetwarzanie danych osobowych z nim związanych. Zgoda musi być udokumentowana we właściwy sposób, aby ją udowodnić.
- Ocena skutków w ochronie danych - to proces przeprowadzany przez Administratora a jeśli to konieczne wraz z uczestnictwem Inspektora Ochrony Danych, przed przetwarzaniem, w przypadku, gdy istnieje prawdopodobieństwo wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, biorąc pod uwagę charakter, zakres, kontekst i cele planowanego/przyszłego przetwarzania. Proces ten musi oceniać wpływ planowanych operacji przetwarzania na proces ochrony danych osobowych w urzędzie.
- Podmiotem danych jest każda osoba fizyczna, która jest przedmiotem przetwarzanych danych.
- Odbiorca - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe.
- Podmiot przetwarzający to jakikolwiek organ/jednostka/firma przetwarzająca dane osobowe w imieniu Administratora.
- Inspektor Ochrony Danych (IOD) - to osoba formalnie wyznaczona przez Administratora w celu informowania i doradzania Administratorowi/Podmiotowi przetwarzającemu/pracownikom w zakresie obowiązującego prawa o ochronie danych i niniejszej Polityki oraz w celu monitorowania ich przestrzegania oraz działania jako punkt kontaktowy dla osób przetwarzanych i organu nadzorczego. Administrator może powierzyć dodatkowe zadania IOD o ile nie będą one kolidowały z wykonywanymi obowiązkami i pełnioną funkcją.
- Pseudonimizacja - oznacza przetwarzanie danych osobowych w taki sposób (np. poprzez zastępowanie nazw liczbami), że danych osobowych nie można już przypisać do określonego podmiotu danych bez użycia dodatkowych informacji (np. Listy referencyjnej nazwisk i numerów), pod warunkiem, że takie dodatkowe informacje są przechowywane oddzielnie i podlegają środkom technicznym i organizacyjnym w celu zapewnienia, że dane osobowe nie są przypisane do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
- Szczególne kategorie danych osobowych - ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, członkostwo w związkach zawodowych i obejmują przetwarzanie danych genetycznych, dane biometryczne w celu jednoznacznej identyfikacji osoby fizycznej, dane dotyczące zdrowia, dane dotyczące naturalnego życie seksualne osoby lub orientację seksualną. W zależności od obowiązującego prawa, specjalne kategorie danych osobowych mogą również zawierać informacje o środkach zabezpieczenia społecznego lub postępowaniach administracyjnych i karnych oraz o sankcjach.
- Profilowanie – jest dowolną forma zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
- Naruszenie ochrony danych osobowych - jest to przypadkowy lub niezgodny z prawem incydent prowadzący do zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.
- Aktywa – środki materialne i niematerialne mające wpływ na przetwarzanie danych osobowych w firmie.
- Skutki – rezultaty niepożądanego incydentu (straty w wypadku wystąpienia zagrożenia/naruszenia ochrony danych).
- Ryzyko - prawdopodobieństwo, że określone zagrożenie wystąpi i spowoduje straty lub zniszczenie zasobów.
- §3. Powołanie IOD przez Administratora
- Administrator Danych na podstawie Rozporządzenia PE i RE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO) wyznacza Inspektora Ochrony Danych Osobowych, który wykonuje swoje zadania w zakresie wskazanym w art. 39 RODO. Administrator może powierzyć dodatkowe zadania IOD o ile nie będą one kolidowały z wykonywanymi obowiązkami i pełnioną funkcją.
§4. Inwentaryzacja danych, zgodność z prawem, upoważnienia
- Inwentaryzacja danych.
1) Dane osobowe wymagające ochrony zostały wykazane w załączniku nr 1 pn. Wykaz zbiorów danych osobowych.
2) Wykaz obejmuje zbiory ze stwierdzonym potencjalnym ryzykiem naruszenia praw lub wolności osób fizycznych.
3) Każdy ze zbiorów jest opisany w sposób umożliwiający przeprowadzenie analizy ryzyka.
4) Opis zbiorów obejmuje takie informacje, jak:
a) nazwę zbioru danych;
b) Aktywa;
c) Podstawa prawna przetwarzania;
d) Rejestr czynności przetwarzania;
e) Ocena skutków;
f) Cel przetwarzania, Rodzaj i zakres danych Odbiorcy;
g) Opis operacji przetwarzania;
h) Czas przechowywania.
- Zgodność z RODO.
1) W ramach przeprowadzenia oceny skutków ADO zobowiązany jest do spełnienia wobec nich obowiązków prawnych. W szczególności ADO zapewnia, że:
a) dane są legalnie przetwarzane (na podstawie art. 6, 9 RODO);
b) dane osobowe są adekwatne w stosunku do celów przetwarzania;
c) dane osobowe są przetwarzane przez określony konkretny czas (retencja danych);
d) wobec osób, których dane przetwarza wykonano tzw. obowiązek informacyjny (art. 12, 13 i 14 RODO) wraz ze wskazaniem im praw (np. prawa dostępu do danych, przenoszenia, sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu);
e) zapewniono ochronę danych w przypadku powierzenia przetwarzania danych w postaci umów powierzenia z podmiotami przetwarzającymi (art. 28 RODO);
f) opracowano klauzule informacyjne dla powyższych osób (patrz załącznik nr 2 pn. Klauzule informacyjne);
g) istnieją umowy powierzenia z podmiotami przetwarzającymi (art. 28) zgodnie z załącznikiem nr 6 pn. Umowa powierzenia (wykaz podmiotów przetwarzających prowadzony jest w załączniku nr 7 pn. Rejestr umów powierzenia);
h) potwierdzenie spełnienia powyższych wymagań prawnych RODO znajduje się w załączniku nr 1 pn. Wykaz zbiorów danych osobowych.
2) Potwierdzenie zgodności z prawem przetwarzanych danych osobowych w zbiorach, znajduje się w załączniku nr 1 pn. Wykaz zbiorów danych osobowych.
3) Klauzule informacyjne znajdują się w załączniku nr 2 pn. Klauzule informacyjne.
- Upoważnienia.
1) Administrator Danych odpowiada za nadawanie / anulowanie upoważnień do przetwarzania danych w zbiorach papierowych oraz systemach informatycznych;
2) Każda osoba upoważniona musi przetwarzać dane wyłącznie na polecenie Administratora lub na podstawie przepisu prawa;
3) Upoważnienia nadawane są do zbiorów na wniosek przełożonych osób. Upoważnienia określają zakres operacji na danych, np. tworzenie, usuwanie, wgląd, przekazywanie – patrz załącznik nr 3 Upoważnienie do przetwarzania danych osobowych;
4) Upoważnienia mogą być nadawane w formie poleceń, np. upoważnienia do przeprowadzenia kontroli, audytów, wykonania czynności służbowych, udokumentowanego polecenia administratora w postaci umowy powierzenia.
§5. Procedura analizy ryzyka oraz ocena skutków została opisana w załączniku nr 4 pn. Procedura analizy ryzyka oraz ocena skutków.
§6. Upoważnienia do przetwarzania danych osobowych
- Administrator / podmiot przetwarzający odpowiada za nadawanie / anulowanie upoważnień do przetwarzania danych w zbiorach papierowych oraz systemach informatycznych.
- Każda osoba upoważniona musi przetwarzać dane wyłącznie na polecenie administratora lub na podstawie przepisu prawa.
- Upoważnienia nadawane są do zbiorów przez przełożonego.
- Upoważnienia określają zakres operacji na danych, np. tworzenie, usuwanie, wgląd, przekazywanie – patrz załącznik nr 3 pn. Upoważnienie do przetwarzania danych osobowych.
- Upoważnienia mogą być nadawane w formie poleceń, np. upoważnienia do przeprowadzenia kontroli, audytów, wykonania czynności służbowych, udokumentowanego polecenia Administratora w postaci stosownej umowy.
- Administrator prowadzi ewidencję osób upoważnionych, która stanowi załącznik nr 10 pn. Ewidencja osób upoważnionych, w celu sprawowania kontroli nad prawidłowym dostępem do danych osób upoważnionych.
§7. Instrukcja postępowania z incydentami
- Procedura definiuje katalog podatności i incydentów zagrażających bezpieczeństwu danych osobowych oraz opisuje sposób reagowania na nie. Jej celem jest minimalizacja skutków wystąpienia incydentów bezpieczeństwa oraz ograniczenie ryzyka powstania zagrożeń i występowania incydentów w przyszłości.
- Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest do powiadamiania o stwierdzeniu podatności lub wystąpieniu incydentu Inspektora Ochrony Danych.
- Do typowych podatności bezpieczeństwa danych osobowych należą:
a) niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów;
b) niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych;
c) nieprzestrzeganie zasad ochrony danych osobowych przez pracowników firmy (np. niestosowanie zasady czystego biurka/ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek).
- Do typowych incydentów bezpieczeństwa danych osobowych należą:
1) zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności);
2) zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata/zagubienie danych);
3) umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania).
- W przypadku stwierdzenia wystąpienia incydentu, IOD prowadzi postępowanie wyjaśniające w toku, którego:
1) ustala zakres i przyczyny incydentu oraz jego ewentualne skutki;
2) inicjuje ewentualne działania dyscyplinarne;
3) działa na rzecz przywrócenia działań organizacji po wystąpieniu incydentu;
4) rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych incydentów w przyszłości lub zmniejszenia strat w momencie ich zaistnienia.
- Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze, co stanowi załącznik nr 11 pn. Formularz rejestracji incydentu.
- Zabrania się świadomego lub nieumyślnego wywoływania incydentów przez pracowników firmy JAN-PES w Tucholi.
- W przypadku naruszenia ochrony danych osobowych skutkującego ryzykiem naruszenia praw lub wolności osób fizycznych, Administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je Prezesowi Ochrony Danych Osobowych.
§8. Regulamin ochrony danych osobowych
- Regulamin ma na celu zapewnienie wiedzy osobom przetwarzającym dane osobowe odnośnie bezpiecznych zasad przetwarzania. Patrz załącznik nr 12 pn. Regulamin Ochrony Danych Osobowych.
- 2. Po zapoznaniu się z zasadami ochrony danych osobowych, osoby zobowiązane są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania poprzez podpisanie stosownego oświadczenia o zachowaniu poufności, które stanowi załącznik nr 13 do pn. Oświadczenie o zachowaniu poufności.
§9. Szkolenia.
- Każda osoba przed dopuszczeniem do pracy z danymi osobowymi musi zostać zapoznana z przepisami RODO, PBI, IZSI oraz Regulaminu Ochrony Danych Osobowych.
- Za przeprowadzenie szkolenia odpowiada IOD.
§10. Rejestr czynności przetwarzania.
- Na podstawie Art. 30, ust 1 RODO Administrator Danych Osobowych wypełnia załącznik nr 13 pn. Rejestr czynności prowadzony przez Administratora.
- 2. Zgodnie z Art. 30, ust 2 RODO Podmiot przetwarzający prowadzi rejestr czynności przetwarzania, który stanowi załącznik nr 14 pn. Rejestr czynności prowadzony przez Podmiot przetwarzający.
§11. Audyty.
- Zgodnie z art. 32 RODO, Administrator powinien regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
- W tym celu Administrator stosuje procedurę audytów – Załącznik nr 15 pn. Procedura audytu.
§12. Procedura przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.
- Zgodnie z art. 32 RODO, Administrator powinien zapewnić zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Administrator opracował procedury przywracania, opisane w załączniku nr 16 pn. Plan ciągłości działania.
§12. Wykaz zabezpieczeń
- Administrator Danych Osobowych prowadzi wykaz zabezpieczeń, które stosuje w celu ochrony danych osobowych, który stanowi załącznik nr 17 pn. Wykaz zabezpieczeń RODO.
- W wykazie wskazano stosowane zabezpieczenia proceduralne oraz zabezpieczenia jako środki techniczne i organizacyjne.
- Wykaz jest aktualizowana po każdej analizie ryzyka / ocenie skutków.
§13. Załączniki do niniejszej Polityki Bezpieczeństwa Informacji mogą być w każdym momencie aktualizowane. Zmiany w załącznikach nie powodują konieczności powołania nowej Polityki Bezpieczeństwa Informacji, lecz wymagają podpisu Administratora Danych Osobowych i zapewnienia zapoznania się pracowników z nimi.
§14. Inspektor Ochrony Danych wdraża wszystkie niezbędne dokumenty wynikające z Rozporządzenia PE i RE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO), zapisów ustawy o ochronie danych osobowych oraz innych przepisów prawnych mających zastosowanie przy przetwarzaniu danych osobowych w firmie JAN-PES w Tucholi.
Administrator Danych