Polityka Prywatności

Informacja na temat przetwarzania danych osobowych

Informacja na temat przetwarzania danych osobowych osób fizycznych reprezentujących podmiot zawierający umowy ze spółką Values Consulting Spółka z ograniczoną odpowiedzialnością oraz osób fizycznych wskazanych do wykonywania i realizacji umów zawieranych ze spółką Values Consulting Spółka z ograniczoną odpowiedzialnością

  1. Values Consulting Sp. z o.o. z siedzibą w Warszawie (02-844) przy ulicy Puławskiej 457, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: 0001025671 (dalej zwana: ” Values Consulting” lub „Administratorem”) oświadcza, że jest administratorem Pana/Pani danych osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane dalej: „RODO”). Kontakt z Administratorem jest możliwy za pośrednictwem adresu e – mail: values@values.pl lub pisemnie na wskazany powyżej adres siedziby Administratora.
  2. Pani/Pana dane osobowe zostały udostępnione Administratorowi przez podmiot zawierający umowę ze spółką Values Consulting. Pani/Pana dane osobowe przetwarzane będą w zakresie: danych podstawowych umożliwiających identyfikację (imię i nazwisko oraz stanowisko służbowe), danych kontaktowych umożliwiających kontakt służbowy pocztą tradycyjną (adres służbowy), pocztą elektroniczną (służbowy adres e- mail) oraz kontakt telefoniczny (numer telefonu służbowego).

 

  1. Pani/Pana dane osobowe będą przetwarzane w celu podpisania i wykonania umowy, w tym w celu utrzymywania kontaktów służbowych w związku z realizacją umowy; wypełnienia przez Administratora obowiązków dotyczących przechowywania dokumentów księgowych; ewentualnie w celu dochodzenia roszczeń lub obrony przed roszczeniami związanymi z zawartą przez Values Consulting umową z podmiotem udostępniającym Pani/Pana dane osobowe.
  2. Values Consulting informuje, że podstawą prawną przetwarzania danych osobowych jest:

 

  1. art. 6 ust. 1 lit c) RODO tj. spełnienie obowiązku prawnego ciążącego na Administratorze wynikającego z przepisów o rachunkowości i prawa podatkowego;
  2. art. 6 ust. 1 lit f) RODO tj. realizacja prawnie uzasadnionych interesów Values Consulting oraz podmiotu zawierającego umowę z Administratorem polegającego na konieczności zawarcia i sprawnego wykonania umowy, bądź ewentualnie konieczności dochodzenia roszczeń lub obrony przez roszczeniami wynikającymi z zawartą umową.
  1. Pani/Pana dane osobowe mogą zostać ujawnione pracownikom i współpracownikom

Values Consulting, podwykonawcom Values Consulting, o ile jest to niezbędne w celu wykonania umowy; podmiotom świadczącym usługi na rzecz Values Consulting (np. audytorom, doradcom, dostawcom usług IT); jak również podmiotom uprawnionym do uzyskania danych na podstawie obowiązujących przepisów (np. sądy, organy ścigania), gdy wystąpią z żądaniem uzyskania danych osobowych i wskażą podstawę prawną swego żądania. Dane osobowe nie będą przekazywane do państwa trzeciego, ani organizacji międzynarodowej w rozumieniu RODO.

  1. Pani/Pana dane osobowe będą przetwarzane przez okres obowiązywania umowy zawartej pomiędzy Values Consulting a podmiotem udostępniającym, chyba że dalsze przechowywanie danych osobowych będzie niezbędne do momentu przedawnienia roszczeń wynikających z umowy zawartej pomiędzy Values Consulting a podmiotem udostępniającym lub do momentu wygaśnięcia obowiązku przechowywania danych wynikającego z przepisów prawa, w szczególności obowiązku przechowywania dokumentów księgowych.
  2. Informujemy, że przysługuje Pani/Panu prawo:

 

  1. dostępu do swoich danych osobowych oraz prawo do żądania ich sprostowania, usunięcia lub ograniczenia ich przetwarzania, a także prawo do przenoszenia danych osobowych;
  2. wniesienia sprzeciwu wobec przetwarzania danych osobowych;

 

  1. wniesienia skargi do organu nadzorczego zajmującego się ochroną danych osobowych w Polsce;
  1. Pani/Pana dane osobowe nie będą podlegały zautomatyzowanemu podejmowaniu decyzji, w tym decyzji będących wynikiem profilowania w rozumieniu RODO.
  2. W przypadku udostępnienia przez podmiot zawierający umowę z Values Consulting w związku z wykonaniem tejże umowy danych osobowych osób związanych z tym podmiotem,

podmiot udostępniający dane osobowe zobowiązuje się w imieniu Values Consulting do poinformowania tych osób o treści niniejszej informacji.

Polityka bezpieczeństwa informacji

Polityka bezpieczeństwa informacji

w spółce działającej pod firmą

„Values ConsultingSpółka z ograniczoną odpowiedzialnością” z siedzibą w Warszawie

Niniejsza Polityka bezpieczeństwa, zwana dalej „Polityką”, została sporządzona w celu wykazania, że dane osobowe są przetwarzane i zabezpieczone zgodnie z wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczenia danych, w tym z Rozporządzaniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”).

 

Definicje:

 

Administrator Danych Values         Consulting        Spółka         z     ograniczoną

odpowiedzialnością z siedzibą w Warszawie przy ulicy Puławskiej 457 Warszawie (02 – 844), wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0001025671

  1. Dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,

 

  1. Użytkownik osoba upoważniona przez Administratora Danych do Przetwarzania danych osobowych,

 

  1. Przetwarzanie danych jakiekolwiek  operacje  wykonywane  na  Danych

osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie w formie tradycyjnej oraz w systemach informatycznych,

 

  1. Identyfikator Użytkownika ciąg  znaków  literowych,  cyfrowych  lub  innych

jednoznacznie identyfikujących osobę upoważnioną do Przetwarzania danych osobowych w systemie informatycznym (Użytkownika),

 

  1. Hasło ciąg znaków literowych, cyfrowych lub innych, znanych jedynie osobie uprawnionej do pracy w systemie informatycznym (Użytkownikowi).

 

  • Postanowienia ogólne

    1. Polityka dotyczy wszystkich Danych osobowych przetwarzanych w spółce Values Consulting Spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie (adres: Puławska 457, 02 – 844 Warszawa), niezależnie od formy ich przetwarzania (przetwarzanie tradycyjne zbiory ewidencje, systemy informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane w zbiorach danych.

 

  1. Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w siedzibie Administratora. Polityka jest udostępniana do wglądu osobom posiadającym upoważnienie do przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma zostać nadane upoważnienie do przetwarzania danych osobowych, celem zapoznania się z jej treścią.

 

  1. Dla skutecznej realizacji Polityki Administrator Danych zapewnia:

 

  1. odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne,
  2. kontrolę i nadzór nad Przetwarzaniem danych osobowych,

 

  1. monitorowanie zastosowanych środków ochrony.

 

  1. Monitorowanie przez Administratora Danych zastosowanych środków ochrony obejmuje m.in. działania Użytkowników, naruszenie zasad dostępu do danych, zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi i wewnętrznymi.

 

  1. Administrator Danych zapewnia, że czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem danych osobowych są zgodne z niniejszą Polityką oraz odpowiednimi przepisami prawa.

 

  • Dane osobowe przetwarzane u administratora danych

 

  1. Dane osobowe mogą być gromadzone i przetwarzane w systemach informatycznych oraz w zbiorach papierowych takich jak kartoteki, księgi, wykazy, czy innych zbiorach ewidencyjnych.

 

  1. Ochronie podlegają dane, sprzęt komputerowy, systemy operacyjne i informatyczne oraz pomieszczenia, w których odbywa się proces przetwarzania.

 

  1. Administrator Danych prowadzi rejestr czynności przetwarzania danych osobowych.

 

  • Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem

 

  1. Wszystkie osoby zobowiązane są do przetwarzania danych osobowych zgodnie z obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Danych Polityką Bezpieczeństwa, a także innymi dokumentami wewnętrznymi i procedurami związanymi z Przetwarzaniem danych u Administratora Danych.
  2. Wszystkie dane osobowe są Przetwarzane z poszanowaniem zasad przetwarzania przewidzianych przepisami prawa:
    1. w każdym wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstaw dla Przetwarzania danych,
    2. dane osobowe są Przetwarzane rzetelnie i w sposób przejrzysty,

 

  1. dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie Przetwarzane dalej w sposób niezgodny z tymi celami,
  2. dane osobowe są Przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu przetwarzania danych,
  3. dane osobowe są prawidłowe i w razie potrzeby uaktualniane,

 

  1. czas przechowywania Danych osobowych jest ograniczony do okresu ich przydatności do celów, do których zostały zebrane, a po tym okresie są one anonimizowane bądź usuwane,
  2. wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie z treścią art. 13 i 14 RODO,
  3. dane osobowe są zabezpieczone przed naruszeniami zasad ich ochrony.

 

  1. Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony Danych osobowych uważa się w szczególności:
    1. naruszenie bezpieczeństwa systemów informatycznych, w których Przetwarzane są Dane osobowe,
    2. udostępnienie lub umożliwienie udostępnienia danych osobom lub podmiotom do tego nieuprawnionym,
    3. zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia Danym osobowym ochrony,
    4. niedopełnienie obowiązku zachowania w tajemnicy Danych osobowych oraz sposobów ich zabezpieczenia,
    5. przetwarzanie Danych osobowych niezgodnie z założonym zakresem i celem ich zbierania,
    6. spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie Danych osobowych,
    7. naruszenie praw osób, których dane są przetwarzane.
  2. W przypadku stwierdzenia okoliczności naruszenia zasad ochrony Danych osobowych Użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego powiadomienia Administratora Danych.

 

  1. Do obowiązków Administratora Danych w zakresie zatrudniania, zakończenia lub zmiany warunków zatrudnienia pracowników lub współpracowników (osób podejmujących czynności na rzecz Administratora Danych na podstawie innych umów cywilnoprawnych) należy dopilnowanie, by:
    1. pracownicy byli odpowiednio przygotowani do swoich obowiązków,

 

  1. każdy przetwarzający Dane osobowe był pisemnie upoważniony do przetwarzania zgodnie z „Upoważnieniem do przetwarzania danych osobowych”, stanowiący Załącznik Nr 1 do niniejszej Polityki Bezpieczeństwa,
  2. każdy pracownik (współpracownik) przetwarzający Dane osobowe został zapoznany ze stosowanymi przepisami w tym zakresie (w szczególności RODO oraz Polityką Bezpieczeństwa), a także podjął stosowne zobowiązania, wedle Załącznika Nr 3 do niniejszej Polityki Bezpieczeństwa.

 

  1. Pracownicy i współpracownicy zobowiązani są do:

 

  1. ścisłego przestrzegania zakresu nadanego upoważnienia,

 

  1. przetwarzania i ochrony danych osobowych zgodnie z przepisami,

 

  1. zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia,

 

  1. zachowania w tajemnicy sposobów zabezpieczenia danych osobowych w jednostce,

 

  1. ochrony danych osobowych przez przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją danych osobowych, nieuprawnionym ujawnieniem, dostępem do danych osobowych oraz przetwarzaniem,
  2. zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu.

 

  • Zasady przetwarzania danych osobowych, realizacja obowiązków informacyjnych

 

  1. Przetwarzanie danych osobowych jest jedynie dopuszczalne w następujących przypadkach:

 

  1. osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów,
  2. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze Danych,
  3. jest niezbędne osobie, której dane dotyczą w celu wywiązania się z umowy, której jest stroną lub jej życzenie w celu podjęcia niezbędnych działań przed zawarciem umowy,
  4. jest niezbędne do wykonania określonych prawem zadań, realizowanych w interesie publicznym,
  5. przetwarzanie jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
  6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora Danych.

 

  1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, pracownik/współpracownik podczas pozyskiwania danych osobowych zobowiązany jest podać jej następujące informacje:
    1. nazwę, adres i dane kontaktowe spółki jako Administratora Danych,

 

  1. cele przetwarzania tych danych oraz podstawę prawną przetwarzania,

 

  1. jeżeli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez spółkę, należy wykazać ten interes,
  2. informacje o odbiorcach danych osobowych lub kategoriach odbiorców jeżeli istnieją,

 

  1. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalenia tego okresu,
  2. informacje o prawie żądania od administratora dostępu do swoich danych oraz ich poprawienia, usunięcia lub ograniczenia przetwarzania, o prawie wniesienia sprzeciwu wobec ich przetwarzania, a także o prawie do przenoszenia danych,
  3. jeżeli podstawą przetwarzania jest zgoda – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed cofnięciem,
  4. informację o prawie wniesienia skargi do organu nadzorczego,

 

  1. informację, czy podanie danych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualnie konsekwencje niepodania danych.

 

  1. W przypadku zbierania danych osobowych w sposób inny niż od osoby, której one dotyczą, pracownik/współpracownik, który takie dane pozyskał powiadamia osobę, której dane dotyczą w zakresie opisanym w ust. 2 powyżej, a ponadto informuję ją o kategoriach odnośnych danych osobowych oraz o źródle pochodzenia tych danych.

 

  1. Obowiązek informacyjny spoczywa na pracowniku/współpracowniku odpowiedzialnym za załatwienie sprawy i w pełnym zakresie dotyczy tradycyjnych form korespondencji.
  2. W przypadku korespondencji przesyłanej drogą elektroniczną, w wiadomości e – maila wysyłanego prze pracownika zamieszcza się informację dotyczącą ochrony danych osobowych.

 

  1. Obowiązek informacyjny realizują również pracownicy Spółki w ramach rozmów telefonicznych prowadzonych z klientami (osoby fizyczne), o ile w ten sposób pozyskują dane osobowe.

 

  1. Obowiązku informacyjnego nie stosuje się w przypadku, gdy osoba której dane dotyczą dysponuje już tymi informacjami.

 

  1. W przypadku, jeżeli dane osobowe pozyskiwane są w sposób inny niż od osoby, której dane dotyczą, obowiązku informacyjnego nie stosuje się wtedy, gdy:
    1. udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, a w szczególności w przypadku przetwarzania do celów archiwalnych, w interesie publicznym, do celów badań naukowych lub do celów historycznych lub do celów statystycznych, z zastrzeżeniem stosownych warunków i zabezpieczeń lub o ile obowiązek informacyjnym, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania,
    2. prawo UE lub prawo krajowe zezwala na przetwarzanie danych i przewiduje odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą,
    3. dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie UE lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy dopuszczony odrębnymi przepisami prawa.

 

  • Powierzenie danych osobowych do przetwarzania innemu podmiotowi

 

  1. Administrator Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO.

 

  1. Podmiot, o którym mowa w ust. 1 powyżej, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie powierzenia.

 

  1. Podmiot, o którym mowa w ust. 1 powyżej, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające powierzony mu zbiór danych osobowych oraz spełnić wymagania określone w przepisach RODO.

 

  1. W przypadkach, o których mowa w ust. 1 – 3 powyżej, odpowiedzialność za przestrzeganie bezpieczeństwa powierzonych danych spoczywa na Administratorze Danych oraz podmiocie przetwarzającym.
  2. W umowie, o której mowa w ust. 1 powyżej, wyraźnie określa się przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, jak również co najmniej:
    1. wskazuje się konieczność posiadania przez podmiot współpracujący wdrożonych rozwiązań zapewniających bezpieczeństwo danym osobowym (systemu bezpieczeństwa danych osobowych),
    2. zastrzega się prawo dokonania przeglądu ww. systemu przez przedstawiciela Spółki lub podmiot wskazany przez Administratora Danych,
    3. wprowadza zapisy zobowiązujące stronę do zachowania w tajemnicy powierzonych informacji,
    4. zobowiązuje się podmiot przetwarzający do usunięcie powierzonych danych z wszelkich nośników, jeżeli jest to konieczne z punktu wiedzenia Administratora Danych oraz możliwe z punktu widzenia regulacji prawnych, po zakończeniu świadczenia usług związanych z przetwarzaniem,
    5. wskazuje na sankcje prawno – finansowe związane z niedotrzymaniem warunków umowy.

 

  • Bezpieczeństwo przetwarzania danych osobowych. Postępowanie z dokumentację zawierającą dane o charakterze osobowym. Warunki techniczne i organizacyjne urządzeń i systemu informatycznego.

 

  1. Wprowadza się zabezpieczenia organizacyjne chroniące przed nieautoryzowanym dostępem do danych osobowych obejmujące wskazane poniżej zasady:

 

  1. dostęp do danych mają wyłącznie upoważnieni pracownicy Spółki, którzy mogą je przetwarzać wyłącznie na polecenie Administratora lub podmiotu przetwarzającego,
  2. dostęp do pomieszczeń, w których przetwarzane są dane osobowe, posiadają pracownicy Spółki oraz osoby trzecie na podstawie właściwie określonych uprawnień (wynikających np. z zakresów obowiązków, udzielonych delegacji w sprawach merytorycznych itp.) oraz/lub stosownych upoważnień (np. wykaz osób upoważnionych do pobierania kluczy do pomieszczeń, przydzielone kody i/lub karty dostępu itp.),
  3. w pomieszczeniach, o których mowa w lit. b), mogą przebywać osoby postronne (klienci) wyłącznie w obecności i pod nadzorem osób uprawnionych do przebywania w tych pomieszczeniach,
  4. pracownicy przetwarzający dane osobowe są zobowiązani do stosowania tzw. „Polityki czystego biurka” tj. dokumenty oraz nośniki informacji należy zabezpieczyć, np. w zamykanych na klucz szafach, biurkach, pomieszczeniach przed kradzieżą lub wglądem

osób nieupoważnionych zarówno podczas chwilowej nieobecności w trakcie godzin pracy jak i po godzinach pracy z uwzględnieniem polityki dostępu do pomieszczeń,

  1. dokumenty zawierające dane o charakterze osobowym (również w postaci cyfrowej) powinny być przekazywane pomiędzy uprawnionymi osobami z wykorzystaniem bezpiecznych metod przekazu uniemożliwiających zapoznanie się z ich treścią osobom nieupoważnionym,
  2. zabrania się pozostawiania dokumentów z danymi osobowymi poza zabezpieczonymi pomieszczeniami, np. w korytarzach, na kserokopiarkach, drukarkach, w pomieszczeniach konferencyjnych,
  3. zabrania się wyrzucania niezniszczonych dokumentów na śmietnik lub porzucania ich na zewnątrz, np. na terenach publicznych miejskich, w lesie,
  4. prowadzony jest stały monitoring systemu bezpieczeństwa informacji.

 

  1. Zabezpieczenia systemu informatycznego przetwarzającego dane osobowe winny spełniać następujące warunki:
    1. użytkownik rozpoczynający pracę zobowiązany jest dokonać sprawdzenia zabezpieczenia pomieszczenia w którym przetwarzane są dane osobowe, swojego stanowiska pracy oraz stanu sprzętu komputerowego,
    2. system powinien być wyposażony w mechanizmy uwierzytelniające użytkownika oraz kontroli dostępu do tych danych,
    3. każdy użytkownik systemu informatycznego, w którym przetwarza się dane osobowe posiada odrębny Identyfikator Użytkownika oraz Hasło,
    4. Identyfikator Użytkownika wraz z imieniem i nazwiskiem wpisuje się do ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych i rejestruje w systemie informatycznym,
    5. bezpośredni dostęp do danych osobowych przetwarzanych w systemie informatycznym może mieć wyłącznie użytkownik systemu po podaniu Identyfikatora Użytkownika oraz Hasła,
    6. z dostępu do danych osobowych może wyłącznie korzystać upoważniony pracownik, a w pomieszczeniach gdzie przebywają osoby postronne, monitory stanowisk dostępu do danych osobowych powinny być ustawione w taki sposób, żeby uniemożliwić tym osobom wgląd w dane,
    7. nie należy pozostawiać funkcjonującego systemu bez nadzoru,

 

  1. po zakończeniu pracy użytkownik zobowiązany jest: (i) wylogować się z systemu i poczekać na jego wyłączenie; (ii) sprawdzić czy nie zostały pozostawione bez nadzoru

nośniki informacji; (iii) wyłączyć odbiornik energii elektrycznej, zamknąć pomieszczenie i klucze oddać służbie ochrony.

 

  1. System informatyczny przetwarzający dane osobowe dla każdej osoby, której dane osobowe są przetwarzane, powinien zapewnić odnotowanie:
    1. daty pierwszego wprowadzenia danych tej osoby,

 

  1. źródła pochodzenia danych, jeżeli dane pochodzić mogą z różnych źródeł,

 

  1. identyfikator użytkownika wprowadzającego dane.

 

  1. System informatyczny służący do przetwarzania danych osobowych powinien umożliwić udostępnianie na piśmie, w powszechnie zrozumiałej formie, treść danych o każdej osobie, której dane są przetwarzane.

 

  • Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe w tym kopii zapasowych

 

  1. Przez nośniki danych osobowych należy rozumieć wszystkie media, niezależnie od postaci w jakiej występują, które służą do przechowywania danych osobowych, w szczególności:
    1. wszelkiego rodzaju dyskietki,

 

  1. taśmy magnetyczne,

 

  1. dyski optyczne,

 

  1. dyski wymienne,

 

  1. dyski twarde wymontowane z komputerów,

 

  1. wydruki,

 

  1. inne media nie wymienione powyżej, które umożliwiają przechowywanie danych osobowych.

 

  1. Wszelkie nośniki, na których znajdują się dane osobowe podlegają ochronie w takim samym stopniu jak dane, które się na nich znajdują.

 

  1. Przechowywanie nośników zawierających dane osobowe powinno odbywać się w warunkach zapewniających zachowanie wymaganego poziomu bezpieczeństwa danych osobowych znajdujących się na tych nośnikach w sposób uniemożliwiający dostęp do nich osób nieupoważnionych.

 

  1. Nośniki elektroniczne przeznaczone do przechowywania danych osobowych powinny się charakteryzować odpowiednią trwałością zapisu, zależną od planowanego okresu przechowywania na nich danych osobowych.
  2. Przechowywane nośniki zawierające dane osobowe powinny być wyraźnie oznaczone w sposób umożliwiający ich identyfikację w celu:
    1. zapobiegania przypadkowemu udostępnieniu ich do ponownego użycia,

 

  1. zapobiegania nieumyślnemu ujawnieniu danych osobowych,

 

  1. powiadomienia potencjalnych użytkowników o konieczności szczególnej ochrony tych nośników.

 

  1. Dane osobowe przechowywane na nośnikach powinny być z nich usuwane w momencie ustania przyczyn, dla których miały być one przechowywane na nośnikach lub też po upływie czasu przez jaki miały się one znajdować na nośnikach.

 

  1. Przez zniszczenie nośników informacji rozumie się takie działania, które prowadzą do pozbawienia ich cech pozwalających na identyfikację (odczytanie) danych osobowych znajdujących się na tych nośnikach.

 

  1. Osoba upoważniona przez Administratora Danych Osobowych jest odpowiedzialna za niszczenie nośników magnetycznych zawierających dane osobowe oraz za dokumentowanie tych procesów.

 

  1. Nośniki magnetyczne zawierające dane osobowe, przeznaczone do likwidacji, pozbawia się wcześniej zapisu tych danych.

 

  1. Nośniki papierowe (wydruki) nie przeznaczone do ponownego użytku oraz nie archiwizowane powinny być natychmiast niszczone. Sposób zniszczenia powinien zapewniać niemożliwość odtworzenia znajdujących się na nośnikach papierowych danych osobowych.

 

  • Procedury nadawania, zmiany oraz odbierania upoważnienia do przetwarzania danych osobowych

 

  1. Upoważnienie do przetwarzania danych osobowych nadawane jest przez Zarząd spółki.

 

  1. Warunkiem wydania pracownikowi upoważnienia do przetwarzania danych osobowych jest podpisanie przez użytkownika oświadczenia o zapoznaniu się z obowiązującymi przepisami prawa z zakresu ochrony danych osobowych oraz o zachowaniu uzyskanych danych w tajemnicy, który stanowi Załącznik Nr 2 do niniejszej Polityki bezpieczeństwa.

 

  1. W szczególnie uzasadnionych przypadkach upoważnienie do przetwarzania danych osobowych może zostać nadane innej osobie niż pracownik spółki, w tym przypadku postanowienie ust. 2 powyżej stosuje się również wobec takiej osoby.

 

  1. Jeżeli zmianie ulegają warunki zatrudnienia osoby upoważnionej do przetwarzania danych osobowych, mające bezpośredni związek z przypisanymi tej osobie czynnościami przetwarzania danych osobowych (np. rozwiązanie umowy o pracę, wygaśnięcie umowy o świadczenie usług,

umowy zlecenia, innej umowy cywilno-prawnej), aktualizuję się upoważnienie pracownika do przetwarzania danych osobowych, o ile zmiana taka wywiera wpływ na zakres upoważnienia danej osoby do przetwarzania danych osobowych.

 

  • Naruszenie zasad ochrony danych osobowych

 

  1. W przypadku stwierdzenia/uzyskania informacji wskazującej na naruszenie zasad ochrony danych należy niezwłocznie:
    1. zapisać informacje o okolicznościach związanych ze zdarzeniem,

 

  1. jeżeli zasoby systemu informatycznego na to pozwalają, wygenerować i wydrukować dokumenty i raporty, które mogą pomóc w ustaleniu wszelkich okoliczności zdarzenia, opatrzenia ich datą i podpisania,
  2. przystąpić do zidentyfikowania rodzaju zaistniałego zdarzenia, w tym do określenia skali zniszczeń, metody dostępu osoby niepowołanej do danych itp.,
  3. podjąć odpowiednie kroki w celu powstrzymania lub ograniczenia dostępu osoby niepowołanej, zminimalizowania szkód i zabezpieczenia przed usunięciem śladów naruszenia ochrony danych, w tym między innymi:
    • fizycznego odłączenia urządzeń i segmentów sieci, które mogły umożliwić dostęp do bazy danych osobie niepowołanej,
    • wylogowania użytkownika podejrzanego o naruszenie zasad ochrony danych,

 

  • zmianę hasła użytkownika, poprzez którego uzyskano nielegalny dostęp, w celu uniknięcia ponownej próby uzyskania takiego dostępu,
  • dokonać szczegółowej analizy stanu systemu informatycznego w celu potwierdzenia lub wykluczenia faktu naruszenia zasad ochrony danych osobowych,
  • przywrócenia normalnego działania systemu, przy czym, jeżeli nastąpiło uszkodzenie bazy danych, odtworzenia jej z ostatniej kopii awaryjnej z zachowaniem wszelkich środków ostrożności mających na celu uniknięcie ponownego uzyskania dostępu przez osobę nieupoważnioną, tą samą drogą.

 

  1. Po przywróceniu normalnego stanu systemu informatycznego należy przeprowadzić szczegółową analizę, w celu określenia przyczyn naruszenia ochrony danych osobowych lub podejrzenia takiego naruszenia, oraz przedsięwziąć kroki mające na celu wyeliminowanie podobnych zdarzeń w przyszłości.

 

  1. W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw i wolności osób fizycznych.
  2. W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw i wolności osób fizycznych, Administrator zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – jeżeli to wykonalne, nie później niż w terminie siedemdziesięciu dwóch (72) godzin po stwierdzeniu naruszenia. Wzór zgłoszenia określa załącznik Nr 3 do niniejszej Polityki.

 

  1. Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o incydencie także osobę, której dane dotyczą.

 

  • Postanowienia końcowe

 

  1. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu potraktowane będą jako ciężkie naruszenie obowiązków pracowniczych lub naruszenie zasad współpracy.

 

  1. Jeżeli skutkiem działania uczestnika procesu przetwarzania danych osobowych jest ujawnienie informacji osobie nieupoważnionej, sprawca może być pociągnięty do odpowiedzialności karnej określonej przepisami karnymi zawartymi w przepisach krajowych regulujących ochronę danych osobowych.

 

  1. Za niedopełnienie obowiązków wynikających z niniejszego dokumentu pracownik ponosi odpowiedzialność na podstawie Kodeksu pracy, Przepisów o ochronie danych osobowych oraz Kodeksu karnego w odniesieniu do danych osobowych objętych tajemnicą zawodową.

 

  1. Integralną część niniejszej Polityki bezpieczeństwa stanowią następujące Załączniki:

 

Załącznik Nr 1

 

Wzór upoważnienia do przetwarzania danych osobowych

 

Załącznik Nr 2

 

Wzór oświadczenia i zobowiązania osoby przetwarzającej dane osobowe

 

Załącznik Nr 3

 

Wzór zgłoszenia naruszenia zasad ochrony danych do organu nadzoru

Załącznik Nr 1 – Wzór upoważnienia do przetwarzania danych osobowych

 

Warszawa, dnia r.

 

UPOWAŻNIENIE DO PRZETWRAZANIA DANYCH OSOBOWYCH

 

Działając w imieniu spółki Values Consulting Spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie niniejszym upoważniam:

 

Panią/Pana ……………………………………………………………………………………………………………….

 

Stanowisko ……………………………………………………………………………………………………………….

 

do przetwarzania danych osobowych w Values Consulting Spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie w następującym zakresie:

 

  • bez ograniczeń, podgląd danych, wprowadzania danych, opracowywanie danych, zmienianie danych, usuwanie danych, na komputerach przenośnych, na komputerach stacjonarnych.

 

  • Okres upoważnienia:

 

  • na okres zatrudnienia/współpracy z ………………………………………… do dnia …………………………. włącznie/ bezterminowo *

 

  • Zakres upoważnienia:

 

  • dane przetwarzane na nośnikach papierowych *,

 

  • dane przetwarzane elektronicznie *,

 

  • dane osobowe obejmujące:

 

  1. …………………………………………………………………………………………..

 

  1. …………………………………………………………………………………………..

 

  1. …………………………………………………………………………………………..

 

  1. …………………………………………………………………………………………..

 

(podpis Administratora Danych)

 

  • niepotrzebne skreślić

Załącznik Nr 2 – Wzór oświadczenia i zobowiązania osoby przetwarzającej dane osobowe

 

……………………., dnia r.

 

…………………………………………………

imię i nazwisko osoby upoważnionej

 

…………………………………………………

stanowisko

 

…………………………………………………

miejsce pracy

 

O Ś W I A D C Z N I E

 

Oświadczam, że – w związku z wykonywaniem przeze mnie prac na rzecz Values Consulting Spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie i upoważnieniem mnie do Przetwarzania danych osobowych

– zostałem/łam zapoznany/a ze stosowanymi przepisami i standardami ochrony danych osobowych, zobowiązuję się do przestrzegania:

  • Przepisów o ochronie danych osobowych, w tym Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE,
  • Polityki Bezpieczeństwa informacji w Values Consulting Spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie.

 

W związku z powyższym zobowiązuję się do:

 

  1. zapewnienia ochrony danych osobowych przetwarzanych u administratora, a w szczególności zapewnienia ich bezpieczeństwa przed udostępnieniem osobom trzecim i nieuprawnionym, zabieraniem, uszkodzeniem oraz nieuzasadnioną modyfikacją lub zniszczeniem,
  2. zachowania w tajemnicy, także po zaprzestaniu wykonywania prac, wszelkich informacji dotyczących funkcjonowania systemów służących do przetwarzania danych osobowych,
  3. natychmiastowego zgłaszania do Administratora Danych zaobserwowania próby lub faktu naruszenia zabezpieczenia fizycznego pomieszczenia, bezpieczeństwa Danych osobowych gromadzonych w zbiorach papierowych, a także w formie elektronicznej.

 

podpis pracownika/współpracownika

Załącznik Nr 3 – Wzór zgłoszenia naruszenia zasad ochrony danych do organu nadzoru

 

………………., dnia r.

 

ZGŁOSZENIE INCYDENTU NARUSZENIA OCHRONY DANYCH OSOBOWYCH

 

Działając na podstawie art. 33 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), niniejszym zgłaszam zajście incydenty naruszenia ochrony danych osobowych:

 

Dane Administratora Danych Osobowych
Miejsce i dzień naruszenia
Kategoria i przybliżona liczba osób, których dane dotyczą
Kategorie i przybliżona liczba wpisów danych osobowych, których dotyczy naruszenie
Opis charakteru naruszenia ochrony danych
Możliwe konsekwencje naruszenia ochrony danych
Środki zastosowane w celu zminimalizowania ewentualnych negatywnych skutków naruszenia ochrony danych

 

podpis osoby uprawnionej do reprezentowania Administratora Danych