• Nie Znaleziono Wyników

Polityka ochrony danych osobowych

N/A
N/A
Info
Pobierz
Protected

Academic year: 2022

Share "Polityka ochrony danych osobowych"

Copied!
12
0
0

Ładowanie.... (Zobacz pełny tekst teraz)

Pobierz teraz ( 12 Stron )

Pełen tekst

(1)

Ver. 1.0

Polityka ochrony danych osobowych

Dietetyczny absurd Stefania Skorupa

Poznań 2020

(2)

2

Spis treści

I. Wstęp ... 3

II. Kwestie prawne ... 3

1. Podstawy prawne ... 3

2. Definicje ... 3

3. Zasady przetwarzania danych osobowych ... 4

4. Rodzaje i kategorie przetwarzanych danych osobowych ... 4

III. Administrowanie danymi osobowymi ... 4

1. Wstęp ... 4

2. Obowiązki administratora ... 5

3. Naruszenie ochrony danych osobowych ... 5

4. Powierzanie przetwarzania danych osobowych ... 5

IV. Retencja danych osobowych ... 6

V. Polityka realizacji praw osób, których dane dotyczą ... 6

VI. Środki organizacyjne i techniczne ... 6

1. Organizacyjne środki ochrony danych osobowych ... 6

2. Techniczne środki ochrony danych osobowych ... 7

VII. Załączniki ... 8

1. Upoważnienie do przetwarzania danych osobowych ... 8

2. Rejestr upoważnień ... 10

3. Rejestr czynności przetwarzania ... 11

4. Zgoda Klienta na przetwarzanie danych osobowych ... 12

(3)

3

I. Wstęp

Niniejsza Polityka ochrony danych osobowych (dalej zwana „Polityką”) stanowi kompletny zbiór stosowanych przez Stefanię Skorupę prowadzącą działalność gospodarczą pod firmą „Dietetyczny absurd” Stefania Skorupa, NIP 7812014496, REGON 387445268 (dalej jako „Dietetyczny Absurd”) środków technicznych i organizacyjnych mających na celu zabezpieczyć dane osobowe przetwarzane przez Dietetyczny Absurd.

II. Kwestie prawne

1. Podstawy prawne

Przetwarzanie danych osobowych w Dietetyczny Absurd odbywa się z najwyższą starannością i poszanowaniem obowiązujących przepisów prawa, w szczególności z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej jako „RODO” – oraz ustawą o ochronie danych osobowych z dnia 10 maja 2018 roku.

2. Definicje

Danymi osobowymi są wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Danymi osobowymi są na przykład imię i nazwisko, numer identyfikacyjny (PESEL, NIP), dane o lokalizacji, identyfikator internetowy.

Danymi osobowymi szczególnej kategorii są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Przetwarzanie danych osobowych oznacza dowolną operację wykonywaną na danych osobowych w sposób zautomatyzowany (np. przy użyciu oprogramowania komputerowego) lub niezautomatyzowany. Przetwarzaniem jest na przykład zbieranie,

(4)

4

utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie, przesłanie, rozpowszechnianie, dopasowanie, łączenie, usuwanie, ograniczenie, niszczenie.

3. Zasady przetwarzania danych osobowych

Przetwarzanie danych osobowych odbywa się zgodnie z prawem, rzetelnie i w sposób przejrzysty. Dane są zbierane i przetwarzane w konkretnym celu dopuszczonym przez prawo, wyłącznie w zakresie ograniczonym do celu przetwarzania. Dietetyczny Absurd nie zbiera i nie przetwarza danych osobowych ponad konieczne minimum. Dane osobowe są monitorowane pod względem prawidłowości i aktualności. Przechowywanie danych osobowych odbywa się przez okres nie dłuższy, niż jest to niezbędne do celu przetwarzania. Po upływie tego okresu, dane są kasowane bądź animizowane.

Przetwarzanie danych osobowych odbywa się w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych i organizacyjnych. Wprowadzając nowe rozwiązania techniczne, komputerowe i inne, projektuje się je z domyślną dbałością o ochronę danych osobowych.

Poszanowanie powyższych zasad jest wykazywane poprzez wypełnianie dokumentacji wynikającej z niniejszej Polityki oraz przestrzeganie jej postanowień w toku funkcjonowania Dietetyczny Absurd przez Stefanię Skorupę oraz wszystkie osoby współpracujące na jakiejkolwiek podstawie prawnej.

4. Rodzaje i kategorie przetwarzanych danych osobowych

Dietetyczny Absurd przetwarza dane osobowe „zwykłe” i szczególnej kategorii – dotyczące zdrowia.

III. Administrowanie danymi osobowymi

1. Wstęp

Dietetyczny Absurd jest administratorem danych osobowych Klientów oraz innych osób, których dane dotyczą. Administrowanie danymi osobowymi oznacza, że Dietetyczny Absurd samodzielnie ustala cele i sposoby przetwarzania danych osobowych.

Administrator ponosi pełną odpowiedzialność za przetwarzanie danych osobowych przed organami powołanymi do dbałości o przetwarzanie danych osobowych, a także względem osób, których dane dotyczą.

(5)

5

2. Obowiązki administratora

Administrator ma obowiązek przestrzegania zasad, o których mowa w pkt. II.3 niniejszej Polityki, oraz sporządzenia odpowiedniej dokumentacji i wdrożenia wynikających z niej procedur działania. Administrator zapewnia bezpieczeństwo przetwarzania (w tym – przechowywania) danych osobowych adekwatne do ryzyka naruszenia praw lub wolności osób fizycznych, mając na względzie stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania.

Administrator przetwarza dane osobowe wyłącznie na podstawie wskazanej w przepisach prawa (art. 6 lub 9 RODO) i wyłącznie w celu, w którym zostały zebrane.

Przetwarzanie danych osobowych dotyczących stanu zdrowia wymaga odebrania zgody od osoby, której dane dotyczą. Wzór zgody stanowi Załącznik nr 4.

Administrator przetwarza dane osobowe osobiście (Stefania Skorupa) oraz przez osoby współpracujące na podstawie dowolnego stosunku prawnego. W ramach współpracy z podmiotami trzecimi, administrator upoważnia do przetwarzania danych lub zawiera umowę powierzenia przetwarzania danych osobowych i wydaje polecenia ich przetwarzania.

Administrator upoważnia do przetwarzania danych osobowych wydając stosowne upoważnienie zgodnie z treścią Załącznika nr 1. Administrator prowadzi rejestr upoważnień zgodnie z Załącznikiem nr 2.

3. Naruszenie ochrony danych osobowych

Naruszenie ochrony danych osobowych następuje w sytuacji, gdy w wyniku naruszenia zasad bezpieczeństwa przetwarzania danych osobowych prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.

Uzasadnione przypuszczenie wystąpienia naruszenia ochrony danych osobowych jest weryfikowane przez administratora danych. W przypadku stwierdzenia naruszenia ochrony danych osobowych, administrator zgłasza je Prezesowi Urzędu Ochrony Danych Osobowych, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.

Administrator dokumentuje wszelkie fakty istotne dla wyjaśnienia przebiegu naruszenia.

4. Powierzanie przetwarzania danych osobowych

Każdorazowe przetwarzanie danych osobowych w imieniu administratora przez

(6)

6

podmiot trzeci stanowi powierzenie przetwarzania danych osobowych. Powierzenie przetwarzania danych osobowych odbywa się na podstawie umowy.

IV. Retencja danych osobowych

Dane osobowe przetwarzane przez Dietetyczny Absurd podlegają anonimizacji lub usunięciu po zakończeniu ich przetwarzania w celu, w którym zostały zebrane.

V. Polityka realizacji praw osób, których dane dotyczą

Dietetyczny Absurd realizuje prawa osób, których dane dotyczą, to jest udziela dostępu do danych osobowych tych osób, umożliwia im sprostowanie lub usunięcie danych, a także ogranicza przetwarzanie danych osobowych na ich żądanie, respektuje sprzeciw wobec przetwarzania, a także realizuje prawo do przeniesienia danych osobowych.

Dietetyczny Absurd podaje osobom, których dane dotyczą, informacje na temat przetwarzania danych osobowych zgodnie z przepisami art. 13 i 14 RODO (tzw. klauzle informacyjne).

VI. Środki organizacyjne i techniczne

Dietetyczny Absurd stosuje środki organizacyjne i techniczne gwarantujące bezpieczeństwo przetwarzania danych osobowych adekwatnie do poziomu ryzyka naruszenia ochrony danych osobowych.

1. Organizacyjne środki ochrony danych osobowych

Dietetyczny Absurd przetwarza dane osobowe z zachowaniem następujących zabezpieczeń organizacyjnych:

do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienie,

prowadzona jest ewidencja osób upoważnionych do przetwarzania danych,

została opracowana i wdrożona polityka ochrony danych osobowych (niniejsza Polityka),

osoby uczestniczące w przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych (poprzez niniejszą Politykę),

przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego,

osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy,

(7)

7

polityka czystego ekranu,

polityka kluczy.

2. Techniczne środki ochrony danych osobowych

Przy przetwarzaniu danych, stosowane są następujące zabezpieczenia techniczne:

zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi),

dane mogą być przechowywane w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej,

pomieszczenia, w których przetwarzane są dane są zabezpieczone przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy,

dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z

wykorzystaniem identyfikatora użytkownika oraz hasła,

folder, w którym zapisane są pliki zawierające dane osobowe zabezpieczony jest hasłem.

(8)

8

VII. Załączniki

1. Upoważnienie do przetwarzania danych osobowych

Poznań, dnia ………

Upoważnienie do przetwarzania danych osobowych

Na podstawie przepisu art. 29 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1) – dalej RODO, niniejszym upoważniam:

...

(imię i nazwisko)

do przetwarzania danych osobowych w zakresie pełnionych obowiązków służbowych na zajmowanym stanowisku, tj. uzyskuje Pani/Pan upoważnienie do przetwarzania danych osobowych w zakresie:

...

(nazwa zbioru danych)

Upoważnienie obejmuje dane osobowe przetwarzane w systemie informatycznym oraz w formie papierowej.

Upoważnienie obejmuje przetwarzanie danych osobowych w zakresie wszelkich operacji koniecznych do wykonywania obowiązków, w szczególności do podglądu, wprowadzania oraz edycji danych.

Równocześnie zobowiązuję Pana/Panią do przestrzegania przepisów dotyczących ochrony danych osobowych określonych przepisami RODO, ustawy z dnia … o ochronie danych osobowych oraz zasadami przetwarzania danych osobowych wdrożonymi przez administratora danych (w tym z Polityką ochrony danych osobowych).

………. ………..

Administrator danych Osoba upoważniona

Stefania Skorupa

(9)

9

OŚWIADCZENIE

Oświadczam, iż zapoznałem/am się z przepisami dotyczącymi ochrony danych osobowych oraz wdrożonymi przez administratora danych dokumentami, w szczególności Polityką ochrony danych osobowych.

Oświadczam ponadto, iż zobowiązuję się do:

a. zachowania w tajemnicy danych osobowych, do których uzyskałem dostęp w związku ze stosunkiem pracy lub wykonywaniem zobowiązań

umownych u administratora danych,

b. niewykorzystywania danych osobowych do celów innych, niż te co do których zostały zgromadzone przez administratora danych,

c. zachowania w tajemnicy metod i zasad zabezpieczania danych osobowych u administratora danych,

d. korzystania wyłącznie z oprogramowania i sprzętu dostarczonego przez administratora danych,

e. należytej dbałości o oprogramowanie i sprzęt administratora danych.

Oświadczam, iż w przypadku niestosowania się do powyższych zobowiązań, jestem świadomy/a odpowiedzialności pracowniczej lub odpowiedzialności wynikającej ze zobowiązań umownych, a także odpowiedzialności karnej w przypadku naruszenia przepisów RODO lub ustawy o ochronie danych osobowych.

………..

Osoba upoważniona

(10)

10

2. Rejestr upoważnień

Lp. Imię i nazwisko Zbiór danych Data nadania upoważnienia

Data wygaśnięcia

upoważnienia

(11)

11

3. Rejestr czynności przetwarzania

Rejestr czynności przetwarzania prowadzony jest zgodnie z załącznikiem w formacie xls.

(12)

12

4. Zgoda Klienta na przetwarzanie danych osobowych

……….., dnia ……… r.

Oświadczenie o wyrażaniu zgody na przetwarzanie danych osobowych w tym danych wrażliwych

……….

(imię i nazwisko)

Na podstawie art. 9 ust. 2 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych), wyrażam zgodę na przetwarzanie moich danych osobowych, w tym danych o moim stanie zdrowia, przez Administratora – „Dietetyczny absurd” Stefanię Skorupę w celu realizacji umowy o świadczeniu usług dietetycznych – sporządzenia diety.

………

(podpis)

Cytaty

Pobierz teraz ( PDF - 12 Stron - 107.56 KB )

Powiązane dokumenty

POLITYKA OCHRONY DANYCH OSOBOWYCH IMPEX-READY

1) Jeżeli zainteresowany skorzysta z prawa dostępu do danych, to udziela się mu jej zgodnie z art. Jeśli podmiot danych tego zażąda, a jest to możliwe, przekazuje się

POLITYKA OCHRONY DANYCH OSOBOWYCH POLITYKA OCHRONY DANYCH OSOBOWYCH

Dane osobowe przechowywane w wersji papierowej lub elektronicznej (np. dyski zewnętrzne, pendrive, płyta CD albo DVD) po zakończeniu pracy są przechowywane w

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Powierzenie przetwarzania danych osobowych podmiotowi przetwarzającemu odbywa się zgodnie z art. 22 Rozporządzenia na podstawie umowy zawartej na piśmie pomiędzy AD a

POLITYKA PRZETWARZANIA DANYCH OSOBOWYCH

prawo sprzeciwu wobec innych celów przetwarzania danych – osoba, której dane dotyczą, może w każdym momencie sprzeciwić się przetwarzaniu danych osobowych, które

Polityka Bezpieczeństwa Danych Osobowych

Każda osoba fizyczna, której dane przetwarzane są u Administratora, ma prawo zwrócić się z wnioskiem o udzielenie informacji związanych z przetwarzaniem danych

Polityka przetwarzania danych osobowych

d) gdy zapewnione są odpowiednie zabezpieczenia poprzez zawarcie w umowie z odbiorcą danych standardowych klauzul ochrony danych przyjętych przez Komisję (UE), i pod warunkiem, że

POLITYKA OCHRONY DANYCH OSOBOWYCH

Użytkownik nie może bez zgody Administratora korzystać z prywatnego sprzętu elektronicznego (np. laptopów, telefonów, aparatów fotograficznych, nośników typu

Polityka ochrony danych osobowych

13) prowadzenie profilaktyki antywirusowej.. Podstawowym obszarem przetwarzania danych osobowych jest siedziba Administratora znajdująca się pod następującym adresem: Al.