POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
W JOGABO BOGUSŁAWA MATULANIEC, Ul. TORUŃSKA 18/8, 80-747 GDAŃSK
wg ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679

z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych
i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
(ogólne rozporządzenie o ochronie danych)

Opracowała Administratorka Danych Osobowych w JogaBo: Bogusława Matulaniec
Data i miejsce sporządzenia dokumentu: 25.05.2018

  1. INFORMACJE OGÓLNE
    1. Głównym celem wprowadzenia Polityki Bezpieczeństwa jest zapewnienie zgodności działania i procedur w firmie JogaBo  z przepisami o ochronie danych osobowych oraz jej rozporządzeniami wykonawczymi.
    2. Dokument Polityki Bezpieczeństwa opisuje zasady i procedury przetwarzania danych osobowych i ich zabezpieczenia przed nieuprawnionym dostępem.
  2. MIEJSCE PRZETWARZANIA, ZAKRES ORAZ STRUKTURA DANYCH OBJĘTYCH POLITYKĄ BEZPIECZEŃSTWA
    1. Dane osobowe gromadzone przez firmę są przechowywane i przetwarzane w lokalizacjach:
      • 01-986 Warszawa, ul. Wazów 9
    2. Zbiory danych osobowych
      • dane klientów zajęć jogi (rejestr klientów – joga załącznik nr 1A)
      • dane kontrahentów (rejestr kontrahentów – załącznik nr 1C)
    3. Powyższe załączniki zawierają strukturę danych każdego ze zbiorów, miejsce ich przechowywania oraz sposoby zabezpieczenia.
  3. OSOBY ODPOWIEDZIALNE ZA OCHRONĘ DANYCH OSOBOWYCH
    1. Administratorem Danych Osobowych (ADO) w firmie JogaBo  jest jej właściciel Bogusława Matulaniec.
    2. ADO odpowiedzialny jest za:
      • nadzorowanie procesów przepływu i gromadzenia danych osobowych,
      • nadzorowanie procedur zabezpieczania danych osobowych,
      • nadzorowanie procedur usuwania danych osobowych,
      • szkolenie i udzielanie upoważnień pracownikom firmy,
      • nadzorowanie procedur powierzenia dostępu i przetwarzania danych osobowych podmiotom trzecim.
  4. UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH
    1. Do przetwarzania danych osobowych w JogaBo  upoważnieni są pracownicy zatrudnieni w firmie którzy:
      • przeszli szkolenie w zakresie procedur ochrony danych osobowych w firmie prowadzone przez ADO,
      • uzyskali upoważnienie do przetwarzania danych od ADO.
    2. Aktualny wykaz pracowników oraz zakres ich uprawnień zawiera załącznik nr 2.
    3. Aktualne oświadczenia o ukończeniu szkolenia oraz upoważnienia do przetwarzania danych przechowywane są razem z Polityką Bezpieczeństwa w lokalu JogaBo , 01-986 Warszawa, ul. Wazów 9
  5. UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
    • ADO może powierzyć dostęp do danych osobowych oraz ich przetwarzania podmiotom trzecim.
    • W takim wypadku ADO podpisuje umowę powierzenia.
    • Aktualny wykaz podmiotów z którymi ADO zawarł umowę powierzenia zawiera załącznik nr 3.
    • Aktualne umowy powierzenia przechowywane są razem z Polityką Bezpieczeństwa lokalu przy ul. Wazów 9, 01-986 Warszawa
  6. OGÓLNE ZASADY BEZPIECZEŃSTWA OBOWIĄZUJĄCE PRZY PRZETWARZANIU DANYCH OSOBOWYCH
    • Za bezpieczeństwo przetwarzania danych osobowych w określonym zbiorze, indywidualną odpowiedzialność ponosi przede wszystkim każdy pracownik mający dostęp do danych oraz osoby współpracujące, którym powierzono przetwarzanie danych w ramach stosownych umów.
    • Pracownicy mający dostęp do danych osobowych oraz osoby współpracujące, którym powierzono przetwarzanie danych w ramach stosownych umów nie mogą ich ujawniać zarówno w miejscu pracy, jak i poza nim, w sposób wykraczający poza czynności związane z ich przetwarzaniem w zakresie obowiązków służbowych, w ramach udzielonego upoważnienia do przetwarzania danych.
    • W miejscu przetwarzania danych osobowych utrwalonych w formie papierowej pracownicy zobowiązani są do stosowania zasady tzw. „czystego biurka”. Zasada ta oznacza nie pozostawianie materiałów zawierających dane osobowe w miejscu umożliwiającym fizyczny dostęp do nich osobom nieuprawnionym. Za realizację powyższej zasady odpowiedzialny jest na swym stanowisku każdy z pracowników oraz osób współpracujących którym powierzono przetwarzanie danych w ramach stosownych umów.
    • Niszczenie brudnopisów, błędnych lub zbędnych kopii materiałów zawierających dane osobowe musi odbywać się w sposób uniemożliwiający odczytanie zawartej w nich treści, np. z wykorzystaniem niszczarek.
    • Niedopuszczalne jest wynoszenie materiałów zawierających dane osobowe poza obszar ich przetwarzania bez związku z wykonywaniem czynności służbowych. Za bezpieczeństwo i zwrot materiałów zawierających dane osobowe odpowiada w tym przypadku osoba dokonująca ich wyniesienia.
    • Pracownicy oraz osoby współpracujące, którym powierzono przetwarzanie danych w ramach stosownych umów zobowiązani są do zamykania na klucz wszelkich pomieszczeń lub budynków wchodzących w skład obszarów, w których przetwarzane są dane osobowe w czasie ich chwilowej nieobecności w pomieszczeniu pracy, jak i po jej zakończeniu, a klucze nie mogą być pozostawione w zamku w drzwiach. Pracownicy oraz osoby współpracujące, którym powierzono przetwarzanie danych w ramach stosownych umów zobowiązani są do dołożenia należytej staranności w celu zabezpieczenia posiadanych kluczy przed nieuprawnionym dostępem.
  7. KONTROLA PRZETWARZANIA I STANU ZABEZPIECZENIA DANYCH OSOBOWYCH
    1. Nadzór i kontrolę procesów przetwarzania danych i stanu zabezpieczenia danych osobowych sprawuje ADO Bogusława Matulaniec.
    2. Raz do roku wykonuje on wewnętrzny audyt, którego wyniki przechowywane są wraz z Polityką Bezpieczeństwa lokalu przy ul. Wazów 9, 01-986 Warszawa
    3. W wyniku wykrycia uchybień ADO zobowiązany jest do wdrożenia procedur naprawczych i ponowienia szkolenia pracowników i weryfikacji umów powierzenia.
  8. STRUKTURA PRZEPŁYWU DANYCH OSOBOWYCH KLIENTÓW W JOGABO
    1. Typy działalności gospodarczejJogaBo  realizuje jeden typ działalności gospodarczej, dla realizacji którego gromadzi i przetwarza dane osobowe:
      • usługi z zakresu organizacji zajęć rekreacji ruchowej (zajęć jogi) opisane w pkt. 8.2
    2. Organizacja zajęć jogi
      1. Rodzaj gromadzonych danych klientówW ramach usług organizacji zajęć rekreacji ruchowej (zajęcia jogi) JogaBo  gromadzi poniższe dane klienta:
        • imię i nazwisko,
        • adres e-mail,
        • numer telefonu
        • adres zamieszkania (opcjonalnie do wystawienia faktury)
      2. Forma pozyskania danych klientów oraz zgody klientów
        1. JogaBo  gromadzi dane klientów w dwojaki sposób:
          • bezpośrednio w lokalu JogaBo  klienci podają dane w formularzu rejestracyjnym w formie papierowej,
          • za pośrednictwem formularza rezerwacyjnego na stronie internetowej www.jogaBo.pl
        2. Osoby podające powyższe dane wyrażają zgodę na przetwarzanie danych w związku z realizacją usługi.
        3. Osoby podające powyższe dane wyrażają zgodę na otrzymywanie treści informacyjnych drogą mailową lub telefoniczną. Osoby podające powyższe dane potwierdzają, iż zapoznały się z regulaminem zajęć w JogaBo
      3. Przetwarzanie i archiwizacja danych klientów gromadzonych w formie papierowej
        1. Pracownik odbierający od klienta wypełniony formularz w formie papierowej jest zobowiązany do niezwłocznego schowania go do szuflady znajdującej się na recepcji lokalu przy ul. Wazów 9, 01-986 Warszawa
        2. Dane klientów wymienione w pkt. 8.2.1. wprowadzane są do excelowej bazy danych oraz w programie pocztowym na komputerze ADO.
        3. Dane pozyskane w formie papierowej są przechowywane w JogaBo , ul. Wazów 9, 01-986 Warszawa w szufladzie przez okres 1 miesiąca kalendarzowego i są wpisywane do bazy mailingowej.W tym momencie usuwane są trwale z formularza wszelkie dane kontaktowe:
          • adres e-mail,
          • numer telefonu
          • adres zamieszkania

          Pozostaje tylko imię i nazwisko oraz potwierdzenie zapoznania się z regulaminem.

      4. Przetwarzanie i archiwizacja danych klientów gromadzonych przez formularz rezerwacyjny na stronie internetowej www.jogaBo.pl
        1. Dane klientów gromadzone z pomocą formularza rezerwacyjnego na stronie internetowej www.jogaBo.pl przetwarzane i archiwizowane są w excelowej bazie klientów oraz w programie pocztowym na komputerze ADO.
        2. Dane przechowywane w komputerze ADO znajdują się w lokalizacji Zmiennej.
  9. ŚRODKI TECHNICZNE NIEZBĘDNE DLA ZAPEWNIENIA POUFNOŚCI I BEZPIECZEŃSTWA DANYCH OSOBOWYCH
    1. Lokal przy ul. Wazów 9, 01-986 Warszawa
      1. W celu zapewnienia poufności i bezpieczeństwa gromadzonych i przetwarzanych danych osobowych w powyższym lokalu:
        • formularze papierowe z zapisanymi danymi przechowywane są w szufladzie
        • dostęp do systemu komputerowego obsługującego system sprzedażowy zabezpieczony jest hasłem którego wpisanie konieczne jest po 1 min bezczynności.
      2. Dane pracowników oraz dane kontrahentów w tym umowy powierzenia i oświadczenia przechowywane są w szufladzie.
    2. Lokal biura księgowego obsługującego JogaBo , ul. Młynarska 31, 01-175 Warszawa
    3. Komputer ADOW celu zapewnienia poufności i bezpieczeństwa gromadzonych i przetwarzanych danych osobowych na komputerze ADO: hasło dostępu
      • dostęp do systemu jest zabezpieczony hasłem,
      • system komputera jest chroniony przez program antywirusowy.
    4. Telefon służbowy HuaweiTelefon służbowy Huawei w którym znajdują się numery kontaktowe do klientów oraz kontrahentów JogaBo  zabezpieczone są hasłami.
    5. Serwery zewnętrzne
      1. Zbiory danych przechowywane na serwerach zewnętrznych w systemach:
        • strony internetowej www.jogaBo.pl

        zabezpieczone są hasłami.

      2. Dostawcy usług nie mają dostępu do baz danych.
  10. USUWANIE DANYCH OSOBOWYCH
    1. W przypadku zgłoszenia przez klienta żądania usunięcia danych osobowych ADO dokonuje przeglądu baz i archiwów w celu identyfikacji obecności danych klienta:
      • formularzy rejestracyjnych
      • freshmail
    2. ADO usuwa dane klienta z baz i archiwów wymienionych w pkt. 10. 1.
    3. W rejestrach firmy pozostaje tylko papierowa forma oświadczenia klienta o zapoznaniu się z regulaminem zajęć jogi zawierające imię nazwisko oraz podpis. Oświadczenie to JogaBo  przechowuje na wypadek roszczeń odszkodowawczych ze strony klienta. Dane te nie są w jakikolwiek sposób przetwarzane.
  11. INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH
    1. Każda osoba, która poweźmie wiadomość w zakresie naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe bądź posiada informacje mogące mieć wpływ na bezpieczeństwo danych osobowych, jest zobowiązana fakt ten niezwłocznie zgłosić ADO – Bogusława Matulaniec.
    2. Po otrzymaniu zgłoszenia naruszenia bezpieczeństwa danych ADO jest zobowiązany:
      • zapoznać się z zaistniałą sytuacją i dokonać wyboru metod dalszego postępowania
      • wysłuchać relacji osoby zgłaszającej z zaistniałego naruszenia, jak również relacji każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem,
      • niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków, a następnie ustalić przyczyny, lub sprawców zaistniałego zdarzenia, jeżeli jest to możliwe,
      • udokumentować zaistniałe naruszenie.
    3. ADO dokumentuje zaistniały przypadek naruszenia oraz sporządza raport – „Rejestr incydentów” (wzór w załączniku nr 4). Raport przechowywany jest wraz z Polityką Bezpieczeństwa lokalu przy ul. Wazów 9, 01-986 Warszawa.
    4. ADO podejmuje decyzję o zgłoszeniu incydentu do GIODO.
    5. Po wyczerpaniu niezbędnych środków doraźnych po zaistniałym naruszeniu, ADO zasięga niezbędnych opinii i proponuje postępowanie naprawcze (w tym ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń) i zarządza termin wznowienia przetwarzania danych.
  12. ZAWIADAMIANIE OSOBY, KTÓREJ DANE DOTYCZĄ, O NARUSZENIU OCHRONY DANYCH OSOBOWYCH
    1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator (ADO) zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
    2. Zawiadomienie, jasnym i prostym językiem powinno opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej niżej wymienione informacje;
      • imię i nazwisko oraz dane kontaktowe lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
      • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych,
      • opisywać środki zastosowane lub proponowane przez ADO w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
    3. Zawiadomienie nie jest wymagane w następujących przypadkach:
      1. ADO wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych,
      2. Administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w pkt. 12.3.1,
      3. Wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, wymienionych wyżej.
    4. Wzór zawiadomienia stanowi załącznik nr 5.
  13. OBOWIĄZEK INFORMACYJNY – POLITYKA PRYWATNOŚCI
    1. ADO zamieszcza na stronie internetowej JogaBo  ogólnodostępny dokument „Polityka prywatności” określający zasady przetwarzania i ochrony danych, które przekazują osoby korzystające ze strony www.jogaBo.pl.
    2. Dokument „Polityka prywatności” stanowi załącznik nr 6.