POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
W JOGABO BOGUSŁAWA MATULANIEC, Ul. TORUŃSKA 18/8, 80-747 GDAŃSK
wg ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679
z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych
i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
(ogólne rozporządzenie o ochronie danych)
Opracowała Administratorka Danych Osobowych w JogaBo: Bogusława Matulaniec
Data i miejsce sporządzenia dokumentu: 25.05.2018
- INFORMACJE OGÓLNE
- Głównym celem wprowadzenia Polityki Bezpieczeństwa jest zapewnienie zgodności działania i procedur w firmie JogaBo z przepisami o ochronie danych osobowych oraz jej rozporządzeniami wykonawczymi.
- Dokument Polityki Bezpieczeństwa opisuje zasady i procedury przetwarzania danych osobowych i ich zabezpieczenia przed nieuprawnionym dostępem.
- MIEJSCE PRZETWARZANIA, ZAKRES ORAZ STRUKTURA DANYCH OBJĘTYCH POLITYKĄ BEZPIECZEŃSTWA
- Dane osobowe gromadzone przez firmę są przechowywane i przetwarzane w lokalizacjach:
- 01-986 Warszawa, ul. Wazów 9
- Zbiory danych osobowych
- dane klientów zajęć jogi (rejestr klientów – joga załącznik nr 1A)
- dane kontrahentów (rejestr kontrahentów – załącznik nr 1C)
- Powyższe załączniki zawierają strukturę danych każdego ze zbiorów, miejsce ich przechowywania oraz sposoby zabezpieczenia.
- Dane osobowe gromadzone przez firmę są przechowywane i przetwarzane w lokalizacjach:
- OSOBY ODPOWIEDZIALNE ZA OCHRONĘ DANYCH OSOBOWYCH
- Administratorem Danych Osobowych (ADO) w firmie JogaBo jest jej właściciel Bogusława Matulaniec.
- ADO odpowiedzialny jest za:
- nadzorowanie procesów przepływu i gromadzenia danych osobowych,
- nadzorowanie procedur zabezpieczania danych osobowych,
- nadzorowanie procedur usuwania danych osobowych,
- szkolenie i udzielanie upoważnień pracownikom firmy,
- nadzorowanie procedur powierzenia dostępu i przetwarzania danych osobowych podmiotom trzecim.
- UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH
- Do przetwarzania danych osobowych w JogaBo upoważnieni są pracownicy zatrudnieni w firmie którzy:
- przeszli szkolenie w zakresie procedur ochrony danych osobowych w firmie prowadzone przez ADO,
- uzyskali upoważnienie do przetwarzania danych od ADO.
- Aktualny wykaz pracowników oraz zakres ich uprawnień zawiera załącznik nr 2.
- Aktualne oświadczenia o ukończeniu szkolenia oraz upoważnienia do przetwarzania danych przechowywane są razem z Polityką Bezpieczeństwa w lokalu JogaBo , 01-986 Warszawa, ul. Wazów 9
- Do przetwarzania danych osobowych w JogaBo upoważnieni są pracownicy zatrudnieni w firmie którzy:
- UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
- ADO może powierzyć dostęp do danych osobowych oraz ich przetwarzania podmiotom trzecim.
- W takim wypadku ADO podpisuje umowę powierzenia.
- Aktualny wykaz podmiotów z którymi ADO zawarł umowę powierzenia zawiera załącznik nr 3.
- Aktualne umowy powierzenia przechowywane są razem z Polityką Bezpieczeństwa lokalu przy ul. Wazów 9, 01-986 Warszawa
- OGÓLNE ZASADY BEZPIECZEŃSTWA OBOWIĄZUJĄCE PRZY PRZETWARZANIU DANYCH OSOBOWYCH
- Za bezpieczeństwo przetwarzania danych osobowych w określonym zbiorze, indywidualną odpowiedzialność ponosi przede wszystkim każdy pracownik mający dostęp do danych oraz osoby współpracujące, którym powierzono przetwarzanie danych w ramach stosownych umów.
- Pracownicy mający dostęp do danych osobowych oraz osoby współpracujące, którym powierzono przetwarzanie danych w ramach stosownych umów nie mogą ich ujawniać zarówno w miejscu pracy, jak i poza nim, w sposób wykraczający poza czynności związane z ich przetwarzaniem w zakresie obowiązków służbowych, w ramach udzielonego upoważnienia do przetwarzania danych.
- W miejscu przetwarzania danych osobowych utrwalonych w formie papierowej pracownicy zobowiązani są do stosowania zasady tzw. „czystego biurka”. Zasada ta oznacza nie pozostawianie materiałów zawierających dane osobowe w miejscu umożliwiającym fizyczny dostęp do nich osobom nieuprawnionym. Za realizację powyższej zasady odpowiedzialny jest na swym stanowisku każdy z pracowników oraz osób współpracujących którym powierzono przetwarzanie danych w ramach stosownych umów.
- Niszczenie brudnopisów, błędnych lub zbędnych kopii materiałów zawierających dane osobowe musi odbywać się w sposób uniemożliwiający odczytanie zawartej w nich treści, np. z wykorzystaniem niszczarek.
- Niedopuszczalne jest wynoszenie materiałów zawierających dane osobowe poza obszar ich przetwarzania bez związku z wykonywaniem czynności służbowych. Za bezpieczeństwo i zwrot materiałów zawierających dane osobowe odpowiada w tym przypadku osoba dokonująca ich wyniesienia.
- Pracownicy oraz osoby współpracujące, którym powierzono przetwarzanie danych w ramach stosownych umów zobowiązani są do zamykania na klucz wszelkich pomieszczeń lub budynków wchodzących w skład obszarów, w których przetwarzane są dane osobowe w czasie ich chwilowej nieobecności w pomieszczeniu pracy, jak i po jej zakończeniu, a klucze nie mogą być pozostawione w zamku w drzwiach. Pracownicy oraz osoby współpracujące, którym powierzono przetwarzanie danych w ramach stosownych umów zobowiązani są do dołożenia należytej staranności w celu zabezpieczenia posiadanych kluczy przed nieuprawnionym dostępem.
- KONTROLA PRZETWARZANIA I STANU ZABEZPIECZENIA DANYCH OSOBOWYCH
- Nadzór i kontrolę procesów przetwarzania danych i stanu zabezpieczenia danych osobowych sprawuje ADO Bogusława Matulaniec.
- Raz do roku wykonuje on wewnętrzny audyt, którego wyniki przechowywane są wraz z Polityką Bezpieczeństwa lokalu przy ul. Wazów 9, 01-986 Warszawa
- W wyniku wykrycia uchybień ADO zobowiązany jest do wdrożenia procedur naprawczych i ponowienia szkolenia pracowników i weryfikacji umów powierzenia.
- STRUKTURA PRZEPŁYWU DANYCH OSOBOWYCH KLIENTÓW W JOGABO
- Typy działalności gospodarczejJogaBo realizuje jeden typ działalności gospodarczej, dla realizacji którego gromadzi i przetwarza dane osobowe:
- usługi z zakresu organizacji zajęć rekreacji ruchowej (zajęć jogi) opisane w pkt. 8.2
- Organizacja zajęć jogi
- Rodzaj gromadzonych danych klientówW ramach usług organizacji zajęć rekreacji ruchowej (zajęcia jogi) JogaBo gromadzi poniższe dane klienta:
- imię i nazwisko,
- adres e-mail,
- numer telefonu
- adres zamieszkania (opcjonalnie do wystawienia faktury)
- Forma pozyskania danych klientów oraz zgody klientów
- JogaBo gromadzi dane klientów w dwojaki sposób:
- bezpośrednio w lokalu JogaBo klienci podają dane w formularzu rejestracyjnym w formie papierowej,
- za pośrednictwem formularza rezerwacyjnego na stronie internetowej www.jogaBo.pl
- Osoby podające powyższe dane wyrażają zgodę na przetwarzanie danych w związku z realizacją usługi.
- Osoby podające powyższe dane wyrażają zgodę na otrzymywanie treści informacyjnych drogą mailową lub telefoniczną. Osoby podające powyższe dane potwierdzają, iż zapoznały się z regulaminem zajęć w JogaBo
- JogaBo gromadzi dane klientów w dwojaki sposób:
- Przetwarzanie i archiwizacja danych klientów gromadzonych w formie papierowej
- Pracownik odbierający od klienta wypełniony formularz w formie papierowej jest zobowiązany do niezwłocznego schowania go do szuflady znajdującej się na recepcji lokalu przy ul. Wazów 9, 01-986 Warszawa
- Dane klientów wymienione w pkt. 8.2.1. wprowadzane są do excelowej bazy danych oraz w programie pocztowym na komputerze ADO.
- Dane pozyskane w formie papierowej są przechowywane w JogaBo , ul. Wazów 9, 01-986 Warszawa w szufladzie przez okres 1 miesiąca kalendarzowego i są wpisywane do bazy mailingowej.W tym momencie usuwane są trwale z formularza wszelkie dane kontaktowe:
- adres e-mail,
- numer telefonu
- adres zamieszkania
Pozostaje tylko imię i nazwisko oraz potwierdzenie zapoznania się z regulaminem.
- Przetwarzanie i archiwizacja danych klientów gromadzonych przez formularz rezerwacyjny na stronie internetowej www.jogaBo.pl
- Dane klientów gromadzone z pomocą formularza rezerwacyjnego na stronie internetowej www.jogaBo.pl przetwarzane i archiwizowane są w excelowej bazie klientów oraz w programie pocztowym na komputerze ADO.
- Dane przechowywane w komputerze ADO znajdują się w lokalizacji Zmiennej.
- Rodzaj gromadzonych danych klientówW ramach usług organizacji zajęć rekreacji ruchowej (zajęcia jogi) JogaBo gromadzi poniższe dane klienta:
- Typy działalności gospodarczejJogaBo realizuje jeden typ działalności gospodarczej, dla realizacji którego gromadzi i przetwarza dane osobowe:
- ŚRODKI TECHNICZNE NIEZBĘDNE DLA ZAPEWNIENIA POUFNOŚCI I BEZPIECZEŃSTWA DANYCH OSOBOWYCH
- Lokal przy ul. Wazów 9, 01-986 Warszawa
- W celu zapewnienia poufności i bezpieczeństwa gromadzonych i przetwarzanych danych osobowych w powyższym lokalu:
- formularze papierowe z zapisanymi danymi przechowywane są w szufladzie
- dostęp do systemu komputerowego obsługującego system sprzedażowy zabezpieczony jest hasłem którego wpisanie konieczne jest po 1 min bezczynności.
- Dane pracowników oraz dane kontrahentów w tym umowy powierzenia i oświadczenia przechowywane są w szufladzie.
- W celu zapewnienia poufności i bezpieczeństwa gromadzonych i przetwarzanych danych osobowych w powyższym lokalu:
- Lokal biura księgowego obsługującego JogaBo , ul. Młynarska 31, 01-175 Warszawa
- Komputer ADOW celu zapewnienia poufności i bezpieczeństwa gromadzonych i przetwarzanych danych osobowych na komputerze ADO: hasło dostępu
- dostęp do systemu jest zabezpieczony hasłem,
- system komputera jest chroniony przez program antywirusowy.
- Telefon służbowy HuaweiTelefon służbowy Huawei w którym znajdują się numery kontaktowe do klientów oraz kontrahentów JogaBo zabezpieczone są hasłami.
- Serwery zewnętrzne
- Zbiory danych przechowywane na serwerach zewnętrznych w systemach:
- strony internetowej www.jogaBo.pl
zabezpieczone są hasłami.
- Dostawcy usług nie mają dostępu do baz danych.
- Zbiory danych przechowywane na serwerach zewnętrznych w systemach:
- Lokal przy ul. Wazów 9, 01-986 Warszawa
- USUWANIE DANYCH OSOBOWYCH
- W przypadku zgłoszenia przez klienta żądania usunięcia danych osobowych ADO dokonuje przeglądu baz i archiwów w celu identyfikacji obecności danych klienta:
- formularzy rejestracyjnych
- freshmail
- ADO usuwa dane klienta z baz i archiwów wymienionych w pkt. 10. 1.
- W rejestrach firmy pozostaje tylko papierowa forma oświadczenia klienta o zapoznaniu się z regulaminem zajęć jogi zawierające imię nazwisko oraz podpis. Oświadczenie to JogaBo przechowuje na wypadek roszczeń odszkodowawczych ze strony klienta. Dane te nie są w jakikolwiek sposób przetwarzane.
- W przypadku zgłoszenia przez klienta żądania usunięcia danych osobowych ADO dokonuje przeglądu baz i archiwów w celu identyfikacji obecności danych klienta:
- INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH
- Każda osoba, która poweźmie wiadomość w zakresie naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe bądź posiada informacje mogące mieć wpływ na bezpieczeństwo danych osobowych, jest zobowiązana fakt ten niezwłocznie zgłosić ADO – Bogusława Matulaniec.
- Po otrzymaniu zgłoszenia naruszenia bezpieczeństwa danych ADO jest zobowiązany:
- zapoznać się z zaistniałą sytuacją i dokonać wyboru metod dalszego postępowania
- wysłuchać relacji osoby zgłaszającej z zaistniałego naruszenia, jak również relacji każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem,
- niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków, a następnie ustalić przyczyny, lub sprawców zaistniałego zdarzenia, jeżeli jest to możliwe,
- udokumentować zaistniałe naruszenie.
- ADO dokumentuje zaistniały przypadek naruszenia oraz sporządza raport – „Rejestr incydentów” (wzór w załączniku nr 4). Raport przechowywany jest wraz z Polityką Bezpieczeństwa lokalu przy ul. Wazów 9, 01-986 Warszawa.
- ADO podejmuje decyzję o zgłoszeniu incydentu do GIODO.
- Po wyczerpaniu niezbędnych środków doraźnych po zaistniałym naruszeniu, ADO zasięga niezbędnych opinii i proponuje postępowanie naprawcze (w tym ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń) i zarządza termin wznowienia przetwarzania danych.
- ZAWIADAMIANIE OSOBY, KTÓREJ DANE DOTYCZĄ, O NARUSZENIU OCHRONY DANYCH OSOBOWYCH
- Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator (ADO) zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
- Zawiadomienie, jasnym i prostym językiem powinno opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej niżej wymienione informacje;
- imię i nazwisko oraz dane kontaktowe lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
- opisywać możliwe konsekwencje naruszenia ochrony danych osobowych,
- opisywać środki zastosowane lub proponowane przez ADO w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
- Zawiadomienie nie jest wymagane w następujących przypadkach:
- ADO wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych,
- Administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w pkt. 12.3.1,
- Wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, wymienionych wyżej.
- Wzór zawiadomienia stanowi załącznik nr 5.
- OBOWIĄZEK INFORMACYJNY – POLITYKA PRYWATNOŚCI
- ADO zamieszcza na stronie internetowej JogaBo ogólnodostępny dokument „Polityka prywatności” określający zasady przetwarzania i ochrony danych, które przekazują osoby korzystające ze strony www.jogaBo.pl.
- Dokument „Polityka prywatności” stanowi załącznik nr 6.