Polityka prywatności

Polityka Ochrony Danych Osobowych

MGD Dominik Kawula
Bielanka 54a, 34-723 Bielanka
Dane kontaktowe:
e-mail: swiftdrop.kontakt@gmail.com
tel. 573 324 764

1. Wstęp

Polityka Ochrony Danych Osobowych ma na celu zapewnienie ochrony tychże danych, przetwarzanych przez Dominika Kawulę, prowadzącego działalność gospodarczą pod firmą MGD Dominik Kawula, Bielanka 54a, 34-723 Bielanka, przed wszelkimi możliwymi zagrożeniami zarówno zewnętrznymi, jak i wewnętrznymi oraz świadomymi i nieświadomymi,
zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) oraz zgodnie z ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych
(Dz.U. z 2018 r. poz. 1000 ze zm.).

Polityka RODO określa reguły dotyczące procedur, mających na celu zapewnienie bezpieczeństwa danych osobowych, zarówno w postaci dokumentów papierowych, jak i danych zawartych w systemach informatycznych.

Zestaw procedur opisujących zasady bezpieczeństwa danych przetwarzanych przez Dominika Kawulę, prowadzącego działalność gospodarczą pod firmą MGD Dominik Kawula został zawarty w Załączniku nr 1 do niniejszego dokumentu pn. „Regulamin Ochrony Danych Osobowych”

Polityka Bezpieczeństwa ODO obowiązuje Dominika Kawulę, prowadzącego działalność gospodarczą pod firmą MGD Dominik Kawula oraz jego współpracowników.

Dominika Kawula, prowadzący działalność gospodarczą pod firmą MGD Dominik Kawula zapewnia ochronę danych poprzez: odpowiednie procedury organizacyjne, zabezpieczenia fizyczne, oprogramowanie, w tym w szczególności oprogramowanie antywirusowe i aplikacje, a także przez użytkowników.

Wszystkie zastosowane zabezpieczenia mają na celu zapewnić:

1. poufność danych – dane nie są udostępniane osobom nieupoważnionym,
2. integralność danych – dane osobowe nie mogą zostać zmienione, ani też zniszczone w sposóbnieautoryzowany,
3. integralność systemu – nienaruszalność systemu, równoznaczna z niemożnością manipulacji zarówno celowej, jak iniezamierzonej,
4. dostępność danych – na żądanie dane osobowe będą dostępne i możliwe do wykorzystania w ustalonym czasie przez uprawniony podmiot,
5. rozliczalność danych – działania konkretnej osoby na danych osobowych, mogą być wsposób jednoznaczny przypisane tej osobie,
6. odporność systemów i usług przetwarzania danych – uniemożliwienie dostępu do danych osobom nieupoważnionym

2. Słowniczek pojęć

1. Administrator - Dominik Kawula, prowadzący działalność gospodarczą pod firmą MGD Dominik Kawula
2. RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;
3. OchrDanychU – Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych Dz.U. z 2018 r. poz. 1000 ze zm.;
4. Dane osobowe – informacje o zidentyfikowanej, lub możliwej do zidentyfikowania osobie;
5. Zbiór danych – uporządkowany zestaw danych osobowych, dostępnych według określonych kryteriów;
6. Przetwarzanie danych - operacja lub zestaw operacji wykonywanych na danych osobowych, w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
7. System informatyczny – zespół urządzeń, współpracujących ze sobą, a także procedur przetwarzania informacji, programów oraz narzędzi programowych, stosowanych w celu przetwarzania danych;
8. Użytkownik – osoba, która posiada uprawnienie do pracy w systemie informatycznym, zgodnie z zakresem obowiązków służbowych;

3. Procedura inwentaryzacji danych

Dane osobowe przetwarzane przez Administratora zostały wskazane w Załączniku nr 2 „Wykaz zbiorów danych osobowych”. W załączniku została zawarta podstawa prawna przetwarzania danych.

4. Legalność przetwarzania danych osobowych

Administrator gwarantuje, że:
a) przetwarza dane zgodnie z prawem (podstawa prawna: art. 6 i 9 RODO),
b) dane osobowe są przetwarzane w zakresie niezbędnym ze względu na cel przetwarzania danych,
c) dane osobowe są przetwarzane przez konkretny, z góry określony czas, niezbędny do prawidłowej realizacji umowy,
d) względem osób, których dane są przetwarzane wykonano obowiązek informacyjny, zgodnie z art. 12-14 RODO, ze wskazaniem przysługujących im praw, chyba, że obowiązek informacyjny został ograniczony treścią art. 13 ust. 4 RODO; wzór klauzul informacyjnych jest zawarty w Załączniku nr 3 „Klauzule informacyjne”
e) powierzenie oraz dalsze powierzenie przetwarzania danych osobowych dokonuje się na podstawie umów powierzenia dalszego powierzenia, zawieranych z podmiotami przetwarzającymi

5. Upoważnienia do przetwarzania danych osobowych

Za wydawanie i odwoływanie upoważnień do przetwarzania danych osobowych odpowiada Administrator.
Przetwarzanie danych dokonuje się na polecenie Administratora lub też na podstawie przepisów prawa. Dane mogą przetwarzać tylko osoby upoważnione do przetwarzania danych osobowych. Wzór upoważnienia znajduje się w Załączniku nr 4 „Upoważnienie do przetwarzania danych osobowych”
W celu kontroli nad prawidłowym dostępem osób upoważnionych do danych osobowych tworzy się, zgodnie ze wzorem zawartym w Załączniku nr 5 „Ewidencję osób upoważnionych”

6. Inspektor Ochrony Danych Osobowych

Administrator nie wyznaczył Inspektora Ochrony Danych Osobowych.

7. Postępowanie z incydentami

Niniejsza procedura ma na celu stworzenie schematu postępowania na wypadek wystąpienia incydentu bezpieczeństwa w zakresie ochrony danych osobowych, a także ograniczenie ryzyka powstawania incydentów w przyszłości.
Każdy, to stwierdził zagrożenie wystąpienia incydentu, lub incydent, jest zobligowany poinformować o tym Administratora.

Do przykładowych zagrożeń wystąpienia incydentu należy zaliczyć:

a) niewłaściwe fizyczne zabezpieczenie danych
b) niewłaściwe zabezpieczenie sprzętu IT (np. brak aktualnego oprogramowania antywirusowego)
Do przykładowych incydentów należy zaliczyć:

a) zdarzenia losowe (zewnętrzne i wewnętrzne)
b) incydenty umyślne (np. kradzież, włamanie)

Gdy stwierdzi się wystąpienie incydentu, Administrator przeprowadza postępowanie wyjaśniające. W toku postępowania Administrator ustala:

a) czas wystąpienia incydentu
b) zakres incydentu
c) przyczyny i ewentualne skutki incydentu (w tym wielkość szkód)
d) osoby odpowiedzialne za wystąpienie incydentu

Nadto Administrator jest obowiązany:

a) zabezpieczyć ewentualne dowody
b) podjąć działania naprawcze, mające na celu usunięcie skutków incydentu i ograniczenie szkody
c) podjąć czynności mające na celu przywrócenie działania po wystąpieniu incydentu

d) wydać rekomendacje w zakresie działań prewencyjnych, mające na celu zapobieganie incydentom w przyszłości

Wystąpienie incydentów jest każdorazowo dokumentowane w Załączniku nr 7 „Rejestr naruszeń ochrony danych osobowych oraz incydentów”

W przypadku wystąpienia incydentu Administrator bez zbędnej zwłoki, nie później jednak niż w ciągu 72 h od momentu stwierdzenia naruszenia zgłasza je organowi nadzorczemu, chyba że mało prawdopodobnym jest aby naruszenie to spowodowało ryzyko naruszenia praw lub wolności osób fizycznych.

8. Analiza ryzyka

Analiza ryzyka ma na celu ocenę zagrożeń dla bezpiecznego i poprawnego przetwarzania danych, a nadto wybór i wdrożenie środków, które zmniejszają prawdopodobieństwo wystąpienia zagrożeń. Procedurę analizy ryzyka opisuje Załącznik nr 6 „Procedura analizy ryzyka”

9. Ocena skutków dla ochrony danych osobowych

Ocena skutków dla ochrony danych osobowych jest dokonywana w przypadkach wskazanych w art. 35 RODO

Ocena skutków zawiera co najmniej:
a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez Administratora;
b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy

10. Szkolenia

Każda osoba przed dopuszczeniem do pracy z danymi osobowymi powinna zostać przeszkolona pod kątem przepisów dotyczących ochrony danych osobowych, w tym w szczególności RODO oraz pod kątem procedur ochrony danych osobowych stosowanych przez Administratora. Osobą odpowiedzialną za przeprowadzenie szkoleń jest Administrator.
Znajomość przepisów i procedur ochrony danych osobowych oraz zobowiązanie do ich stosowania jest potwierdzanie według wzoru stanowiącego Załącznik nr 8 „Wzór oświadczenia”

11. Rejestr Czynności Przetwarzania

Rejestr czynności przetwarzania jest prowadzony przez Administratora według wzoru zawartego w Załączniku nr 9 „Rejestr czynności przetwarzania prowadzony przez administratora”

12. Audyty

Z uwagi na okoliczność, że zgodnie z art. 32 ust. 1 lit. d) RODO Administrator ma obowiązek regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania, stosuje się procedurę audytu, opisaną w Załączniku nr 10 „Procedura audytu”

13. Plan ciągłości działania

Z uwagi na okoliczność, że zgodnie z art. 32 ust. 1 lit. c) Administrator, jest zobowiązany zapewnić zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, Administrator stosuje procedury przywracania opisane w Załączniku nr 11 „Plan ciągłości działania”

14. Postanowienia końcowe

Polityka Ochrony Danych Osobowych jest wewnętrznym dokumentem, który obowiązuje u Administratora, zaś naruszenie jej postanowień oraz przepisów powszechnie obowiązującego prawa, dotyczących ochrony danych osobowych, w tym w szczególności RODO stanowi naruszenie zasad współpracy i może być traktowane jako naruszenie przepisów karnych, zawartych w RODO i Ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000).

Polityka prywatności

Sklep zamknięty