Appco

Polityka RODO

Celem Polityki ochrony danych osobowych, zwanej dalej polityką, jest wprowadzenie i utrzymanie wymaganej przez przepisy rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016r. oraz ustawy o ochronie danych osobowych (Dz.U. z  2018r. poz.100) właściwej ochrony danych osobowych w związku z przetwarzaniem danych osobowych

Niniejsza Polityka dotyczy zarówno danych osobowych przetwarzanych w sposób tradycyjny w księgach, aktach, wykazach i innych zbiorach ewidencyjnych, jak i w systemach informatycznych. Dotyczy istniejących oraz przetwarzanych w przyszłości zbiorów danych osobowych. Procedury oraz zasady określone w niniejszym dokumencie stosuje się do wszystkich osób upoważnionych do przetwarzania danych osobowych, zarówno zatrudnionych jak i do np. praktykantów, stażystów.

W skład obszaru przetwarzania danych osobowych w Appco wchodzą budynki położone w Warszawie ul. Harfowa 8/1  

Określenia użyte w Polityce ochrony danych osobowych oznaczają:

  1. Administrator danych osobowych (ADO) w Appco
  2. Administrator systemów informatycznych (ASI) – osoba zobowiązana do zarządzania systemem informatycznym do przetwarzania danych osobowych.
  3. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
  4. Przetwarzanie danych osobowych – gromadzenie, utrwalenie, przechowywanie, opracowanie, modyfikowanie, usuwanie danych osobowych, zwłaszcza w systemach informatycznych.
  5. Użytkownik – osoba upoważniona do przetwarzania danych osobowych.
  6. System informatyczny – system( urządzenia, narzędzia, programy) w których przetwarzane są dane osobowe.
  7. Zabezpieczenie systemu informatycznego – należy przez to rozumieć wdrożenie stosowanych środków administracyjnych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych a także ich utratą.
  8. RODO – rozporządzenie Parlamentu Europejskiego (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE,
  9. Ustawa o ochronie danych osobowych – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych(Dz.U. z 2018r. poz. 100)

1. ZASADY PRZETWARZANIA DANYCH OSOBOWYCH

1.1

Administrator danych przetwarza dane osobowe :

  • Zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą
  • Zbiera je w konkretnych, wyraźnych i prawnie uzasadnionych celach inie przetwarza ich dalej w sposób niezgodny z tymi celami
  • Adekwatnie, stosownie oraz w sposób ograniczony do tego, co niezbędne do celów, w których są przetwarzane (minimalizacja danych)
  • Prawidłowo i w razie potrzeby uaktualnia zebranie danych
  • Przechowuje je w formie umożliwiającej identyfikacje osób, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane są przetwarzane
  • W sposób zapewniający jego bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych

1.2

W celu realizacji tych zasad administrator danych przetwarza dane legalnie, na podstawie przesłanek opisanych w art.6 RODO. Pobiera dane osobowe adekwatnie do celów przetwarzania i przetwarza je przez określony czas. Wobec osób, które dane przetwarza wypełnia obowiązki informacyjne określone w art. 13 RODO lub 14 RODO oraz wskazuje im przysługujące uprawnienia tj.

  • Prawo do dostępu danych
  • Prawo sprostowania danych
  • Prawo do usunięcia danych
  • Prawo Sprzeciwu wobec przetwarzania
  • Prawo ograniczenia przetwarzania
  • Prawo wniesienia skargi  do organu nadzorczego

Administrator danych zapewnia ochronę danych w przypadku korzystania z usług podmiotów zewnętrznych w postaci zawierania stosownych umów powierzenia oraz korzystania z usług podmiotów przetwarzających realizujących obowiązki wynikające z RODO. W razie wystąpienia incydentu technicznego lub fizycznego administrator danych zapewnia zdolność do szybkiego przywrócenia dostępności do danych osobowych i dostępu do nich.

1.3

Potwierdzenie spełnienia obowiązków informacyjnych przez administratora danych stanowią klauzule informacyjne (załącznik nr1) przekazywane osobom, których dane są przekazywane. W przypadku pracowników przedstawia im się ową klauzule i zamieszcza w aktach osobowych. W przypadku klientów i kontrahentów przekazywane są im w momencie zawierania umowy.

2. UPRAWNIENIA DO PRZETWARZANIA DANYCH

Administrator danych zapewnia aby dostęp do danych osobowych w Appco

Miały tylko osoby legitymujące się nadanym przez ADO upoważnieniem (załącznik nr 2) Upoważnienia określają do jakich operacji użytkownicy są uprawnieni, tj. tworzenia, usuwania, wglądu, przekazywania danych, w jakich systemach oraz na jaki czas. Administrator danych prowadzi rejestr ewidencji osób upoważnionych (załącznik  nr 3)

3. WYKAZ ZABEZPIECZEŃ

Uwzględniając stan wiedzy technicznej oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia

4. REJESTR CZYNNOŚCI PRZETWARZANIA

Administrator danych prowadzi rejestr czynności przeważania, który zawiera :

  • imię i nazwisko lub nazwę oraz dane kontaktowe Administratora
  • cele przetwarzania;
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  • gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń;
  • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

5. POSTĘPOWANIE Z INCYDENTAMI

Administrator danych ma obowiązek poinformować wszystkich pracowników jak należy postępować z wszystkimi zaistniałymi incydentami naruszenia ochrony danych osobowych wprowadzając procedurę ochrony danych osobowych. Procedura ma na celu wypełnienie obowiązku wynikającego a art. 33 RODO. Procedura ma określać sposób definiowania incydentów zagrażających bezpieczeństwu danych osobowych oraz sposób reagowania na nie, i naprawiania ich.

Każda osoba upoważniona do przetwarzania danych osobowych ma obowiązek poinformowania o możliwości wystąpienia incydentu lub o jego wystąpieniu. Taką informację powinno się przekazać swojemu przełożonemu a on zgłasza to do administratora lub inspektora danych osobowych.

Powiadomienia wymagają:

  • Niewłaściwe zabezpieczenia sprzętu elektronicznego, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych, udostępnienie haseł osobą postronnym.
  • Niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,
  • Nieprzestrzeganie zasad ochrony danych osobowych przez pracowników, (np. niestosowanie polityki czystego biurka/ekranu, ochrony haseł, niezamykania pomieszczeń, szaf, biurek, sejfów, przyklejanie kartek z hasłami do tablic przy miejscu pracy czy w szufladach,
  • Ślady na drzwiach, oknach i szafach wskazujące na próbę włamania,
  • Dokumentacja zawierająca dane osobowe niszczone bez użycia drukarki,
  • Otwarte drzwi do pomieszczeń, szaf, gdzie przechowywane są dane osobowe,
  • Obecność osób postronnych w jednostce,
  • Złe ustawienie monitorów pozwalające na wgląd osób postronnych w dane osobowe,
  • Wynoszenie danych osobowych w wersji papierowej  i elektronicznej na zewnątrz jednostki bez upoważnienia administratora danych
  • Awaria serwera, komputerów, twardych dysków, oprogramowania,
  • Udostępnianie danych osobowych osobą nieupoważnionym,
  • Telefoniczne próby udostępniania danych,
  • Kradzież, zagubienie telefonów, twardych dysków, pen-drive z danymi osobowymi,
  • Maile nakłaniające do ujawniania identyfikatora lub hasła,
  • Zainfekowanie komputerów wirusem
  • Zdarzenia losowe (pożar, zalanie wodą, utrata zasilania, utrata łączności)
  • Włamanie do systemów informatycznych lub pomieszczeń
  • Kradzież danych/ sprzętu
  • Świadome zniszczenie dokumentów

Wszystkie wystąpienia incydentów należy zgłaszać do administratora systemów informatycznych. Ponadto wszystkie te zdarzenia należy udokumentować – jego skutki, działania naprawcze i zaradcze. W przypadku gdy incydent skutkuje naruszeniem praw lub wolności osób fizycznych, administrator danych zgłasza je w ciągu 72 godzin Prezesowi Urzędu Ochrony Danych Osobowych oraz gdy istnieje taki wymóg, powiadamia o tym fakcie osoby, których incydent dotyczył.

"w przypadku naruszenia - postępowanie zgodnie z obowiązującymi przepisami prawa"

6. REGULAMIN OCHRONY DANYCH OSOBOWYCH I SZKOLENIE WEWNĘTRZNE

Administrator danych wprowadza w Appcoul. Harfowa 8/1  02-389 Warszawa Regulamin ochrony danych osobowych w celu zapewnienia osobom przetwarzającym dane osobowe pełny zakres wiedzy na temat zasad przetwarzania danych osobowych w spółce. Osoby, które zapoznały się z regulaminem zobowiązane są z potwierdzeniem tego faktu w oświadczeniu o zapoznaniu się z regulaminem i zobowiązaniu się do stosowania jego zasad. (załącznik nr 4). Każda osoba przed zatrudnieniem powinna być zapoznana z regulaminem. Administrator danych powinien zapewnić przeszkolenie pracowników w zakresie stosowania ochrony danych osobowych, a obecność powinna być potwierdzona pisemnie na sporządzonej licie obecności.

7. ZADANIA ADMINISTRATORA SYSTEMU INFORMATYCZNEGO

Administrator systemu informatycznego realizuje zadania w zakresie zarządzania i bieżącego nadzoru nad systemem informatycznym administratora danych. W związku z tym :

  • Zarządza systemem informatycznym, w którym przetwarzane są dane osobowe, posługując się hasłem dostępu do wszystkich stacji roboczych i serwera
  • Przeciwdziała dostępowi osób niepowołanych do systemu informatycznego, w którym przetwarzane są dane osobowe,
  • Przydziela każdemu użytkownikowi hasło do systemu informatycznego oraz usuwa konta użytkowników  zgodnie z zasadami określonymi w regulaminie,
  • Przeprowadza szkolenie stanowiskowe pracownika w zakresie korzystania ze sprzętu komputerowego, zapoznaje również w tym zakresie z dokumentami obowiązującymi w spółce,
  • W sytuacji stwierdzenia naruszenia zabezpieczeń systemów informatycznych informuje administratora danych o naruszeniu i współdziała z nim przy usuwaniu skutków,
  • Sprawuje nadzór nad wykonywaniem napraw, konserwacją oraz likwidacją urządzeń komputerowych, na których zapisane są dane osobowe,
  • Podejmuje działania służące zapewnieniu niezawodności zasilania komputerów, innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych osobowych,

8. UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

W przypadku zlecenia przetwarzania danych osobowych podmiotom zewnętrznym administrator danych zobowiązany jest zawrzeć umowę powierzenia danych osobowych.  I w spółce powinien być prowadzony rejestr takich umów.

9. CZYNNOŚCI KONTROLNE

Nadzór i kontrolę nad ochroną danych osobowych sprawuje administrator danych.

Z czynności kontrolnych sporządza się protokół, w którym przedstawia się dokładny opis zakresu kontroli i przeprowadzonych czynności. Protokół podpisują osoby dokonujące sprawdzenia i kontroli.

Appco logo

Jesteśmy firmą handlową zajmującą się sprzedażą przetworów warzywno-owocowych oferującą produkty B2B i B2C.

Appco
O nasProduktyKontaktPolityka RODORegulamin
Produkty
Koncentraty
Przeciery
Soki NFC
Mrożonki
Aromaty
Kontakt
Appco Sp. z o.o.
ul. Harfowa 8/1, 02-389 Warszawa, Polska
REGON: 525830459
NIP: 7011154822
KRS: 0001046643
Copyright © 2024 Appco. All rights reserved.