Polityka Prywatności


W związku z wejściem w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO), pragniemy poinformować o zasadach postępowania z danymi osobowymi w PW Autos Sp.z o.o., oraz o prawach przysługujących osobom, których dane dotyczą:


1. Administratorem danych osobowych jest Przedsiębiorstwo Wielobranżowe Autos Sp. z o.o. z siedzibą w Solcu Kujawskim, ul. Unii Europejskiej 2B, 86-050 Solec Kujawski, dalej „Administrator” lub „PW Autos”. Z Administratorem można się skontaktować poprzez e-mail wysłany ze strony internetowej www.autos.pl, telefonicznie pod numerem telefonu (52)3876600 lub pisemnie na adres siedziby Administratora;


2.        Podstawami prawnymi i celami przetwarzania Pani/Pana danych osobowych przez Administratora mogą być:


1)           Art. 6 ust. 1 lit. a) RODO, tj.: przetwarzanie danych odbywa się na podstawie Pani/Pana zgody w celu przesyłania Pani/Panu za pomocą środków komunikacji elektronicznej (e-mail, sms, mms), przy wykorzystaniu telekomunikacyjnych urządzeń końcowych (telefon, komputer) treści marketingowych, w tym informacji handlowych PW Autos, jego usługach, organizowanych wydarzeniach, w tym także newsletterów.


2)           Art. 6 ust. 1 lit. b) RODO, tj.: – przetwarzanie danych odbywa się ze względu na niezbędność tego przetwarzania do wykonania umowy, jeśli zawarta została z Panią/ Panem umowa dotycząca współpracy, lub umowa dotycząca produktów oferowanych przez PW Autos,


3)           Art. 6 ust. 1 lit. c) RODO, tj.: – przetwarzanie danych odbywa się ze względu na konieczność wypełnienia obowiązku prawnego ciążącego na Administratorze, tj.: w celu realizacji obowiązków wynikających z powszechnie obowiązujących przepisów prawa;


4)           Art. 6 ust.1 lit. f) RODO, tj.: – przetwarzanie danych odbywa się ze względu na prawnie uzasadniony interes Administratora polegający na udzielaniu odpowiedzi na pytania, dostarczaniu treści informacyjnych na temat swojej działalności, oraz oferowanych przez siebie produktów i usług na żądanie zainteresowanych osób;


5)           Art. 6 ust. 1 lit. f) RODO, tj.: - przetwarzanie danych odbywa się ze względu na prawnie uzasadniony interes Administratora polegający na prowadzeniu analiz i statystyk w celu poprawy świadczonych usług oraz wprowadzaniu nowych usług;


6)           Art. 6 ust. 1 lit. f) RODO, tj. – przetwarzanie danych odbywa się ze względu na prawnie uzasadniony interes Administratora polegający na obronie przed roszczeniami.


3.        Pani/Pana dane osobowe przetwarzane są na zasadzie dobrowolności i będą przetwarzane tylko tak długo, jak długo są niezbędne do realizowania w/w celów lub do momentu, gdy wyrazi Pani/Pan skuteczny sprzeciw wobec ich przetwarzania lub cofnie Pan/Pani zgodę. Okres przetwarzania danych osobowych może zostać każdorazowo przedłużony o okres przedawnienia roszczeń, jeżeli przetwarzanie danych osobowych będzie niezbędne dla dochodzenia ewentualnych roszczeń lub obrony przed takimi roszczeniami.


4.        Pani/Pana dane osobowe mogą być przekazywane naszym parterom handlowym, w szczególności dostawcom rozwiązań informatycznych, podmiotom świadczącym na naszą rzecz usługi agenckie, prawne, kurierskie lub pocztowe wyłącznie w związku z realizacją naszych celów.


5.        Przysługuje Pani/Panu prawo żądania dostępu do treści danych oraz ich sprostowania, usunięcia, ograniczenia przetwarzania, jak również prawo do przenoszenia danych osobowych. Przysługuje ponadto Pani/Panu prawo wniesienia sprzeciwu względem przetwarzania danych – w przypadku gdy przetwarzanie danych opiera się na art.6ust.1lit.e) lub f) RODO. Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego osoba, której dane dotyczą ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.


6.        Jeżeli przetwarzanie Pani/Pana danych osobowych odbywa się na podstawie udzielonej przez Panią/Pana zgody na przetwarzanie danych osobowych ma Pani/Pan prawo do wycofania zgody w dowolnym momencie. Wycofanie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Wycofanie zgody możne nastąpić poprzez przesłanie informacji drogą e-mail lub pisemnie na adres Administratora,


7. W razie konieczności przekazywania Pani/Pana danych osobowych do państw trzecich, dane będą przekazywane jedynie do państw, co do których Komisja Europejska wydała decyzję stwierdzającą odpowiedni stopień ochrony lub na podstawie standardowych klauzul umownych przyjętych decyzją Komisji Europejskiej,


8.        Pani/Pana dane osobowe będą przetwarzane w sposób zautomatyzowany, ale nie będą wykorzystywane do zautomatyzowanego podejmowania decyzji, mających wpływ na sytuację prawną,


9.        W przypadku gdy uzna Pani/ Pan, że przetwarzanie danych osobowych przez PW Autos  narusza przepisy RODO przysługuje Pani/Panu prawo wniesienia skargi do organu nadzorczego.


10. Podanie danych osobowych jest dobrowolne, jednakże odmowa podania danych może skutkować odmową zawarcia umowy.


11. Administrator wyznaczył inspektora ochrony danych, z którym można kontaktować się pod adresem iod@autos.com.pl.


 

POLITYKA OCHRONY DANYCH OSOBOWYCH

w spółce

Przedsiębiorstwo Wielobranżowe „AUTOS”

Spółka z ograniczoną odpowiedzialnością

na dzień 25.05.2018

Przygotowała Beata Lisiak

1. DEKLARACJA I ZASTOSOWANIE

Zasady, działania, kompetencje i zakresy odpowiedzialności opisane w niniejszej Polityce Ochrony Danych Osobowych, zwanej dalej Polityką obowiązują pracowników i współpracowników Administratora danych.

Procedury i dokumenty związane z Polityką będą weryfikowane i dostosowywane w celu zapewnienia odpowiedniej ochrony danych. Przeglądy dokumentacji odbywać się będą nie rzadziej niż raz w roku.

Polityka określa środki techniczne i organizacyjne zastosowane przez Administratora Danych dla zapewnienia ochrony danych oraz tryb postępowania w przypadku stwierdzenia naruszenia zabezpieczenia danych w systemie informatycznym lub w dokumentacji papierowej, albo w sytuacji podejrzenia o takim naruszeniu.

  • Polityka określa zasady przetwarzania oraz zabezpieczania danych osobowych administrowanych przez Przedsiębiorstwo Wielobranżowe Autos Sp. o.o. (dalej jako "PW Autos") , celem zapewnienia zbieżności przetwarzania z wymaganiami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119, s. 1) oraz przepisami bezwzględnie obowiązującego prawa polskiego w zakresie przetwarzania danych osobowych - ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000)

. Polityka stanowi zbiór oraz podstawę wdrażanych wymogów, procedur oraz zasad ochrony danych osobowych. Polityka zawiera:

  • opis zasad ochrony danych obowiązujących w PW Autos;

  • zbiór procedur, instrukcji i regulacji szczegółowych dotyczących przetwarzania danych osobowych w PW Autos, dotyczących poszczególnych obszarów z zakresu ochrony danych osobowych; stanowiących załączniki do Polityki.

Dla skutecznej realizacji Polityki, uwzględniając zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia PW Autos zapewnia:

      1. wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających zgodność przetwarzania danych osobowych z wymogami prawa oraz niezbędne zabezpieczenie przetwarzanych danych osobowych;

      2. stałe monitorowanie zgodności przetwarzania danych osobowych z wymogami prawa oraz poddawanie środków ciągłym przeglądom oraz uaktualnianiu;

      3. kontrolę i nadzór nad przetwarzaniem danych osobowych.

2. DEFINICJE

  1. Ilekroć w Polityce jest mowa o:

  1. Administratorze Danych - rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych tj spółkę: Przedsiębiorstwo Wielobranżowe „AUTOS” spółka z ograniczoną odpowiedzialnością reprezentowana przez Prezesa Zarządu z siedzibą w Solcu Kujawskim KRS 0000021284

  2. Inspektor danych osobowych zwany dalej IOD lub inspektor - rozumie się przez to osobę wyznaczonej do nadzorowania przestrzegania przepisów z zakresu ochrony danych osobowych

Wyznaczenie IOD opisuje załącznik nr 1 do niniejszej Polityki: Załączniki\Zał01 Powołanie IOD.docx

  1. Administratorze Systemu Informatycznego – rozumie się przez to osobę odpowiedzialną za prawidłowe funkcjonowanie sprzętu, oprogramowania i jego konserwację, za techniczno-organizacyjną obsługę systemu teleinformatycznego.

Wyznaczenie Administratora systemu informatycznego (ASI) opisuje załącznik nr 2 do niniejszej Polityki:Załączniki\Zał02 Powołanie ASI.docx

  1. zbiorze danych – rozumie się przez to każdy uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie,

  2. przetwarzaniu danych - oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie,

  3. systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,

  4. bezpieczeństwie danych - zachowanie poufności, integralności i dost­ępności informacji;

dodatkowo, mogą być brane pod uwagę­ inne własności, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność,

Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych osobowych stanowi załącznik nr 8 do niniejszej Polityki: Załączniki\Zał08środków technicznych i organizacyjnych.docx

  1. usuwanie danych - rozumie się przez to usuwanie danych osobowych z systemów informatycznych, zniszczenie nośników danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą,

  2. Pracownicy – oznaczają zarówno osoby zatrudnione na podstawie stosunku pracy, jak również osoby fizyczne współpracujące na podstawie umowy cywilnoprawnej;

  3. RODO – oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1);

  4. pomieszczeniach – rozumie się przez to budynki i pomieszczenia określone przez Administratora Danych, tworzące obszar, w którym przetwarzane są dane osobowe i inne informacje prawem chronione.

  5. Zarządzanie ryzykiem – proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informatycznych przy zachowaniu akceptowalnego poziomu kosztów.

  6. Incydent – pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z ochroną danych, które stwarzają znaczne prawdopodobieństwo zakłócenia działań i zagrażają bezpieczeństwu danych.

  7. Teczce ODO – zbiór dokumentów, instrukcji, regulaminów składający się na politykę ochrony danych osobowych, gromadzonych i nadzorowanych przez inspektora.

3. ZGODNOŚĆ Z PRAWEM

  1. Administrator zapewnia, że dane osobowe są:

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą,

  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami

  • adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane

  • prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ("prawidłowość");

  • przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;

  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

  1. Wobec osób, których dane osobowe przetwarza administrator wykonano tzw. obowiązek informacyjny wraz ze wskazaniem im praw (np. prawa dostępu do danych, przenoszenia, sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu, prawo do cofnięcia zgody).

  2. Zapewniono ochronę danych w przypadku powierzenia przetwarzania danych w postaci umów powierzenia z podmiotami przetwarzającymi.

  3. Potwierdzenie zgodności z prawem przetwarzanych danych osobowych w zbiorach, znajduje się w załączniku nr 3Załączniki\Zał03 Rejestr czynności AUTOS.xlsx

  4. Klauzule informacyjne i zgód znajdują się w załączniku nr 9Załączniki\Zał09 Klauzule informacyjne_AUTOS.docx

4. REJESTR CZYNNOŚCI PRZETWARZANIA

    1. Rejestr obejmuje kategorie czynności przetwarzania danych osobowych w PW Autos. Za pośrednictwem Rejestru PW Autos dokumentuje czynności przetwarzania danych osobowych oraz inwentaryzuje i monitoruje sposób, w jaki wykorzystuje dane osobowe.

    2. Za pośrednictwem Rejestru, w szczególności poprzez wskazanie w Rejestrze ogólnych środków ochrony Danych Osobowych objętych wyodrębnioną czynnością przetwarzania, Spółka dąży również do wykazania zgodności przetwarzania danych osobowych z wymogami prawa.

    3. W Rejestrze, odrębnie dla każdej zidentyfikowanej kategorii czynności przetwarzania danych osobowych, odnotowuje się następujące dane:

      • nazwę czynności;

      • opis kategorii osób, których dane dotyczą;

      • cel przetwarzania;

      • podstawę prawną przetwarzania;

      • opis kategorii odbiorców danych osobowych;

      • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione

      • nazwa współadministratora

      • nazwa podmiotu przetwarzającego

      • transfer do kraju trzeciego lub organizacji międzynarodowej (nazwa kraju i podmiotu)

      • jeśli transfer i art. 49 ust. 1 akapit drugi - dokumentacja odpowiednich zabezpieczeń

      • planowany termin usunięcia poszczególnych kategorii danych(jeżeli jest to możliwe)

      • ogólny opis technicznych i organizacyjnych środków ochrony danych osobowych

  1. W przypadku uaktualnienia lub poszerzenia kategorii czynności przetwarzania danych osobowych, Spółka dokonuje niezwłocznego uaktualnienia Rejestru celem zapewnienia zgodności Rejestru ze stanem faktycznym oraz zakresem operacji przetwarzania danych osobowych w PW Autos.

  2. Postanowienia ust.4 nie wyłączają możliwości ujęcia w Rejestrze w miarę potrzeby informacji dodatkowych, zwiększających szczegółowość lub czytelność Rejestru lub ułatwiających zarządzanie zgodnością ochrony danych osobowych z wymogami prawa, oraz realizację zasady rozliczalności.

  3. PW Autos dokumentuje w Rejestrze podstawy prawne przetwarzania danych dla poszczególnych czynności przetwarzania poprzez wskazanie ogólnej podstawy prawnej przetwarzania, takiej jak: zgoda, umowa, obowiązek prawny, uzasadniony cel.

5. ZASADY OCHRONY DANYCH OSOBOWYCH

    1. Przetwarzanie danych osobowych zgodne jest z następującymi zasadami:

      • Legalność – PW Autos dba o ochronę prywatności i przetwarza dane osobowe zgodnie z wymogami prawa;

      • Bezpieczeństwo − PW Autos zapewnia odpowiedni poziom bezpieczeństwa danych osobowych podejmując stale działania w tym zakresie;

      • Prawa Jednostki − PW Autos umożliwia osobom, których dane osobowe są przetwarzane, wykonywanie swoich praw i prawa te realizuje;

      • Rozliczalność – PW Autos zapewnia należyte udokumentowanie sposobu spełniania obowiązków w zakresie ochrony danych osobowych.

6. ODPOWIEDZIALNOŚĆ ZA OCHRONĘ DANYCH OSOBOWYCH

1. Za ochronę danych osobowych odpowiedzialny są Zarząd PW Autos i pracownicy. W szczególności odpowiadają oni za przestrzeganie zasad wynikających z niniejszej Polityki oraz zgłaszanie incydentów i wykonywanie zaleceń IOD.

3. Za nadzór nad przestrzeganiem postanowień Polityki odpowiada inspektor. Opis i przydział obowiązków IOD opisuje załącznik nr 1 do niniejszej Polityki.

4. Za przestrzeganie zasad ochrony danych osobowych oraz zachowanie ich w tajemnicy odpowiedzialni są upoważnieni użytkownicy.

5. Wzór oświadczenia o zachowaniu tajemnicy danych osobowych stanowi załącznik nr 05A i załącznik 05B do niniejszej Polityki:

Załączniki\Zał05A Oświadczenie o poufności.docx

Załączniki\Zał05B Oświadczenie o poufności dla osób przebywających w pomieszczeniach po godzinach pracy.docx

7. REGULAMIN OCHRONY DANYCH OSOBOWYCH

Regulamin ma na celu zapewnienie wiedzy osobom przetwarzającym dane osobowe odnośnie bezpiecznych zasad przetwarzania, które znajdują się w załączniku nr 4Załączniki\Zał04 Regulamin Ochrony Danych Osobowych.docx

Po zapoznaniu się z zasadami ochrony danych osobowych, pracownicy zobowiązane są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania tj załącznik nr 05AZałączniki\Zał05A Oświadczenie o poufności.docx

8. SZKOLENIA

  1. Każda osoba przed dopuszczeniem do pracy z danymi osobowymi winna być poddana przeszkoleniu i zapoznana z przepisami RODO

  2. Za przeprowadzenie szkolenia odpowiada IOD.

  3. W przypadku przeprowadzenia szkolenia wewnętrznego z zasad ochrony danych osobowych wskazane jest udokumentowanie odbycia tego szkolenia za pomocą podpisu listy obecności.

  4. Materiały szkoleniowe z przeprowadzonych szkoleń znajdują się w katalogu \PROCEDURY I INSTRUKCJE\Szkolenia

9. AUDYTY

Zgodnie z art. 32 RODO, Administrator powinien regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Celem audytów wewnętrznych jest ocena, czy system ochrony danych osobowych jest skutecznie wdrożony i funkcjonuje zgodnie z wymaganiami RODO. Audyty prowadzone są w sposób obiektywny i bezstronny. Przestrzegana jest zasada, że audytorzy nie audytują własnej pracy.

  1. Administrator jest odpowiedzialny za planowanie i przeprowadzanie audytów wewnętrznych z roczną częstotliwością.

  2. Administrator opracowuje programy audytów biorąc pod uwagę ważność procesów przetwarzania oraz audytowanych obszarów, jak też wyniki wcześniejszych audytów. Określa on kryteria audytu, jego cel, zakres i ewentualnie metody.

  3. Administrator wyznacza audytora do przeprowadzenia audytu.

  4. Audytor jest zobowiązany do przygotowania się do przeprowadzenia audytu, zapoznając się z opisem audytowanego obszaru, stosowanych procedur i wyników poprzednich audytów.

  5. Audytor realizuje działania audytowe mające na celu uzyskanie obiektywnych dowodów potwierdzających poprawność realizowanych zadań, procedur, polityk, zabezpieczeń, celów, spełniania wymagań RODO.

  6. W przypadku stwierdzenia uchybień mających wpływ na skuteczność działania systemu ochrony danych zgodnego z RODO, audytor identyfikuje tzw. uchybienia lub spostrzeżenia

  7. Wynik audytu zostaje udokumentowany przez audytora i przekazany Administratorowi.

  8. Administrator dokonuje przeglądu i analizy wyniku audytu oraz decyduje o inicjowaniu działań korygujących, w przypadku zaistnienia poważnych uchybień.

10. WYKAZ ZABEZPIECZEŃ

  1. Administrator prowadzi wykaz zabezpieczeń, które stosuje w celu ochrony danych osobowych, patrz załącznik nr 8Załączniki\Zał08 Określenie środków technicznych i organizacyjnych.docx. W wykazie wskazano stosowane zabezpieczenia proceduralne oraz zabezpieczenia jako środki techniczne.

  2. Wykaz jest aktualizowany po każdej analizie ryzyka.

 

11. POROZUMIENIA I KONTAKTY ZE STRONAMI ZEWNĘTRZNYMI.

W przypadku zawierania umów z firmami zewn­ętrznymi mającymi wpływ na funkcjonowanie kluczowych elementów systemu ochrony danych osobowych zalecane jest zawarcie umowy powierzenia i określenie w niej nast­ępujących elementów:

  1. przedmiot przetwarzania,

  2. czas trwania przetwarzania,

  3. charakter i cel przetwarzania,

  4. rodzaj danych osobowych,

  5. kategorię osób, których dane dotyczą,

  6. obowiązki i prawa administratora,

  7. obowiązki podmiotu przetwarzającego.

Jednocześnie, umowa lub inny instrument prawny będą musiały stanowić w szczególności, że podmiot przetwarzający:

1) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora;

2) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

3) wdroży odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych (środki te mogą obejmować np. pseudonimizację i szyfrowanie danych osobowych, zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwa­rzania, przywracanie dostępności danych w razie incydentu fizycznego lub technicznego, regularne testowanie i ocenianie skuteczności ww. środków);

4) pomaga administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia (a więc wspiera w realizacji uprawnień osoby o charakterze informacyjnym, korekcyjnym i zakazowym);

5) pomaga administratorowi w zabezpieczaniu danych, zgłaszaniu naruszeń organowi nadzorczemu, zawiadamianiu osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych;

6) po zakończeniu świadczenia usług, zależnie od decyzji administratora, usuwa lub zwraca wszelkie dane osobowe na jego rzecz oraz usuwa wszelkie ich istniejące kopie;

7) umożliwia przeprowadzanie audytów i przyczynia się do nich.

Wzór umowy powierzenia danych osobowych znajduje się w katalogu: PROCEDURY I INSTRUKCJE\Umowy powierzenia\umowa_powierzenia_zgodna_z_RODO_Autos.docx

12. OBOWIĄZKI PRACOWNIKÓW

­1. Każdy pracownik przy wykonywaniu swoich obowiązków służbowych jest zobowi­ązany do przestrzegania postanowień niniejszej Polityki oraz postanowień innych części dokumentacji bezpieczeństwa informacji, a także poleceń dotyczących bezpieczeństwa otrzymywanych od IOD oraz Administratora systemu informatycznego (ASI) .

2. IOD nadzoruje przestrzeganie zasad i przepisów z zakresu ochrony danych osobowych.

3. Każdy z pracowników jest zobowi­ązany do uczestniczenia w organizowanych szkoleniach z zakresu ochrony danych osobowych.

4. Każdy pracownik jest zobowiązany do podj­ęcia bezpośrednich działań dla zapobiegania incydentom lub minimalizowania skutków incydentów w miarę­ swoich możliwości i kompetencji, w razie potrzeby zawiadamiając przełożonych lub inspektora. W razie potrzeby o zgłoszeniu incydentu Policji decyduje Administrator Danych.

13. ZASADY PRZYZNAWANIA DOSTĘPU

1. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby upoważnione.

2. Zakres upoważnienia, zakres uprawnień i przyznanie dostępu pracowników do systemów informatycznych zgodny z zakresem obowią­zków danego pracownika określa bezpośredni przełożony.

3. W imieniu administratora danych upoważnienia do przetwarzania danych może nadawać osoba posiadająca pełnomocnictwo w tym zakresie nadane przez administratora danych. Wzór upoważnienia do przetwarzania danych stanowi załącznik nr 6 Załączniki\Zał06 Upoważnienie.docx do niniejszej Polityki.

4. Pracownik działu IT zakłada upoważnionemu użytkownikowi konto w systemie z adekwatnym poziomem uprawnień na podstawie zgłoszenia od bezpośredniego przełożonego w systemie service desk.

5. W zarz­ądzaniu dost­ępem obowiązuje zasada, że dost­ęp użytkownika powinien opierać si­ę na spełnieniu zasady rozliczalności oraz zasady niezaprzeczalności. W przypadku systemów informatycznych obowiązują nastę­pujące wymagania:

  1. wymóg jednoznacznej identyfikacji pracownika - tj. w systemach informatycznych każdy użytkownik pracuje wyłącznie na swoim indywidualnym koncie, nie są stosowane konta anonimowe lub współdzielone poza wyjątkami, gdzie z przyczyn technicznych nie ma innej możliwości,

  2. wymóg uwierzytelnienia pracownika przy korzystaniu z systemu informatycznego,

  3. autoryzacji przyznania praw dost­ępu do systemów informatycznych.

14. POSTĘPOWANIE W PRZYPADKU NARUSZENIA OCHRONY DANYCH OSOBOWYCH

    1. Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych osobowych uważa się w szczególności, ale nie wyłącznie:

      1. naruszenie bezpieczeństwa systemów informatycznych, w których przetwarzane są dane osobowe;

      2. udostępnienie danych osobowych osobom nieupoważnionym;

      3. przetwarzanie danych osobowych niezgodnie z założonym zakresem i celem ich przetwarzania;

      4. nieuprawnione lub przypadkowe uszkodzenie, utratę, zniszczenie lub zmianę danych osobowych.

    2. W przypadku stwierdzenia naruszenia ochrony danych osobowych pracownik, który odkryje fakt naruszenia obowiązany jest niezwłocznie powiadomić o tym fakcie inspektora danych osobowych.

    3. IOD po przeprowadzeniu postępowania wyjaśniającego i dokonaniu oceny zasadności zgłoszenia do organu nadzorczego przez pryzmat prawdopodobieństwa, czy naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, odstępuje od sporządzenia zgłoszenia lub sporządza odpowiednie zgłoszenie i przekazuje je niezwłocznie Prezesowi Urzędu Ochrony Danych Osobowych.

    4. Od momentu wykrycia faktu naruszenia do ewentualnego zgłoszenia nie może upłynąć więcej niż 72 godziny.

    5. Jeżeli ryzyko naruszenia praw i wolności osoby, której dane osobowe dotyczą jest wysokie, PW Autos zawiadamia o incydencie także osobę, której danej dotyczą, chyba że:

      1. zostały wdrożone odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;

      2. Spółka zastosuje następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą; lub

      3. wymagałoby to niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

    6. Niezależnie od obowiązków wskazanych w niniejszym paragrafie, inspektor dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Wzór rejestru naruszeń danych osobowych stanowi załącznik nr 7 Zał07 Formularz rejestracji incydentu Autos.xlsx.

15. POSTANOWIENIA KOŃCOWE

  1. Polityka jest przechowywana w wersji papierowej oraz elektronicznej w siedzibie Spółki.

  2. Politykę( bez załączników) udostępnia się:

  • osobom zainteresowanym, w szczególności osobom fizycznym, których dane dotyczą poprzez zamieszczenie na stronie internetowej PW Autos, oraz w formie papierowej w siedzibie Spółki.

  1. W sprawach nieuregulowanych w Polityce odpowiednie zastosowanie znajdują postanowienia RODO oraz powszechnie obowiązujące przepisy prawa polskiego i europejskiego.