POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA
DANYCH OSOBOWYCH
W JOGA SZTUKA ŻYCIA
Ul. Kordeckiego 48/2, 04-330 Warszawa
Wg. ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679
z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Opracował Administrator Danych Osobowych w Joga Sztuka Życia: Justyna Wojciechowska
Data i miejsce sporządzenia dokumentu: 25.05.2018
Ilość stron: 10
1. INFORMACJE OGÓLNE
1.1. Głównym celem wprowadzenia Polityki Bezpieczeństwa jest zapewnienie zgodności działania i procedur w firmie Joga Sztuka Życia z przepisami o ochronie danych osobowych oraz jej rozporządzeniami wykonawczymi.
1.2. Dokument Polityki Bezpieczeństwa opisuje zasady i procedury przetwarzania danych osobowych i ich zabezpieczenia przed nieuprawnionym dostępem.
2. MIEJSCE PRZETWARZANIA, ZAKRES ORAZ STRUKTURA DANYCH OBJĘTYCH POLITYKĄ BEZPIECZEŃSTWA
2.1. Dane osobowe gromadzone przez firmę są przechowywane i przetwarzane w lokalizacjach:
– 04-330 Warszawa, ul. Kordeckiego 48/2
– 00-712 Warszawa, ul. Melomanów 10/37
2.2. Zbiory danych osobowych
– dane klientów zajęć jogi (rejestr klientów – joga załącznik nr 1A)
– dane pracowników (rejestr pracowników – załącznik nr 1B)
– dane kontrahentów (rejestr kontrahentów – załącznik nr 1C)
2.3. Powyższe załączniki zawierają strukturę danych każdego ze zbiorów, miejsce ich przechowywania oraz sposoby zabezpieczenia.
3. OSOBY ODPOWIEDZIALNE ZA OCHRONĘ DANYCH OSOBOWYCH
3.1. Administratorem Danych Osobowych (ADO) w firmie Joga Sztuka Życia jest jej właściciel Justyna Wojciechowska.
3.2. ADO odpowiedzialny jest za:
– nadzorowanie procesów przepływu i gromadzenia danych osobowych,
– nadzorowanie procedur zabezpieczania danych osobowych,
– nadzorowanie procedur usuwania danych osobowych,
– szkolenie i udzielanie upoważnień pracownikom firmy,
– nadzorowanie procedur powierzenia dostępu i przetwarzania danych osobowych podmiotom trzecim.
4. UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH
4.1. Do przetwarzania danych osobowych w Joga Sztuka Życia upoważnieni są pracownicy zatrudnieni w firmie którzy:
– przeszli szkolenie w zakresie procedur ochrony danych osobowych w firmie prowadzone przez ADO,
– uzyskali upoważnienie do przetwarzania danych od ADO.
4.2. Aktualny wykaz pracowników oraz zakres ich uprawnień zawiera załącznik nr 2.
4.3. Aktualne oświadczenia o ukończeniu szkolenia oraz upoważnienia do przetwarzania danych przechowywane są razem z Polityką Bezpieczeństwa w lokalu Joga Sztuka Życia, 04-330 Warszawa, ul. Kordeckiego 48/2
5. UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
5.1. ADO może powierzyć dostęp do danych osobowych oraz ich przetwarzania podmiotom trzecim.
5.2. W takim wypadku ADO podpisuje umowę powierzenia.
5.3. Aktualny wykaz podmiotów z którymi ADO zawarł umowę powierzenia zawiera załącznik nr 3.
5.4. Aktualne umowy powierzenia przechowywane są razem z Polityką Bezpieczeństwa lokalu przy ul. Kordeckiego 48/2, 04-330 Warszawa
6. OGÓLNE ZASADY BEZPIECZEŃSTWA OBOWIĄZUJĄCE PRZY PRZETWARZANIU DANYCH OSOBOWYCH
6.1. Za bezpieczeństwo przetwarzania danych osobowych w określonym zbiorze, indywidualną odpowiedzialność ponosi przede wszystkim każdy pracownik mający dostęp do danych oraz osoby współpracujące, którym powierzono przetwarzanie danych w ramach stosownych umów.
6.2. Pracownicy mający dostęp do danych osobowych oraz osoby współpracujące, którym powierzono przetwarzanie danych w ramach stosownych umów nie mogą ich ujawniać zarówno w miejscu pracy, jak i poza nim, w sposób wykraczający poza czynności związane z ich przetwarzaniem w zakresie obowiązków służbowych, w ramach udzielonego upoważnienia do przetwarzania danych.
6.3. W miejscu przetwarzania danych osobowych utrwalonych w formie papierowej pracownicy zobowiązani są do stosowania zasady tzw. „czystego biurka”. Zasada ta oznacza nie pozostawianie materiałów zawierających dane osobowe w miejscu umożliwiającym fizyczny dostęp do nich osobom nieuprawnionym. Za realizację powyższej zasady odpowiedzialny jest na swym stanowisku każdy z pracowników oraz osób współpracujących którym powierzono przetwarzanie danych w ramach stosownych umów.
6.4. Niszczenie brudnopisów, błędnych lub zbędnych kopii materiałów zawierających dane osobowe musi odbywać się w sposób uniemożliwiający odczytanie zawartej w nich treści, np. z wykorzystaniem niszczarek.
6.5. Niedopuszczalne jest wynoszenie materiałów zawierających dane osobowe poza obszar ich przetwarzania bez związku z wykonywaniem czynności służbowych. Za bezpieczeństwo i zwrot materiałów zawierających dane osobowe odpowiada w tym przypadku osoba dokonująca ich wyniesienia.
6.6. Pracownicy oraz osoby współpracujące, którym powierzono przetwarzanie danych w ramach stosownych umów zobowiązani są do zamykania na klucz wszelkich pomieszczeń lub budynków wchodzących w skład obszarów, w których przetwarzane są dane osobowe w czasie ich chwilowej nieobecności w pomieszczeniu pracy, jak i po jej zakończeniu, a klucze nie mogą być pozostawione w zamku w drzwiach. Pracownicy oraz osoby współpracujące, którym powierzono przetwarzanie danych w ramach stosownych umów zobowiązani są do dołożenia należytej staranności w celu zabezpieczenia posiadanych kluczy przed nieuprawnionym dostępem.
7. KONTROLA PRZETWARZANIA I STANU ZABEZPIECZENIA DANYCH OSOBOWYCH
7.1. Nadzór i kontrolę procesów przetwarzania danych i stanu zabezpieczenia danych osobowych sprawuje ADO Justyna Wojciechowska.
7.2. Raz do roku wykonuje on wewnętrzny audyt, którego wyniki przechowywane są wraz z Polityką Bezpieczeństwa lokalu przy ul. Kordeckiego 48/2, 04-330 Warszawa
7.3. W wyniku wykrycia uchybień ADO zobowiązany jest do wdrożenia procedur naprawczych i ponowienia szkolenia pracowników i weryfikacji umów powierzenia.
8. STRUKTURA PRZEPŁYWU DANYCH OSOBOWYCH KLIENTÓW W JOGA SZTUKA ŻYCIA
8.1. Typy działalności gospodarczej
Joga Sztuka Życia realizuje jeden typ działalności gospodarczej, dla realizacji którego gromadzi i przetwarza dane osobowe:
-usługi z zakresu organizacji zajęć rekreacji ruchowej (zajęć jogi) opisane w pkt. 8.2
8.2. Organizacja zajęć jogi
8.2.1. Rodzaj gromadzonych danych klientów
W ramach usług organizacji zajęć rekreacji ruchowej (zajęcia jogi) Joga Sztuka Życia gromadzi poniższe dane klienta:
– imię i nazwisko,
– adres e-mail,
– numer telefonu
– adres zamieszkania (opcjonalnie do wystawienia faktury)
8.2.2. Forma pozyskania danych klientów oraz zgody klientów
8.2.2.1. Joga Sztuka Życia gromadzi dane klientów w dwojaki sposób:
– bezpośrednio w lokalu Joga Sztuka Życia klienci podają dane w formularzu rejestracyjnym w formie papierowej,
– za pośrednictwem formularza rezerwacyjnego na stronie internetowej www.jogasztukazycia.pl
8.2.2.2. Osoby podające powyższe dane wyrażają zgodę na przetwarzanie danych w związku z realizacją usługi.
8.2.2.3. Osoby podające powyższe dane wyrażają zgodę na otrzymywanie treści informacyjnych drogą mailową lub telefoniczną. Osoby podające powyższe dane potwierdzają, iż zapoznały się z regulaminem zajęć w Joga Sztuka Życia
8.2.3. Przetwarzanie i archiwizacja danych klientów gromadzonych w formie papierowej
8.2.3.1. Pracownik odbierający od klienta wypełniony formularz w formie papierowej jest zobowiązany do niezwłocznego schowania go do szuflady znajdującej się na recepcji lokalu przy ul. Kordeckiego 48/2, 04-330 Warszawa
8.2.3.2. Dane klientów wymienione w pkt. 8.2.1. wprowadzane są do elektronicznej bazy klientów – freshmail oraz w programie pocztowym na komputerze ADO.
8.2.3.3. Dane pozyskane w formie papierowej są przechowywane w Joga Sztuka Życia, ul. Kordeckiego 48/2, 04-330 Warszawa w szufladzie przez okres 1 miesiąca kalendarzowego i są wpisywane do bazy mailingowej.
W tym momencie usuwane są trwale z formularza wszelkie dane kontaktowe:
– adres e-mail,
– numer telefonu
– adres zamieszkania
Pozostaje tylko imię i nazwisko oraz potwierdzenie zapoznania się z regulaminem.
8.2.4. Przetwarzanie i archiwizacja danych klientów gromadzonych przez formularz rezerwacyjny na stronie internetowej www.jogasztukazycia.pl
8.2.4.1. Dane klientów gromadzone z pomocą formularza rezerwacyjnego na stronie internetowej www.jogasztukazycia.pl przetwarzane i archiwizowane są w elektronicznej bazie klientów – freshmail oraz w programie pocztowym na komputerze ADO.
8.2.4.2. Dane przechowywane w komputerze ADO znajdują się w lokalizacji Zmiennej.
9. STRUKTURA PRZEPŁYWU DANYCH OSOBOWYCH PRACOWNIKÓW I KONTRAHENTÓW W JOGA SZTUKA ŻYCIA
9.1. Dane pracowników
9.1.1. Rodzaj gromadzonych danych pracowników
W związku z zatrudnianiem pracowników Joga Sztuka Życia gromadzi poniższe dane osobowe:
– imię nazwisko
– adres zamieszkania
– adres e-mail
– numer telefonu
– numer dowodu osobistego
9.1.2. Forma pozyskania danych pracowników oraz zgody
9.1.2.1. Dane pozyskiwane są w formie formularzy papierowych wypełnianych przez pracownika.
9.1.2.2. Osoby podejmujące zatrudnienie w Joga Sztuka Życia przed zatrudnieniem wyrażają zgodę na przetwarzanie danych w związku z procedurą zatrudnienia.
9.1.2.3. Osoby podejmujące zatrudnienie w Joga Sztuka Życia wyrażają zgodę na kontakt w sprawach dotyczących pracy za pośrednictwem telefonu oraz e-maila.
9.1.3. Przetwarzanie i archiwizacja danych pracowników
9.1.3.1. Dane pozyskane w formie papierowej przechowywane są w Joga Sztuka Życia w zamkniętej szufladzie przez miesiąc kalendarzowy. Na początku nowego miesiąca kalendarzowego przewożone są przez ADO do archiwum w lokalu księgowości obsługującej Joga Sztuka Życia.
9.1.3.2. Dane przetwarzane i przechowywane są na dysku komputera ADO i w systemach informatycznych (program pocztowy typu Outlook) oraz telefonie ADO.
9.1.3.3. Dane przekazywane są do Biura Księgowego zgodnie z aktualną umową powierzenia.
9.2. Dane kontrahentów
9.2.1. Rodzaj gromadzonych danych kontrahentów
Gromadzone dane:
– imię nazwisko
– adres e-mail
– numer telefonu
9.2.2. Forma pozyskania danych kontrahentów oraz zgody
Dane pozyskiwane w wyniku bezpośredniego kontaktu z pracownikami kontrahentów. Nie są zbierane żadne zgody.
9.2.3. Przetwarzanie i archiwizacja danych kontrahentów
9.2.3.1. Dane przetwarzane i przechowywane są na komputerze ADO, w programie pocztowym typu Outlook oraz w telefonie ADO.
9.2.3.2. Dane mogą być przekazywane podmiotom trzecim w ramach umów powierzenia.
10. ŚRODKI TECHNICZNE NIEZBĘDNE DLA ZAPEWNIENIA POUFNOŚCI I BEZPIECZEŃSTWA DANYCH OSOBOWYCH
10.1. Lokal przy ul. Kordeckiego 48/2, 04-330 Warszawa
10.1.1. W celu zapewnienia poufności i bezpieczeństwa gromadzonych i przetwarzanych danych osobowych w powyższym lokalu:
– formularze papierowe z zapisanymi danymi przechowywane są w szufladzie
– dostęp do systemu komputerowego obsługującego system sprzedażowy zabezpieczony jest hasłem którego wpisanie konieczne jest po 1 min bezczynności.
10.1.2. Dane pracowników oraz dane kontrahentów w tym umowy powierzenia i oświadczenia przechowywane są w szufladzie.
10.2. Lokal biura księgowego obsługującego Joga Sztuka Życia, ul. Młynarska 31, 01-175 Warszawa
10.3. Komputer ADO
W celu zapewnienia poufności i bezpieczeństwa gromadzonych i przetwarzanych danych osobowych na komputerze ADO: hasło dostępu
– dostęp do systemu jest zabezpieczony hasłem,
– system komputera jest chroniony przez program antywirusowy.
10.4. Telefon służbowy ADO
Telefon służbowy ADO w którym znajdują się numery kontaktowe do klientów oraz kontrahentów Joga Sztuka Życia zabezpieczone są hasłami.
10.5. Serwery zewnętrzne
10.5.1. Zbiory danych przechowywane na serwerach zewnętrznych w systemach:
– strony internetowej www.jogasztukazycia.pl
zabezpieczone są hasłami.
10.5.2. Dostawcy usług nie mają dostępu do baz danych.
11. USUWANIE DANYCH OSOBOWYCH
11.1. W przypadku zgłoszenia przez klienta żądania usunięcia danych osobowych ADO dokonuje przeglądu baz i archiwów w celu identyfikacji obecności danych klienta:
– formularzy rejestracyjnych
– freshmail
11.2. ADO usuwa dane klienta z baz i archiwów wymienionych w pkt. 11.1.
W rejestrach firmy pozostaje tylko papierowa forma oświadczenia klienta o zapoznaniu się z regulaminem zajęć jogi zawierające imię nazwisko oraz podpis. Oświadczenie to Joga Sztuka Życia przechowuje na wypadek roszczeń odszkodowawczych ze strony klienta. Dane te nie są w jakikolwiek sposób przetwarzane.
12. INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH
12.1. Każda osoba, która poweźmie wiadomość w zakresie naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe bądź posiada informacje mogące mieć wpływ na bezpieczeństwo danych osobowych, jest zobowiązana fakt ten niezwłocznie zgłosić ADO – Justyna Wojciechowska.
12.2. Po otrzymaniu zgłoszenia naruszenia bezpieczeństwa danych ADO jest zobowiązany:
– zapoznać się z zaistniałą sytuacją i dokonać wyboru metod dalszego postępowania
– wysłuchać relacji osoby zgłaszającej z zaistniałego naruszenia, jak również relacji każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem,
– niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków, a następnie ustalić przyczyny, lub sprawców zaistniałego zdarzenia, jeżeli jest to możliwe,
– udokumentować zaistniałe naruszenie.
12.3. ADO dokumentuje zaistniały przypadek naruszenia oraz sporządza raport – „Rejestr incydentów” (wzór w załączniku nr 4). Raport przechowywany jest wraz z Polityką Bezpieczeństwa lokalu przy ul. Kordeckiego 48/2, 04-330 Warszawa.
12.4. ADO podejmuje decyzję o zgłoszeniu incydentu do GIODO.
12.5. Po wyczerpaniu niezbędnych środków doraźnych po zaistniałym naruszeniu, ADO zasięga niezbędnych opinii i proponuje postępowanie naprawcze (w tym ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń) i zarządza termin wznowienia przetwarzania danych.
13. ZAWIADAMIANIE OSOBY, KTÓREJ DANE DOTYCZĄ, O NARUSZENIU OCHRONY DANYCH OSOBOWYCH
13.1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator (ADO) zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
13.2. Zawiadomienie, jasnym i prostym językiem powinno opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej niżej wymienione informacje;
• imię i nazwisko oraz dane kontaktowe ADO lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
• opisywać możliwe konsekwencje naruszenia ochrony danych osobowych,
• opisywać środki zastosowane lub proponowane przez ADO w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
13.3. Zawiadomienie nie jest wymagane w następujących przypadkach:
13.3.1. ADO wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych,
13.3.2. Administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w pkt. 13.3.1,
13.3.3. Wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, wymienionych wyżej.
13.4. Wzór zawiadomienia stanowi załącznik nr 5 .
14. OBOWIĄZEK INFORMACYJNY – POLITYKA PRYWATNOŚCI
14.1. ADO zamieszcza na stronie internetowej Joga Sztuka Życia ogólnodostępny dokument „Polityka prywatności” określający zasady przetwarzania i ochrony danych, które przekazują osoby korzystające ze strony www.jogasztukazycia.pl.
14.2. Dokument „Polityka prywatności” stanowi załącznik nr 6.
© Wszelkie prawa zastrzeżone. Na tej stronie wykorzystujemy cookies.
Szczegółowe informacje znajdziesz w polityce prywatności i plików cookies.