Kim jesteśmy?
Nominis Przemysław Garbacik, ul. Podmiejska 19A, 21-500 Biała Podlaska, sklep internetowy www.nominis.pl
Polityka Ochrony danych osobowych
Polityka w swojej treści przedstawia:
-
opis zasad ochrony danych obowiązujących u Administratora,
-
jeśli jest to niezbędne – również odwołania do załączników uszczegółowiających (wzorcowe procedury lub instrukcje dotyczące poszczególnych obszarów z zakresu ochrony danych osobowych wymagających doprecyzowania w odrębnych dokumentach).
Odpowiedzialny za wdrożenie i utrzymanie niniejszej Polityki jest zarząd Administratora, a w ramach zarządu:
-
członek zarządu lub członkowie zarządu, którym powierzono nadzór nad obszarem ochrony danych osobowych,
-
osoba wyznaczona przez zarząd do zapewnienia zgodności z ochroną danych osobowych.
Za stosowanie niniejszej Polityki odpowiedzialni są:
-
Administrator,
-
wszyscy członkowie personelu Administratora.
Administrator powinien też zapewnić zgodność postępowania kontrahentów z niniejszą Polityką w odpowiednim zakresie, szczególnie w przypadkach gdy mamy do czynienia z przekazaniem im danych osobowych przez Administratora. W tym celu Administrator zawiera z kontrahentami, którzy uzyskują dostęp do danych osobowych klientów Administratora umowy o powierzenie przetwarzania danych osobowych.
4.1. Ochrona danych osobowych u Administratora – procedury ochrony.
4.1.1. Podstawy ochrony danych osobowych:
- Legalność – Administrator dba o ochronę prywatności i przetwarza dane zgodnie z prawem i jedynie na podstawie obowiązujących przepisów prawa.
- Bezpieczeństwo – Administrator zapewnia poziom bezpieczeństwa danych odpowiadający sektorowi jego działalności, podejmując stale działania w tym zakresie (Administrator korzysta w tym zakresie z usług oferowanych przez podmioty zawodowo trudniące się problematyką ochrony danych, takich jak kancelarie prawne).
- Prawa osób fizycznych – Administrator umożliwia osobom fizycznym, których dane przetwarza, wykonywanie swoich praw przyznanych przez przepisy RODO i realizuje te prawa, stosując się do wszystkich, opisanych w niniejszej Polityce stadiów ochrony danych.
- Rozliczalność – Administrator dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej chwili móc wykazać zgodność. Dokumentacja przechowywana jest w miejscach odpowiednio chronionych, przy zachowaniu zasad bezpieczeństwa przed wyciekiem danych.
-
-
-
Zasady ochrony danych
-
-
Administrator przetwarza dane osobowe mając na uwadze przede wszystkim, by przetwarzanie danych następowało:
- w oparciu o podstawę prawną i zgodnie z prawem (legalizm),
- rzetelnie i z poszanowaniem praw jednostki (rzetelność),
- w sposób przejrzysty dla osoby, której dane dotyczą, mając na uwadze, że osoby fizyczne mają ograniczony czas na zaznajomienie się ze sposobami przetwarzania danych, stosowanymi przez Administratora (transparentność),
- w konkretnych celach i nie w celu bliżej niesprecyzowanych celów – przetwarzanie danych „na przyszłość” (minimalizacja),
- jedynie w takim zakresie, jaki jest niezbędny (adekwatność),
- z dbałością o to, by przetwarzane przez Administratora dane były zgodne z rzeczywistością (prawidłowość),
- nie dłużej niż jest to niezbędne do wykonania obowiązków wynikających ze stosunku prawnego lub faktycznego łączącego Administratora z drugą stroną i jedynie w takim zakresie, w jakim Administrator powiadomił osobę fizyczną o czasie, w jakim dane będą przetwarzane (czasowość),
- zapewniając odpowiednie bezpieczeństwo danych z uwagi na potencjalne ryzyka i zagrożenia związane z operacjami, dokonywanymi na danych osobowych (bezpieczeństwo).
-
-
-
Stosowane systemy ochrony danych
-
-
System ochrony danych osobowych u Administratora składa się przede wszystkim takich składników, jak:
- Inwentaryzacja danych. Administrator dokonuje identyfikacji zasobów danych osobowych, klas danych, zależności między zasobami danych, identyfikacji sposobów wykorzystania danych (inwentaryzacja), w tym:
- przypadków przetwarzania danych osób niezidentyfikowanych przez Administratora (dane niezidentyfikowane),
- przypadków przetwarzania danych dzieci,
- profilowania,
- Rejestr Przetwarzania Danych Osobowych. Administrator opracowuje, prowadzi i utrzymuje rejestr czynności dokonywanych na danych osobowych u Administratora (dalej: „Rejestr” lub „RCPD”). Rejestr jest narzędziem rozliczania zgodności przetwarzania danych osobowych u Administratora z powszechnie obowiązującymi przepisami prawa.
- Podstawy prawne. Administrator zapewnia, identyfikuje oraz weryfikuje podstawy prawne przetwarzania danych i rejestruje je w Rejestrze, w tym:
- utrzymuje system zarządzania zgodami na przetwarzanie danych i komunikację na odległość, by w prosty sposób zdeterminować możliwość komunikacji z osobami fizycznymi w określonych celach;
- uzasadnia przypadki, gdy Administrator przetwarza dane na podstawie prawnie uzasadnionego interesu Administratora.
- Obsługa praw jednostki. Administrator spełnia obowiązki informacyjne względem osób, których dane przetwarza oraz zapewnia obsługę ich praw (art. 12 ust. 3 RODO), realizując otrzymane w tym zakresie żądania, w tym:
- obowiązek informacyjny. Administrator przekazuje osobom wymagane informacje przy zbieraniu danych i w innych sytuacjach (na początkowym etapie wdrażania przepisów RODO, Administrator legalizuje istniejącą bazę danych w zakresie w jakim chodzi o powiadomienie o nowych uprawnieniach przyznanych osobom fizycznym przez RODO) oraz organizuje i zapewnia udokumentowanie realizacji tych obowiązków, tak by móc wykazać ich wypełnienie w przypadku ewentualnej kontroli Urzędu Ochrony Danych Osobowych,
- Wykonanie żądań osób fizycznych. Administrator zapewnia możliwość wykonania żądań kierowanych do niej przez osoby fizyczne, których dane osobowe przetwarza zarówno przez siebie i swoich przetwarzających (obowiązki procesorów nałożone w drodze umów o powierzenie przetwarzania danych osobowych),
- obsługa żądań osób fizycznych. Administrator zapewnia odpowiednie nakłady finansowe i personelowi, jak również procedury, aby żądania osób były realizowane w terminach i w sposób wymagany RODO, jak również by ich wykonanie zostało każdorazowo udokumentowane we właściwy sposób,
- zawiadamianie o naruszeniach. Administrator stosuje procedury, które pozwalają ustalić konieczność zawiadomienia osób dotkniętych zidentyfikowanym naruszeniem ochrony danych. W tym celu członek zarządu w osobie do tego wyznaczonej, nadzoruje procesy przetwarzania danych w ten sposób, by zawiadomienie o naruszeniach mogło nastąpić niezwłocznie, jednak zawsze w terminach nie późniejszych niż określone w powszechnie obowiązujących przepisach prawa.
-
Minimalizacja. Administrator wdrożył zasady i metody kompatybilne z określoną przepisami RODO zasadą minimalizacji, w ten sposób by nie przetwarzać danych osobowych zbędnych i nadmiarowych. Administrator poprzez zasadę minimalizacji dąży, by w jego bazie danych nie znajdowały się dane, które nie są absolutnie niezbędne do poprawnego wykonywania stosunków prawnych i faktycznych łączących Administratora z jej klientami i kontrahentami (privacy by default), a w tym:
-
zasady pomagające efektywnie zarządzać adekwatnością danych już na etapie zbierania danych (formularze przystosowane do niepobierania danych nadmiarowych),
-
zasady zarządzania dostępem do danych osób fizycznych, które o taki dostęp wnioskują, poprzez odpowiednie przeszkolenie osób odpowiedzialnych za te kwestie na terenie działalności Administratora jak również przygotowanie odpowiedniej procedury działania,
-
zasady zarządzania okresem przechowywania danych i weryfikacji dalszej przydatności, a w efekcie niezwłocznego usuwania danych osobowych osób fizycznych, gdy wygaśnie podstawa prawna do takiego działania.
-
-
Bezpieczeństwo. Administrator zapewnia odpowiedni poziom bezpieczeństwa danych, w tym:
-
przeprowadza niezbędne analizy ryzyka dla czynności przetwarzania danych lub ich kategorii, stosując przy tym odpowiednią skalę ryzyk, stanowiącą załącznik do Rejestru Czynności Przetwarzania Danych,
-
przeprowadza oceny skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw i wolności osób jest wysokie ze względu na ich charakter lub miejsce przechowywania,
-
dostosowuje środki ochrony danych do ustalonego ryzyka,
-
posiada wewnętrzne procedury zarządzania bezpieczeństwem informacji,
-
stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych – zarządza incydentami.
-
-
Podmioty Przetwarzające. Administrator posiada zasady weryfikacji podmiotów przetwarzających dane na rzecz Administratora, wymogów co do warunków przetwarzania (w tym celu z każdym podmiotem przetwarzającym dane osobowe powierzone przez Administratora zawierana jest umowa o powierzenie przetwarzania danych osobowych), zasad weryfikacji wykonywania umów powierzenia, przede wszystkim poprzez stosowanie wymogów przedstawienia przez podmioty przetwarzające stosowanych przez Administratora procedur zabezpieczenia, będących załącznikami do umów powierzenia przetwarzania danych w imieniu Administratora.
- Przekazywanie danych do państw trzecich. Administrator weryfikuje czy dane osobowe osób fizycznych nie są przekazywane do państw trzecich (tj. poza teren Unii Europejskiej, Norwegii, Lichtensteinu i Islandii) lub do organizacji międzynarodowych oraz zapewnia zgodne z prawem warunki takiego przekazywania, jeśli ma ono miejsce.
- Privacy by design. Administrator zarządza zmianami wpływającymi na prywatność i kontroluje je w odpowiedni ze względu na przepisy o ochronie danych osobowych sposób. W tym celu procedury uruchamiania nowych projektów i inwestycji przez Administratora uwzględniają konieczność oceny wpływu zmiany na ochronę danych, analizę ryzyka, zapewnienie prywatności (a w tym zgodności celów przetwarzania, bezpieczeństwa danych i minimalizacji) już w fazie projektowania zmiany, inwestycji czy na początku nowego projektu.
- Przetwarzanie transgraniczne. Administrator każdorazowo weryfikuje czy nie zachodzi przypadek transgranicznego przetwarzania danych osobowych, by w tym celu wypełnić wszystkie prawne obowiązki nakładane w związku z tym na administratora.