-
Polityka bezpieczeństwa informacji
Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona dla potwierdzenia, że dane osobowe są przetwarzane i zabezpieczone zgodnie z wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczenia danych - w tym z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO).
Definicje:
Administrator Danych – Ebmeble Barbara Tudor-Nita
Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji narzędzi programowych zastosowanych w celu przetwarzania danych;
Użytkownik – osoba upoważniona przez Administratora Danych do Przetwarzania danych osobowych;
Zbiór danych – każdy uporządkowany zestaw danych o charakterze osobowym, dostępny według określonych kryteriów;
Przetwarzanie danych – jakiekolwiek operacje wykonywane na Danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie w formie tradycyjnej oraz w systemach informatycznych;
Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym (Użytkownika) w razie Przetwarzania danych osobowych w takim systemie;
Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym (Użytkownikowi) w razie przetwarzania danych osobowych w takim systemie;
Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu (Użytkownika).
Postanowienia ogólne
- Polityka dotyczy wszystkich Danych osobowych przetwarzanych w EBmeble Barbara Tudor-Nita, niezależnie od formy ich przetwarzania (przetwarzane tradycyjnie zbiory ewidencyjne, systemy informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane w zbiorach danych.
- Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w siedzibie Administratora.
- Polityka jest udostępniana do wglądu osobom posiadającym upoważnienie do przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma zostać nadane upoważnienie do przetwarzania danych osobowych, celem zapoznania się z jej treścią.
- Dla skutecznej realizacji Polityki Administrator Danych zapewnia:
- odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne,
- kontrolę i nadzór nad Przetwarzaniem danych osobowych,
- monitorowanie zastosowanych środków ochrony.
- Monitorowanie przez Administratora Danych zastosowanych środków ochrony obejmuje m.in. działania Użytkowników, naruszanie zasad dostępu do danych, zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi.
- Administrator Danych zapewnia, że czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem danych osobowych są zgodne z niniejszą polityką oraz odpowiednimi przepisami prawa.
Dane osobowe przetwarzane u administratora danych
- Dane osobowe przetwarzane przez Administratora.
- Administrator danych nie podejmuje czynności przetwarzania, które mogły- by się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator wykona czynności określone w art. 35 i nast.
- W przypadku planowania nowych czynności przetwarzania Administrator dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony danych w fazie ich projektowania.
- Administrator danych prowadzi rejestr czynności przetwarzania. Wzór rejestru czynności przetwarzania stanowi Załącznik nr 1 do niniejszej polityki.
- Wzór klauzuli informacyjnej oraz zgody na przetwarzanie danych osobowych stanowi załącznik nr 6 oraz załącznik nr 7 do niniejszej polityki.
Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem
- Wszystkie osoby zobowiązane są do przetwarzania danych osobowych zgodnie z obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Danych Polityką Bezpieczeństwa, Instrukcją Zarządzania Systemem Informatycznym, a także innymi dokumentami wewnętrznymi i procedurami związanymi z Przetwarzaniem danych osobowych EBmeble Barbara Tudor-Nita
- Wszystkie dane osobowe w EBmeble Barbara Tudor-Nita są przetwarzane z poszanowaniem zasad przetwarzania przewidzianych przez przepisy prawa:
- W każdym wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstaw dla przetwarzania danych.
- Dane są przetwarzane są rzetelnie i w sposób przejrzysty.
- Dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
- Dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu przetwarzania danych.
- Dane osobowe są prawidłowe i w razie potrzeby uaktualniane.
- Czas przechowywania danych jest ograniczony do okresu ich przydatności do celów, do których zostały zebrane, a po tym okresie są one anonimizowane bądź usuwane.
- Wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie z treścią art. 13 i 14 RODO.
- Dane są zabezpieczone przed naruszeniami zasad ich ochrony.
- Administrator danych nie przekazuje osobom, których dane dotyczą, informacji wsytuacji, w której mowa w art. 14 ust 5 pkt a-d RODO.
- Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony Danych osobowych uważa się w szczególności:
- naruszenie bezpieczeństwa Systemów informatycznych, w których przetwarzane są dane osobowe, w razie ich przetwarzania w takich systemach;
- udostępnianie lub umożliwienie udostępniania danych osobom lub pod- miotom do tego nieupoważnionym;
- zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia danym osobowym ochrony;
- niedopełnienie obowiązku zachowania w tajemnicy Danych osobowych oraz sposobów ich zabezpieczenia;
- przetwarzanie Danych osobowych niezgodnie z założonym zakresem i celem ich zbierania;
- spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie Danych osobowych;
- naruszenie praw osób, których dane są przetwarzane.
- W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych Użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego powiadomienia Administratora Danych,
- Do obowiązków Administratora Danych w zakresie zatrudniania, zakończenia lub zmiany warunków zatrudnienia pracowników lub współpracowników (osób podejmujących czynności na rzecz Administratora Danych na podstawie innych umów cywilnoprawnych) należy dopilnowanie, by:
- pracownicy byli odpowiednio przygotowani do wykonywania swoich obowiązków,
- każdy z przetwarzających Dane osobowe był pisemnie upoważniony do przetwarzania zgodnie z „Upoważnieniem do przetwarzania danych osobowych” – wzór Upoważnienia stanowi Załącznik nr 3 do niniejszej Polityki Bezpieczeństwa,
- każdy pracownik zobowiązał się do zachowania danych osobowych przetwarzanych EBmeble Barbara Tudor-Nita w tajemnicy .„Oświadczenie i zobowiązanie osoby przetwarzającej dane osobowe do zachowania tajemnicy” stanowi załącznik nr 4.
- Pracownicy zobowiązani są do:
- ścisłego przestrzegania zakresu nadanego upoważnienia;
- przetwarzania i ochrony danych osobowych zgodnie z przepisami;
- zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
- zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu.
Obszar przetwarzania danych osobowych
- Obszar, w którym przetwarzane są Dane osobowe na terenie EBmeble Barbara Tudor-Nita w Nisku, obejmuje lokal ul. Sienkiewicza 27 37-400 Nisko
- Dodatkowo obszar, w którym przetwarzane są Dane osobowe, stanowią wszystkie komputery przenośne oraz inne nośniki danych znajdujące się poza obszarem wskazanym powyżej.
Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
- Administrator Danych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości Przetwarzanych danych.2.
- Zastosowane środki ochrony (techniczne i organizacyjne) powinny być adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych, Środki obejmują:
a) Ograniczenie dostępu do pomieszczeń, w których przetwarzane są dane osobowe, jedynie do osób odpowiednio upoważnionych. Inne osoby mogą przebywać w pomieszczeniach wykorzystywanych do przetwarzania danych jedynie w towarzystwie osoby upoważnionej.
b) Zamykanie pomieszczeń tworzących obszar Przetwarzania danych osobowych określony w pkt IV powyżej na czas nieobecności pracowników, w sposób uniemożliwiający dostęp do nich osób trzecich.
c) Wykorzystanie zamykanych szafek i sejfów do zabezpieczenia dokumentów.
d) Wykorzystanie niszczarki do skutecznego usuwania dokumentów zawierających dane osobowe.
e) Ochronę sieci lokalnej przed działaniami inicjowanymi z zewnątrz przy użyciu sieci firewall.
f) Wykonywanie kopii awaryjnych danych.
g) Ochronę sprzętu komputerowego wykorzystywanego u administratora przed złośliwym oprogramowaniem. h)Zabezpieczenie dostępu do urządzeń przy pomocy haseł dostępu.
i)Wykorzystanie szyfrowania danych przy ich transmisji.
Naruszenia zasad ochrony danych osobowych
- W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
2. W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki
– jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Wzór zgłoszenia określa załącznik nr 5 do niniejszej polityki.
3. Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o incydencie także osobę, której dane dotyczą.
Powierzenie przetwarzania danych osobowych.
- Administrator Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO. Wzór. Umowy stanowi załącznik nr 8.
- Przed powierzeniem przetwarzania danych osobowych Administrator w miarę możliwości uzyskuje informacje o dotychczasowych praktykach procesora dotyczących zabezpieczenia danych osobowych.
Przekazywanie danych do państwa trzeciego
- Administrator Danych Osobowych nie będzie przekazywał danych osobowych do państwa trzeciego, poza sytuacjami w których następuje to na wniosek osoby, której dane dotyczą.
Postanowienia końcowe.
- Za niedopełnienie obowiązków wynikających z niniejszego dokumentu pracownik ponosi odpowiedzialność na podstawie Kodeksu pracy, Przepisów o ochronie danych osobowych.
- Integralną część niniejszej Polityki bezpieczeństwa stanowią następujące załączniki:
Załącznik nr 1
Rejestr czynności przetwarzania danych osobowych.
Załącznik nr 2
Wzór upoważnienia do przetwarzania danych osobowych.
Załącznik nr 3
Wzór Oświadczenia i zobowiązania osoby przetwarzającej dane osobowe.
Załącznik nr 4
Wzór zgłoszenia naruszenia zasad ochrony danych do organu nadzorczego.
Załącznik nr 5
Wzór klauzuli informacyjnej.
Załącznik nr 6
Wzór zgody na przetwarzanie danych osobowych.
Załącznik nr 7
Wzór umowy powierzenia danych osobowych do przetwarzania.
Załącznik nr 2. Wzór upoważnienia do przetwarzania danych osobowych.
Nisko, dn. ………………………… r.
UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH
nr .............................
Działając w imieniu EBmeble Barbara Tudor-Nita
niniejszym upoważniam: Panią/Pana ….......................................................................
Stanowisko ….......................................................................
do przetwarzania danych osobowych w następującym zakresie:
- Okres upoważnienia:
- na okres zatrudnienia / współpracy z EBmeble Barbara Tudor-Nita / ..................................................................
- Zakres upoważnienia:
- dane przetwarzane na nośnikach papierowych,
- system informatyczny,
- dane osobowe przetwarzane w ramach udziału w następujących czynnościach przetwarzania danych:
- a) ……………………
- b) ……………………
- c) …………………….
- d) …………………….
- bez ograniczeń, podgląd danych, wprowadzanie danych, opracowywanie danych, zmienianie danych, usuwanie danych, na komputerach przenośnych
………………………………………
[administrator danych]
Załącznik nr 3 Wzór Oświadczenia i zobowiązania osoby przetwarzającej dane osobowe
Nisko , dn. ……….………………… r.
.................................................
imię i nazwisko osoby upoważnionej
.................................................
Stanowisko
.................................................
miejsce pracy
OŚWIADCZENIE
Oświadczam, że – w związku ze świadczeniem pracy na rzecz
EBmeble Barbara Tudor-Nita w Nisku i upoważnieniem mnie do Przetwarzania danych osobowych – zostałem/łam zapoznany/a ze stosownymi przepisami i standardami ochrony danych osobowych, zobowiązuję się do przestrzegania:
- Przepisów o ochronie danych osobowych, w tym Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/ WE
- Polityki Bezpieczeństwa informacji EBmeble Barbara Tudor-Nita w Nisku
W związku z powyższym zobowiązuję się do:
- zapewnienia ochrony danych osobowych przetwarzanych w zbiorach administratora, a w szczególności zapewnienia ich bezpieczeństwa przed udostępnianiem osobom trzecim i nieuprawnionym, zabraniem, uszkodzeniem oraz nieuzasadnioną modyfikacją lub zniszczeniem,
- zachowania w tajemnicy, także po zaprzestaniu świadczenia pracy, wszelkich informacji dotyczących funkcjonowania systemów służących do przetwarzania danych osobowych w zbiorach.
- natychmiastowego zgłaszania do Administratora Danych zaobserwowania próby lub faktu naruszenia zabezpieczenia fizycznego pomieszczenia, bezpieczeństwa zbioru/zbiorów lub systemów informatycznych.
..................................................
[podpis pracownika/współpracownika]
Załącznik nr 4 Wzór zgłoszenia naruszenia zasad ochrony danych do organu nadzorczego.
Nisko , dn. …………………………. r.
|
|
|
|
Prezes Urzędu Ochrony Danych Osobowych
ZGŁOSZENIE INCYDENTU NARUSZENIA OCHRONY DANYCH OSOBOWYCH
Działając na podstawie art. 33 rozporządzenia Parlamentu Europejskiego i Radu UE 2016/679 z 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych I w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) niniejszym zgłaszam zajście incydentu naruszenia ochrony danych osobowych.
Dane Administratora Danych Osobowych |
|
Miejsce i dzień naruszenia |
|
Kategoria i przybliżona liczna osób których dane dotyczą |
|
Kategoria i przybliżona liczna wpisów danych osobowych, których dotyczy naruszenie |
|
Opis charakteru naruszenia ochrony danych |
|
Możliwe konsekwencje naruszenia danych |
|
Środki zastosowane w celu minimalizacji ewentualnych negatywnych skutków naruszenia ochrony danych |
|
Załącznik nr 5 Wzór klauzuli informacyjnej.
KLAUZULA INFORMACYJNA O PRZETWARZANIU DANYCH
Na podstawie art. 13 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodne- go przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), informuję że:
- Administrator Pani/Pan danych osobowych.
Administratorem Pani/Pana danych osobowych jest EBmeble Barbara Tudor-Nita w Nisku z siedzibą: ul. Sienkiewicza 27, 37-400 Nisko, sklep@ebmeble.pl
- Podstawa prawna.
Przetwarzanie Pani/Pana danych osobowych odbywać się będzie na podstawie art. 6 ust.1 pkt a-d, f RODO, czyli na podstawie zgody osoby, której dane dotyczą, lub na innej poniższej wymienionej podstawie i wyłącznie w celu:
- wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
- wypełnienia obowiązku prawnego ciążącego na administratorze;
- ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
- realizacji prawnie uzasadnionych interesów administratora lub przez stronę trzecią z wyłączeniem przetwarzania danych osobowych dzieci, bowiem w takim przypadku zachodzi sytuacja, w której nadrzędny charakter wobec interesów realizowanych przez administratora lub przez stronę trzecią mają interesy lub podstawowe prawa i wolności dziecka, wymagające ochrony danych osobowych. Prawnie uzasadniony interesem, na który powołuje się administrator danych jest:
- prowadzenie działalności marketingowej bezpośredniej, a także prowadzenie działalności w celu marketingowym innych podmiotów (marketing cudzych produktów i usług),
- podjęcie działań celem dochodzenia roszczenia, w szczególności skorzystanie z usług profesjonalnego pełnomocnika czy firmy windykacyjnej,
- do zapobiegania oszustwom (zgodnie z motywem 47 preambuły do RODO)
- Czas przechowywania Pani/Pan danych osobowych.
Pani/Pana dane osobowe będą przechowywane do czasu zakończenia realizacji umowy/ uczestniczenia w rekrutacji z tym zastrzeżeniem, że:
- dane zawarte w dokumentach księgowo-podatkowych - będą przechowywane 5 lat licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku,
- dane zawarte w dokumentach pracowniczych- dotyczące okresów zatrudnienia i wynagrodzenia za pracę- przez okres 50 lat od zakończenia przez ubezpieczonego świadczenia pracy.
- dane zawarte w dokumentacji ZUS w deklaracjach rozliczeniowych i imiennych raportach miesięcznych oraz dokumentach korygujących będą przechowywane przez 5 lat od dnia ich przekazania do wskazanej przez ZUS jednostki organizacyjnej ZUS,
- dane zawarte w protokołach ustalenia okoliczności i przyczyn wypadku przy pracy oraz innej dokumentacji powypadkowej będą przechowywane przez się 10 lat
- dane zwarte w innych dokumentach kadrowych, np. listy obecności i harmonogramy czasu pracy będą przechowywane przez okres 3 lata
- Dane dotyczące rekrutacji do pracy do czasu jej zakończenia
- Pozostałe dane nie dłużej niż to wynika z regulacji prawnych
- Cofnięcie zgody, odstęp, sprostowanie, ograniczenie Pani/Pan danych osobowych.
Posiada Pani/Pan prawo dostępu do treści swoich danych osobowych, prawo do ich sprostowania, usunięcia oraz prawo do ograniczenia ich przetwarzania. Ponadto także prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, prawo do przenoszenia danych oraz prawo do wniesienia sprzeciwu wobec przetwarzania Pani/Pana danych osobowych.
W sytuacji gdy przetwarzanie danych odbywa się na podstawie zgody, posiada Pani/ Pan prawo do cofnięcia zgody w dowolnym momencie. Cofnięcie zgody pozostaje bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
W przypadku zaś gdy przetwarzanie danych odbywa się w oparciu o realizację prawnie uzasadnionych interesów administratora lub przez stronę trzecią, lub gdy dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, do celów badań naukowych, historycznych lub do celów statystycznych, Posiada Pani/ Pan prawo do wniesienia sprzeciwu wobec przetwarzania tych danych.
- Prawo wniesienia skargi do organu nadzorczego:
Przysługuje Pani/Panu prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy RODO.
- Konsekwencje niepodania danych osobowych:
Podanie przez Panią/Pana danych osobowych jest wymogiem umownym, ustawowym/warunkiem zawarcia umowy/ warunkiem uczestniczenia w rekrutacji.
Jest Pan/Pani zobowiązana jedynie do podania danych niezbędnych dla wykonania umowy, której stroną jest osoba, której dane dotyczą, żądane dane są także niezbędne do wypełnienia obowiązków prawnych ciążących na administratorze; a konsekwencją niepodania tych danych osobowych będzie brak możliwości zawarcia i wykonania umowy/uczestniczenia w rekrutacji przez EBmeble Barbara Tudor-Nita.
- Odbiorcy danych:
Naszym dostawcom, którym zlecimy usługi związane z przetwarzaniem danych osobowych, np. dostawcom usług księgowych. Takie podmioty przetwarzają dane na podstawie umowy z nami i tylko zgodnie z naszymi poleceniami.
- Przekazanie danych do państwa trzeciego/organizacji międzynarodowej:
Nie dotyczy.
- Zautomatyzowane podejmowanie decyzji, profilowanie.
Nie dotyczy.
…..…………………, dnia …………………………..
[miejscowość]
……………………………….
Podpis przyjmującego informację
Załącznik nr 6 Wzór zgody na przetwarzanie danych osobowych.
ZGODA NA PRZETWARZANIE DANYCH OSOBOWYCH
…………………………………………………………………………………………..
(imię i nazwisko , adres )
Udzielona zgoda może być wycofana w dowolnym czasie i w formie pisemnej.
❑ Wyrażam zgodę ❑ Nie wyrażam zgody
na przetwarzanie moich danych osobowych w celach marketingowych/rekrutacyjnych, przez EBmeble Barbara Tudor-Nita .
❑Wyrażam zgodę❑ Nie wyrażam zgody
na przetwarzanie danych osobowych wskazanych poniżej przez podmioty współpracujące z EBmeble Barbara Tudor-Nita w celach marketingowych. Podmiotami współpracującymi są:
…………………………………………………………………
❑ Wyrażam zgodę ❑ Nie wyrażam zgody
na otrzymywanie drogą elektroniczną na adres e-mail: …………………………….., informacji handlowej dotyczącej produktów i usług oferowanych przez EBmeble Barbara Tudor-Nita.
……………………………………………..
[Podpis wyrażającego zgodę]
……………………………….
Podpis przyjmującego informację
Załącznik nr 7 Wzór umowy powierzenia danych osobowych do przetwarzania.
Umowa powierzenia przetwarzania danych osobowych
Zawarta w dniu w ……………….. . pomiędzy
Barbarą Tudor-Nita prowadzącym działalność gospodarczą pod nazwą: EBmeble Barbara Tudor-Nita z siedzibą: Sienkiewicza 27, 37-400 Nisko, NIP 8651193702
, zwaną dalej: Administratorem
reprezentowana przez: Barbara Tudor-Nita - właścicielka
a
Panią/Panem , prowadzącym działalność gospodarczą pod firmą , pod adresem ; REGON: ; NIP: (jeśli stroną jest osoba fizyczna) z siedzibą w , wpisaną do rejestru pod numerem , NIP REGON: , reprezentowaną przez:
zwaną dalej: Procesorem
dalej również łącznie „Strony” lub osobno „Strona”.
1
PRZEDMIOT UMOWY
- Administrator i Procesor zawierają umowę powierzenia przetwarzania danych osobowych, zwaną dalej „Umową” na mocy której Administrator powierza Procesorowi przetwarzanie danych osobowych, w zakresie wynikającym z załącznika
- Powierzenie danych osobowych następuje w celu wykonania umowy zwartej pomiędzy stornami nr ……………….. z dnia …………………. Zwanej dalej „umową główną”
- Zakres powierzenia, wskazany w załączniku na 1 może zostać w każdym momencie zmieniony przez Administratora. Zmiana może być dokonana poprzez przesłanie nowego załącznika nr 1 w formie elektronicznej
- Procesor może przetwarzać powierzone mu dane osobowe wyłącznie w zakresie i w celu określonym niniejszą umową i niezbędnym do świadczenia usług określonym w Umowie głównej
2
OŚWIADCZENIA I OBOWIĄZKI PROCESORA
1.Procesor niniejszym oświadcza że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz wykwalifikowany personel, w zakresie umożliwiającym należyte wykonanie niniejszej umowy w zgodzie z obowiązującym prawem, W szczególności procesor oświadcza że znane mu są zasady przetwarzania i zabezpieczania danych osobowych wynikających z:
- Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych dalej zwanym RODO)
- Ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tj. Dz. U. Z 2016 roku, poz. 922 ze zm., dalej jako: Ustawa) oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. W sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakie powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DZ. U. 2004r. Nr 100 pozy 1024, dalej zwanym: „Rozporządzeniem”)
- Procesor jest zobowiązany:
- przetwarzać powierzone dane osobowe wyłącznie na podstawie Umowy chyba że obwiązek przetwarzania w szerszym zakresie wynika z prawa krajowego lub unijnego
- przetwarzać powierzone dane osobowe zgodnie z RODO, polskim prawem przyjętym w celu umożliwienia stosowania RODO, innymi przepisami prawa oraz niniejszą umową
- przetwarzać powierzone mu dane wyłącznie na terenie Europejskiego Obszaru Gospodarczego
- udzielać dostępu do powierzonych danych osobowych wyłącznie osobom, które ze względu na zakres wykonywanych czynności otrzymały od Procesora upoważnienie do ich przetwarzania oraz wyłącznie w celu wykonywania obowiązków wynikających z Umowy
- zapewnić aby osoby upoważnione do przetwarzania danych osobowych były zobowiązane do zachowania tajemnicy
- wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia prawa lub wolności osób fizycznych, których dane osobowe będą przetwarzane na podstawie Umowy
- wspierać Administratora w realizacji obowiązku odpowiadania na żądanie osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO, w szczególności niezwłocznie, na żądanie Administratora nie póżniej niż w terminie do 5 dni od daty zgłoszenia takiego żądania, Procesor udzieli informacji dotyczących przetwarzania powierzonych mu danych osobowych w tym zastosowania technicznych i organizacyjnych środków zabezpieczenia danych osobowych
- niezwłocznie nie póżniej niż w terminie 24 godzin od momentu stwierdzenia naruszenia, informować Administratora, o każdym naruszeniu ochrony danych osobowych, w szczególności jego skali, charakterze, podejmowanych działaniach naprawczych, tożsamości podmiotów danych dotkniętych naruszeniem oraz ryzyku, jakie naruszenie może powodować dla podmiotów danych
- prowadzić w formie pisemnej (w tym elektronicznej) rejestru wszystkich kategorii czynności przetwarzania dokonywanych przez Administratora.
- umożliwić Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzenie audytów przetwarzania powierzonych danych osobowych. W tym celu Procesor na żądanie Administratora lub upoważnionej podmiotu udzieli informacji dotyczących przetwarzania powierzonych danych osobowych, technicznych i organizacyjnych środków ich ochrony a także umożliwi dostęp od swoich pomieszczeń, pracowników, i współpracowników oraz urządzeń w zakresie zakresie uzasadnionym wykonywaniem czynności audytowych
- niezwłocznie, informować Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub przepisów krajowych lub unijnych w zakresie ochrony danych osobowych
- niezwłocznie, jednakże nie póżniej niż w ciągu 2 dni roboczych, informować (o ile nie narusza to prawa) Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przestrzegania ochrony danych osobowych przez Procesora, o jakichkolwiek decyzjach administracyjnych lub orzeczeniu dotyczącym przetwarzania danych osobowych, skierowanych do Procesora, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Procesra
- przechowywać dane osobowe tylko tak długo, jak określił administrator, a także bez zbędnej zwłoki aktualizować, poprawić, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane dane osobowe zgodnie z wytycznymi Administratora (jeśli takie działania mogły by powodować brak możliwości dalszego realizowania czynności przetwarzania, Procesor poinformuje Administratora przed jego podjęciem, a następnie zastosuje się do poleceń Administratora)
3
PODPOWIERZNIE
- Administrator wyraża zgodę na dalsze podpowierznie przez Procesora przetwarzania danych osobowych innym podmiotom przetwarzającym wskazanym w załączniku nr 2 w zakresie oraz celu zgodnym z niniejszą umową. Procesor jest zobowiązany do informowania o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia dalszych podmiotów przetwarzających. Administrator może sprzeciwić się dlaszemu powierzaniu danych przez Procesora, w terminie 7 dni roboczych od otrzymania informacji, o której mowa w zadaniu poprzedzającym. W przypadku wyrażania sprzeciwu przez administratora, Procesor nie jest uprawniony do zawarcia umowy z dalszym podmiotem przetwarzającym, którego dotyczy sprzeciw.
- Procesor zapewnia, że będzie korzystał wyłącznie z usług takich dalszych podmiotów przetwarzających, które zapewniają wystarczającą gwarancję wdrożenia odpowiednich środków organizacyjnych i technicznych, przy przetwarzanie spełniało wymogi RODO oraz lub przepisów obowiązującego prawa w zakresie danych osobowych wskazanych w § ust.1 punkt 2 które procesor zobowiązany jest przestrzegać przed dniem 25 maja 2018r., a także chroniło prawa osób których dane dotyczą.
- Procesor zapewni w umowie z dalszym podmiotem przetwarzającym, że na podmiot ten zostaną nałożone obowiązki odpowiadające obowiązkom Procesora w umowie.
- Procesor jest w pełni odpowiedzialny przed Administratorem za spełnienie obowiązków wynikających z umowy powierzenia zawartej pomiędzy Procesorem a dalszym podmiotem przetwarzającym. Jeżeli dalszy podmiotem przetwarzającym nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialności wobec Administratora za wypełnienie obowiązków tego dalszego podmiotu przetwarzającego spoczywa na Procesorze.
4
AUDYT
- Administratorem jest w każdym momencie upoważniony do przeprowadzania audytu zgodności przetwarzania danych osobowych przez Procesora z Umową oraz obowiązującymi przepisami prawa, w szczególności Administrator może przeprowadzić weryfikację zgodności i adekwatności środków technicznych i organizacyjnych zabezpieczających przetwarzanie danych osobowych wdrożonych przez Procesora.
- Administrator poinformuje Procesora co najmniej 3 dni robocze przed planowaną datą audytu o zamiarze jego przeprowadzenia
- Audyt o którym mowa w §4 ust. 1 mogą być wykonywane przez Administratora (osoby przez niego wyznaczone) lub podmioty zewnętrzne, których Administratorem zleci wykonanie audytu, w miejscu przetwarzania danych osobowych objętych powierzeniem
- Procesor ma obowiązek współpracować z Administratorem i upoważnionymi przez niego Audytorami.
- Po przeprowadzonym audycie przedstawiciel Administratora sporządza protokół pokontrolny, który podpisują przedstawiciele obu stron. Procesor zobowiązuje się w terminie uzgodnionym z Administratorem, dostosować do zaleceń pokontrolnych zawartych w protokole, mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzanych danych osobowych.
- Administrator ma także prawo żądać od Procesora składania pisemnych wyjaśnień dotyczących umowy. Procesor zobowiązuje się odpowiedzieć niezwłocznie, jednak nie póżniej niż w terminie 3 dni roboczych
- Procesor jest zobowiązany zapewnić w umowie w dalszymi podmiotami przetwarzającymi możliwość przeprowadzenia przez Administratora (lub podmiot zewnętrzny któremu Administrator Zleci wykonanie Audytu) audyt przetwarzania danych osobowych przez dalszy podmiot przetwarzający z Umową na zasadach określonych w §4 ust 1-5.
5
CZAS TRWANIA UMOWY ORAZ ZASADY ODPOWIEDZIALNOŚCI
- Niniejsza umowa została zawarta na czas określony i przestaje obowiązywać wraz z zakończeniem obowiązywania umowy głównej.
- Administrator może rozwiązać umowę z zachowaniem 1- miesięcznego okresu wypowiedzenia.
- Administrator uprawniony jest do wypowiedzenia Umowy ze skutkiem natychmiastowym w przypadku zaistnienia ważnych powodów, w tym także w razie naruszenia przez Procesora lub dalszy podmiot przetwarzający przepisów RODO, innych przepisów prawa lub niniejszej Umowy, a w szczególności gdy:
- organ nadzoru nad przestrzegania zasad przetwarzania danych osobowych stwierdzi, że Procesor lub dalszy podmiot przetwarzający nie przestrzega zasad przetwarzania danych osobowych;
- prawomocne orzeczenie sądu powszechnego wykaże, że Procesor lub dalszy podmiot przetwarzający nie przestrzega zasad przetwarzania danych osobowych;
- Administrator w wyniku przeprowadzenia audytu stwierdzi, że Procesor lub dalszy podmiot przetwarzający nie przestrzega zasad przetwarzania danych osobowych wynikających z umowy lub obowiązujących przepisów prawa lub Procesor nie zastosuje się do zaleceń pokontrolnych.
- Naruszenie przez Procesora postanowień niniejszej Umowy, RODO lub innych obowiązujących przepisów prawa z zakresu ochrony danych osobowych stanowi podstawę do wypowiedzenia Umowy Głównej bez zachowania okresu wypowiedzenia
- W przypadku ograniczenia zakresu powierzenia przez Administratora w trybie określonym w Umowie, postanowienia o rozwiązaniu umowy stosuje się odpowiednio do danych, które wskutek ograniczenia zakresu nie mogą już być przetwarzanie przez Procesora
- W przypadku dalszego powierzenia przetwarzania danych osobowych Procesor zobowiązuje się do zawarcia w umowach z dalszymi podmiotami przetwarzającymi postanowień, zgodnie z którymi umowy dalszego przetwarzania danych będą ulegały automatycznemu rozwiązaniu w razie zakończenia obowiązywania niniejszej Umowy.
- W przypadku naruszenia obowiązujących przepisów prawa lub Umowy z przyczyn leżących po stronie Procesora, w następstwie czego Administrator zostanie zobowiązany do wpłaty odszkodowania, zadośćuczynienia lub ukarany administracyjną karą finansową. Procesor zobowiązuje się zrekompensować w całości szkodę poniesioną przez Administratora wpłacając Administratorowi kwoty odpowiadające kwotom odszkodowania, zadośćuczynienia lub akry, niezależnie od wszelkich postanowień Umowy lub Umowy głównej wyłączające lub ograniczające odpowiedzialność Procesora.
- Administrator uprawniony jest do naliczenia procesorowi kar umownych:
- z tytułu opóźnień w zgłaszaniu naruszenia ochrony danych osobowych w terminie określonym w umowie, w wysokości 100 zł brutto za każdą godzinę opóźnienia
- z tytułu naruszenia obowiązków w zakresie poufności, określonych w Umowie w wysokości 100 zł brutto za każdy przepadek naruszenia
- Z tytułu niezastosowania lub zaprzestania stosowania zabezpieczeń ochrony danych, do stosowania których zobowiązał się Procesor w wysokości 100 zł brutto za każdy stwierdzony przypadek
- Administrator jest uprawniony do dochodzenia naprawienia szkody na zasadach ogólnych w zakresie w jakim wyrządzona szkoda przekracza wysokości kary umownej.
6
- Niniejsza Umowa podlega prawu polskiemu. Umowa została sporządzona w dwóch egzemplarzach, po jednej dla każdej strony.
ZAŁĄCZNIK NR 1 DO UMOWY POWIERZENIA
ZAKRES POWIERZENIA DANYCH OSOBOWYCH ORAZ DANE KONTAKTOWE STRONA
- Cele przetwarzania:
Realizacja zobowiązań Przetwarzającego wynikających z Umowy nr …………………. Z dnia ………..zawartej pomiędzy stornami
- Kategorie osób których dane dotyczą:
- ………………………..
- ………………………..
- ………………………..
- ………………………..
- ………………………..
- Rodzaje danych osobowych :
- Imię i nazwisko
- PESEL
- Adres zamieszkania
- Numer telefonu
- Adres e-mail
- Numer dowodu
- ………………………..
- ………………………..
- ………………………..
- ………………………..
- Dane kontaktowe Stron:
Dane Administrator:
Nazwa: ……………………….. ……………………….. ………………………..
Adres: ……………………….. ……………………….. ………………………..
Dane kontaktowe: ……………………….. ……………………….. ………………………
Dane przetwarzającego
Nazwa: ……………………….. ……………………….. ………………………..
Adres: ……………………….. ……………………….. ………………………..
Dane kontaktowe: ……………………….. ……………………….. ………………………..