I. Administrator danych osobowych oraz cel polityki ochrony prywatności
1. FHU „DANUTA” z siedzibą w Skoczów ul.Stalmacha 5 jest administratorem w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej "ogólne rozporządzenie o ochronie danych"), w odniesieniu do danych osobowych Użytkowników, będących osobami fizycznymi.
2. W sprawie ochrony danych osobowych należy kontaktować się z administratorem: e-mail donata076@gmail.com , tel. 504 796 638 Dane osobowe to wszelkie informacje, które mogą cię identyfikować, na przykład imię i nazwisko, numer telefonu, adres poczty elektronicznej lub adres zamieszkania.
3. Wszelkie działania podlegają przepisom prawa, które obowiązują w zakresie ochrony danych, na przykład ogólnego rozporządzenia o ochronie danych. Polityka Ochrony Prywatności podlega przepisom prawa polskiego i rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) - zwane dalej "RODO" lub "Rozporządzenie RODO".
4. Korzystanie z serwisu internetowego, w tym zawieranie umów jest dobrowolne. Podobnie związane z tym podanie danych osobowych przez korzystającego z serwisu internetowego Użytkownika jest dobrowolne. Podanie danych osobowych jest wymogiem ustawowym wynikającym z powszechnie obowiązujących przepisów prawa nakładających na Administratora obowiązek przetwarzania danych osobowych (np. przetwarzanie danych w celu prowadzenia ksiąg rachunkowych) i brak ich podania uniemożliwi Administratorowi wykonanie tychże obowiązków.
5. Administrator dokłada szczególnej staranności w celu ochrony interesów osób, których przetwarzane przez niego dane osobowe dotyczą, a w szczególności jest odpowiedzialny i zapewnia, że zbierane przez niego dane są: (1) przetwarzane zgodnie z prawem; (2) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami; (3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane; (4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania oraz (5) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
6. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać.
II. Podstawy i cele przetwarzania danych osobowych
Administrator uprawniony jest do przetwarzania danych osobowych w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: (1) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych; (2) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; (3) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze; lub (4) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora.
Przetwarzanie danych osobowych przez Administratora wymaga każdorazowo zaistnienia co najmniej jednej z podstaw wskazanych powyżej.
Użytkownik kontaktuje się podając swoje dane osobowe (imię i nazwisko, numer telefonu, adres e-mail, ewentualnie nazwa firmy, NIP) oraz akceptuje Regulamin, jest to niezbędne do wykonania umowy w następującym zakresie:
- umożliwienia świadczenia usługi drogą elektroniczną;
- obsługi zgłoszeń (np. poprzez formularz na stronie);
- kontaktowania się z Użytkownikiem, między innymi w celu doprecyzowania zapytania i świadczenia usług;
Ze względu na małe rozmiary przedsiębiorstwa nie zostały utworzone instrukcje zarządzania RODO.
Instrukcja postępowania z incydentami
Zagrożeniem bezpieczeństwa informacji jest sytuacja, w której występuje zagrożenie zaistnienia incydentu. Przykładowy katalog zagrożeń:
- nieprzestrzeganie Polityki przez osoby przetwarzające dane, np. niezamykanie pomieszczeń, szaf, biurek, brak stosowania zasad ochrony haseł,
- niewłaściwe zabezpieczenie fizyczne dokumentów, urządzeń lub pomieszczeń,
- niewłaściwe zabezpieczenie oprogramowania lub sprzętu IT przed wyciekiem, kradzieżą lub utratą danych osobowych.
Postępowanie Administratora danych osobowych lub osoby przez niego upoważnionej w przypadku stwierdzenia wystąpienia zagrożenia:
- ustalenie zakresu i przyczyn zagrożenia oraz jego ewentualnych skutków,
- w miarę możliwości przywrócenie stanu zgodnego z zasadami ochrony danych osobowych, w razie konieczności zainicjowanie działań dyscyplinarnych,
- zarekomendowanie działań zapobiegawczych w kierunku wyeliminowania podobnych zagrożeń w przyszłości,
- udokumentowanie prowadzonego postępowania w rejestrze naruszeń bezpieczeństwa.
Incydentem jest sytuacja naruszenia bezpieczeństwa informacji ze względu na dostępność, integralność i poufność. Incydenty powinny być wykrywane, rejestrowane i monitorowane w celu zapobieżenia ich ponownemu wystąpieniu. Przykładowy katalog incydentów:
- losowe zdarzenie wewnętrzne, np. awaria komputera, serwera, twardego dysku, błąd użytkownika, informatyka, zgubienie danych,
- losowe zdarzenie zewnętrzne, np. klęski żywiołowe, zalanie, awaria zasilania, pożar,
- incydent umyślny, np. wyciek informacji, ujawnienie danych nieupoważnionym osobom, świadome zniszczenie danych, działanie wirusów komputerowych, włamanie do pomieszczeń lub systemu informatycznego (wewnętrzne i zewnętrzne).
Postępowanie Administratora/Inspektora Ochrony Danych lub właściwej osoby przez niego upoważnionej w przypadku stwierdzenia wystąpienia incydentu:
- ustalenie czasu zdarzenia będącego incydentem,
- ustalenie zakresu incydentu,
- i określenie przyczyn, skutków oraz szacowanych zaistniałych szkód,
- zabezpieczenie dowodów,
- ustalenie osób odpowiedzialnych za naruszenie,
- usunięcie skutków incydentu,
- ograniczenie szkód wywołanych incydentem,
- zainicjowanie działań dyscyplinarnych,
- zarekomendowanie działań zapobiegawczych w kierunku wyeliminowania podobnych zagrożeń w przyszłości,
- udokumentowanie prowadzonego postępowania w rejestrze naruszeń.
Postępowanie Upoważnionego w przypadku stwierdzenia wystąpienia zagrożenia do czasu przybycia Administratora lub upoważnionej przez niego osoby:
- powstrzymanie się od rozpoczęcia lub kontynuowania pracy, jak również od podejmowania jakichkolwiek czynności, mogących spowodować zatarcie śladów naruszenia bądź innych dowodów,
- zabezpieczenie elementów systemu informatycznego lub kartotek, przede wszystkim poprzez uniemożliwienie dostępu do nich osób nieupoważnionych,
- podjęcie, stosownie do zaistniałej sytuacji, wszelkich niezbędnych działań celem zapobieżenia dalszym zagrożeniom, które mogą skutkować utratą danych osobowych.