Twój koszyk jest obecnie pusty!
Polityka bezpieczeństwa informacji
POLITYKA BEZPIECZEŃSTWA INFORMACJI
KDR KPI Smart
Katarzyna Mieczkowska-Mitka
ul. Malczewskiego 109/18
80-107 Gdańsk
NIP: 5842288240
tel: 661 500 367
email: katarzyna.mieczkowska@kdr-hr.pl
Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona w celu wykazania, że dane osobowe są przetwarzane i zabezpieczone zgodnie z wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczenia danych w KDR KPI Smart, w tym z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (w dalszej części dokumentu zwanego RODO).
I.
Postanowienia ogólne
§ 1
Administratorem Danych Osobowych jest KDR KPI Smart Katarzyna Mieczkowska-Mitka, z siedzibą przy ulicy Malczewskiego 109/18, 80 – 107 Gdańsk , NIP: 5842288240
Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, w szczególności dane o charakterze fizycznym, fizjologicznym, umysłowym, ekonomicznym, kulturowym lub społecznym, za pomocą których możliwe jest pośrednie lub bezpośrednie ustalenie tożsamości tej osoby.
System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji narzędzi programowych zastosowanych w celu przetwarzania danych.
Użytkownik – osoba upoważniona przez Administratora Danych do Przetwarzania danych osobowych.
Zbiór danych – każdy uporządkowany zestaw danych o charakterze osobowym, dostępny według określonych kryteriów.
Przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie w formie tradycyjnej oraz w systemach informatycznych.
Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym (Użytkownika) w razie Przetwarzania danych osobowych w takim systemie.
Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym (Użytkownikowi) w razie przetwarzania danych osobowych w takim systemie.
Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu (Użytkownika).
Osoby zatrudnione przy przetwarzaniu danych osobowych – wszystkie osoby, w tym Użytkownicy systemu informatycznego, mające z racji wykonywanych obowiązków dostęp do danych osobowych, które zostały upoważnione do przetwarzania danych osobowych w Systemie informatycznym firmy KDR KPI Smart. Osobą taką może być osoba zatrudniona w KDR KPI Smart.
Poufność – zapewnienie dostępu do informacji wyłącznie osobom upoważnionym;
Integralność – spójność danych, zapewnienie, że dane nie zostaną zmienione, dodane lub usunięte w nieautoryzowany sposób;
Dostępność – zapewnienie, że osoby upoważnione będą miały dostęp do informacji tylko wtedy, gdy jest to uzasadnione;
Zgoda na przetwarzanie danych osobowych – dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
§ 2
- Polityka dotyczy wszystkich danych osobowych przetwarzanych w firmie KDR KPI Smart niezależnie od formy ich przetwarzania (przetwarzane tradycyjnie zbiory ewidencyjne, systemy informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane w zbiorach danych.
- Niniejsza Polityka reguluje:
- zasady i procedury dotyczące przetwarzania danych w KDR KPI Smart;
- rodzaje danych osobowych, cel i zakres ich przetwarzania;
- sposób zabezpieczenia danych osobowych przed nieuprawnionym dostępem osób trzecich;
- Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w siedzibie Administratora.
- Polityka jest udostępniana do wglądu osobom posiadającym upoważnienie do przetwarzania danych osobowych na ich wniosek. Administrator Danych każdorazowo informuje osobę, której ma zostać nadane upoważnienie do przetwarzania danych osobowych o istnieniu Polityki oraz konieczności zaznajomienia się z nią przed wykonaniem jakiejkolwiek czynności, która wiązać się może z przetwarzaniem danych osobowych.
- W zakresie przetwarzania danych pozyskanych w związku z wykonywaniem czynności objętych tajemnicą handlową Administrator Danych stosuje się do wskazanych powyżej przepisów dotyczących zachowania tajemnicy zawodowej.
- Dla skutecznej realizacji Polityki Administrator Danych zapewnia:
- odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne,
- kontrolę i nadzór nad przetwarzaniem danych osobowych,
- monitorowanie zastosowanych środków ochrony.
- Monitorowanie przez Administratora Danych zastosowanych środków ochrony obejmuje m.in.
- działania Użytkowników, naruszanie zasad dostępu do danych,
- zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi Administrator Danych zapewnia, że czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem danych osobowych
- są zgodne z niniejszą Polityką oraz odpowiednimi przepisami prawa
II.
Dane osobowe przetwarzane u administratora danych
§ 3
- Dane osobowe przetwarzane przez Administratora Danych gromadzone są w zbiorach danych.
- Administrator Danych w ramach prowadzenia działalności gospodarczej firmy KDR KPI Smart przetwarza następujące grupy danych osobowych: dane osobowe związane z umową handlową, na które składają się: imię, nazwisko, PESEL, numer telefonu, adres, adres poczty elektronicznej, informacje o osobach działających w imieniu osób prawnych, w przypadku świadczenia usług handlowych dla osób prawnych lub osób fizycznych prowadzących działalność gospodarczą – także firmę przedsiębiorstwa NIP, REGON oraz adres przedsiębiorstwa;
- Powyższe dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach, w tym w szczególności:
- w zakresie i celu niezbędnym do nawiązania, ukształtowania treści umowy handlowej, jej zmiany bądź rozwiązania;
- w zakresie tworzenia baz kontrahentów celem sprzedaży nowych produktów,
- Administrator Danych nie podejmuje czynności przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator wykona czynności określone w art. 35 i nast. RODO.
- Administrator Danych może dodatkowo określić zakres przetwarzania danych osobowych w regulaminach, zarządzeniach, poleceniach lub innych dokumentach, które udostępnia wszystkim osobom upoważnionym do przetwarzania danych. Osoby te mają obowiązek stosowania się do powyższych w ramach wykonywania czynności skutkujących przetwarzaniem danych.
- W przypadku planowania nowych czynności przetwarzania Administrator dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony danych w fazie ich projektowania.
- Administrator danych prowadzi rejestr czynności przetwarzania.
- Wzór rejestru czynności przetwarzania stanowi załącznik nr 1 do niniejszej polityki.
§ 4 Czy ustawienia na nazwa.pl zakładają używanie plików cookie?
- Strona internetowa KDR KPI Smart. dostępna pod adresem internetowym www.kdr-smart-advisory.com używa plików cookies. Są to niewielkie pliki tekstowe wysyłane przez serwer www i przechowywane przez oprogramowanie komputera przeglądarki. Kiedy przeglądarka ponownie połączy się ze stroną, witryna rozpoznaje rodzaj urządzenia, z którego łączy się użytkownik. Parametry pozwalają na odczytanie informacji w nich zawartych jedynie serwerowi, który je utworzył. Pliki Cookies ułatwiają korzystanie z wcześniej odwiedzonych witryn.
- Gromadzone informacje w ramach plików cookies dotyczą adresu IP, typu wykorzystywanej przeglądarki, języka, rodzaju systemu operacyjnego, dostawcy usług internetowych, informacji o czasie i dacie, lokalizacji oraz informacji przesyłanych do witryny za pośrednictwem formularza kontaktowego.
- Zebrane dane służą do monitorowania i sprawdzenia, w jaki sposób użytkownicy korzystają ze strony internetowej KDR KPI Smart, aby usprawniać jej funkcjonowanie zapewniając bardziej efektywną i bezproblemową nawigację.
- Pliki Cookies identyfikują użytkownika, co pozwala na dopasowanie treści witryny, z której korzysta, do jego potrzeb. Zapamiętując jego preferencje, umożliwia odpowiednie dopasowanie skierowanych do niego reklam. Administrator Danych stosuje pliki cookies, aby zagwarantować najwyższy standard wygody strony internetowej KDR Smart Advisory, a zebrane dane są wykorzystywane jedynie wewnątrz firmy KDR KPI Smart w celu optymalizacji działań.
- W ramach strony internetowej KDR Smart Advisory, Administrator Danych wykorzystuje następujące pliki cookies:
- „niezbędne” pliki cookies, umożliwiające korzystanie z usług dostępnych w ramach serwisu, np. uwierzytelniające pliki cookies wykorzystywane do usług wymagających uwierzytelniania w ramach serwisu;
- pliki cookies służące do zapewnienia bezpieczeństwa, np. wykorzystywane do wykrywania nadużyć w zakresie uwierzytelniania w ramach serwisu;
- „wydajnościowe” pliki cookies, umożliwiające zbieranie informacji o sposobie korzystania ze stron internetowych serwisu;
- „funkcjonalne” pliki cookies, umożliwiające „zapamiętanie” wybranych przez użytkownika ustawień i personalizację interfejsu użytkownika, np. w zakresie wybranego języka lub regionu, z którego pochodzi użytkownik, rozmiaru czcionki, wyglądu strony internetowej itp.;
- „reklamowe” pliki cookies, umożliwiające dostarczanie użytkownikom treści reklamowych bardziej dostosowanych do ich zainteresowań.
- Użytkownik w każdej chwili ma możliwość wyłączenia lub przywrócenia opcji gromadzenia plików cookies poprzez zmianę ustawień w przeglądarce internetowej.
§ 5
- Osoba, której dane osobowe mają być przetwarzane:
- w ramach stosowania plików cookies wyraża zgodę na przetwarzanie jej danych osobowych poprzez odznaczenie odpowiedniego pola dostępnego po załadowaniu strony głównej serwisu internetowego KDR Smart Advisory
- w ramach dodawania aplikacji do bazy aplikacji prowadzonej przez KDR Smart Advisory wyraża zgodę na przetwarzanie danych osobowych poprzez przesłanie na adres email katrzyna.mieczkowska@kdr-hr.pl zgody na przetwarzanie i przechowywanie danych osobowych.
III.
Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem
§ 6
- Wszystkie osoby zobowiązane są do przetwarzania danych osobowych zgodnie z obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Danych Polityką Bezpieczeństwa, Instrukcją Zarządzania Systemem Informatycznym, a także innymi dokumentami wewnętrznymi i procedurami związanymi z przetwarzaniem danych osobowych w KDR Smart Advisory
- Wszystkie dane osobowe w firmie KDR Smart Advisory są przetwarzane z poszanowaniem zasad przetwarzania przewidzianych przez przepisy prawa:
- W każdym wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstaw dla przetwarzania danych.
- Dane są przetwarzane rzetelnie i w przejrzysty sposób.
- Dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
- Dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągniecia celu przetwarzania danych.
- Dane osobowe są prawidłowe i w razie potrzeby uaktualniane.
- Czas przechowywania danych jest ograniczony do okresu ich przydatności do celów, do których zostały zebrane, a po tym okresie są one anonimizowane bądź usuwane.
- Wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie z treścią art. 13 i 14 RODO.
- Dane są zabezpieczone przed naruszeniami zasad ich ochrony.
- Administrator danych nie przekazuje osobom, których dane dotyczą, informacji w sytuacji, w której dane te muszą zostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej (art. 14 ust. 5 pkt d RODO).
- Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych osobowych uważa się w szczególności:
- naruszenie bezpieczeństwa systemów informatycznych, w których przetwarzane są dane osobowe;
- udostępnianie lub umożliwienie udostępniania danych osobom lub podmiotom do tego nieupoważnionym;
- zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia danym osobowym ochrony;
- niedopełnienie obowiązku zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
- przetwarzanie danych osobowych niezgodnie z założonym zakresem i celem ich zbierania;
- spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie danych osobowych;
- naruszenie praw osób, których dane są przetwarzane.
- Administrator Danych ma prawo udostępniać dane osobowe Użytkownika oraz innych jego danych podmiotom upoważnionym na podstawie właściwych przepisów prawa w szczególności organom ścigania.
IV.
Obszar przetwarzania danych osobowych
§ 7
- Obszar, w którym przetwarzane są dane osobowe na terenie firmy KDR Smart Advisory, obejmuje pomieszczenie biurowe zlokalizowane w Gdańsku przy ulicy Malczewskiego 109/18.
V.
Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
§ 8
- Administrator Danych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości przetwarzanych danych.
- Zastosowane środki ochrony (techniczne i organizacyjne) powinny być adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych. Środki obejmują:
– Pomieszczenie biurowe w siedzibie w Gdańsku przy ulicy Malczewskiego 109/18
- ograniczenie dostępu do pomieszczenia, w których przetwarzane są dane osobowe, jedynie do osób odpowiednio upoważnionych;
- inne osoby mogą przebywać w pomieszczeniu wykorzystywanym do przetwarzania danych jedynie w towarzystwie osoby upoważnionej;
- zamykanie pomieszczenia tworzącego obszar przetwarzania danych osobowych określony w rozdziale IV powyżej w sposób uniemożliwiający dostęp do nich osób trzecich;
- monitoring zewnętrzny budynku;
- całodobowa ochrona budynku;
- pomieszczenie biurowe zamykane na klucz;
- wykorzystanie niszczarki do skutecznego usuwania dokumentów zawierających dane osobowe;
- ochronę sieci lokalnej przed działaniami inicjowanymi z zewnątrz przy użyciu sieci firewall;
- stosowanie bezpiecznego protokołu szyfrowania komunikacji (SSL) dla zabezpieczenia przetwarzanych danych osobowych;
- ochronę sprzętu komputerowego wykorzystywanego u administratora przed złośliwym oprogramowaniem;
- zabezpieczenie dostępu do urządzeń znajdujących się w firmie KDR Smart Advisory przy pomocy haseł dostępu;
VI.
Naruszenia zasad ochrony danych osobowych
§ 9
- W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
- W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Wzór zgłoszenia określa załącznik nr 3 do niniejszej polityki.
- Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o incydencie także osobę, której dane dotyczą.
VII.
Powierzenie przetwarzania danych osobowych
§ 10
- Administrator Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO i tylko jeżeli są to dane, które może ujawnić bez naruszenia tajemnicy handlowej.
- 2. Przed powierzeniem przetwarzania danych osobowych Administrator w miarę możliwości uzyskuje informacje o dotychczasowych praktykach procesora dotyczących zabezpieczenia danych osobowych.
VIII.
Przekazywanie danych do państwa trzeciego
§ 11
- Administrator Danych Osobowych nie będzie przekazywał danych osobowych do państwa trzeciego, poza sytuacjami w których następuje to na wniosek osoby, której dane dotyczą.
IX.
Postanowienia ́końcowe
§ 12
- Za niedopełnienie obowiązków wynikających z niniejszego dokumentu pracownik ponosi odpowiedzialność na podstawie Kodeksu pracy, przepisów o ochronie danych osobowych oraz Kodeksu karnego w odniesieniu do danych osobowych objętych tajemnicą zawodową.