ZASADY OCHRONY DANYCH OSOBOWYCH PRZEDSIĘBIORSTWA

Grandifer.pl Marcin Gwiżdż

I. Wprowadzenie

1. Pozyskane i przetwarzane w trakcie działalności Grandifer.pl Marcin Gwiżdż dane osobowe o pracownikach, kontrahentach i klientach takie jak np.: imię, nazwisko, PESEL, adres działalności, majątek, historię pracy czy zakupu itp. stanowią tajemnicę firmy i powinny być chronione przed dostępem osób nieupoważnionych.

2. Przetwarzanie danych osobowych tj. ich pozyskiwanie, utrwalanie, porządkowanie, przechowywania, wykorzystywanie, udostępnianie i upowszechnianie, czy wreszcie usuwanie lub niszczenie musi wynikać z celów i praktyk działalności Grandifer.pl Marcin Gwiżdż przy przestrzeganiu obowiązujących przepisów prawa, a zwłaszcza przepisów Rozporządzenia Rady Europy i Parlamentu (UE) 2016/679 z dnia 27.04.2016 r. (RODO) z należytym poszanowaniem uprawnień osób, których dane osobowe dotyczą.

3. Niniejsze Rozporządzenie ustala obowiązki w zakresie zabezpieczenia i przetwarzania danych osobowych w tym też prawa i obowiązki właścicieli i pracowników przedsiębiorstwa Grandifer.pl Marcin Gwiżdż w tym zakresie.

II. Organizacja ochrony

1. Całościowy nadzór nad ochroną i przetwarzaniem danych osobowych spoczywa na podmiocie Grandifer.pl Marcin Gwiżdż jako na tzw. Administratorze danych osobowych i bezpośrednio podlega właścicielowi.

2. Funkcje wykonawcze w zakresie ochrony i przetwarzania danych osobowych w firmie Grandifer.pl Marcin Gwiżdż sprawuje Inspektor Danych Osobowych.

3. Do obowiązków wskazanego Inspektora Danych Osobowych należy w szczególności:

· nadzór nad stosowanymi zasadami przetwarzania i ochrony danych osobowych,

· reprezentowanie właściciela przedsiębiorstwa wobec właściciela danych osobowych w sytuacji korzystania tej osoby z prawa do informacji o zebranych i przetwarzanych danych osobowych, ich sprostowania, usunięcia, ograniczenia, czy też sprzeciwu co do przetwarzania i usunięcia,

· prowadzenia Rejestru Naruszenia danych osobowych oznaczających sytuację przypadkowego, bądź niezgodnego z prawem zniszczenia, bądź zmodyfikowania przetwarzanych danych, nieuprawnionego ujawnienia, bądź dostępu do danych osobowych osób nieuprawnionych oraz postępowań w tym zakresie;

· ewidencja i przechowywanie pozwoleń i zezwoleń na przetwarzanie danych.

III. Obowiązki pracowników

1. Jakiekolwiek powierzenie posiadanych przez pracownika danych osobowych innej osobie (innemu pracownikowi, organowi administracji publicznej, podmiotowi gospodarczemu np. innej spółce) może być dokonane wyłącznie na warunkach określonych w Zezwoleniu lub w wykonaniu umowy o powierzeniu do przetwarzania danych osobowych, bądź za zgodą danego Inspektora Danych Osobowych.

2. Każdy z pracowników Grandifer.pl Marcin Gwiżdż na obowiązek zachowania w poufności pozyskanych w trakcie wykonywania zadań zawodowych danych osobowych. Powyższy obowiązek dotyczy:

· zakazu zbierania, kopiowania, gromadzenia i wynoszenia poza przedsiębiorstwo tych danych o ile nie wynika to z powierzonych zadań zawodowych, bądź za zgodą Inspektora Danych Osobowych;

· przekazywania, ujawniania wykorzystywanych przy wykonaniu zadań danych osobowych osobom nieupoważnionym i innym pracownikom;

- zabezpieczania dostępu do telefonu służbowego, powierzonego komputera, dokumentów lub innych nośników danych osobowych przed zniszczeniem, zgubieniem, dostępem osób niepowołanych;

· zabezpieczenia i kontroli dostępu do pomieszczeń gdzie są przechowywane dokumenty – akta osobowe, itp.

3. W przedsiębiorstwie Grandifer.pl Marcin Gwiżdż powierzone dane osobowe przetwarzać mogą wyłącznie pracownicy posiadający stosowne pisemne zezwolenie Administratora, bądź dla wykonania zadań zawodowych posiadających zgodę Inspektora Danych Osobowych -Zezwolenie.

4. Jakiekolwiek powierzenie posiadanych przez pracownika danych osobowych innej osobie (innemu pracownikowi, organowi publicznemu, podmiotom gospodarczym np. innej spółce) może być dokonane wyłącznie na warunkach określonych w Zezwoleniu lub w wykonaniu umowy o powierzeniu do przetwarzania danych osobowych, bądź za zgodą danego Inspektora Danych Osobowych.

5. Każdy z pracowników winien niezwłocznie informować danego Inspektora Danych Osobowych o sytuacji naruszenia, tj. udostępnienia, bądź możliwości ujawnienia danych osobowych osobom niepowołanym, bądź o jakichkolwiek próbach nieprawnego pozyskania danych osobowych (na skutek kradzieży dokumentów, telefonu, włamania hakerskiego, czy też innego „wycieku” danych osobowych).

6. Zabrania się pozyskiwania i przetwarzania danych osobowych dot. pochodzenia rasowego, bądź etnicznego, poglądów politycznych i przekonań religijnych, przynależności do partii, bądź związków zawodowych, chyba, że powyższa przynależność dotyczy kompetencji, bądź pozycji zawodowej. Zabrania się przetwarzania danych dot.: orientacji seksualnej, genetycznych, biometrycznych, bądź dot. stanu zdrowia. Powyższe zastrzeżenie nie dotyczy wizerunku i danych daktyloskopijnych niezbędnych dla dostępu do pomieszczeń, bądź danych zdrowotnych związanych z wypadkiem w pracy, zwolnieniem lekarskim, bądź dodatkowym ubezpieczeniem.

7. Przetwarzanie danych dotyczących osób skazanych, bądź wobec których jest prowadzone postępowanie karne jest dopuszczalne jedynie w sytuacji kiedy pokrzywdzonym jest podmiot Grandifer.pl Marcin Gwiżdż, bądź pozyskanie powyższych danych osobowych wynika z przepisów prawa.

8. W sytuacji konieczności pozyskania danych osobowych przy wykonaniu zadania zadanego np. przy próbie pozyskania nowego klienta, w sytuacji potrzeby pozyskania danych osobowych sprawcy kolizji drogowej, itp. pracownik ma obowiązek poinformowania tej osoby o:

· danych rejestrowych i siedzibie Grandifer.pl Marcin Gwiżdż jako Administratora,

· celu pozyskania i przetwarzania pozyskanych danych osobowych, miejsca ich przechowywania;

· jego prawach co do dostępu do tych danych, ich sprostowania, ograniczenia, sprzeciwu, bądź usunięcia tych danych;

· prawa do złożenia skargi.

Jeśli pozyskanie powyższej zgody jest związane bezpośrednio z działalnością, bądź interesem Grandifer.pl Marcin Gwiżdż to sama zgoda powinna być utrwalona, bądź potwierdzona w formie pisemnej (np. e’mial).

9. W sytuacji pozyskania danych osobowych np. o kontrahencie od osoby trzeciej (np. innego dystrybutora) należy bezwzględnie uzyskać informację potwierdzającą, że przekazywane dane osobowe zostały pozyskane za zgodą ich właściciela zgodnie z przepisami prawa, a powyższa zgoda zawiera pozwolenie na ich udostępnianie. Powyższe oświadczenie nie może być dorozumiane i winno być złożone w formie umożliwiającej jej zarejestrowanie.

IV. Przepisy końcowe

1. Naruszenie przez pracownika wskazanych obowiązków związanych z ochroną danych osobowych podlegać będzie ocenie Administratora wraz z możliwością ukarania zgodnie z obowiązującym Regulaminem i przepisami Kodeksu Pracy.

2. Rozporządzenie obowiązuje od dnia 25 maja 2018 r.