POLITYKA OCHRONY DANYCH OSOBOWYCH AFZ GROUP SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ

Transkrypt

1 POLITYKA OCHRONY DANYCH OSOBOWYCH AFZ GROUP SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ GDAŃSK

2 I. POSTANOWIENIA OGÓLNE II. III. IV. DEFINICJA BEZPIECZEŃSTWA INFORMACJI ZAKRES STOSOWANIA SPIS TREŚCI STRUKTURA DOKUMENTÓW POLITYKI OCHRONY DANYCH OSOBOWYCH V. DOSTĘP DO INFORMACJI VI. BEZPIECZEŃSTWO INFORMACJI VII. ZARZĄDZANIE DANYMI OSOBOWYMI VIII. ZAKRESY ODPOWIEDZIALNOŚCI IX. PRZETWARZANIE DANYCH OSOBOWYCH X. OBOWIĄZEK INFORMACYJNY XI. OBSŁUGA UPRAWNIEŃ XII. OKRES PRZECHOWYWANIA DANYCH I ARCHIWIZOWANIE INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE XIII. PLIKI COOKIES XIV. POSTANOWIENIA KOŃCOWE 2

3 I. POSTANOWIENIA OGÓLNE Celem Polityki ochrony danych osobowych, zwanej dalej Polityką ochrony danych, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania w AFZ Group spółka z ograniczoną odpowiedzialnością informacji zawierających dane osobowe. 1. Obszarem przetwarzania danych osobowych w AFZ Group spółka z ograniczoną odpowiedzialnością jest wydzielone pomieszczenie w budynku Centrum Handlowego Manhattan oznaczone numerem 3/314 w Gdańsku przy Alei Grunwaldzkiej Zbiory danych osobowych są również przetwarzane z wykorzystaniem komputerów przenośnych. 3. Administrator danych przewiduje możliwość zatrudnienia telepracowników. Określenia użyte w Polityce ochrony danych oznaczają: 1. RODO - Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. 2. Administrator danych osobowych AFZ Group spółka z ograniczoną odpowiedzialnością. 3. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 4. Przetwarzanie danych osobowych - operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie, 5. Podmiot przetwarzający osobę, której Administrator powierzył przetwarzanie danych osobowych. 6. System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. 7. Zabezpieczenie systemu informatycznego - wdrożenie stosowanych środków administracyjnych, technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych, a także ich utratą II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI 4 1. Utrzymanie bezpieczeństwa przetwarzanych w AFZ Group spółka z ograniczoną odpowiedzialnością informacji oznacza gwarancję: a) poufność informacji - rozumiane jako zapewnienie, że tylko uprawnieni pracownicy mają dostęp do informacji; 3

4 b) integralność informacji - rozumiane jako zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania; c) dostępność informacji - rozumiane jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne; d) legalność informacji rozumiane jako zapewnienie, że dane osobowe są gromadzone, chronione i przetwarzane zgodnie z prawem; e) zarządzanie ryzykiem - rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych. 2. Dodatkowo zarządzanie bezpieczeństwem informacji wiąże się z zapewnieniem: a) niezaprzeczalności odbioru - rozumianej jako zdolność systemu do udowodnienia, że adresat informacji otrzymał ją w określonym miejscu i czasie; b) niezaprzeczalności nadania - rozumianej jako zdolność systemu do udowodnienia, że nadawca informacji faktycznie ją nadał lub wprowadził do systemu w określonym miejscu i czasie; c) rozliczalności działań - rozumianej, jako zapewnienie, że wszystkie działania istotne dla przetwarzania informacji zostały zarejestrowane w systemie i możliwym jest zidentyfikowanie użytkownika, który działania dokonał, jak również rozumianej jako zapewnienie, że wszystkie działania istotne dla przetwarzania informacji zostały zarejestrowane w systemie i możliwym jest zidentyfikowanie użytkownika, który działania dokonał oraz że działania te są dokumentowane, celem możliwości wykazania sposobu realizowania obowiązków wynikających z RODO; d) przestrzegania praw osoby, której dane osobowe dotyczą rozumianej jako zapewnienie możliwości wykonania uprawnień osobom, których dane osobowe dotyczą oraz realizację obowiązków korelujących z tymi uprawnieniami. III. ZAKRES STOSOWANIA 5 1. W AFZ Group spółka z ograniczoną odpowiedzialnością przetwarzane są dane w celach związanych z prowadzoną działalnością gospodarczą, tj.: a) w celu prowadzenia agencji zatrudnienia w szczególności poprzez zbieranie ofert pracy od pracodawców i innych agencji pracy oraz zawieranie z nimi umów, zbieranie ofert kandydatów poszukujących zatrudnienia i przekazywanie ich pracodawcom, na podstawie umów zawartych pomiędzy Administratorem i tymi pracodawcami; b) w celu zawieranie umów związanych z bieżąca działalnością przedsiębiorstwa oraz umów o pracę z pracownikami AFZ Group spółka z ograniczoną odpowiedzialnością; c) w celach marketingu bezpośredniego usług świadczonych przez Administratora oraz przez podmioty, z którymi AFZ Group spółka z ograniczoną odpowiedzialnością współpracuje na rzecz osób, których dane osobowe są przetwarzane, odbywający się za pomocą poczty elektronicznej oraz telefonicznych połączeń przychodzących lub wiadomości SMS/MMS w zależności od tego, na jaką formę marketingu wyraziła zgodę osoba, której dane są przetwarzane. 2. Informacje te są przetwarzane i składowane głównie w postaci dokumentacji elektronicznej, aczkolwiek nie wyklucza się także dokumentacji tradycyjnej. 3. Polityka ochrony danych zawiera informacje dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych. 4

5 Politykę ochrony danych stosuje się do: 6 a) danych osobowych przetwarzanych w systemie operacyjnym zainstalowanym na komputerach AFZ Group spółka z ograniczoną odpowiedzialnością; b) wszystkich informacji dotyczących danych pracowników AFZ Group spółka z ograniczoną odpowiedzialnością, w tym danych osobowych personelu i treści zawieranych umów o pracę oraz wszystkich danych kandydatów do pracy zbieranych na etapie rekrutacji; c) informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych; d) ewidencji osób dopuszczonych do przetwarzania danych osobowych; e) innych dokumentów zawierających dane osobowe Zakresy ochrony danych osobowych określony przez dokumenty Polityki ochrony danych mają zastosowanie do systemów informatycznych AFZ Group spółka z ograniczoną odpowiedzialnością, w których są przetwarzane dane osobowe, a w szczególności do: a) wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe podlegające ochronie; b) informacji będących własnością AFZ Group spółka z ograniczoną odpowiedzialnością lub kontrahentów AFZ Group spółka z ograniczoną odpowiedzialnością, o ile zostały przekazane na podstawie umów; c) wszystkich lokalizacji miejsc wykonywania czynności związanych z prowadzoną działalnością gospodarczą, w których są lub będą przetwarzane informacje podlegające ochronie; d) wszystkich pracowników w rozumieniu przepisów Kodeksu Pracy, konsultantów, stażystów i innych osób mających dostęp do informacji podlegających ochronie. 3. Do stosowania zasad określonych przez dokumenty Polityki ochrony danych zobowiązani są wszyscy pracownicy w rozumieniu Kodeksu Pracy, konsultanci, stażyści oraz inne osoby mające dostęp do informacji podlegających ochronie. 1. Informacje niejawne nie są objęte zakresem niniejszej Polityki Bezpieczeństwa AFZ Group spółka z ograniczoną odpowiedzialnością nie przetwarza danych osobowych należących do szczególnych kategorii danych osobowych w rozumieniu art. 9 RODO oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa art. 10 RODO, jak również danych osobowych dzieci, które nie ukończyły 16 lat. 3. AFZ Group spółka z ograniczoną odpowiedzialnością nie profiluje danych osobowych w rozumieniu art. 4 pkt 4 RODO, co oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności analizy lub prognozy aspektów dotyczących efektów pracy, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania. lokalizacji lb przemieszczania się. 5

6 IV. STRUKTURA DOKUMENTÓW POLITYKI OCHRONY DANYCH 9 1. Dokumenty Polityki ochrony danych ustanawiają metody zarządzania oraz wymagania niezbędne do zapewnienia skutecznej i spójnej ochrony przetwarzanych informacji. 2. Zestaw dokumentów Polityki ochrony danych składa się z: a) niniejszego dokumentu Polityki ochrony danych; b) Instrukcji zarządzania systemami informatycznymi w zakresie wymogów bezpieczeństwa przetwarzania danych osobowych, opisującej sposób zarządzania systemami przetwarzania danych osobowych w AFZ Group spółka z ograniczoną odpowiedzialnością Załącznik nr 1; c) Wykazu baz danych w systemach informatycznych, w których przetwarzane są dane osobowe w AFZ Group spółka z ograniczoną odpowiedzialnością - Załącznik nr 2, d) Ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych i ich identyfikatorów Załącznik nr 3; e) Wykazu miejsc przetwarzania danych osobowych w systemach informatycznych - Załącznik nr 4, V. DOSTĘP DO INFORMACJI 10 Wszystkie osoby, których rodzaj wykonywanej pracy będzie wiązał się z dostępem do danych osobowych, przed przystąpieniem do pracy, podlegają przeszkoleniu w zakresie obowiązujących przepisów prawa dotyczących ochrony danych osobowych oraz obowiązujących w AFZ Group spółka z ograniczoną odpowiedzialnością zasad ochrony danych osobowych. 11 Zakres czynności dla osoby dopuszczonej do przetwarzania danych osobowych powinien określać zakres odpowiedzialności tej osoby za ochronę danych osobowych w stopniu odpowiednim do zadań tej osoby realizowanych przy przetwarzaniu tych danych Udostępnianie danych osobowych pracownikom będzie się odbywało wyłącznie na podstawie udzielonych im upoważnień, a innym podmiotom wyłącznie na podstawie umów o powierzenie przetwarzania danych osobowych. 2. Pracownicy AFZ Group spółka z ograniczoną odpowiedzialnością zatrudnieni na umowę o telepracę, będą przetwarzali dane osobowe z użyciem sprzętu i oprogramowania, oraz z wykorzystaniem systemów informatycznych powierzonych przez AFZ Group spółka z ograniczoną odpowiedzialnością. VI. BEZPIECZEŃSTWO INFORMACJI 13 W AFZ Group spółka z ograniczoną odpowiedzialnością stosuje się następujące kategorie środków zabezpieczeń danych osobowych: a) zabezpieczenia fizyczne: zbiory danych osobowych przechowywane są w pomieszczeniu zamykanym na klucz; 6

7 dostęp do pomieszczeń, w których przetwarza się zbiory danych są objęte systemem kontroli dostępu; dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych; dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez służbę ochrony; dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych jest przez całą dobę nadzorowany przez służbę ochrony; zbiór danych osobowych w formie tradycyjnej (papierowej) oraz kopie zapasowe i archiwalne zbioru danych osobowych są przechowywane w zamkniętej szafie; pomieszczenie, w którym są przetwarzane dane osobowe zabezpieczone jest przed skutkami pożaru za pomocą sytemu przeciwpożarowego i/lub wolnostojącej gaśnicy; dokumenty zawierające dane osobowe po ustaniu przydatnością są niszczone w sposób mechaniczny za pomocą niszczarek do dokumentów. b) zabezpieczenia procesów przetwarzania danych w dokumentacji papierowej: przetwarzanie danych osobowych następuje w wyznaczonych pomieszczeniach; przetwarzanie danych osobowych następuje przez wyznaczone do tego celu osoby; dokumenty zawierające dane osobowe zbędne do prowadzenia dalszych działań i które nie podlegają, archiwizacji są niezwłocznie niszczone w sposób uniemożliwiający ich odczytanie. e) zabezpieczenia informatyczne: zastosowano urządzenia typu UPS, generator prądu i/lub wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania; dostęp do sytemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelniania z wykorzystaniem identyfikatorów użytkownika i hasła; zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych; zastosowano system rejestracji dostępu do sytemu zbioru danych osobowych; dostęp do środków teletransmisji danych zabezpieczano za pomocą mechanizmów uwierzytelniania; zastosowano środki ochrony przed szkodliwym oprogramowaniem takim jak np. robaki, wirusy, konie trojańskie, rookity; użyto system Firewall do ochrony dostępu do sieci komputerowej; zainstalowane wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe; kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwera, na którym dane osobowe są przetwarzane na bieżąco. c) zabezpieczenia organizacyjne: osobami bezpośrednio odpowiedzialnymi za bezpieczeństwo danych jest Administrator danych; Administrator danych osobowych na bieżąco kontroluje z należytą starannością, zgodnie z aktualnie obowiązującą w tym zakresie wiedzą i z obowiązującymi procedurami, pracę pracowników odpowiedzialnych za przetwarzanie danych osobowych oraz systemu 7

8 informatycznego. e) inne zabezpieczenia: osoba użytkująca komputer przenośny zawierający dane osobowe jest zobowiązana do zachowania szczególnej ostrożności podczas transportu i użytkowania sprzętu poza obszarem wskazanym w 1 ust. 1; urządzenia, dyski lub inne elektroniczne nośniki informacji zawierające dane osobowe przeznaczone do likwidacji pozbawia się zapisu danych, a gdy nie jest to możliwe uszkadza w sposób uniemożliwiające ich odczytanie; urządzenia, dyski lub inne elektroniczne nośniki informacji zawierające dane osobowe przeznaczone do przekazania podmiotowi nieuprawnionemu do przetwarzania danych, pozbawia się wcześniej zapisu danych, w sposób uniemożliwiający ich odzyskanie; urządzenia, dyski lub inne elektroniczne nośniki informacji zawierające dane osobowe przeznaczone do naprawy pozbawia się wcześniej zapisu danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez Administratora danych. Ochronę danych osobowych w AFZ Group spółka z ograniczoną odpowiedzialnością należy realizować z wykorzystaniem następujących minimalnych zabezpieczeń: 14 a) przyznawania indywidualnych identyfikatorów; b) zapewnienia zmiany haseł nie rzadziej niż co 30 dni, które składa się co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne; c) odnotowania daty pierwszego wprowadzenia danych w systemie; d) odnotowania identyfikatora użytkownika wprowadzającego dane; e) odnotowania sprzeciwu określonego w art. 21 RODO; f) odnotowania źródła danych, w przypadku zbierania danych nie od osoby, której dane dotyczą; g) odnotowania informacji o odbiorcach, którym dane zostały udostępnione, dacie i zakresie tego udostępnienia; h) zapewnienie możliwości sporządzenia i wydrukowania raportu zawierającego dane osobowe wraz z informacjami o historii przetwarzania danych; 15 W ramach zabezpieczenia danych osobowych ochronie podlegają: a) sprzęt komputerowy - serwer, komputery osobiste, drukarki i inne urządzenia zewnętrzne; b) oprogramowanie - kody źródłowe, programy użytkowe, systemy operacyjne, narzędzia wspomagające i programy komunikacyjne; c) dane zapisane na dyskach oraz dane podlegające przetwarzaniu w systemie; d) hasła użytkowników; e) pliki dziennych operacji systemowych i baz danych, kopie zapasowe i archiwa; f) użytkownicy i administratorzy, którzy obsługują i używają system; 8

9 g) dokumentacja - zawierająca dane systemu, opisująca jego zastosowanie, przetwarzane informacje, itp.; h) wydruki; i) związana z przetwarzaniem danych osobowych dokumentacja papierowa, z której dane są wprowadzane do systemu informatycznego lub też funkcjonują niezależnie od niego. VII. ZARZĄDZANIE DANYMI OSOBOWYMI 16 Administratorem danych osobowych jest AFZ Group spółka z ograniczoną odpowiedzialnością w imieniu której występują Członkowie Zarządu oraz Prokurent Za bezpieczeństwo danych osobowych w AFZ Group spółka z ograniczoną odpowiedzialnością, odpowiadają Administrator Danych Osobowych. 2. W umowach zawieranych przez AFZ Group spółka z ograniczoną odpowiedzialnością winny znajdować się postanowienia zobowiązujące podmioty zewnętrzne do ochrony danych osobowych udostępnionych przez AFZ Group spółka z ograniczoną odpowiedzialnością. Organizacja pracy przy przetwarzaniu danych osobowych i zasady przetwarzania: 18 a) wykaz pracowników AFZ Group spółka z ograniczoną odpowiedzialnością uprawnionych do przetwarzania danych osobowych, znajduje się u Administratora danych osobowych; b) przetwarzać dane osobowe mogą jedynie pracownicy, którzy zostali zapoznani z obowiązującymi zasadami dotyczącymi ochrony danych osobowych, potwierdzili fakt przeszkolenia własnoręcznym podpisem i posiadają stosowne upoważnienie przyznane przez Administratora danych osobowych; c) w czasie przetwarzania danych osobowych, pracownik jest osobiście odpowiedzialny za bezpieczeństwo powierzonych mu danych; d) przed przystąpieniem do realizacji zadań związanych z przetwarzaniem danych osobowych, pracownik powinien sprawdzić, czy posiadane przez niego dane były należycie zabezpieczone oraz czy zabezpieczenia te nie były naruszane; e) w czasie przetwarzania danych osobowych, pracownik winien dbać o należyte ich zabezpieczenie przed możliwością wglądu, bądź zmiany przez osoby do tego celu nieupoważnione; f) po zakończeniu przetwarzania danych pracownik winien należycie zabezpieczyć dane osobowe przed możliwością dostępu do nich osób nieupoważnionych; g) pracownicy przetwarzający dane osobowe są bezpośrednio nadzorowani przez Administratora danych osobowych. 19 Ochrona zasobów danych osobowych AFZ Group spółka z ograniczoną odpowiedzialnością jako całości przed ich nieuprawnionym użyciem lub zniszczeniem jest jednym z podstawowych obowiązków pracowników AFZ Group spółka z ograniczoną odpowiedzialnością. 9

10 VIII. ZAKRESY ODPOWIEDZIALNOŚCI 20 Za bezpieczeństwo informacji odpowiedzialny jest każdy pracownik AFZ Group spółka z ograniczoną odpowiedzialnością w zakresie zajmowanego stanowiska i posiadanych informacji. Administrator danych osobowych: odpowiada za ochronę danych osobowych określonych w art. 32 RODO oraz Polityce ochrony danych; 2. sprawuje nadzór nad wykonywaniem obowiązku informacyjnego wobec osób, których dane są przetwarzane; 3. wykonuje i sprawuje nadzór nad realizacją prawa dostępu do danych osobowych osobie, której dane dotyczą oraz nad sprostowaniem, usuwaniem danych osobowych, jak również nad realizacją żądań osób, których dane są przetwarzane w zakresie sprostowania, usuwania i ograniczenia przetwarzania danych osobowych; 4. realizuje i sprawuje nadzór w zakresie powiadamiania o sprostowaniu, usunięciu lub o ograniczeniu przetwarzania danych osobowych odbiorców, którym ujawniono dane osobowe oraz udziela informacji o tych odbiorcach, na żądanie osoby, której dane dotyczą; 5. przyjmuje sprzeciw osoby, której dane dotyczą, wobec przetwarzania jej danych osobowych oraz zapewnia realizację tego uprawnienia; 6. zawiadamia osobę, której dane dotyczą o naruszeniu ochrony danych osobowych; 7. realizuje i sprawuje nadzór nad realizacją uprawnienia do przenoszenia danych osoby, której dane są przetwarzane; 8. sprawuje nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których dane są przetwarzane oraz kontrolą przebywających w nich osób; 9. określa strategię zabezpieczania systemów informatycznych; 10. identyfikuje i analizuje zagrożenia oraz ryzyko, na które narażone może być przetwarzanie danych osobowych w systemach informatycznych; 11. sprawuje nadzór nad obiegiem oraz przechowywaniem dokumentów i wydawnictw zawierających dane osobowe; 12. monitoruje działanie zabezpieczeń wdrożonych w celu ochrony danych osobowych w systemach informatycznych; 13. sprawuje nadzór nad funkcjonowaniem mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane oraz kontrolą dostępu do danych; 14. prowadzi ewidencję baz danych w systemach informatycznych, w których przetwarzane są dane osobowe; 15. prowadzi ewidencję osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych; 16. prowadzi ewidencję miejsc przetwarzania danych osobowych w systemach informatycznych; 17. prowadzi rejestr zbiorów danych osobowych (przetwarzanych metodą tradycyjną lub w systemach informatycznych); 18. określa indywidualne obowiązki i odpowiedzialność osób zatrudnionych przy przetwarzaniu danych osobowych, wynikających z ustawy o ochronie danych osobowych; 19. zapoznaje osoby zatrudnione przy przetwarzaniu danych osobowych z przepisami 10

11 obowiązującymi w tym zakresie; 20. wdraża i nadzoruje przestrzeganie Polityki ochrony danych i Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych; 21. sprawuje nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych, na których zapisane są dane osobowe; 22. sprawuje nadzór nad bezpieczeństwem danych zawartych w komputerach przenośnych, dyskach wymiennych, laptopach, w których przetwarzane są dane osobowe; 23. tworzy warunki organizacyjne i techniczne umożliwiające spełnienie wymogów wynikających z obowiązywania ustawy o ochronie danych osobowych; 24. sprawuje nadzór nad poprawnością merytoryczną danych gromadzonych w systemach informacyjnych; 25. określa, które osoby i na jakich prawach mają dostęp do danych informacji; 26. współpracuje z Urzędem Ochrony Danych Osobowych w ramach wykonywania swoich zadań i obowiązków; 27. zgłasza naruszenie ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych. 22 Administrator danych osobowych jest również odpowiedzialny za: 1. bieżący monitoring i zapewnienie ciągłości działania systemu informatycznego oraz baz danych; 2. optymalizację wydajności systemu informatycznego, baz danych, instalacje i konfiguracje sprzętu sieciowego i serwerowego; 3. instalacje i konfiguracje oprogramowania systemowego, sieciowego, oprogramowania bazodanowego; 4. konfigurację i administrowanie oprogramowaniem systemowym, sieciowym oraz bazodanowym zabezpieczającym dane chronione przed nieupoważnionym dostępem; 5. nadzór nad zapewnieniem awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych; 6. współpracę z dostawcami usług oraz sprzętu sieciowego i serwerowego oraz zapewnienie zapisów dotyczących ochrony danych osobowych; 7. zarządzanie kopiami awaryjnymi konfiguracji oprogramowania systemowego, sieciowego; 8. zarządzanie kopiami awaryjnymi danych osobowych oraz zasobów umożliwiających ich przetwarzanie; 9. przeciwdziałanie próbom naruszenia bezpieczeństwa informacji; 10. zarządzanie licencjami, procedurami ich dotyczącymi; 11. prowadzenie profilaktyki antywirusowej; IX. PRZETWARZANIE DANYCH OSOBOWYCH Systemy informatyczne, służące do przetwarzania danych osobowych, muszą spełniać wymogi obowiązujących aktów prawnych regulujących zasady gromadzenia i przetwarzania danych osobowych. 2. Podstawą przetwarzania danych osobowych przez Administratora danych odbywa się co do zasady w oparciu o następując podstawy prawne: 11

12 a. zgodę osoby, której dane dotyczą (art. 6 ust. 1 lit. a) RODO); b. wykonanie umowy, której stroną jest osoba, której dane dotyczą (art. 6 ust. 1 lit. b) RODO); c. realizacja celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub osobę trzecią (art. 6 ust. 1 lit. f) RODO). 3. Przetwarzanie danych osobowych może również odbywać w oparciu o następujące podstawy: gdy jest niezbędna do wypełnienia obowiązku prawnego ciążącego na Administratorze (art. 6 ust. 1 lit. c) RODO), przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej (art. 6 ust. 1 lit. d)rodo) oraz gdy przetwarzanie jest niezbędne do wykonywani zadania realizowanego w interesie publicznych lub w ramach sprawowania władzy publicznej powierzonej admiratorowi (art. 6 ust. 1 lit. e) RODO); 4. Administrator dokumentuje podstawy prawne przetwarzania dla poszczególnych czynności przetwarzania i poszczególnych kategorii danych osobowych. 24 Do tworzenia kopii bezpieczeństwa danych osobowych w postaci elektronicznej służą indywidualne systemy archiwizowania dla poszczególnych systemów informatycznych. 25 Kopie bezpieczeństwa oraz dokumenty papierowe zawierające dane osobowe przechowuje się w warunkach uniemożliwiających dostęp do nich osobom nieuprawnionym. X. OBOWIĄZEK INFORMACYJNY AFZ Group spółka z ograniczoną odpowiedzialnością spełnia obowiązki informacyjne względem osób, których dane przetwarza, między innymi poprzez zamieszczanie odpowiednich klauzul w umowach zawieranych z osobami fizycznymi, jak również poprzez zamieszczenia odwołania (linku) do informacji o przetwarzaniu danych osobowych w treści wiadomości elektronicznych oraz na formularzach dostępnych na stronie internetowej Administratora. 2. Administrator informuje osobę o przetwarzaniu danych, najpóźniej w momencie bezpośredniego pozyskania tych danych osobowych od tej osoby. 3. Administrator informuje osobę o przetwarzaniu jej danych osobowych, przy pozyskaniu ich niebezpośrednio od niej, zgodnie z art. 14 RODO. 4. Administrator informuje osobę, której dane dotyczą o zmianie celu przetwarzania danych osobnych. 5. Administrator informuje Prezesa Urzędu Ochrony Danych Osobowych o każdym przypadku naruszenia danych osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, zgodnie z art. 33 RODO. 6. Administrator informuje osobę o wszelkich naruszeniach ochrony danych osobowych, które jej dotyczą, jeżeli to naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, zgodnie z art. 34 RODO. 7. Administrator informuje o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych osobowych każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagało niewspółmiernie dużego wysiłku. 12

13 XI. OBSŁUGA UPRAWNIEŃ Na żądanie osoby dotyczące dostępu do jej danych AFZ Group spółka z ograniczoną odpowiedzialnością informuje osobę, czy przetwarza jej dane oraz informuje osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO, a także udziela osobie dostępu do danych osobowych, które jej dotyczą. 2. Dostęp do danych może być zrealizowany poprzez wydanie kopii danych osobowych podlegających przetwarzaniu. Wydanie kopii danych osobowych w ramach realizacja prawa dostępu jest nieodpłatny. Każda kolejna kopia, o którą zwróci się osoba, której dane są przetwarzane będzie podlegała opłacie w wysokości wynikającej z kosztów administracyjnych Każda osoba, której dotyczą przetwarzane przez Administratora dane osobowe, jest uprawniona do: a. sprostowania danych osobowych; b. uzupełnienia danych osobowych; c. usunięcia danych osobowych; d. żądania ograniczenia przetwarzania danych osobowych; e. żądania przeniesienia danych osobowych; f. wniesienia sprzeciwu wobec przetwarzania jej danych osobowych. 2. Administrator danych umożliwia realizację wyżej wymienionych uprawnień osoby, której dane dotyczą oraz wypełnia obowiązki skorelowane z tymi uprawnienia, zgodnie z przepisami art RODO. XII. OKRES PRZECHOWYWANIA DANYCH I ARCHIWIZOWANIE INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE 1. Dane osobowe będą przechowywane: 29 a. przez okres wymagany przepisami prawa powszechnie obowiązującego, o ile jest to odrębnie uregulowane, ze szczególnym uwzględnieniem terminów przedawnienia roszczeń wynikających z zobowiązań, których stroną jest Administrator i osoba, której dane dotyczą; b. przez okres niezbędny do realizacji umowy, tj. do zakończenia procesów rekrutacyjnych, w których uczestniczy osoba, której dane dotyczą, jednak nie dłużej niż do momentu cofnięcia przez tą osobę zgody na przetwarzanie danych osobowych. 2. Dane osobowe mogą być przetwarzane przez Administratora, pomimo cofnięcia zgody osoby, której dane dotyczą jeżeli jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez osobę trzecią z zachowaniem wymogów przewidzianych w art. 6 ust. 1 lit. f) 16 RODO. 3. Archiwizację dokumentów zawierających dane osobowe prowadzi się w odpowiednio zabezpieczonych pomieszczeniach i na właściwie zabezpieczonych nośnikach informatycznych lub tradycyjnych. Dane zbędne dla prowadzonych spraw są natychmiast niszczone poprzez działania fizyczne i informatyczne uniemożliwiające ich odczytanie. 13

14 XIII. PLIKI COOKIES W celu optymalizacji treści dostępnych na stronie internetowej AFZ Group spółka z ograniczoną odpowiedzialnością, pod adresem i ich dostosowania do indywidualnych potrzeb korzysta się z informacji zapisanych za pomocą plików cookies na urządzeniach końcowych użytkowników. Nie zbiera się w sposób automatyczny żadnych informacji, z wyjątkiem informacji zawartych w plikach cookies. 2. Pliki cookies są plikami tekstowymi, które przechowywane są w urządzeniu końcowym użytkownika serwisu. Przeznaczone są do korzystania ze strony internetowej. Zawierają nazwę strony internetowej swojego pochodzenia, unikalny numer, czas przechowywania na urządzeniu końcowym. 3. AFZ Group spółka z ograniczoną odpowiedzialnością zamieszcza na urządzeniu końcowym swojego użytkownika pliki cookies i ma do nich dostęp. 4. Pliki cookies są wykorzystywane do: a. zoptymalizowania zawartości strony internetowej poprzez dopasowanie jej treści do indywidualnych potrzeb użytkowania, w tym także do rozpoznania urządzenia użytkownika, aby zgodnie z jego preferencjami wyświetlić stronę; b. przygotowywania statystyk, dzięki którym możliwe jest poznanie sposobu korzystania ze strony internetowej i dostosowanie jej zawartości do preferencji użytkowników oraz do oceny popularności strony; c. możliwości logowania do serwisu i utrzymania sesji po zalogowaniu, na każdej kolejnej podstronie. 5. Na stronie internetowej stosuje się dwa rodzaje plików cookies: a. pliki sesyjne, przechowywane do czasu opuszczenia strony internetowej; b. pliki stałe, przechowywane do czasu ich usunięcia lub przez czas określony w parametrach plików cookies. 6. Możliwości i sposoby obsługi plików cookies znajdują się w ustawieniach przeglądarki internetowej. Większość przeglądarek ma domyślnie ustawioną akceptację zapisu plików cookies w urządzeniu końcowym. Zmiana tych ustawień jest możliwa w każdym czasie i może polegać między innymi na zablokowaniu obsługi plików cookiej lub na informowaniu o ich umieszczeniu na urządzeniu. Zmiana ustawień domyślnych może skutkować ograniczeniami w dostępności i funkcjonalności treści strony internetowej. 7. Zastrzega się możliwość udostępnienia plików cookies zamieszczanych w urządzeniu końcowym użytkownika reklamodawcą oraz innym podmiotom współpracującym. 8. Szczegółowe informacje na temat plików cookies, można znaleźć w menu przeglądarki internetowej, lub na stronie internetowej producenta przeglądarki. XIV. POSTANOWIENIA KOŃCOWE 31 Administrator danych osobowych okresowo będzie analizował zagrożenia i ryzyko w celu weryfikacji środków zabezpieczających, a także dokonywał inwentaryzacji systemów informatycznych i zbiorów danych w celu zapewnienia aktualności treści Polityki ochrony danych. 32 Niniejsza Polityka bezpieczeństwa została opracowana, wdrożona i podpisana przez osoby 14

15 reprezentujące AFZ Group spółka z ograniczoną odpowiedzialnością. (Pieczęć AFZ Group spółka z ograniczoną odpowiedzialnością i osoby uprawnionej do reprezentacji) 15