POLITYKA OCHRONY DANYCH OSOBOWYCH Niniejszy dokument stanowi zbiór zasad ochrony danych osobowych w Atest spółka z ograniczoną odpowiedzialnością z siedzibą ul. Malików 146b, 25-639 Kielce, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w Kielcach, X Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem 0000198759. 1. Podstawowe zasady przetwarzania danych w Spółce Przetwarzając dane osobowe, Spółka kieruje się następującymi zasadami: a. Zasadą legalności - oznaczającą, że przetwarzanie danych osobowych może odbywać się wyłącznie zgodnie z prawem, b. Zasadą rzetelności - oznaczającą, że dane osobowe powinny być przetwarzane w sposób zgodny z najlepszą wiedzą i umiejętnościami, c. Zasadą transparentności oznaczającą, iż przetwarzanie powinno odbywać się w sposób przejrzysty dla osób których dane dotyczą, a informacje kierowane do osoby, której dane dotyczą powinny być zwięzłe, łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem, d. Zasadą celowości - oznaczającą, że dane osobowe mogą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, e. Zasadą prawidłowości danych - oznaczającą, że dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane, f. Zasadą ograniczenia czasowego - oznaczającą, że dane osobowe są przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane, g. Zasadą bezpieczeństwa danych - oznaczającą, że dane osobowe muszą być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i poufność, h. Zasadą rozliczalności - oznaczającą, że Spółka jest odpowiedzialna za przestrzeganie przepisów prawa w zakresie ochrony danych osobowych i musi być w stanie wykazać ich przestrzeganie. Atest Sp. z o.o. ul. Malików 146B 25-639 Kielce Strona 1 z 5
2. Rejestr Czynności Przetwarzania Danych W celu zinwentaryzowania przetwarzanych danych osobowych, oraz monitorowania sposobu w jaki są one wykorzystywane, Spółka prowadzi w formie elektronicznej Rejestr Czynności Przetwarzania Danych, w którym wskazane są: a. Cele przetwarzania, b. Opis kategorii osób których dane dotyczą, oraz kategorie tych danych, c. Kategorie odbiorców którym dane zostały ujawnione, d. Jeżeli jest to możliwe planowany termin usunięcia danych, e. Ogólny opis środków bezpieczeństwa stosowanych przez spółkę. 3. Środki bezpieczeństwa organizacyjnego 3.1 Stanowisko pracy Każdy pracownik zobowiązany jest do zachowania ostrożności podczas pracy na dokumentach zawierających dane osobowe i zwracać uwagę aby osoby nieuprawnione nie miały możliwości zapoznania się z tymi dokumentami. Niedopuszczalne jest pozostawianie niezabezpieczonych dokumentów zawierających dane osobowe na stanowisku pracy bez nadzoru. a. Zaleca się, aby na stanowisku pracy znajdowały się jedynie dokumenty niezbędne do wykonywania bieżących zadań. b. Po zakończeniu pracy dokumenty zawierające dane osobowe, należy odłożyć do szafy zamykanej na klucz. c. Kserokopie dokumentów zawierających dane osobowe, które przestały być potrzebne należy niszczyć w taki sposób aby odtworzenie ich treści było jak najbardziej utrudnione (np. w niszczarce). 3.2 Sprzęt komputerowy a. Każdy komputer na którym przetwarzane są dane osobowe w Spółce, jest zabezpieczony indywidualnym hasłem wybranym przez użytkującego go pracownika, składającym się co najmniej z 13 znaków, w tym cyfr oraz wielkich liter. Zmiana hasła przez użytkownika następuję co miesiąc. Niedopuszczalne jest ujawnianie swojego hasła osobom trzecim. b. W razie opuszczenia stanowiska pracy na dłuższy okres czasu, należy zablokować ekran w taki sposób, aby dalsza praca była możliwa po ponownym wpisaniu hasła. W razie braku aktywności na danym komputerze przez czas dłuższy niż 20 min. zostanie on zablokowany automatycznie, Atest Sp. z o.o. ul. Malików 146B 25-639 Kielce Strona 2 z 5
c. Po zakończeniu pracy, wszelkie urządzenia typu USB (dyski, pendrive y) należy odłączyć od jednostki głównej i schować, albo zabrać ze sobą. Niedopuszczalne jest pozostawienie ich podłączonych do komputera albo w miejscu niezabezpieczonym. 3.3 Klucze a. Klucze do szaf z dokumentami zawierającymi dane osobowe należy po zakończeniu pracy i zabezpieczeniu dokumentów odłożyć w umówione miejsce albo zabrać ze sobą. Niedopuszczalne jest pozostawianie ich w zamkach. b. Niedopuszczalne jest pozostawianie kluczy do pokojów w zamkach drzwi po zakończeniu pracy. c. Pracownik opuszczający siedzibę Spółki jako ostatni, ma obowiązek sprawdzić, czy nikt oprócz niego nie jest obecny w biurze, zamknąć drzwi wejściowe. 4. Środki bezpieczeństwa technicznego a. Dokumentacja zawierająca dane osobowe w formie papierowej jest przechowywana w szafkach zamykanych na klucz. Klucze posiadają pracownicy upoważnieni przez zarząd. b. Dokumentacja zawierająca dane osobowe w formie elektronicznej: Komputery i serwer są chronione przez program antywirusowy, Dostęp do BIOS komputerów chroniony jest hasłem, Dostęp do komputerów chroniony jest hasłem. 5. Odbiorcy danych Dane osobowe przetwarzane przez Spółkę udostępniane są podmiotom zewnętrznym świadczącym na rzecz Spółki usługi księgowo kadrowe, ochrony zdrowia i profilaktyki, prawne oraz informatyczne. W tych przypadkach Spółka zawiera z tymi podmiotami umowy powierzenia przetwarzania danych o zapisach spełniających wymogi minimum takie jak określone w art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1) (RODO). Atest Sp. z o.o. ul. Malików 146B 25-639 Kielce Strona 3 z 5
6. Realizacja obowiązków wobec osób których dane przetwarzane są w Spółce a. Spółka informuje osobę o przetwarzaniu jej danych, przy pozyskiwaniu danych od tej osoby, o prawie sprzeciwu względem przetwarzania danych, oraz innych uprawnieniach osób przewidzianych przez art. 13 i 14 RODO. b. Spółka umieszcza na swojej stronie internetowej informację zawierającą sposoby kontaktu ze Spółką jako administratorem danych, celach i podstawach przetwarzania, oraz uprawnieniach osób fizycznych o których mowa w art. 13 i 14 RODO. c. W razie zgłoszenia przez osobę fizyczną jednego z żądań o których mowa w art. 15 RODO, Spółka realizuje swój obowiązek bez zbędnej zwłoki. Po sprawdzeniu czy dane wnioskodawcy są przetwarzane w Spółce, należy zweryfikować jego tożsamość poprzez poproszenie go o przesłanie skanu albo kserokopii pierwszej strony dowodu osobistego, z której wnioskodawca może zanonimizować wszystkie dane które nie są niezbędne w celu ustalenia jego tożsamości. d. W razie zgłoszenia żądania wydania kopii przetwarzanych danych, pierwszą ich kopię Spółka wydaje nieodpłatnie. Następne kopie za uiszczeniem opłaty odpowiadającej kosztom sporządzenia kopii danych. 7. Zgłaszanie naruszeń Za naruszenie ochrony danych osobowych uważa się zdarzenie, powodujące zagrożenie bezpieczeństwa danych osobowych przetwarzanych w Spółce, np. a. Zdarzenie prowadzące do utraty danych (np. pozostawianie dokumentów zawierających dane w miejscach powszechnie dostępnych, zagubienie nośników USB), b. Zdarzenie zagrażające poufności danych (np. realizowanie obowiązków wskazanych w art. 17 RODO bez weryfikacji tożsamości wnioskodawcy), c. Zdarzenie zagrażające rozliczalności danych (np. korzystanie przez wielu pracowników z jednego hasła dostępu). W razie stwierdzenia naruszenia ochrony danych osobowych pracownik zobowiązany jest niezwłocznie powiadomić zarząd Spółki. W takim przypadku należy: a. Podjąć czynności niezbędne dla powstrzymania niepożądanych skutków zaistniałego naruszenia o ile istnieje taka możliwość oraz podjąć próbę ustalenia przyczyn lub sprawców naruszenia ochrony danych osobowych, b. Podjąć możliwe czynności w celu powstrzymania lub ograniczenia dostępu osób nieuprawnionych do danych osobowych. Atest Sp. z o.o. ul. Malików 146B 25-639 Kielce Strona 4 z 5
c. Jeżeli zarząd Spółki stwierdzi, iż naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, należy zawiadomić osobę, której dane dotyczą, o takim naruszeniu (zgodnie art. 34 ust. 1 RODO), d. Zarząd Spółki zgłasza naruszenie ochrony danych Urzędowi Ochrony Danych Osobowych w terminie 72 godzin od ustalenia naruszenia, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych (zgodnie z art. 33 ust. 1 RODO), e. Pracownik wyznaczony przez zarząd Spółki, sporządza notatkę służbową dotyczącą naruszenia, w którym opisuje zdarzenie, wskazuje przyczyny naruszenia i stawia wnioski jakie działania należy podjęć w celu uniknięcia podobnego typu zdarzeń w przyszłości. 8. Postanowienia końcowe a. Pracownicy Spółki są zobligowani do przestrzegania zapisów niniejszej polityki podczas wykonywania pracy. b. Pracownik potwierdzi pisemnie zapoznanie się z polityką i przyjęcie jej do stosowania. c. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z polityki mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych, w szczególności brak zawiadomienia zarządu o stwierdzeniu naruszenia ochrony danych osobowych. Atest Sp. z o.o. ul. Malików 146B 25-639 Kielce Strona 5 z 5