POLITYKA PRYWATNOŚCI

PANEL SERWIS SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIANOŚCIĄ

Celem polityki prywatności jest utrzymania zgodności aktywności spółki Panel Serwis spółka z ograniczoną odpowiedzialnością z wymogami ochrony danych osobowych w zakresie wynikającym z utrzymania kontaktów biznesowych związanych z wykorzystaniem narzędzi informatycznych. Spółka administruje i przetwarza dla potrzeb bieżącej działalności operacyjnej dane dotyczące kontrahentów, przyszłych kontrahentów, osób składających zainteresowanych pozyskaniem informacji o ofercie.

Słowniczek

1. Administrator danych osobowych (ADO) – Panel Serwis spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie, reprezentowana przez Prezes Zarządu;

2. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

3. Przetwarzanie danych osobowych – gromadzenie, utrwalanie, przechowywanie, opracowywanie, modyfikowanie, udostępnianie i usuwanie danych osobowych, zwłaszcza w systemach informatycznych;

4. Użytkownik – osoba upoważniona do przetwarzania danych osobowych w ramach struktury organizacyjnej ADO;

5. RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, 9. ustawa o ochronie danych osobowych – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000).

Zasady przetwarzania danych osobowych

6. Dane osobowe przetwarza się zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą, przy czym są one zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie przetwarza ich dalej w sposób niezgodny z tymi celami.

7. Wprowadza się zasadę adekwatności przyjmując, że minimalizację zakresu posiadanych i przetwarzanych danych w związku z celami, które z ich pozyskania i przetwarzania wynikają.

8. Dane przechowuje je w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane.

9. Dane mają być bezpieczne przez co rozumie się sposób zabezpieczenia, który zapewnia ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Bezpieczeństwo danych zapewnia się poprzez odpowiednie środki techniczne lub organizacyjne.

10. W celu realizacji zasad ADO przetwarza dane legalnie, na podstawie przesłanek pisanych w art. 6 RODO. Pobiera dane osobowe adekwatnie do celów przetwarzania i przetwarza je przez określony czas. Wobec osób, których dane przetwarza wypełnia obowiązki informacyjne określone w art. 13 RODO lub w art. 14 RODO oraz wskazuje przysługujące im uprawnienia takie jak prawo do: dostępu do danych, sprostowania danych, usunięcia danych (prawo do bycia zapomnianym), przenoszenia, sprzeciwu wobec przetwarzania, ograniczenia przetwarzania, wniesienia skargi do organu nadzorczego oraz sprzeciwu wobec bycia profilowanym.

11. ADO zapewnia ochronę danych w przypadku korzystania z usług podmiotów zewnętrznych w postaci zawierania stosownych umów powierzenia oraz korzystając z usług podmiotów przetwarzających realizujących obowiązki wynikające z RODO. W razie wystąpienia incydentu technicznego lub fizycznego administrator danych zapewnia zdolność do szybkiego przywrócenia dostępności do danych osobowych i dostępu do nich.

12. Potwierdzenie spełniania obowiązków informacyjnych przez administratora danych stanowią klauzule informacyjne przekazywane osobom, których dane są przetwarzane.

Upoważnienia do przetwarzania danych. Analiza ryzyka

13. ADO zapewnia dostęp do danych osobowych wyłącznie tylko osób legitymujących się nadanym przez ADO upoważnieniem. Upoważnienia określają do jakich operacji użytkownicy są uprawnieni, tj. tworzenia, usuwania, wglądu, przekazywania danych oraz na jaki czas. ADO prowadzi ewidencję osób upoważnionych.

14. ADO prowadzi analizę ryzyka w celu zabezpieczenia danych osobowych adekwatnie do zidentyfikowanych zagrożeń. Analiza prowadzona jest w przypadku zaistnienia zagrożenia oraz cyklach rocznych. Analiza danych prowadzona jest osobno dla każdego zbioru danych lub dla kilku zbiorów o podobnym zakresie danych.

15. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, ADO wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

Rejestr czynności przetwarzania. Procedura postępowania

16. ADO prowadzi rejestr czynności przetwarzania. W rejestrze tym zamieszcza się: imię i nazwisko oraz dane kontaktowe upoważnionego, cele przetwarzania, opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych, kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione oraz inne elementy wynikające z przepisów powszechnie obowiązujących.

17. ADO wprowadza do stosowania procedurę postępowania z incydentami naruszenia ochrony danych osobowych. Celem tej procedury jest wypełnienie obowiązku wynikającego z art. 33 RODO. Procedura określa sposób definiowania incydentów zagrażających bezpieczeństwu danych osobowych oraz sposób reagowania na nie, a także procedurę wprowadzenia działań naprawczych. Każda osoba upoważniona do przetwarzania danych osobowych ma obowiązek poinformowania o możliwości wystąpienia incydentu lub o jego wystąpieniu.

18. Powiadomienia wymagają: niewłaściwe zabezpieczenie sprzętu elektronicznego, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych, udostępnienie haseł osobom postronnym; niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów; nieprzestrzeganie zasad ochrony danych osobowych przez pracowników; dokumentacja zawierająca dane osobowe niszczona bez użycia niszczarki; udostępnienie danych osobowych osobom nieupoważnionym; telefoniczne próby wyłudzenia danych osobowych oraz inne zdarzenia o podobnym ciężarze gatunkowym.

19. W przypadku gdy incydent skutkuje naruszeniem praw lub wolności osób fizycznych, ADO zgłasza je w ciągu 72 godzin Prezesowi Urzędu Ochrony Danych Osobowych oraz gdy istnieje taki wymóg, powiadamia o tym fakcie osoby, których incydent dotyczył.

Umowy powierzenia przetwarzania danych osobowych

20. W przypadku zlecania przetwarzania danych osobowych podmiotom zewnętrznym ADO zobowiązany jest zawrzeć umowę powierzenia. W jednostce prowadzony jest rejestr umów powierzenia przetwarzania danych osobowych.

21. Umowa określa kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ponadto zobowiązuje podmiot przetwarzający do: przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora, zapewniania, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, podejmowania wszelkich środków wymaganych na mocy art. 32 RODO, przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego, udostępniania administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w przepisach RODO oraz umożliwiania administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzania audytów, w tym inspekcji, i przyczynia się do nich.

22. Przetwarzanie danych może być powierzone w szczególności podmiotom powiązanym z ADO, z zastrzeżeniem realizacji analogicznych czynności w ramach działalności operacyjnej.

Czynności kontrolne

23. Nadzór i kontrolę nad ochroną danych osobowych sprawuje ADO. Czynności kontrolne przeprowadzane są raz do roku.

24. Z czynności kontrolnych sporządza się protokół, w którym dokonuje się dokładnego opisu zakresu kontroli i przeprowadzonych czynność, a także zalecenia i działania naprawcze. Protokół podpisywany jest przez osoby wykonujące czynności kontrolne.

25. Niezastosowanie się do prowadzonej przez ADO polityki ochrony danych osobowych, której założenia określa niniejszy dokument i naruszenie procedur ochrony danych przez pracowników upoważnionych do przetwarzania danych osobowych może być potraktowane jako ciężkie naruszenie obowiązków pracowniczych.