top of page
Polityka Bezpieczeństwa Ochrony Danych Osobowych

Administrator danych osobowych: LUXAHAUS Sp. z o.o.

Bielanka 54A

34-723 poczta Sieniawa

KRS: 0000769633

Dane kontaktowe:

e-mail: info@luxahaus.com

tel. 507 921 753

1. Wstęp

Polityka Bezpieczeństwa Ochrony Danych Osobowych ma na celu zapewnienie ochrony tychże danych, przetwarzanych przez LUXAHAUS Spółka z ograniczoną odpowiedzialnością z siedzibą w Bielance, Bielanka 54A, 34-723 poczta Sieniawa, przed wszelkimi możliwymi zagrożeniami zarówno zewnętrznymi, jak i wewnętrznymi oraz świadomymi i nieświadomymi, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) oraz zgodnie z ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000) tj. z dnia 30 sierpnia 2019 r. (Dz.U. z 2019 r. poz.1781).

Polityka Bezpieczeństwa RODO określa reguły dotyczące procedur, mających na celu zapewnienie bezpieczeństwa danych osobowych, zarówno w postaci dokumentów papierowych, jak i danych zawartych w systemach informatycznych.

 

Zestaw procedur opisujących zasady bezpieczeństwa w LUXAHAUS Sp. z o.o. został zawarty w Załączniku nr 1 do niniejszego dokumentu pn. „Regulamin Ochrony Danych Osobowych”

 

Polityka Bezpieczeństwa RODO obowiązuje cały personel LUXAHAUS Sp. z o.o.. Dotyczy również podmiotów współpracujących, które mają jakikolwiek kontakt z danymi prawnie chronionymi. LUXAHAUS Sp. z o.o. realizuje ochronę danych poprzez: odpowiednie procedury organizacyjne, zabezpieczenia fizyczne, oprogramowanie, w tym w szczególności oprogramowanie antywirusowe i aplikacje, a także przez użytkowników.

Wszystkie zastosowane zabezpieczenia mają na celu zapewnić:

1. poufność danych – dane nie są udostępniane osobom nieupoważnionym

2. integralność danych – dane osobowe nie mogą zostać zmienione, ani też zniszczone w sposób nieautoryzowany

3. integralność systemu – nienaruszalność systemu, równoznaczna z niemożnością manipulacji zarówno celowej, jak i niezamierzonej

4. dostępność danych – na żądanie dane osobowe będą dostępne i możliwe do wykorzystania w ustalonym czasie przez uprawniony podmiot

5. rozliczalność danych – działania konkretnej osoby na danych osobowych, mogą być w sposób jednoznaczny przypisane tej osobie

1. Administrator – LUXAHAUS Spółka z ograniczoną odpowiedzialnością z siedzibą w Bielance.

2. RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

3. Dane osobowe – informacje o zidentyfikowanej, lub możliwej do zidentyfikowania osobie

4. Zbiór danych – uporządkowany zestaw danych osobowych, dostępnych według określonych kryteriów

5. Przetwarzanie danych - operacja lub zestaw operacji wykonywanych na danych osobowych, w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

6. System informatyczny – zespół urządzeń, współpracujących ze sobą, a także procedur przetwarzania informacji, programów oraz narzędzi programowych, stosowanych w celu przetwarzania danych

7. Użytkownik – osoba, która posiada uprawnienie do pracy w systemie informatycznym, zgodnie z zakresem obowiązków służbowych

2. Słowniczek pojęć

3. Procedura inwentaryzacji danych

Dane osobowe przetwarzane przez LUXAHAUS Sp. z o.o. zostały wskazane w Załączniku nr 2 „Wykaz zbiorów danych osobowych”.
W załączniku została zawarta podstawa prawna przetwarzania danych.

4. Legalność przetwarzania danych osobowych

Administrator gwarantuje, że:

a) przetwarza dane zgodnie z prawem (podstawa prawna: art. 6 i 9 RODO)

b) dane osobowe są przetwarzane w zakresie niezbędnym ze względu na cel przetwarzania danych

c) dane osobowe są przetwarzane przez konkretny, z góry określony czas, niezbędny do prawidłowej realizacji umowy

d) względem osób, których dane dotyczą wykonano obowiązek informacyjny, zgodnie z art. 12-14 RODO, ze wskazaniem przysługujących im praw, chyba, że obowiązek informacyjny został ograniczony treścią art. 13 ust. 4 RODO; wzór klauzul informacyjnych jest zawarty w Załączniku nr 3 „Klauzule informacyjne”

e) powierzenie przetwarzania danych osobowych dokonywa się na podstawie umów powierzenia, zawieranych z podmiotami przetwarzającymi

5. Upoważnienia do przetwarzania danych osobowych

Za wydawanie i odwoływanie upoważnień do przetwarzania danych osobowych odpowiada Administrator. Przetwarzanie danych dokonywa się na polecenie Administratora lub też na podstawie przepisów prawa.

Dane mogą przetwarzać tylko osoby upoważnione do przetwarzania danych osobowych. Wzór upoważnienia znajduje się w Załączniku nr 4 „Upoważnienie do przetwarzania danych osobowych” W celu kontroli nad prawidłowym dostępem osób upoważnionych do danych osobowych tworzy się, zgodnie ze wzorem zawartym w Załączniku nr 5 „Ewidencję osób upoważnionych”

6. Postępowanie z incydentami

Niniejsza procedura ma na celu stworzenie schematu postępowania na wypadek wystąpienia incydentu bezpieczeństwa w zakresie ochrony danych osobowych, a także ograniczenie ryzyka powstawania incydentów w przyszłości.

 

Każdy, kto stwierdził zagrożenie wystąpienia incydentu, lub incydent, jest zobligowany poinformować o tym bezpośredniego przełożonego.

 

Do przykładowych zagrożeń wystąpienia incydentu należy zaliczyć:

a) niewłaściwe fizyczne zabezpieczenie danych

b) niewłaściwe zabezpieczenie sprzętu IT (np. brak aktualnego oprogramowania antywirusowego)

 

Do przykładowych incydentów należy zaliczyć:

a) zdarzenia losowe (zewnętrzne i wewnętrzne)

b) incydenty umyślne (np. kradzież, włamanie)

 

Gdy stwierdzi się wystąpienie incydentu, Administrator przeprowadza postępowanie wyjaśniające. W toku postępowania Administrator ustala:

a) czas wystąpienia incydentu

b) zakres incydentu

c) przyczyny i ewentualne skutki incydentu (w tym wielkość szkód)

d) osoby odpowiedzialne za wystąpienie incydentu

 

Nadto Administrator jest obowiązany:

a) zabezpieczyć ewentualne dowody

b) podjąć działania naprawcze, mające na celu usunięcie skutków incydentu i ograniczenie szkody

c) podjąć czynności mające na celu przywrócenie działania po wystąpieniu incydentu

d) wydać rekomendacje w zakresie działań prewencyjnych, mające na celu zapobieganie incydentom w przyszłości

 

Wystąpienie incydentów jest każdorazowo dokumentowane w Załączniku nr 7 „Rejestr naruszeń ochrony danych osobowych oraz incydentów”

 

W przypadku wystąpienia incydentu Administrator bez zbędnej zwłoki, nie później jednak niż w ciągu 72 h od momentu stwierdzenia naruszenia zgłasza je organowi nadzorczemu, chyba że mało prawdopodobnym jest aby naruszenie to spowodowało ryzyko naruszenia praw lub wolności osób fizycznych.

7. Analiza ryzyka

Analiza ryzyka ma na celu ocenę zagrożeń dla bezpiecznego i poprawnego przetwarzania danych, a nadto wybór i wdrożenie środków, które zmniejszają prawdopodobieństwo wystąpienia zagrożeń. Procedurę analizy ryzyka opisuje Załącznik nr 6 „Procedura analizy ryzyka”

8. Ocena skutków dla ochrony danych osobowych

Ocena skutków dla ochrony danych osobowych jest dokonywana w przypadkach wskazanych w art. 35 RODO

Ocena skutków zawiera co najmniej:

a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez Administratora

b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów

c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą

d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy

9. Szkolenia

Każda osoba przed dopuszczeniem do pracy z danymi osobowymi powinna zostać przeszkolona pod kątem przepisów dotyczących ochrony danych osobowych, w tym w szczególności RODO oraz pod kątem procedur ochrony danych osobowych stosowanych przez Administratora. Osobą odpowiedzialną za przeprowadzenie szkoleń jest Administrator.

 

Znajomość przepisów i procedur ochrony danych osobowych oraz zobowiązanie do ich stosowania jest potwierdzane według wzoru stanowiącego Załącznik nr 8 „Wzór oświadczenia”

10. Rejestr Czynności Przetwarzania

Rejestr czynności przetwarzania jest prowadzony przez Administratora według wzoru zawartego w Załączniku nr 9 „Rejestr czynności przetwarzania prowadzony przez Administratora”

11. Audyty

Z uwagi na okoliczność, że zgodnie z art. 32 ust. 1 lit. d) RODO Administrator ma obowiązek regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania, stosuje się procedurę audytu, opisaną w Załączniku nr 10 „Procedura audytu”

12. Plan ciągłości działania

Z uwagi na okoliczność, że zgodnie z art. 32 ust. 1 lit. c) Administrator jest zobowiązany zapewnić zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, stosuje się procedury przywracania opisane w Załączniku nr 11 „Plan ciągłości działania”

13. Postanowienia końcowe

Polityka Bezpieczeństwa Ochrony Danych Osobowych jest wewnętrznym dokumentem, który obowiązuje u Administratora, zaś naruszenie jej postanowień oraz przepisów powszechnie obowiązującego prawa, dotyczących ochrony danych osobowych, w tym w szczególności RODO stanowi ciężkie naruszenie obowiązków pracowniczych, w rozumieniu Kodeksu pracy.

bottom of page