Pan Tablet – warsztaty multimedialne z wykorzystaniem tabletów

logo2

Wybierz Zajęcia dla uczniów

Dzieła uczniów

Przewodnik dla nauczyciela 1-3

Strefa Rodzica

Najczęstsze Pytania

O Nas

Kontakt

Facebook Youtube

Polityka prywatności​

POLITYKA PRYWATNOŚCI PAN-TABLET SP. Z O.O.

 

Niniejsza Polityka prywatności została sporządzona w celu wykazania, że dane osobowe są zabezpieczone i przetwarzane zgodnie z wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczenia danych, w szczególności zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO). 

 

DEFINICJE

Administrator – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, w ramach niniejszej polityki prywatności określa się Pan Tablet sp. z o.o.

Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Ograniczenie przetwarzania – oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania.

Zgoda – osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Naruszenie ochrony danych osobowych–  oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Pseudonimizacja  – oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

RODO – rozporządzenie parlamentu europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46 z 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 4 maja 2016 r.).

 

CELE POLITYKI PRYWATNOŚCI

Podstawowym celem wdrożenia polityki prywatności przez Administratora jest bezpieczeństwo przetwarzania danych osobowych. Podjęte działania mają na celu przede wszystkim zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Przetwarzanie danych osobowych w strukturze Administratora odbywa się zgodnie z ogólnymi zasadami przetwarzania danych osobowych określonymi w art. 5 RODO. Oznacza to, że dane osobowe przetwarza się:

  1. zgodnie z prawem, w oparciu o co najmniej jedną przesłankę legalności przetwarzania danych osobowych wskazaną w art. 6 lub 9 RODO (zasada legalności),
  2. w sposób rzetelny przy uwzględnieniu interesów i rozsądnych oczekiwań osób, których dane dotyczą (zasada rzetelności),
  3. w sposób przejrzysty dla osób, których dane dotyczą (zasada przejrzystości),
  4. w konkretnych, wyraźnych i prawnie uzasadnionych celach (zasada ograniczenia celu),
  5. w zakresie adekwatnym, stosownym oraz niezbędnym dla celów, w których są przetwarzane (zasada minimalizacji danych),
  6. przy uwzględnieniu ich prawidłowości i ewentualnego uaktualniania (zasada prawidłowości),
  7. przez okres nie dłuższy, niż jest to niezbędne dla celów, w których są przetwarzane (zasada ograniczenia przechowywania),
  8. w sposób zapewniający odpowiednie bezpieczeństwo (integralność i poufność).

 

Administrator  uwzględnia w zachodzących w jego strukturze procesach przetwarzania danych osobowych, procedury i zasady ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy przepisów RODO, w tym, w szczególności:

  1. prawo do wycofania wyrażonej zgody (art. 7 ust. 3 RODO),
  2. prawo dostępu przysługujące osobie, której dane dotyczą (art. 15 RODO),
  3. prawo do sprostowania danych (art. 16 RODO),
  4. prawo do usunięcia danych (prawo do bycia zapomnianym) (art. 17 RODO),
  5. prawo do ograniczenia przetwarzania (art. 18 RODO),
  6. prawo do przenoszenia danych (art. 20 RODO),
  7. prawo sprzeciwu (art. 21 RODO),
  8. prawo do niepodlegania decyzjom opartym na zautomatyzowanym przetwarzaniu (art. 22 RODO).

 

 

W celu realizacji przysługujących praw użytkownik winien skontaktować się z Administratorem drogą mailową, a następnie po weryfikacji jego tożsamości oraz możliwości realizacji prawa zostanie ono wykonane w terminie 7 dni. 

Przedmiotowa Polityka Prywatności została przyjęta i wdrożona przez Administratora, ponadto każdy pracownik jest zapoznawany z jej treścią oraz zobowiązany do wykonywania zawartych w niej obowiązków.

 

ANALIZA RYZYKA 

Opis głównych zagrożeń które mogą naruszyć bezpieczeństwo danych osobowych przetwarzanych przez Administratora wraz z przypisaniem skali prawdopodobieństwa wystąpienia tych zagrożeń: 

  1. Zagrożenie celowe poza strukturami Administratora podejmowane w celu bezprawnego dostępu do danych (zewnętrzne ) m.in.:
  1. atak hakerski – mało prawdopodobne,  
  2. atak wirusa – mało prawdopodobne,
  3. przejęcie kontroli nad systemem informatycznym używanym do przetwarzania danych osobowych – mało prawdopodobne
  4. wyciek danych z systemów informatycznych usługodawcy – mało prawdopodobne,
  5. kradzież sprzętu – mało prawdopodobne,
  6. włamanie do siedziby – mało prawdopodobne

 

  1. Zagrożenia przypadkowe poza strukturami Administratora w postaci czynników zewnętrznych losowych niezależnych od Administratora m.in. :
  1. brak dostępu do Internetu – możliwe,
  2. awaria zasilania – możliwe,
  3. awaria urządzeń dostawców usług – mało prawdopodobne,
  4. awaria serwera- mało prawdopodobne,
  5. pożar budynku – mało prawdopodobne,
  6. zalanie budynku wraz z wyposażeniem – mało prawdopodobne.

 

  1. Zagrożenia celowe wewnętrzne (w strukturach administratora) m.in.:
  1. korzystanie z nielicencjonowanego oprogramowania – mało prawdopodobne,
  2. skopiowanie bazy klientów i udostępnienie je konkurencji – mało prawdopodobne,
  3. skopiowanie bazy danych klientów i wykorzystanie jej przez pracownika we własnym celu –mało prawdopodobne,
  4. przekazanie haseł dostępowych przez pracownika osobie nieuprawnionej- mało prawdopodobne,
  5. wprowadzanie błędnych danych przez pracowników- mało prawdopodobne
  6. nadanie przesyłki do niewłaściwego klienta – mało prawdopodobne,
  7. wysłanie wiadomości e-mail w przedmiocie zamówienia do niewłaściwego klienta – mało prawdopodobne ,
  8. niewłaściwe używanie oprogramowania przez pracowników- mało prawdopodobne,
  9. niemożność skontaktowania się z administratorem poprze podanie niewłaściwych danych – mało prawdopodobne,
  10. przesłanie odpowiedzi na reklamację niewłaściwemu klientowi – mało prawdopodobne
  11. wynoszenie dokumentacji zawierającej dane osobowe poza obszar przetwarzania bez wiedzy i akceptacji Administratora danych – mało prawdopodobne
  12. dopuszczenie osób nieupoważnionych do użytkowania systemów informatycznych zawierających dane osobowe- mało prawdopodobne,
  13. wykorzystanie zużytych wydruków zawierających dane osobowe zamiast zniszczenia ich – mało prawdopodobne.

 

  1. Zagrożenia przypadkowe wewnętrzne:
  1. awarie sprzętów i urządzeń – możliwe,
  2. przypadkowe skasowanie zamówienia/reklamacji- mało prawdopodobne,
  3. niemożność odczytania kopii zapasowej – mało prawdopodobne,
  4. pomyłki niecelowe pracowników przy wprowadzaniu informacji – możliwe,
  5. wadliwe działanie oprogramowania – mało prawdopodobne,
  6. przypadkowa utrata bazy e-mail – mało prawdopodobne,
  7. zalanie papierowej dokumentacji – mało prawdopodobne.

 

Mało prawdopodobne– w celu zminimalizowania zagrożeń Administrator wprowadził różnego rodzaju środki ( techniczne, organizacyjne, fizyczne ), aby zminimalizować ryzyko płynące z wystąpienia tych zagrożeń. 

Możliwe– w celu zminimalizowania zagrożeń Administrator wprowadził różnego rodzaju środki ( techniczne, organizacyjne, fizyczne ), aby zminimalizować ryzyko płynące z wystąpienia tych zagrożeń, jednakże niektóre zagrożenia mogą wystąpić pomimo zastosowania tych środków przy dochowaniu najwyższej staranności Administratora. 

 

POZIOM BEZPIECZEŃSTWA 

Administrator danych osobowych stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych odpowiednią do zagrożeń, które mogą wystąpić.

Na podstawie art. 32 RODO Administrator Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: 

  1. pseudonimizację i szyfrowanie danych osobowych;
  2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania
  3. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  4. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

 

Administrator stosuje program antywirusowy oraz zapory sieciowe (firewall). 

Dane Klientów przechowywane są na terenie Rzeczypospolitej Polskiej.

 

ŚRODKI OCHRONY DANYCH OSOBOWYCH

 

ŚRODKI ORGANIZACYJNE

Środek został zastosowany (TAK/NIE)

  1. Opracowano politykę prywatności.

TAK

  1. Opracowano i wdrożono politykę w zakresie bezpieczeństwa informatycznego.

TAK

  1. Do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające ważne upoważnienia nadane przez Administratora.

TAK

  1. Administrator prowadzi ewidencję osób upoważnionych do przetwarzania danych.

TAK

  1. Osoby zatrudnione przy przetwarzaniu danych zaznajomiono z przepisami dotyczącymi ochrony danych osobowych oraz polityką bezpieczeństwa.

TAK

  1. Osoby zatrudnione przy przetwarzaniu danych osobowych zobowiązano do zachowania ich w tajemnicy.

TAK

  1. Monitory komputerów, na których przetwarzane są dane osobowe, ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane.

TAK

  1. Kopie zapasowe zbioru danych osobowych przechowywane są w sposób bezpieczny uniemożliwiający ingerencję osób postronnych.

TAK

  1. Przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych.

TAK

  1. Przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych.

TAK

  1. Stosuje się pisemne umowy powierzenia przetwarzania danych dla współpracy z podwykonawcami przetwarzającymi dane osobowe.

TAK

  1. W podmiocie prowadzi się politykę czystego biurka i ekranu.

TAK

 

 

Środki ochrony danych fizyczne i techniczne zostały przedstawione poniżej w postaci listy fizycznych oraz technicznych środków ochrony danych osobowych stosowanych przez Administratora danych.

 

 

A. FIZYCZNE ŚRODKI OCHRONY DANYCH

Środek został zastosowany (TAK/NIE)

  1. Dane osobowe przetwarzane są w trybie tajności.

TAK

  1. Zbiory danych osobowych przechowywane są w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nieantywłamaniowymi).

TAK

  1. Zbiory danych osobowych przechowywane są w pomieszczeniu zabezpieczonym drzwiami wzmacnianymi (nieantywłamaniowymi).

NIE

  1. Zbiory danych osobowych przechowywane są w pomieszczeniu zabezpieczonym drzwiami antywłamaniowymi.

NIE

  1. Zbiory danych osobowych przechowywane są w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej.

NIE

  1. Pomieszczenie, w którym przetwarzane są dane osobowe wyposażone jest w system alarmowy przeciwwłamaniowy.

TAK

  1. Dostęp do pomieszczeń, w których przetwarzane są dane osobowe objęty jest systemem kontroli dostępu.

TAK

  1. Dostęp do pomieszczeń, w których przetwarzane są dane osobowe kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych.

TAK

  1. Dostęp do pomieszczeń, w których przetwarzane są dane osobowe jest nadzorowany przez całą dobę.

NIE

  1. Kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się komputer główny, na którym dane osobowe przetwarzane są na bieżąco.

TAK

  1. Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej niemetalowej szafie.

NIE

  1. Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej szafie metalowej (nieantywłamaniowej).

NIE

  1. Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętym sejfie lub kasie pancernej.

NIE

  1. Zbiór danych osobowych w formie pisemnej przechowywany jest w zamkniętej niemetalowej szafie.

NIE

  1. Zbiór danych w formie pisemnej przechowywany jest w zamkniętej szafie metalowej (nieantywłamaniowej).

TAK

  1. Zbiór danych w formie pisemnej przechowywany jest w zamkniętym sejfie lub kasie pancernej.

NIE

 

 

B. TECHNICZNE ŚRODKI OCHRONY DANYCH

 

a) środki sprzętowe, informatyczne i telekomunikacyjne (nazwy zwyczajowo przyjęte albo symbole norm lub standardów technicznych)

 

  1. Pomieszczenie, w którym przetwarzane są dane osobowe zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego lub wolnostojącej gaśnicy.

NIE

  1. Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów.

NIE

  1. Zbiór danych osobowych prowadzony jest wyłącznie w postaci papierowej (bez użycia systemów informatycznych).

NIE

  1. Zbiór danych osobowych prowadzony jest przy użyciu komputera przenośnego.

TAK

  1. Komputer służący do przetwarzania danych osobowych nie jest połączony z lokalną siecią komputerową.

NIE

  1. Co najmniej jedno urządzenie systemu informatycznego służącego do przetwarzania danych osobowych połączone jest z siecią publiczną (np. Internetem).

TAK

  1. Żadne z urządzeń systemu informatycznego służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną (np. Internetem).

NIE

  1. Uniemożliwiono użytkownikom systemu informatycznego, w którym przetwarzane są dane osobowe wykonywania kopii tych danych.

TAK

  1. Zastosowano urządzenia typu UPS lub generator prądu lub wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych przed awarią zasilania.

NIE

  1. Zastosowano środki kryptograficznej ochrony danych osobowych w trakcie teletransmisji.

NIE

  1. Zastosowano macierz dyskową w komputerze głównym w celu ochrony danych osobowych.

NIE

  1. Użyto system Firewall do ochrony dostępu do sieci komputerowej.

TAK

  1. Użyto system IDS/IPS do ochrony dostępu do sieci komputerowej.

TAK

 

 

b) środki ochrony w ramach oprogramowania systemów (nazwy zwyczajowo przyjęte albo symbole norm lub standardów technicznych)

 

  1. Dostęp do zbioru danych osobowych przetwarzanych za pomocą komputera zabezpieczony jest na tym komputerze za pomocą hasła BIOS.

NIE

  1. Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.

TAK

  1. Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem technologii biometrycznej.

NIE

  1. W systemie operacyjnym zastosowano mechanizm wymuszający okresową zmianę haseł.

NIE

  1. Zastosowano system operacyjny pozwalający na określenie odpowiednich praw dostępu do zasobów informatycznych dla poszczególnych użytkowników systemu informatycznego.

NIE

  1. Zastosowano system rejestracji dostępu do zbioru danych osobowych.

TAK

  1. Zastosowano oprogramowanie zabezpieczające przed nieuprawnionym dostępem do systemu informatycznego.

TAK

  1. Zastosowano oprogramowanie umożliwiające wykonanie kopii zapasowych zbiorów danych osobowych.

NIE

 

 

c) środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych (nazwy zwyczajowo przyjęte albo symbole norm lub standardów technicznych):

 

  1. Wykorzystano środki pozwalające na rejestrację dokonanych zmian w zbiorze danych osobowych.

NIE

  1. Zastosowano środki umożliwiające określenie praw dostępu do zbioru danych osobowych.

TAK

  1. Dostęp do zbioru danych osobowych zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.

TAK

  1. Dostęp do zbioru danych osobowych zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem karty mikroprocesorowej.

NIE

  1. Dostęp do zbioru danych osobowych zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem tokena.

NIE

  1. Dostęp do zbioru danych osobowych zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem technologii biometrycznej.

NIE

  1. Zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do zbioru danych osobowych.

NIE

  1. Zastosowano mechanizm umożliwiający rejestrację identyfikatora użytkownika wprowadzającego dane osobowe.

TAK

  1. Zastosowano kryptograficzne środki ochrony danych osobowych

NIE

 

 

d) środki ochrony w ramach systemu użytkowego (nazwy zwyczajowo przyjęte albo symbole norm lub standardów technicznych)

 

  1. Stacja końcowa umożliwiająca dostęp do zbioru danych osobowych zabezpieczona jest identyfikatorem i hasłem dostępu.

NIE

  1. Zastosowano mechanizm blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.

NIE

 

 

Zastosowane techniczne i organizacyjne środki  ochrony  są  adekwatne  do  stwierdzonego  poziomu  ryzyka  dla  poszczególnych  systemów, rodzajów zbiorów i kategorii danych osobowych.

 

UPOWAŻNIENIE DO PRZETWARZANIA DANYCH 

Osoba upoważniona musi przetwarzać dane wyłącznie na polecenie Administratora lub na podstawie przepisu prawa.

Zabrania się udostępniania przetwarzanych danych osobowych osobom, które nie mają upoważnienia o takim samym zakresie przetwarzania, w tym rodzinie pracownika, znajomym itp.

Każdy pracownik ma prawo udostępnić dane osobowe podmiotowi trzeciemu wyłącznie pod warunkiem uzyskania wcześniejszej akceptacji Administratora.  

Administrator  prowadzi ewidencję osób upoważnionych w celu sprawowania kontroli nad prawidłowym dostępem do danych osób upoważnionych. 

 

 

PRZEPISY KOŃCOWE :