
Polityka prywatności

POLITYKA PRYWATNOŚCI PAN-TABLET SP. Z O.O.
Niniejsza Polityka prywatności została sporządzona w celu wykazania, że dane osobowe są zabezpieczone i przetwarzane zgodnie z wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczenia danych, w szczególności zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO).
DEFINICJE
Administrator – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, w ramach niniejszej polityki prywatności określa się Pan Tablet sp. z o.o.
Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Ograniczenie przetwarzania – oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania.
Zgoda – osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
Naruszenie ochrony danych osobowych– oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Pseudonimizacja – oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
RODO – rozporządzenie parlamentu europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46 z 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 4 maja 2016 r.).
CELE POLITYKI PRYWATNOŚCI
Podstawowym celem wdrożenia polityki prywatności przez Administratora jest bezpieczeństwo przetwarzania danych osobowych. Podjęte działania mają na celu przede wszystkim zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Przetwarzanie danych osobowych w strukturze Administratora odbywa się zgodnie z ogólnymi zasadami przetwarzania danych osobowych określonymi w art. 5 RODO. Oznacza to, że dane osobowe przetwarza się:
- zgodnie z prawem, w oparciu o co najmniej jedną przesłankę legalności przetwarzania danych osobowych wskazaną w art. 6 lub 9 RODO (zasada legalności),
- w sposób rzetelny przy uwzględnieniu interesów i rozsądnych oczekiwań osób, których dane dotyczą (zasada rzetelności),
- w sposób przejrzysty dla osób, których dane dotyczą (zasada przejrzystości),
- w konkretnych, wyraźnych i prawnie uzasadnionych celach (zasada ograniczenia celu),
- w zakresie adekwatnym, stosownym oraz niezbędnym dla celów, w których są przetwarzane (zasada minimalizacji danych),
- przy uwzględnieniu ich prawidłowości i ewentualnego uaktualniania (zasada prawidłowości),
- przez okres nie dłuższy, niż jest to niezbędne dla celów, w których są przetwarzane (zasada ograniczenia przechowywania),
- w sposób zapewniający odpowiednie bezpieczeństwo (integralność i poufność).
Administrator uwzględnia w zachodzących w jego strukturze procesach przetwarzania danych osobowych, procedury i zasady ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy przepisów RODO, w tym, w szczególności:
- prawo do wycofania wyrażonej zgody (art. 7 ust. 3 RODO),
- prawo dostępu przysługujące osobie, której dane dotyczą (art. 15 RODO),
- prawo do sprostowania danych (art. 16 RODO),
- prawo do usunięcia danych (prawo do bycia zapomnianym) (art. 17 RODO),
- prawo do ograniczenia przetwarzania (art. 18 RODO),
- prawo do przenoszenia danych (art. 20 RODO),
- prawo sprzeciwu (art. 21 RODO),
- prawo do niepodlegania decyzjom opartym na zautomatyzowanym przetwarzaniu (art. 22 RODO).
W celu realizacji przysługujących praw użytkownik winien skontaktować się z Administratorem drogą mailową, a następnie po weryfikacji jego tożsamości oraz możliwości realizacji prawa zostanie ono wykonane w terminie 7 dni.
Przedmiotowa Polityka Prywatności została przyjęta i wdrożona przez Administratora, ponadto każdy pracownik jest zapoznawany z jej treścią oraz zobowiązany do wykonywania zawartych w niej obowiązków.
ANALIZA RYZYKA
Opis głównych zagrożeń które mogą naruszyć bezpieczeństwo danych osobowych przetwarzanych przez Administratora wraz z przypisaniem skali prawdopodobieństwa wystąpienia tych zagrożeń:
- Zagrożenie celowe poza strukturami Administratora podejmowane w celu bezprawnego dostępu do danych (zewnętrzne ) m.in.:
- atak hakerski – mało prawdopodobne,
- atak wirusa – mało prawdopodobne,
- przejęcie kontroli nad systemem informatycznym używanym do przetwarzania danych osobowych – mało prawdopodobne,
- wyciek danych z systemów informatycznych usługodawcy – mało prawdopodobne,
- kradzież sprzętu – mało prawdopodobne,
- włamanie do siedziby – mało prawdopodobne.
- Zagrożenia przypadkowe poza strukturami Administratora w postaci czynników zewnętrznych losowych niezależnych od Administratora m.in. :
- brak dostępu do Internetu – możliwe,
- awaria zasilania – możliwe,
- awaria urządzeń dostawców usług – mało prawdopodobne,
- awaria serwera- mało prawdopodobne,
- pożar budynku – mało prawdopodobne,
- zalanie budynku wraz z wyposażeniem – mało prawdopodobne.
- Zagrożenia celowe wewnętrzne (w strukturach administratora) m.in.:
- korzystanie z nielicencjonowanego oprogramowania – mało prawdopodobne,
- skopiowanie bazy klientów i udostępnienie je konkurencji – mało prawdopodobne,
- skopiowanie bazy danych klientów i wykorzystanie jej przez pracownika we własnym celu –mało prawdopodobne,
- przekazanie haseł dostępowych przez pracownika osobie nieuprawnionej- mało prawdopodobne,
- wprowadzanie błędnych danych przez pracowników- mało prawdopodobne,
- nadanie przesyłki do niewłaściwego klienta – mało prawdopodobne,
- wysłanie wiadomości e-mail w przedmiocie zamówienia do niewłaściwego klienta – mało prawdopodobne ,
- niewłaściwe używanie oprogramowania przez pracowników- mało prawdopodobne,
- niemożność skontaktowania się z administratorem poprze podanie niewłaściwych danych – mało prawdopodobne,
- przesłanie odpowiedzi na reklamację niewłaściwemu klientowi – mało prawdopodobne,
- wynoszenie dokumentacji zawierającej dane osobowe poza obszar przetwarzania bez wiedzy i akceptacji Administratora danych – mało prawdopodobne;
- dopuszczenie osób nieupoważnionych do użytkowania systemów informatycznych zawierających dane osobowe- mało prawdopodobne,
- wykorzystanie zużytych wydruków zawierających dane osobowe zamiast zniszczenia ich – mało prawdopodobne.
- Zagrożenia przypadkowe wewnętrzne:
- awarie sprzętów i urządzeń – możliwe,
- przypadkowe skasowanie zamówienia/reklamacji- mało prawdopodobne,
- niemożność odczytania kopii zapasowej – mało prawdopodobne,
- pomyłki niecelowe pracowników przy wprowadzaniu informacji – możliwe,
- wadliwe działanie oprogramowania – mało prawdopodobne,
- przypadkowa utrata bazy e-mail – mało prawdopodobne,
- zalanie papierowej dokumentacji – mało prawdopodobne.
Mało prawdopodobne– w celu zminimalizowania zagrożeń Administrator wprowadził różnego rodzaju środki ( techniczne, organizacyjne, fizyczne ), aby zminimalizować ryzyko płynące z wystąpienia tych zagrożeń.
Możliwe– w celu zminimalizowania zagrożeń Administrator wprowadził różnego rodzaju środki ( techniczne, organizacyjne, fizyczne ), aby zminimalizować ryzyko płynące z wystąpienia tych zagrożeń, jednakże niektóre zagrożenia mogą wystąpić pomimo zastosowania tych środków przy dochowaniu najwyższej staranności Administratora.
POZIOM BEZPIECZEŃSTWA
Administrator danych osobowych stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych odpowiednią do zagrożeń, które mogą wystąpić.
Na podstawie art. 32 RODO Administrator Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
- pseudonimizację i szyfrowanie danych osobowych;
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Administrator stosuje program antywirusowy oraz zapory sieciowe (firewall).
Dane Klientów przechowywane są na terenie Rzeczypospolitej Polskiej.
ŚRODKI OCHRONY DANYCH OSOBOWYCH
ŚRODKI ORGANIZACYJNE | Środek został zastosowany (TAK/NIE) |
| TAK |
| TAK |
| TAK |
| TAK |
| TAK |
| TAK |
| TAK |
| TAK |
| TAK |
| TAK |
| TAK |
| TAK |
Środki ochrony danych fizyczne i techniczne zostały przedstawione poniżej w postaci listy fizycznych oraz technicznych środków ochrony danych osobowych stosowanych przez Administratora danych.
A. FIZYCZNE ŚRODKI OCHRONY DANYCH | Środek został zastosowany (TAK/NIE) |
| TAK |
| TAK |
| NIE |
| NIE |
| NIE |
| TAK |
| TAK |
| TAK |
| NIE |
| TAK |
| NIE |
| NIE |
| NIE |
| NIE |
| TAK |
| NIE |
B. TECHNICZNE ŚRODKI OCHRONY DANYCH
a) środki sprzętowe, informatyczne i telekomunikacyjne (nazwy zwyczajowo przyjęte albo symbole norm lub standardów technicznych) |
|
| NIE |
| NIE |
| NIE |
| TAK |
| NIE |
| TAK |
| NIE |
| TAK |
| NIE |
| NIE |
| NIE |
| TAK |
| TAK |
|
|
b) środki ochrony w ramach oprogramowania systemów (nazwy zwyczajowo przyjęte albo symbole norm lub standardów technicznych) |
|
| NIE |
| TAK |
| NIE |
| NIE |
| NIE |
| TAK |
| TAK |
| NIE |
|
|
c) środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych (nazwy zwyczajowo przyjęte albo symbole norm lub standardów technicznych): |
|
| NIE |
| TAK |
| TAK |
| NIE |
| NIE |
| NIE |
| NIE |
| TAK |
| NIE |
|
|
d) środki ochrony w ramach systemu użytkowego (nazwy zwyczajowo przyjęte albo symbole norm lub standardów technicznych) |
|
| NIE |
| NIE |
|
|
Zastosowane techniczne i organizacyjne środki ochrony są adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych osobowych.
UPOWAŻNIENIE DO PRZETWARZANIA DANYCH
Osoba upoważniona musi przetwarzać dane wyłącznie na polecenie Administratora lub na podstawie przepisu prawa.
Zabrania się udostępniania przetwarzanych danych osobowych osobom, które nie mają upoważnienia o takim samym zakresie przetwarzania, w tym rodzinie pracownika, znajomym itp.
Każdy pracownik ma prawo udostępnić dane osobowe podmiotowi trzeciemu wyłącznie pod warunkiem uzyskania wcześniejszej akceptacji Administratora.
Administrator prowadzi ewidencję osób upoważnionych w celu sprawowania kontroli nad prawidłowym dostępem do danych osób upoważnionych.
PRZEPISY KOŃCOWE :
