PROART
Zamów do 10-01-2021

Polityka Ochrony Danych Osobowych

PRO-ART FOTO Sp. z o. o.




§ 1

Postanowienia ogólne.


1. Niniejszy dokument zatytułowany „Polityka ochrony danych osobowych” (dalej jako Polityka) określa środki techniczne i organizacyjne zastosowane przez PRO- ART. FOTO Sp. z o.o (dalej zwany jako Spółka) dla zapewnienia ochrony danych osobowych oraz tryb postępowania w przypadku stwierdzenia naruszenia zabezpieczenia danych osobowych w systemie informatycznym lub w kartotekach, albo w sytuacji podejrzenia o takim naruszeniu.

Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu RODO – rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1).

2. Nadzór nad przestrzeganiem zasad opisanych w niniejszej Polityce oraz przepisów ochrony danych osobowych pełni Właściciel (Prezes Zarządu), który zobowiązuje wszystkich pracowników i współpracowników do zapoznania się z Polityką Ochrony Danych Osobowych oraz do bezwzględnego przestrzegania zawartych tu zasad.




§ 2

Definicje i załączniki.


1) Administrator danych - oznacza osobę fizyczną lub prawną, podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.


W zakresie w jakim PRO- ART. FOTO Sp. z o.o realizuje usługi zewnętrzne wówczas Administratorem danych osobowych jest podmiot zlecający wykonywanie usługi fotograficznej - placówka oświatowa ( na podstawie odrębnej umowy o świadczenie usług fotograficznych w związku z wykonywaniem których podmiot zewnętrzny będący Administratorem danych powierza przetwarzanie danych w rozumieniu RODO podmiotowi PRO- ART. FOTO Sp. z o.o , który obejmuje w ramach umowy współpracy rolę przetwarzającego danych osobowych). Przy czym PRO- ART. FOTO Sp. z o.o jako realizujący zlecenie jest zobowiązany do zabezpieczenia powierzonych danych poprzez wdrożenie i utrzymywanie środków technicznych i organizacyjnych, o których mowa w art. 32 RODO, odpowiednich do rodzaju przetwarzanych danych i działania zgodnie z procedurami opisanymi w Umowie powierzenia przetwarzania danych osobowych, którego formularz stanowi załącznik nr 1 do niniejszej Polityki.


2) bezpieczeństwo informacji – zachowanie poufności, integralności i dostępności informacji; dodatkowo mogą być brane pod uwagę inne własności, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność;


3) dane osobowe - oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, wizerunek, obrazy fotograficzne prezentujące wizerunek.


4) dane szczególne oznaczają dane wymienione w art. 9 ust. 1 RODO, tj. dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne.

5) hasło – rozumie się przez to ciąg znaków alfanumerycznych, znany jedynie użytkownikowi;

6) identyfikator – rozumie się przez to, ciąg znaków literowych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;

7) incydent ochrony danych osobowych – zdarzenie albo seria niepożądanych lub niespodziewanych zdarzeń ochrony danych osobowych stwarzających znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrożenia ochrony danych osobowych.

8) naruszenie ochrony danych osobowych - oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Instrukcja postepowania w przypadku naruszenia ochrony danych stanowi załącznik nr 2 do niniejszej Polityki;

9) obszar przetwarzania danych – rozumie się przez to budynki i pomieszczenia określone przez administratora danych, tworzące obszar, w którym przetwarzane są dane osobowe i inne informacje prawem chronione.

10) odbiorca danych – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią; organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;

11) osoba, podmiot danych - oznacza osobę, której dane dotyczą;

12) podmiot przetwarzający - oznacza organizację lub osobę, której ADO powierzył przetwarzanie danych osobowych.

13) polityka oznacza niniejszą politykę ochrony danych osobowych;

14) postępowanie z ryzykiem – proces planowania i wdrażania działań wpływających na ryzyko; Ryzyko – niepewność osiągnięcia zamierzonych celów;

15) poufność danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom; szacowanie ryzyka – proces identyfikowania, analizowania i oceniania ryzyka;

16) profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;

17) rejestr – oznacza rejestr czynności przetwarzania danych osobowych tożsamy z przepływem danych osobowych w działalności PRO-ART FOTO Sp. z o.o,

Rejestr czynności został utworzony w formie schematu prezentującego przepływ danych osobowych pomiędzy Administratorem a PRO- ART FOTO Sp. z o.o ( wykonanie usługi na podstawie odrębnej umowy o świadczenie usług fotograficznych. W tej sytuacji podmiot zewnętrzny-placówka oświatowa jest Administratorem danych osobowych, których przetwarzanie w rozumieniu RODO powierza podmiotowi PRO- ART. FOTO Sp. z o.o. )

18) RODO oznacza rozporządzenie parlamentu europejskiego i rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/we (ogólne rozporządzenie o ochronie danych) (dz.urz. UE l 119, s. 1).

19) system informatyczny administratora danych – rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych; w systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sieć teleinformatyczną administratora danych;

20) teletransmisja – rozumie się przez to przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej;

21) uwierzytelnienie – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;

22) użytkownik – rozumie się przez to osobę upoważnioną do przetwarzania danych osobowych, której nadano identyfikator i przyznano hasło;

23) zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

a) W załączniku nr 4 znajduje się wzór zgody na przetwarzanie danych osobowych ucznia w placówce przedszkolnej ( w przypadku realizacji umowy przetwarzania danych osobowych przez PRO-ART. Sp. z o.o)

b) W załączniku nr 5 znajduje się klauzula informacyjna dla pracownika zgodna z RODO oraz w załączniku nr 9 znajduje się zgoda na przetwarzane danych osobowych ( dotyczy sytuacji gdy PRO-ART. Sp. z o.o jest administratorem danych osobowych)

24) zwrot/zwroty – oznacza fotografie, które uległy uszkodzeniu lub zostały oznaczone jako skierowane do zwrotu przez Placówkę oświatową na rzecz której wykonywana jest usługa.




§3.

Ochrona danych osobowych - zasady ogólne.



1. W celu zwiększenia efektywności ochrony danych osobowych dokonano połączenia różnych zabezpieczeń w sposób umożliwiający stworzenie kilku warstw ochronnych. Ochrona danych osobowych jest realizowana poprzez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz przez użytkowników.

2. Zastosowane zabezpieczenia mają służyć osiągnięciu poniższych celów i zapewnić:


1) rozliczalność – rozumie się przez to właściwość zapewniającą, że działania użytkownika mogą być przypisane w sposób jednoznaczny tylko temu użytkownikowi;

2) integralność danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;

3) poufność danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom;

4) integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej jak i przypadkowej.





§ 4.

Bezpieczeństwo przetwarzanych informacji



1. Za przestrzeganie zasad ochrony i bezpieczeństwa danych odpowiedzialni są użytkownicy.

2. Realizację powyższych zamierzeń powinny zagwarantować następujące założenia:


1) Wdrożenie procedur określających postępowanie osób dopuszczonych do przetwarzania danych osobowych oraz ich odpowiedzialność za ochronę tych danych. (w załączniku nr 6 zawarto wzór upoważnienia do przetwarzania danych osobowych , w załączniku nr 7 zawarto ewidencję osób upoważnionych do przetwarzania danych osobowych)

2) Przeszkolenie użytkowników w zakresie bezpieczeństwa i ochrony danych osobowych.

3) Przypisanie użytkownikom określonych atrybutów pozwalających na ich identyfikację (hasła, identyfikatory).

4) Podejmowanie niezbędnych działań w celu likwidacji słabych ogniw w systemie zabezpieczeń, (w załączniku nr 8 zawarto instrukcję postępowania w sytuacji naruszenia danych osobowych)


5) Okresowe sprawdzanie przestrzegania przez użytkowników wdrożonych metod postępowania przy przetwarzaniu danych osobowych.


3. Za naruszenie ochrony danych osobowych uważa się w szczególności każdy stwierdzony fakt nieuprawnionego ujawnienia danych, udostepnienia lub umożliwienia dostępu do nich osobom nieupoważnionym, zabrania danych przez osobę̨ nieupoważnioną, uszkodzenia jakiegokolwiek elementu systemu informatycznego, a w szczególności:


1) nieautoryzowany dostęp do danych,


2)nieautoryzowane modyfikacje lub zniszczenie danych,

3) udostepnienie danych nieautoryzowanym podmiotom,

4) nielegalne ujawnienie danych,

5) pozyskiwanie danych z nielegalnych źródeł.


4. Za naruszenie ochrony danych osobowych uważa się również włamanie do budynku lub pomieszczeń, w których przetwarzane są dane osobowe lub próby takich działań.




§ 5

Środki organizacyjne ochrony informacji.



1. Dla zapewnienia bezpieczeństwa danych i informacji zastosowano następujące środki organizacyjne:

1) Każda osoba działająca z upoważnienia Administratora i mająca dostęp do danych osobowych przetwarzała je wyłącznie na polecenie Administratora.

2) Każdy z pracowników i współpracowników powinien zachować szczególną ostrożność przy przenoszeniu danych. ( w załączniku nr 9 zwarto wzór oświadczenia pracownika o zapoznaniu się z polityką ochrony danych osobowych)

3) Należy chronić dane przed dostępem do nich osób nieupoważnionych.

4) Pomieszczenia w których są przetwarzane dane osobowe powinny być zamykane na klucz.

5) Dostęp do kluczy posiadają tylko upoważnieni pracownicy i współpracownicy.

6) Dostęp do pomieszczeń możliwy jest tylko i wyłącznie w godzinach pracy. W wypadku gdy jest wymagany poza godzinami pracy – możliwy jest tylko na podstawie zezwolenia Administratora.

7) Dostęp do pomieszczeń, w których są przetwarzane dane osobowe mogą mieć tylko upoważnieni pracownicy.

8) W przypadku pomieszczeń, do których dostęp mają również osoby nieupoważnione, mogą przebywać w tych pomieszczeniach tylko w obecności osób upoważnionych i tylko w czasie wymaganym na wykonanie niezbędnych czynności.

9) Szafy, w których przechowywane są dane powinny być zamykane na klucz.

10) Klucze do tych szaf posiadają tylko upoważnieni pracownicy.

11) Szafy z danymi powinny być otwarte tylko na czas potrzebny na dostęp do danych, a następnie powinny być zamykane.

12) Dane w formie papierowej mogą znajdować się na biurkach tylko na czas niezbędny na dokonanie czynności służbowych, a następnie muszą być chowane do szaf.

13) Dostęp do komputerów, na których są przetwarzane dane - mają tylko upoważnieni pracownicy i współpracownicy.

14) Monitory komputerów, na których przetwarzane są dane, są tak ustawione, aby osoby nieupoważnione nie miały wglądu w dane.

15) W wypadku potrzeby wyniesienia komputera przenośnego (np. typu notebook) zawierającego dane osobowe, lub inne informacje chronione, komputer taki musi być odpowiednio dodatkowo zabezpieczony, a dane zaszyfrowane.

16) Nie należy udostępniać osobom nieupoważnionym tych komputerów.

17) W przypadku potrzeby przeniesienia danych osobowych pomiędzy komputerami - należy dokonać tego z zachowaniem szczególnej ostrożności.

18) Nośniki użyte do tego należy wyczyścić (skasować nieodwracalnie), aby nie zostały na nich dane osobowe.

19) W wypadku niemożliwości skasowania danych z nośnika (płyta CD-ROM) - należy taką płytę zniszczyć fizycznie.

20) W przypadku wykorzystania do przenoszenia dysków - dane należy kasować z tych dysków.

21) Niezabezpieczonych danych osobowych nie należy przesyłać drogą elektroniczną.

22) Sieć komputerowa powinna być zabezpieczona przed wszelkim dostępem z zewnątrz.

23) Błędne lub nieaktualne wydruki i wersje papierowe zawierające dane osobowe lub inne informacje chronione - niszczone są za pomocą niszczarki lub w inny mechaniczny sposób uniemożliwiający powtórne ich odtworzenie.


2.W przypadku stwierdzenia naruszenia danych osobowych wymagane jest postępowanie zgodnie z zasadami zawartymi w Instrukcji postępowania w sytuacji naruszenia danych osobowych, która stanowi załączniku nr 8 do niniejszej Polityki ochrony danych osobowych).

3. Dostęp do danych osobowych:

1) Przetwarzanie, w tym udostępnianie danych osobowych jest prawnie dopuszczalne, jeżeli jest niezbędne dla zrealizowania obowiązku wynikającego z przepisu prawa.

2) W przypadku udostępnienia danych osobowych w celach innych niż włączenie do rejestru, administrator danych udostępnia posiadane informacje osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.

3) Dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.

4) Podmiot występujący o udostępnienie informacji powinien wskazać podstawę prawną upoważniającą go do otrzymania tych danych albo uzasadnioną potrzebę żądania ich udostępnienia. Tylko w takiej sytuacji można dokonać oceny, czy w określonym przypadku udostępnienie danych jest prawnie dopuszczalne i czy nie będzie ono stanowić naruszenia zasad ochrony informacji.

5) Przetwarzanie, w tym udostępnianie danych osobowych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje w celu badań naukowych, dydaktycznych, historycznych oraz statystycznych.

6) Udostępnienie danych może nastąpić jedynie za zgodą Administratora danych i powinno być odpowiednio udokumentowane.




§6

Zasady dotyczące terminów przechowywania powierzonych do przetwarzanych danych osobowych.



1. Archiwizacja przetwarzanych danych osobowych zgodnie z niniejszą polityką ochrony danych osobowych nie może przekraczać określonych poniżej okresów czasu:


a) Przechowywanie zdjęć w formie cyfrowej na nośnikach zabezpieczonych hasłem

przez wykonującego fotografię upoważnionego pracownika PRO-ART FOTO Sp. z o.o trwa w zależności od rodzaju nośnika:

dysk zewnętrzny – archiwizacja przez okres 1 roku od daty wykonania fotografii

karta pamięci - archiwizacja przez okres 1 miesiąca od daty wykonania fotografii


b) wydruki korespondencji mailowej w sprawie realizacji zlecenia na rzecz Administratora zawierające dane osobowe - archiwizacja przez okres 6 miesięcy od daty przyjęcia zlecenia.


c) Przechowywanie danych osobowych na serwerach należących do PRO-ART FOTO Sp. z o.o (serwer danych, serwer ftp, serwer mailowy, serwer www, serwer sql dla programu magazynowo-księgowego (subiekt), serwer wydruku, active directory (zarządzanie domeną, uprawnienia użytkowników) - pliki źródłowe oraz dane archiwalne - przechowywanie - trwa 3 lata od daty przyjęcia zlecenia.


d) dane osobowe w postaci gotowych wydruków fotografii kierowane do dystrybucji - obejmujące czynności pakowania i wysyłki są archiwizowane przez okres 1 tygodnia od daty przyjęcia zlecenia.


e) dane osobowe, które trafiają do PR-ART FOTO Sp, z o.o w postaci „ zwrotów” są kierowane do niszczarki RODO – czas trwania archiwizacji danych do dalszego procesu utylizacji to okres 1 tygodnia od daty przyjęcia zwrotu.





§7

Postanowienia końcowe.



1 .Każdej osobie, której dane osobowe są przetwarzane przysługuje prawo do kontroli przetwarzania jej danych osobowych, a w szczególności prawo do:


1) uzyskania wyczerpującej informacji, czy jej dane osobowe są przetwarzane oraz do otrzymania informacji o pełnej nazwie i adresie siedziby Administratora Danych;

2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych osobowych;

3) uzyskania informacji, od kiedy są przetwarzane jej dane osobowe, oraz podania w powszechnie zrozumiałej formie treści tych danych;

4) uzyskania informacji o źródle, z którego pochodzą dane osobowe jej dotyczące;

5) uzyskania informacji o sposobie udostępniania danych osobowych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym te dane osobowe są udostępniane;

6) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem przepisów prawa albo są już zbędne do realizacji celu, dla którego zostały zebrane.

2. Polityka jest dokumentem wewnętrznym i nie może być udostępniana osobom postronnym w żadnej formie.

3. Użytkownicy są zobowiązani zapoznać się z treścią Polityki.

4. Użytkownik zobowiązany jest złożyć oświadczenie o tym, iż został zaznajomiony z przepisami ustawy o ochronie danych osobowych oraz wydanych na jej podstawie aktów wykonawczych, z niniejszą Polityką, a także zobowiązać się do ich przestrzegania.

5. W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie aktualnie obowiązujące przepisy prawa w zakresie ochrony danych osobowych.

6. Użytkownicy zobowiązani są do bezwzględnego stosowania przy przetwarzaniu danych postanowień zawartych w niniejszej Polityce. W wypadku odrębnych od zawartych w niniejszej Polityce uregulowań występujących w innych procedurach obowiązujących u Administratora Danych, użytkownicy mają obowiązek stosowania unormowań dalej idących, których stosowanie zapewni wyższy poziom ochrony informacji.