RODO

REGULAMIN PRZETWARZANIA DANYCH OSOBOWYCH

Wstęp

Niniejszy regulamin określa wewnętrznie obowiązujące ogólne ramy przetwarzania, przechowywania i zabezpieczania danych osobowych w Nałęczowskiej Spółce Handlowej Sp. z o.o. (zwanej dalej Spółką).

Ogólne ramy prawne dotyczące przetwarzania i bezpieczeństwa danych osobowych w Spółce określa Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, zwane dalej RODO).

Definicje

Administrator danych osobowych (Administrator) – dysponent danych, tj. Spółka.

Dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, której dane dotyczą.

Osoby, których dane dotyczą – wszystkie zidentyfikowane lub możliwe do zidentyfikowania osoby fizyczne, których dane osobowe są przetwarzane przez Spółkę, które można zidentyfikować w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numeru identyfikacyjnego, identyfikatora internetowego lub jednego lub kilku szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Podmiot przetwarzający – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora.

Przetwarzanie – operacja lub zestaw operacji wykonywanych na danych osobowych lub zbiorach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, opracowywanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie, w formie tradycyjnej na nośnikach papierowych oraz w systemach informatycznych.

System informatyczny – zespół współpracujących ze sobą urządzeń, programów i narzędzi zastosowanych w celu przetwarzania danych.

Usuwanie – nieodwracalne usunięcie (skasowanie) danych osobowych ze wszystkich nośników, na których są przechowywane w sposób uniemożliwiający ich przywrócenie.

Użytkownik – osoba upoważniona przez Administratora danych do przetwarzania danych osobowych.

Zbiór danych – każdy uporządkowany zestaw danych o charakterze osobowym, dostępny według określonych kryteriów.

Postanowienia ogólne

Niniejszy regulamin dotyczy wszystkich danych osobowych przetwarzanych przez Administratora, niezależnie od formy ich przetwarzania.

Niniejszy regulamin jest przechowywany w wersji elektronicznej oraz w wersji papierowej w siedzibie Administratora.

Dla skutecznej realizacji niniejszego regulaminu Administrator zapewnia:

1) odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne,

2) kontrolę i nadzór nad przetwarzaniem danych osobowych,

3) monitorowanie zastosowanych środków ochrony.

Monitorowanie przez Administratora zastosowanych środków ochrony obejmuje w szczególności działania użytkowników, naruszanie zasad dostępu do danych oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi.

Administrator zapewnia, że czynności wykonywane w związku z przetwarzaniem, przechowywaniem i zabezpieczaniem danych osobowych są zgodne z niniejszym regulaminem oraz odpowiednimi przepisami prawa.

Dane osobowe przetwarzane u Administratora danych

Administrator gromadzi, przetwarza i przechowuje różnego rodzaju dane osobowe, w szczególności dane:

aktualnych i byłych pracowników, stażystów i praktykantów,

kandydatów do pracy i osób zainteresowanych odbyciem staży lub praktyk,

dostawców towarów,

nabywców towarów,

kontrahentów i partnerów handlowych,

usługodawców,

najemców,

nabywców nieruchomości,

aktualnych i byłych udziałowców,

członków rodzin pracowników,

osób znajdujących się na nagraniach z systemu monitoringu,

osób, które są uwidocznione na dokumentach bankowych, wyciągach handlowych.

Dane osobowe przetwarzane przez Administratora gromadzone są w zbiorach danych.

Dane osobowe mogą znajdować się w rejestrach prowadzonych w formie papierowej znajdujących się w siedzibie Administratora lub w poszczególnych sklepach do niego należących i/lub być przetwarzane w formie elektronicznej na serwerach, stronach internetowych, w bazach danych, komputerach, rozwiązaniach dostępnych w chmurze, systemach poczty elektronicznej, kopiach bezpieczeństwa i/lub na innych nośnikach.

Zakres gromadzonych danych osobowych powinien dostosowany do realizacji celów, dla których są one zbierane i przetwarzane, przy czym przetwarzanie danych winno być zorganizowane w taki sposób, aby dane były na bieżąco aktualizowane, a dane nieaktualne i/lub wprowadzające w błąd nie były przetwarzane.

Dla przetwarzania danych osobowych niezbędne jest istnienie podstawy prawnej przetwarzania.

Bezpieczeństwo danych osobowych

Dane osobowe podlegają szczególnej ochronie prawnej oraz przepisom dotyczącym ich zbierania, wykorzystywania,  przechowywania, itp.

Dane osobowe winny być przetwarzane w sposób bezpieczny i tylko wówczas, gdy jest to konieczne ze względu na cel, w jakim są one przetwarzane przez Administratora.

Dane osobowe winny być przechowywane, a następnie usuwane, w sposób zgodny z zasadami i procedurami określonymi w niniejszym regulaminie, w tym zgodnie ze wszelkimi szczególnymi zasadami wewnętrznymi.

Dane osobowe winny być przechowywane przez czas niezbędny dla realizacji celów , w jakich są one przetwarzane przez Administratora lub zależeć będzie od innych wymogów prawnych, wymogów określonych przez organy władzy i organy regulacyjne oraz od zwyczajów przyjętych w danej branży. Administrator będzie dokonywać okresowych przeglądów celem ustalenia, które dane osobowe podlegają usunięciu lub anonimizacji.

Dostęp do danych osobowych winien być ograniczony wyłącznie do tych osób, które posiadają upoważnienie do przetwarzania danych osobowych (użytkownikom) lub podmiotów zewnętrznych, jakim udzielono dostępu jako podmiotom przetwarzającym, z zastrzeżeniem ppkt 10-12 niniejszego punktu. Wzór upoważnienia określa załącznik nr 1 do niniejszego regulaminu.

Wszystkie osoby upoważnione do przetwarzania danych osobowych są zobowiązane do:

1) ścisłego przestrzegania zakresu nadanego upoważnienia,

2) postępowania zgodnie z obowiązującymi przepisami i zgodnie z regulaminem, a także innymi dokumentami wewnętrznymi i procedurami związanymi z przetwarzaniem danych osobowych w Spółce oraz przepisami prawa,

3) zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia,

4) zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu informatycznego.

Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych osobowych uważa się w szczególności:

1) naruszenie bezpieczeństwa systemów informatycznych, w których przetwarzane są dane osobowe, w razie ich przetwarzania w takich systemach,

2) udostępnianie lub umożliwienie udostępniania danych osobom lub podmiotom do tego nieupoważnionym,

3) zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia danym osobowym ochrony,

4) niedopełnienie obowiązku zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczania,

5) przetwarzanie danych osobowych niezgodnie z założonym zakresem i celem ich zbierania.

6) spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie danych osobowych.

7) naruszenie praw osób, których dane są przetwarzane.

W przypadku stwierdzenia okoliczności naruszenia ochrony danych osobowych użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego powiadomienia Administratora.

Do obowiązku Administratora w zakresie zatrudniania, zakończenia lub zmiany warunków zatrudnienia pracowników lub współpracowników (osób podejmujących czynności na rzecz Administratora na podstawie innych umów cywilnoprawnych) należy dopilnowanie, by:

1) każdy z przetwarzających dane osobowe był odpowiednio przygotowany do wykonywania swoich obowiązków dotyczących przetwarzania danych osobowych,

2) każdy z przetwarzających dane osobowe był pisemnie upoważniony do przetwarzania zgodnie z upoważnieniem do przetwarzania danych osobowych,

3) każdy z przetwarzających dane osobowe zobowiązał się do zachowania danych osobowych przetwarzanych w Spółce w tajemnicy. Oświadczenie i zobowiązanie osoby przetwarzającej dane osobowe do zachowania tajemnicy stanowi załącznik nr 3 do regulaminu.

Osoby, które posiadają upoważnienie do przetwarzania danych osobowych lub podmioty zewnętrzne, jakim Administrator udzielił dostępu jako podmiotom przetwarzającym na podstawie umów powierzenia są zobowiązane do ujawniania danych osobowych poprzez przesyłanie lub innego rodzaju udostępniania na pisemne polecenie bezpośredniego przełożonego lub aktualnego członka zarządu Spółki, przy czym odpowiedzialność za dalsze przetwarzanie tych danych osobowych spoczywa na osobach wydających takie polecenie.

Dostęp do danych osobowych przetwarzanych w formie elektronicznej na serwerach, stronach internetowych, w bazach danych, komputerach, rozwiązaniach dostępnych w chmurze, systemach poczty elektronicznej, kopiach bezpieczeństwa i/lub na innych nośnikach we wszystkich obszarach ich przetwarzania wskazanych w art. VI ma dodatkowo osoba zatrudniona na stanowisku informatyka Spółki.

Obszar przetwarzania danych osobowych

Obszar, w którym przetwarzane są dane osobowe, obejmuje następujące pomieszczenia biurowe w siedzibie Spółki, w zależności od kategorii osób, których dane dotyczą, tj.:

1) dane osobowe byłych pracowników, stażystów i praktykantów – archiwum Spółki,

2) dane osobowe aktualnych pracowników, stażystów i praktykantów – dział kadr,

3) dane osobowe dostawców towarów – dział handlowy,

4) dane osobowe nabywców towarów – dział księgowości,

5) dane osobowe kontrahentów i partnerów handlowych – dział handlowy,

7) dane osobowe usługodawców – sekretariat, z wyłączeniem usługodawców branży budowlanej – dział administracyjny,

8) dane osobowe najemców– sekretariat,

9) dane osobowe nabywców nieruchomości – zarząd,

10) dane osobowe byłych udziałowców – archiwum Spółki,

11) dane osobowe aktualnych udziałowców – sekretariat,

12) dane osobowe członków rodzin pracowników – dział kadr,

13) dane osobowe znajdujące się na zachowanych nagraniach z systemu monitoringu – zarząd i sekretariat,

14) dane osobowe znajdujące się na dokumentach bankowych, wyciągach handlowych– dział księgowości,

15) dane osobowe znajdujące się w korespondencji otrzymywanej drogą pocztową – sekretariat,

16) dane osobowe znajdujące się w korespondencji otrzymywanej drogą elektroniczną – sekretariat, a w poszczególnych sklepach – kierownicy i ich asystenci.

Dodatkowo, obszar, w którym przetwarzane są dane osobowe, stanowią:

1) wszystkie komputery przenośne oraz inne nośniki danych znajdujące się tymczasowo poza obszarem wskazanym w pkt 1,

2) w zakresie systemu monitoringu umiejscowionego w poszczególnych sklepach należących do Spółki – tereny tych sklepów w miejscu zasięgu systemu monitoringu,

3) w zakresie danych osobowych przetwarzanych przez poszczególne sklepy należące do Spółki, w szczególności pracowników tych sklepów i nabywców towarów – wydzielone pomieszczenia biurowe, znajdujące się w tych sklepach.

Dane osobowe kandydatów do pracy i osób zainteresowanych odbyciem staży lub praktyk, nie zatrudnionych przez Spółkę lub z którymi Spółka nie zawarła umowy o staż lub praktykę, zostaną zniszczone niezwłocznie po zakończeniu procesu rekrutacji.

Środki niezbędne dla właściwej ochrony danych osobowych

Administrator wdraża odpowiednie środki ochrony fizycznej, środki techniczne i środki organizacyjne, aby zapewnić ochronę danych osobowych przed ich przypadkowym czy niezgodnym z prawem zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych, w szczególności w sytuacji, gdy ich przetwarzanie wiąże się z przesyłaniem danych w sieci oraz przed wszelkimi innymi niezgodnymi z prawem przypadkami ich przetwarzania i nadużyciami.

Zastosowane przez Administratora środki ochrony powinny być adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych.

Zastosowane środki obejmują:

1) ograniczenie dostępu do pomieszczeń, w których przetwarzane są dane osobowe, jedynie do osób odpowiednio upoważnionych. Inne osoby mogą przebywać w pomieszczeniach wykorzystywanych do przetwarzania danych jedynie w towarzystwie osoby upoważnionej.

2) Zamykanie pomieszczeń tworzących obszar przetwarzania danych osobowych określony w art. VI pkt 1 i ppkt 2.3 regulaminu na czas nieobecności osób upoważnionych.

3) Wykorzystanie zamykanych szafek do zabezpieczania dokumentów.

4) Wykorzystanie zamykanych pomieszczeń w sklepach do zabezpieczania dokumentów i systemów informatycznych.

5) Wykorzystywanie niszczarki do skutecznego usuwania dokumentów zawierających dane osobowe.

6) Zabezpieczenie dostępu do sprzętu komputerowego wykorzystywanego u Administratora (urządzeń typu komputer, laptop, pendrive, dysk zewnętrzny itp.) przy pomocy haseł dostępu.

7) Zabezpieczenie dostępu do poczty elektronicznej przy pomocy haseł dostępu.

8) Utworzenie kont pocztowych odrębnie dla wszystkich użytkowników.

9) Ochronę sprzętu komputerowego wykorzystywanego u Administratora przed złośliwym oprogramowaniem.

Naruszenie zasad ochrony danych osobowych

W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.

W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Wzór zgłoszenia określa załącznik nr 3 do niniejszego regulaminu.

Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o incydencie także osobę, której dane dotyczą.

Powierzenie przetwarzania danych osobowych

Administrator  korzysta z zewnętrznych podmiotów przetwarzania danych, którym powierza zbieranie i przetwarzanie danych osobowych (zewnętrzna pomoc prawna, informatyczna, księgowa, podatkowa itp.).

Podmioty przetwarzania danych działające na zlecenie Administratora, przetwarzają dane osobowe wyłącznie w oparciu o instrukcje przekazane przez Administratora oraz na podstawie stosownych umów powierzenia.

Umowę powierzenia należy zawrzeć na piśmie, umowa powinna zawierać następujące warunki i zawierać:

1) cel i zakres przetwarzania danych osobowych,

2) sposoby zabezpieczenia danych i zasady ich przetwarzania,

3) zasady organizacyjne i techniczne, jakie powinien spełnić podmiot, któremu powierzono przetwarzanie danych osobowych,

4) odpowiedzialność podmiotu, któremu powierzono dane osobowe za nieprawidłowe przetwarzanie danych osobowych,

5) prawo do kontroli podmiotu, któremu powierzono dane osobowe przez przedstawiciela Spółki.

Podmioty przetwarzania danych, o których mowa w niniejszym punkcie, mają obowiązek ścisłego przestrzegania procedur bezpieczeństwa przy przetwarzaniu powierzonych danych.

Rejestr czynności przetwarzania danych osobowych

Administrator prowadzi rejestr czynności przetwarzania danych osobowych.

Rejestr prowadzony jest w formie elektronicznej.

Rejestr podlega stałej aktualizacji w zakresie zawartych w nim danych.

Inspektor ochrony danych osobowych

Administrator ustanawia inspektora ochrony danych osobowych lub osobę odpowiedzialną za nadzór nad ochroną danych osobowych.

Do obowiązków osoby wskazanej w pkt 1 należy:

informowanie Administratora, podmiotów przetwarzania danych o których mowa w art. IX oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów prawa związanych z przetwarzaniem danych osobowych, a także dokumentów wewnętrznych i procedur obowiązujących w Spółce,

uzgadnianie treści dokumentów dotyczących przetwarzania danych osobowych i współpraca w ich tworzeniu,

monitorowanie przestrzegania RODO oraz innych przepisów prawa, związanych z przetwarzaniem danych osobowych, a także dokumentów wewnętrznych i procedur obowiązujących w Spółce, a także wydawanie podmiotom przetwarzania danych o których mowa w art. IX oraz pracownikom, którzy przetwarzają dane osobowe, bieżących zaleceń w tym zakresie,

w uzasadnionych przypadkach wnioskowanie do Administratora (zarządu Spółki) do wydania podmiotom przetwarzania danych o których mowa w art. IX oraz pracownikom, którzy przetwarzają dane osobowe, poleceń w zakresie właściwej ochrony danych osobowych,

współpraca z organem nadzorczym tj. Prezesem Urzędu Ochrony Danych Osobowych,

wypełnianie innych obowiązków wynikających z RODO i innych przepisów prawa w zakresie ochrony danych osobowych,

Osoba o której mowa w pkt 1 wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

Monitoring

System monitoringu jest stosowany w celu zapewnienia bezpieczeństwa osób i mienia oraz porządku publicznego, bezpieczeństwa informacji oraz możliwości ewentualnego dochodzenia lub obrony roszczeń Administratora.

Miejscem przetwarzania danych osobowych jest teren sklepu, w którym jest zainstalowany monitoring oraz siedziba Spółki.

Dostęp do systemu monitoringu oraz nagrań ma wyłącznie Administrator i osoby przez niego upoważnione.

Dane osobowe zgromadzone z wykorzystaniem monitoringu mogą być przekazywane podmiotom przetwarzającym dane na zlecenie Administratora, odpowiadającym za nadzór nad działaniem monitoringu oraz konserwację systemów, przy czym podmioty takie przetwarzają dane na podstawie umów zawartych z Administratorem i działają wyłącznie na polecenie Administratora. Dane osobowe mogą być także przekazywane podmiotom uprawnionym na podstawie przepisów prawa, a w szczególności organom państwowym, organom ochrony prawnej (Policja, Prokuratura, Sąd) lub organom samorządu terytorialnego w związku z prowadzonym postępowaniem.

Dane osobowe zgromadzone z wykorzystaniem monitoringu będą przechowywane przez okres: 14 dni od dnia pierwszego zarejestrowania nagrania z monitoringu. W sytuacji, w której przetwarzanie danych odbywa się na podstawie przepisów prawa, dane będą przechowywane przez okres wynikający z przepisów szczególnych. Także w uzasadnionych przypadkach (np. dla celów dowodowych) nagrania z monitoringu mogą być przechowywane przez dłuższy czas na potrzeby wewnętrznie prowadzonych postępowań lub innych postępowań (np. sądowych) do czasu ich zakończenia, w każdym przypadku nie dłużej niż do upływu terminu przedawnienia roszczeń. Po upływie terminów, o których mowa w zdaniach poprzednich nagrania z monitoringu zawierające dane osobowe będą podlegały automatycznemu skasowaniu.

Osoba, której dane osobowe są przetwarzane na nagraniu z monitoringu i chciałaby uzyskać kopię nagrania, powinna wystąpić do Administratora z wnioskiem o dostęp zabezpieczenie nagrania oraz wskazaniem przyczyny żądania.

Dane osobowe zgromadzone z wykorzystaniem monitoringu nie będą przetwarzane w sposób zautomatyzowany.

Administrator zobowiązany jest zobowiązany do ochrony danych osobowych zgromadzonych z wykorzystaniem monitoringu przed dostępem osób nieuprawnionych.

Postanowienia końcowe

Niniejszy regulamin jest udostępniany do wglądu osobom posiadającym upoważnienie do przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma zostać nadane upoważnienie do przetwarzania danych osobowych, celem zapoznania się z jej treścią.

Spółka  zobowiązuje się przestrzegać podstawowych zasad prywatności i ochrony danych. Z tego względu Spółka dokonuje systematycznych przeglądów niniejszego regulaminu, aby był on aktualny i zgodny z zasadami prywatności i ochrony danych.

Załączniki stanowią integralną część niniejszego regulaminu.

Załączniki:

Wzór upoważnienia.

Wzór oświadczenia i zobowiązania osoby przetwarzającej dane osobowe do zachowania tajemnicy.

Wzór zgłoszenia naruszenia zasad ochrony danych do organu nadzorczego.

KLAUZULA INFORMACYJNA O PRZETWARZANIU DANYCH OSOBOWYCH

Od dnia 25 maja 2018 r. zaczęło obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie w sprawie danych osobowych). W związku z tym chcielibyśmy Pana/Panią poinformować o przetwarzaniu Pana/Pani danych osobowych oraz o zasadach, na jakich się to będzie odbywało.

ADMINISTRATOR DANYCH OSOBOWYCH

Administratorem Pani/Pana danych osobowych jest Nałęczowska Spółka Handlowa spółka z ograniczoną odpowiedzialnością z siedzibą w Nałęczowie.  Może się Pan/Pani skontaktować z nami w następujący sposób:

– listownie na adres siedziby spółki: ul. 1 Maja 12, 24-150 Nałęczów

– poprzez e-mail: biuro@nsh.pl

– telefonicznie: 81-50-14-032.

CELE I PODSTAWY PRZETWARZANIA

Dane osobowe będą przetwarzane w następujących celach:

w celu obsługi sprzedaży towarów – podstawą prawną przetwarzania jest niezbędność przetwarzania danych do prawidłowego wykonania umowy sprzedaży;

w celu spełnienia wymogów wynikających z przepisów podatkowych i o rachunkowości – podstawą prawną przetwarzania jest ustawa o rachunkowości i Ordynacja podatkowa;

w celu ewentualnego ustalenia, dochodzenia lub obrony przed roszczeniami – podstawą prawną przetwarzania danych jest niezbędność przetwarzania do realizacji prawnie uzasadnionego interesu Administratora;

w celach archiwizacyjnych (dowodowych) dla zabezpieczenia informacji na wypadek prawnej potrzeby wykazania faktów – podstawą prawną przetwarzania danych jest niezbędność przetwarzania do realizacji prawnie uzasadnionego interesu Administratora.

ODBIORCY DANYCH

W niektórych sytuacjach Pana/Pani dane osobowe będą udostępniane i przekazywane podmiotom przetwarzającym dane w naszym imieniu, działającym na nasze zlecenie tj.  biuru rachunkowemu, bankom, podmiotom świadczącym działalność pocztową oraz innym podmiotom, które przetwarzają dane osobowe na zlecenie Administratora na podstawie zawartej z nim umowy.

PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTW TRZECICH LUB ORGANIZACJI MIĘDZYNARODOWYCH

Nie przekazujemy Pana/Pani danych osobowych poza teren Polski/Unii Europejskiej/Europejskiego Obszaru Gospodarczego (państwa UE i Europejskiego Stowarzyszenia Wolnego Handlu EFTA poza Szwajcarią).

OKRES PRZECHOWYWANIA DANYCH OSOBOWYCH

Pana/Pani dane osobowe pozyskane w związku ze sprzedażą towarów będą przechowywane tak długo jak jest to niezbędne do wykonania umowy, a po jej wykonaniu przez okres czasu odpowiadający okresowi przedawnienia roszczeń, jakie może podnosić administrator danych i jakie mogą być podnoszone wobec administratora danych (odpowiednio 6, 3 lata lub inny okres wynikający z przepisów szczególnych). Okres przechowania danych nie może się skończyć wcześniej niż to wynika z przepisów o rachunkowości, które nakazują przechowywanie dowodów księgowych umów handlowych, roszczeń dochodzonych w postępowaniu cywilnym lub objętych postępowaniem karnym albo podatkowym przez 5 lat od początku roku następującego po roku obrotowym, w którym operacje, transakcje, postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione.

PRAWA OSOBY, KTÓREJ DANE DOTYCZĄ

Prawo dostępu do swoich danych osobowych oraz prawo żądania ich sprostowania, usunięcia lub ograniczenia przetwarzania.

Prawo do przenoszenia danych osobowych, tj. do otrzymania od Administratora danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego,

Prawo do wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych

W celu skorzystania z powyższych praw należy skontaktować się z Administratorem danych.

INFORMACJA O WYMOGU /DOBROWOLNOŚCI PODANIA DANYCH

Podanie przez Pana/Panią danych osobowych było i jest:

– warunkiem zawarcia i wykonania umowy sprzedaży towarów,

– dobrowolne.

Odmowa podania danych może skutkować odmową zawarcia umowy sprzedaży towarów i jej wykonania.

INFORMACJA O ZAUTOMATYZOWANYM PODEJMOWANIU DECYZJI LUB PROFILOWANIU

Informujemy, że nie dochodzi do zautomatyzowanego podejmowania decyzji lub profilowania.

KLAUZULA INFORMACYJNA O PRZETWARZANIU DANYCH OSOBOWYCH

Od dnia 25 maja 2018 r. zaczęło obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie w sprawie danych osobowych). W związku z tym chcielibyśmy Pana/Panią poinformować o przetwarzaniu Pani danych osobowych oraz o zasadach, na jakich się to będzie odbywało.

ADMINISTRATOR DANYCH OSOBOWYCH

Administratorem Pani danych osobowych jest Nałęczowska Spółka Handlowa spółka z ograniczoną odpowiedzialnością z siedzibą w Nałęczowie.  Może się Pan/Pani skontaktować z nami w następujący sposób:

– listownie na adres siedziby spółki: ul. 1 Maja 12, 24-150 Nałęczów,

– poprzez e-mail: biuro@nsh.pl

– telefonicznie: 81-50-14-032.

CELE I PODSTAWY PRZETWARZANIA

Dane osobowe udostępnione nam zostały przez Pana/Panią w związku z zawartą z nami umową o pracę i będą przetwarzane na podstawie umowy o pracę, ustawy z dnia 26 czerwca 1974r. Kodeks Pracy (w szczególności art. 22 z ind. 1 w zw. z art. 94 pkt 9a i 9b oraz Dział III – Wynagrodzenia) ustawy z dnia 13 października 1998r. o systemie ubezpieczeń społecznych (art. 1, 6 i 6a), ustawy z dnia 26 stycznia 1982r. Karta Nauczyciela (Rozdział 5) oraz ustawy z dnia 17 grudnia 1998r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych w następujących celach:

w celu prawidłowego wykonania umowy o pracę tj. m.in. w celu prowadzenia ewidencji pracowników zgodnie z Kodeksem pracy, zgłoszenia pracownika i członków jego rodziny do ZUS, aktualizacji oraz przekazywania informacji o zwolnieniach, obliczania składek ZUS, prowadzenia rozliczeń z pracownikami, naliczania potrąceń, dokonywania zaliczek na podatek dochodowy i w innych sprawach kadrowych – podstawą prawną przetwarzania jest niezbędność przetwarzania danych do prawidłowego wykonania umowy o pracę;

w celu spełnienia wymogów wynikających z przepisów podatkowych i o rachunkowości – podstawą prawną przetwarzania jest ustawa o rachunkowości i Ordynacja podatkowa;

w celu ewentualnego ustalenia, dochodzenia lub obrony przed roszczeniami – podstawą prawną przetwarzania danych jest niezbędność przetwarzania do realizacji prawnie uzasadnionego interesu Administratora;

w celach archiwizacyjnych (dowodowych) dla zabezpieczenia informacji na wypadek prawnej potrzeby wykazania faktów – podstawą prawną przetwarzania danych jest niezbędność przetwarzania do realizacji prawnie uzasadnionego interesu Administratora.

ODBIORCY DANYCH

W niektórych sytuacjach Pana/Pani dane osobowe będą udostępniane i przekazywane podmiotom przetwarzającym dane w naszym imieniu, działającym na nasze zlecenie tj.  biuru rachunkowemu, bankom, podmiotom świadczącym działalność pocztową oraz innym podmiotom, które przetwarzają dane osobowe na zlecenie Administratora na podstawie zawartej z nim umowy.

PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTW TRZECICH LUB ORGANIZACJI MIĘDZYNARODOWYCH

Nie przekazujemy Pana/Pani danych osobowych poza teren Polski/Unii Europejskiej/Europejskiego Obszaru Gospodarczego (państwa UE i Europejskiego Stowarzyszenia Wolnego Handlu EFTA poza Szwajcarią).

OKRES PRZECHOWYWANIA DANYCH OSOBOWYCH

Pana/Pani dane osobowe będą przechowywane w następującym okresie:

a)                 dane pozyskane w związku z zawarciem umowy o pracę, zgromadzone w aktach pracowniczych – 50 lat (art. 51u ust. 1 ustawy z dnia 14 lipca 1983r. o narodowym zasobie archiwalnym i archiwach tj. z dnia 11 stycznia 2018 r. (Dz.U. z 2018 r. poz. 217);

dane zawarte w listach płac, kartach wynagrodzeń oraz innych dowodach, na podstawie których następuje ustalenie podstawy wymiaru emerytury lub renty – 50 lat ( 125a ust. 4 ustawy z dnia 17 grudnia 1998r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych tj. z dnia 7 lipca 2017 r. (Dz.U. z 2017 r. poz. 1383);

dane potrzebne do realizacji obowiązków prawnych przez okres, w którym przepisy podatkowe i o rachunkowości nakazują przechowywać dane podatkowe.

PRAWA OSOBY, KTÓREJ DANE DOTYCZĄ

Prawo dostępu do swoich danych osobowych oraz prawo żądania ich sprostowania, usunięcia lub ograniczenia przetwarzania.

Prawo do przenoszenia danych osobowych, tj. do otrzymania od Administratora danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego,

Prawo do wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych

W celu skorzystania z powyższych praw należy skontaktować się z Administratorem danych.

INFORMACJA O WYMOGU /DOBROWOLNOŚCI PODANIA DANYCH

Podanie przez Pana/Panią danych osobowych było i jest:

– warunkiem zawarcia i wykonania umowy o pracę,

– dobrowolne.

Odmowa podania danych może skutkować odmową zawarcia umowy o pracę i jej wykonania.

INFORMACJA O ZAUTOMATYZOWANYM PODEJMOWANIU DECYZJI LUB PROFILOWANIU

Informujemy, że nie dochodzi do zautomatyzowanego podejmowania decyzji lub profilowania.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Wstęp

Niniejszy dokument określa zasady zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Nałęczowskiej Spółce Handlowej sp. z o.o. (dalej Spółka), w sposób zgodny z przepisami prawa mającymi zastosowanie do takiej czynności, zgodnie z zasadą art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO).

Definicje

Administrator danych osobowych (Administrator)- dysponent danych, tj. Spółka.

Dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, której dane dotyczą.

Hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany i znany jedynie pojedynczemu użytkownikowi, umożliwiający korzystanie z systemu informatycznego.

Login – identyfikator użytkownika, stanowiący ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący użytkownika w systemie informatycznym w razie przetwarzania danych osobowych w takim systemie.

Osoby, których dane dotyczą – wszystkie zidentyfikowane lub możliwe do zidentyfikowania osoby fizyczne, których dane osobowe są przetwarzane przez Spółkę, które można zidentyfikować w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numeru identyfikacyjnego, identyfikatora internetowego lub jednego lub kilku szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Przetwarzanie – operacja lub zestaw operacji wykonywanych na danych osobowych lub zbiorach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, opracowywanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie, w formie tradycyjnej na nośnikach papierowych oraz w systemach informatycznych.

System informatyczny – zespół współpracujących ze sobą urządzeń, programów i narzędzi zastosowanych w celu przetwarzania danych.

Użytkownik – osoba upoważniona przez Administratora danych do przetwarzania danych osobowych.

Uwierzytelnianie – proces polegający na potwierdzeniu zadeklarowanej tożsamości użytkownika.

Zbiór danych – każdy uporządkowany zestaw danych o charakterze osobowym, dostępny według określonych kryteriów.

Zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosowanych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.

Uwierzytelnianie

W systemie informatycznym stosuje się uwierzytelnianie na poziomie dostępu do systemu operacyjnego. Do uwierzytelnienia użytkownika na poziomie dostępu do systemu operacyjnego stosuje się hasło oraz login.

Hasła użytkowników umożliwiające dostęp do systemu informatycznego utrzymuje się w tajemnicy również po upływie ich ważności.

Minimalna długość hasła wynosi 6 znaków literowych,numerycznych i znaków specjalnych.

Zabrania się używania loginu i hasła innego użytkownika.

Hasła powinny ulegać zmianie co 30 dni.

Procedury pracy przez użytkowników systemu informatycznego

Osoba upoważniona uruchamia komputer lub inne urządzenie, na którym pracuje.

Przed uruchomieniem komputera lub innego urządzenia, na którym użytkownik pracuje należy sprawdzić, czy nie zostały do niego podłączone żadne niezidentyfikowane urządzenia.

Po uruchomieniu osoba upoważniona loguje się przy pomocy loginu oraz hasła do systemu informatycznego.

W trakcie pracy przy każdorazowym opuszczeniu stanowiska pracy należy dopilnować, aby na ekranie komputera lub innego urządzenia, na którym pracuje użytkownik, nie znajdowały się żadne treści zawierające dane osobowe.

Przy opuszczaniu stanowiska na dłuższy czas należy ustawić ręcznie blokadę klawiatury i wygaszacz ekranu (wygaszacz nie rzadszy niż aktywujący się po 5 minutach braku aktywności).

Po zakończeniu pracy, użytkownik obowiązany jest wylogować się z systemu informatycznego przetwarzającego dane osobowe i z systemu operacyjnego, zabezpieczyć nośniki informacji (elektroniczne i papierowe) oraz wyłączyć komputer.

W sytuacji gdy wgląd w wyświetlane na monitorze dane może mieć nieuprawniona osoba należy tymczasowo zmienić widok wyświetlany na monitor

Tworzenie nośników informacji w postaci kopii zapasowych/archiwalnych

Dla zabezpieczenia integralności danych dokonuje się archiwizacji danych w systemach Spółki.

Wszystkie dane archiwizowane winny być identyfikowane tj. zawierać takie informacje jak datę dokonania zapisu oraz identyfikator zapisanych kopii danych.

Nośniki z kopiami archiwalnymi, jeśli takie istnieją, powinny być zabezpieczone przed dostępem do nich osób nieupoważnionych, przed zniszczeniem czy kradzieżą.

Nośniki informacji, które nie są przeznaczone do udostępnienia, przechowuje się w warunkach uniemożliwiających dostęp do nich osobom niepowołanym.

Kopie, które są już nieprzydatne, należy zniszczyć fizycznie.

Obowiązkiem Administratora jest stosowanie szyfrowania nagranych nośników informacji zawierających dane osobowe w celu zabezpieczenia przed wyciekiem danych.

Zabrania się udostępniania osobom trzecim nagranych nośników informacji.

W przypadku utraty nośnika informacji zawierającego dane osobowe lub sprzętu komputerowego należy ten fakt bezzwłocznie zgłosić do Administratora

Użytkowanie sprzętu komputerowego, oprogramowania

Do sprzętu komputerowego zalicza się między innymi:

komputery stacjonarne,

komputery przenośne ,

urządzenie mobilne np. tablety, smartfony,

pendrivy, dyski i inne nośniki informacji,

drukarki,

sprzęt sieciowy np. router,

serwery,

Administrator lub osoba przez niego upoważniona odpowiada za poprawne działanie sprzętu komputero

Administrator jest odpowiedzialny za przygotowanie sprzętu komputerowego do prawidłowej i zgodnej z przeznaczeniem pracy.

Administrator przechowuje karty gwarancyjne oraz klucze i licencje do oprogramowania.

Administrator ma prawo korzystać wyłącznie legalnego oprogramowania.

Administrator lub osoba przez niego upoważniona udziela pomocy użytkownikowi w obsłudze sprzętu i oprogramowania.

Użytkownik jest zobowiązany do dbałości o sprzęt oraz oprogramowanie, a także jest odpowiedzialny za zabezpieczenie go przed używaniem przez osoby nieuprawnione oraz do ochrony przed kradzieżą lub zagubieniem.

Użytkownik nie może samodzielnie instalować lub usuwać oprogramowania na przekazanym sprzęcie, jak również używać prywatnego oprogramowania.

Użytkownik nie może udostępniać powierzonego mu komputerowego sprzętu służbowego osobom trzecim.

Sposób zabezpieczenia systemu informatycznego przed działalnością wirusów komputerowych, nieuprawnionym dostępem oraz awariami zasilania

System informatyczny jest zabezpieczony przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu oraz przed działaniami inicjowanymi z sieci zewnętrznej.

Użytkowany system jest automatycznie skanowany z częstotliwością nie rzadszą niż co 30 dni.

Użytkownicy są zobowiązani do dokonywania dostępnych aktualizacji programów antywirusowych.

W przypadku wykrycia wirusa należy:

uruchomić program antywirusowy i skontrolować użytkowany system,

usunąć wirusa z systemu przy wykorzystaniu programu antywirusowego.

Jeśli operacja usunięcia wirusa się nie powiedzie, należy:

zakończyć pracę w systemie komputerowym,

odłączyć zainfekowany komputer od sieci,

powiadomić o zaistniałej sytuacji Administratora danych.

Urządzenia i nośniki zawierające dane osobowe przekazywane poza obszar, w którym są one przetwarzane, zabezpiecza się w sposób zapewniający poufność i integralność danych.

Poczta elektroniczna

Pracownicy mogą korzystać z poczty elektronicznej wyłącznie w celach służbowych w zakresie ograniczonym swoimi obowiązkami.

Administrator, a także ustanowiony przez Administratora inspektor ochrony danych osobowych i informatyk może poznawać treść wiadomości elektronicznych wykorzystywanych przez pracowników znajdujących się w systemie.

Zabronione jest otwieranie wiadomości e-mail pochodzących od nieznanego nadawcy bądź z podejrzanym tytułem. W szczególności zabronione jest otwieranie linków bądź pobieranie plików zapisanych w komunikacji zewnętrznej od nieznanego nadawcy.

Użytkownicy dokonujący wysyłki korespondencji masowej, obowiązani są do ukrywania odbiorów w kopii (pole UDW).

Korzystanie z sieci Internet

Sieć, w której działa system informatyczny, musi być odseparowana od sieci publicznej.

Dostęp użytkowników do sieci publicznej powinien być ograniczony do niezbędnego minimum na danym stanowisku pracy.

Monitoring

Dane osobowe przetwarzane w systemie monitoringu zapisywane są w rejestratorze.

Stanowiska podglądu wizyjnego zlokalizowane są w następujących miejscach: u kierowników sklepów i ich zastępców.

Administrator nie przewiduje zdalnego dostępu do nagrań z monitoringu.

System nagrywa obraz w czasie rzeczywistym, bez dźwięku/z dźwiękiem.

Podglądanie zapisanego materiału jest możliwe po zalogowaniu do rejestratora.

Operator systemu monitoringu działający na zlecenie Administratora może wykonać kopię zapasową nagrania na polecenie Administratora, za zgodą inspektora ochrony danych osobowych.

Administrator odpowiada za prawidłowe funkcjonowanie systemu monitoringu, w szczególności za zastosowany sprzęt i oprogramowanie.

Procedury wykonywania przeglądów i konserwacji systemu informatycznego, sprzętu komputerowego oraz systemu monitoringu

Przeglądy kontrolne, serwis sprzętu komputerowego i oprogramowania oraz urządzeń i systemu monitoringu powinny być dokonywane przez firmy serwisowe, z którymi zostały zawarte umowy zawierające postanowienia zobowiązujące je do przestrzegania zasad poufności informacji uzyskanych w ramach wykonywanych zadań.

Przy dokonywaniu serwisu należy przestrzegać następujących zasad:

czynności serwisowe powinny być wykonywane w obecności osoby upoważnionej do przetwarzania danych,

przed rozpoczęciem tych czynności dane i programy znajdujące się w systemie powinny zostać zabezpieczone przed ich zniszczeniem, skopiowaniem lub niewłaściwą zmianą,

prace serwisowe należy ewidencjonować w książce zawierającej rodzaj wykonywanych czynności serwisowych, daty rozpoczęcia i zakończenia usługi, odnotowanie osób dokonujących czynności serwisowych, tj. imienia i nazwiska, a także osób uczestniczących w pracach serwisowych,

w przypadku prac serwisowych dokonywanych przez podmiot zewnętrzny, wymagających dostępu do danych osobowych, z podmiotem takim powinny zostać zawarte stosowne umowy powierzenia przetwarzania danych osobowych.

Sposoby realizacji w systemie informatycznym wymogów dotyczących przetwarzania danych

Informacje o odbiorcach danych zapisywane są w systemie informatycznym, przy uwzględnieniu daty i zakresu udostępniania, a także dokładnego określenia odbiorcy danych.

Możliwe jest sporządzenie i wydrukowanie raportu zawierającego, w powszechnie zrozumiałej formie, powyższe informacje.