Dyrektywa o ochronie danych osobowych

Data ostatniej zmiany dyrektywy: czwartek 5 kwietnia 2018

I. Postanowienia wstępne

Niniejsza dyrektywa określa zasady ochrony uzyskanych danych osobowych.

Denis Čišič zobowiązał się dotrzymywać ogólną ochronę danych osobowych obowiązującą od 25 maja 2018 roku zgodnie z rozporządzeniem Komisji Europejskiej 679 / 2016, tzw. GDPR (dalej tylko GDPR) i z nim związane ustawodawstwo krajowe.

Dalej Denis Čišič zobowiązuje się do podjęcia działań, których celem będzie utrzymanie zgodności z GDPR i przepisami krajowymi z tym związanymi.

 

II. Definicje terminów

Podmiot danych – to osoba fizyczna, której dane osobowe dotyczą. Owa osoba jest identyfikowana lub można ją zidentyfikować na podstawie danych (np. imię, numer identyfikacyjny, dane dotyczące lokalizacji, identyfikator sieci lub jeden czy też więcej szczególnych elementów fizycznej, fizjologicznej, genetycznej, psychicznej, ekonomicznej, kulturalnej lub społecznej tożsamości owej osoby fizycznej).

Dane osobowe – to jakiekolwiek dane służące do jednoznacznej identyfikacji konkretnej osoby fizycznej.

Dane wrażliwe – to specjalna kategoria danych osobowych wskazująca narodowość, rasę, pochodzenie etniczne, opinie polityczne, przynależność do związków zawodowych, wyznanie i poglądy filozoficzne, informacje biometryczne i genetyczne, stan zdrowia i seksualność osoby, której dane dotyczą.

Administrator – to podmiot (osoba fizyczna lub prawna prowadząca działalność, organ publiczny lub inny podmiot), który określa cele i sposoby przetwarzania danych osobowych, uzyskuje i dalej przetwarza dane osób fizycznych i jest odpowiedzialny za przetwarzanie. Przetwarzanie może być przydzielone przetwórcy, jeśli tak przewiduje prawo.

Przetwórca – to inny podmiot niż Administrator, który przetwarza dane osobowe osób fizycznych dla Administratora na podstawie uprzednio ustalonego celu, wykonując to na podstawie ustawy lub przez upoważnienie Administratora.

Odbiorca – to osoba fizyczna lub prawna, lub inny podmiot, który otrzymuje dane osobowe przekazane w uprzednio określonym celu, nie przetwarzając dalej danych w żaden inny sposób. Organ publiczny, który otrzymuje dane osobowe w ramach swoich uprawnień dochodzeniowych, nie jest uważany za odbiorcę, ale jego postępowanie podczas przetwarzania musi być zgodne z obowiązującymi przepisami dotyczącymi ochrony danych osobowych według celu przetwarzania.

Lokalizacja – to pamięć fizyczna, w której są przechowywane dane osobowe (np. plik, szafa, rack).

Tytuł prawny – to podstawa prawna wymieniona w GDPR, w ramach której osoba fizyczna lub prawna, organ publiczny lub inny organ, rejestruje dane osobowe.

Cel przetwarzania – to powód, dla którego dane osobowe są wymagane i będą wykorzystywane wyłącznie w tym celu.

Okres przetwarzania – to okres, w którym rejestrujemy konkretne dane osobowe, ten okres powinien być rozsądny, jeżeli nie jest przewidziany przez prawo.

Minimalizacja danych osobowych – to proces prowadzący do tego, by administrator wymagał tylko takich danych, które są niezbędne do wykonywania jego działalności.

Ograniczanie przetwarzania – polega na stworzeniu takiego stanu, w którym dane osobowe przez pewien okres będą niedostępne i nie mogą być w żaden sposób przetwarzane.

Likwidacja danych osobowych – to nieodwracalne zniszczenie danych osobowych.

 

III. Prawa i obowiązki

  1. 1.       Nasza organizacja nie określiła pełnomocnika ds. ochrony danych osobowych.
  1. 2.       Prawo do pracy z danymi osobowymi mają tylko osoby upoważnione przez Denis Čišič
  1. 3.       Upoważnieni pracownicy to: Jan Sklenička, Gabriela Pohlotová, Jana Váchová, Denis Čišič
  1. 4.       Upoważnieni pracownicy zobowiązują się do przestrzegania zasad ochrony danych osobowych, do których należy: 
    1. Informowanie podmiotów, których dane dotyczą, o ich prawach i obowiązkach administratora
    2. Informowanie podmiotów, których dane dotyczą, o tytule prawnym, celu przetwarzania i okresie przetwarzania jego danych osobowych
    3. Wymaganie tylko takich danych osobowych, które są niezbędne do wykonywania ich działalności
    4. Przechowywanie danych osobowych tylko w określonych dokumentach i w określonych systemach
    5. Nieprzekazywanie żadnych danych osobowych osobom nieuprawnionym
  1. 5.       Spółka zobowiązuje się do przetwarzania danych osobowych tylko w odpowiednio zabezpieczonych budynkach i pomieszczeniach.

Odpowiednio zabezpieczone budynki i pomieszczenia:


 • CDRmarket magazyn + biura z pomieszczeniami Korytarz, Biuro 1

  1. 6.      Po opuszczeniu pokoju, w którym znajdują się dane osobowe, osoba upoważniona jest zobowiązana do zabezpieczenia poszczególnych lokalizacji i pomieszczeń przed wtargnięciem osób nieupoważnionych.
  1. 7.       Dokumenty drukowane i urządzenia IT, które zawierają dane osobowe i które obecnie nie są w użyciu, muszą osoby upoważnione odnosić do wyznaczonych repozytoriów. Do nich należy: Archiwum.
  1. 8.       Każde urządzenie IT, na którym są przetwarzane dane osobowe, musi być w sposób odpowiedni zabezpieczone, przynajmniej wystarczająco zabezpieczone lub fizycznie i elektronicznie zabezpieczone, by nie dochodziło do przecieku informacji.


Odpowiednio zabezpieczonymi urządzeniami IT są: Serwer SERWER-POHODA, Repozytorium Binargon, Repozytorium Ecomail, Repozytorium Zapis z kamery z HDD.

 

  1. 9.       Po opuszczeniu miejsca pracy upoważniony pracownik jest zobowiązany do zabezpieczenia urządzenia IT poprzez zablokowanie ekranu, a następnie wymaganie hasła lub wyłączenie danego urządzenia.
  1. 10.    Denis Čišič zobowiązuje się regularnie tworzyć kopie zapasowe z danymi osobowymi. Denis Čišič regularnie tworzy kopie zapasowe danych za pomocą następujących urządzeń zapasowych: dysk zewnętrzny, Coolhosting
  1. 11.    Denis Čišič prowadzi strony internetowe www.CDRmarket.cz, www.CDRmarket.sk, www.CDRmarket.hu, www.CDRmarket.eu, www.CDRmarket.pl, www.CDRmarket.ro, na których zobowiązuje się podać informacje dotyczące przetwarzania plików cookie, zasady przetwarzania danych osobowych na stronach internetowych i prawa podmiotów, których dotyczą dane lub ewentualnie zapewnienie miejsc, gdzie dane osobowe są gromadzone przez obowiązki informacyjne.
  1. 12.    Denis Čišič zobowiązuje się do tego, iż każdy dokument i formularz, w którym dochodzi do przetwarzania danych osobowych osoby fizycznej, będzie posiadać załącznik informacyjny dotyczący przetwarzania danych osobowych, odnosząc się do pełnej wersji Zasad przetwarzania danych osobowych.
  1. 13.    Denis Čišič prowadzi następujące systemy informacyjne, w których rejestruje dane osobowe. Stormware Pohoda, MailChimp. Wszystkie te systemy informacyjne muszą być zabezpieczone przez prawa dostępu i odpowiednio zabezpieczone przed nieuprawnionym użyciem i nieautoryzowanym dostępem.
  1. 14.    Wszelkie systemy informacyjne muszą mieć utworzoną kopię zapasową, a te kopie muszą być przechowywane w zabezpieczonych miejscach. 
  1. 15.    Każdy dokument zawierający dane osobowe musi mieć określony tytuł prawny, cel przetwarzania i okres przetwarzania. Denis Čišič rejestruje dane osobowe na podstawie następujących tytułów prawnych: Wykonanie umowy, Obowiązek ustawowy, Uprawniony interes, Na mocy władzy publicznej, Istotne zainteresowanie, Zgoda, Wyraźna zgoda.
  1. 16.    Denis Čišič pracuje dla swoich działań z następującymi danymi osobowymi: Imię i Nazwisko, Adres, Pesel, Numer telefonu, NIP osoby fizycznej, Numer konta bankowego, Numer pracownika, Adres dostawy, Adres e-mail, Data urodzenia, Nagranie systemu kamerowego – audio, video, zdjęcia.
  1. 17.    Denis Čišič może przekazywać dane osobowe swoim partnerom umownym (przetwórcom). Do nich należą: Pavla Krausová, FEO digital agency sp. z o.o., BINARGON s.r.o., PPN group s.r.o.. W ten sposób przekazywane dane osobowe są zdefiniowane w zakresie zapisów przetwarzania danych osobowych.
  1. 18.    Organizacja jest zobowiązana uzgodnić z owymi przetwórcami aneks do umowy, ewentualnie umowę w sprawie przetwarzania danych osobowych w związku z ochroną danych osobowych oraz przeprowadzać ewentualną kontrolę dotrzymywania zasad ochrony danych osobowych u owych przetwórców.
  1. 19.    Denis Čišič może również przekazywać dane osobowe odbiorcom. Do nich należy PPL CZ sp. z o.o., oddział Czechy Zachodnie, Poczta Czeska, Poczta Polska, Przesyłkownia. Dane osobowe przekazywane w ten sposób są zdefiniowane w zakresie zapisów przetwarzania danych osobowych.
  1. 20.    Jako bezpieczną formę przekazywania danych osobowych Denis Čišič wybrał następujące możliwości: Przekazanie odbywa się w miejscu organizacji, Prywatna wiadomość e-mail, E-mail służbowy, Skrzynka danych, List, List polecony, Cloud, Repozytorium internetowe.
  1. 21.    Denis Čišič zobowiązuje się po upływie okresu przetwarzania danych osobowych dokonać likwidacji danych osobowych.
  1. 22.    Denis Čišič zobowiązuje się przeprowadzać regularne szkolenia upoważnionych pracowników przynajmniej raz w roku.
  1. 23.    Denis Čišič zobowiązuje się sprawdzać dotrzymywanie zasad ochrony danych osobowych przynajmniej raz w roku, reagować na stwierdzenia i zagrożenia, wykonywać optymalizację procesu przetwarzania danych, przechowywania i zabezpieczenia danych osobowych oraz rejestrowanie zmian.
  1. 24.    Denis Čišič zobowiązuje się do prowadzenia ewidencji dotyczących wymogów usuwania, korekty i sprzeciwów wobec przetwarzania. Ponadto zobowiązuje się prowadzić ewidencję rejestrów dokumentów dotyczących odpowiedzi i reakcji na przetwarzanie danych osobowych osób fizycznych. 
  1. 25.    Denis Čišič zobowiązuje się do prowadzenia ewidencji incydentów bezpieczeństwa i działań korygujących. Jeżeli dojdzie do poważnego incydentu związanego z bezpieczeństwem, poinformuje każdy pracownik, który odkryje ten fakt, odpowiedzialną osobę, która jest odpowiedzialna za ochronę danych osobowych w organizacji.
  1. 26.    Organizacja jest zobowiązana każdy poważny incydent bezpieczeństwa zgłosić organowi nadzoru w ciągu 72 godzin od stwierdzenia.
  1. 27.    Każdy podmiot danych, osoba fizyczna, ma prawo do informacji na temat danych osobowych rejestrowanych o jego osobie. Jeżeli taka osoba skorzysta ze swojego prawa, wniosek ten zostanie przekazany osobie odpowiedzialnej, która udzieli informacji nie później niż w ciągu 30 dni. Denis Čišič weźmie pod uwagę adekwatność i częstotliwość takich wniosków od tego samego wnioskodawcy. O tym fakcie będzie prowadzić protokół, podając datę wniosku, imię wnioskodawcy, opis rozwiązania, a przechowywanie następnego załącznika kopii odpowiedzi listu wnioskodawcy w celu uzyskania dalszych dowodów.
  1. 28.   Podmiot danych ma prawo do poprawiania zapisanych danych osobowych dotyczących jego osoby. Jeżeli dojdzie do zgłoszenia żądania naprawy, naprawa ta zostanie wykonana z uwzględnieniem innych okoliczności i możliwości. O tym fakcie należy sporządzić świadectwo.
  1. 29.    Osoba, której dotyczą dane, ma prawo do usunięcia przechowywanych danych osobowych, które były udzielone za zgodą lub wyraźną zgodą, jak i osobom, którym wygasł okres przetwarzania, jeżeli organizacja uzna, że nie ma dalszej potrzeby następnego przetwarzania. O tym żądaniu i ewentualnym usunięciu danych osobowych będzie sporządzone świadectwo, podając datę żądania, imię wnioskodawcy, opis rozwiązania i zapewnienie, że wymagane dane naprawdę będą usunięte w celu ich dalszego przetwarzania ze wszystkich aktywnych systemów.
  1. 30.    Podmiot danych ma prawo wnieść sprzeciw wobec przetwarzania danych osobowych. W przypadku wniesienia sprzeciwu Denis Čišič jest zobowiązany do dokonania czynności lub wprowadzenia środków ograniczających przetwarzanie takich danych osobowych. Dowodem tego będzie sporządzone świadectwo z datą, imieniem wnioskodawcy oraz opisem rozwiązania w celu ewentualnej kontroli.

 

IV. Sankcje

  1. 1.       Każdy partner lub podmiot w podobnym stosunku prawnym, który naruszy niniejszą dyrektywę, będzie podlegał jednorazowej sankcji w wysokości 1600 PLN.
  2. 2.      Każdy partner umowny lub podmiot w podobnym stosunku prawnym, który wielokrotnie lub szczególnie znacząco narusza niniejszą dyrektywę, podlega karze pieniężnej w wysokości do 8000 PLN.
  3.  3.       Każdy pracownik, który naruszy tę dyrektywę, będzie musiał zapłacić odszkodowanie pracodawcy, któremu spowodował szkodę, za każdy indywidualny przypadek do 4,5-krotności przeciętnego wynagrodzenia.