НачинатьPolityka Prywatności

Polityka Prywatności

INFORMACJE DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH

На основании ст. 13 Регламента (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46 / EC, мы хотели бы сообщить вам, что:

Administratorem Pani/Pana danych osobowych jest BIZON INT Sp. z o.o. z siedzibą: Tomice, ul. Europejska 4, 05-532 Baniocha k. Warszawy.

Na podstawie przeprowadzonych analiz Administrator danych nie ma obowiązku wyznaczenia inspektora. Administrator przetwarza dane osobowe zwykłe w następujących kategoriach i celu, na podstawie:

    • Jeśli jest Pan/Pani PRACOWNIKIEM BIZON INT Sp. z o.o. to dane osobowe zwykłe są gromadzone w celu

    • obsługi procesu zatrudnienia pracowników BIZON INT Sp. z o.o., spraw pracowniczych oraz archiwizacji dokumentów dotyczących zatrudnienia.

    • Jeśli jest Pan/Pani PRACOWNIKIEM KONTRAHENTA BIZON INT Sp. z o.o. dane osobowe zwykłe; dane te są gromadzone w celu realizacji procesu ofertowania, zawierania umów i zamówień oraz realizacji kontraktów serwisowych tzw. usług.

    • Jeśli jest Pan/Pani KONSUMENTEM dane osobowe zwykłe dotyczące danych konsumentów , osób fizycznych; dane te są zbierane w celu realizacji zamówień dla osób fizycznych.

    1. Dane osobowe będą przechowywane przez okres zależny od obowiązujących przepisów dotyczących rodzaju realizowanej usługi.

    2. Pani/Pana dane osobowe nie będą przekazywane do państwa trzeciego/organizacji międzynarodowej.

    3. Pani/Pana dane osobowe nie są i nie będą udostępniane innym odbiorcom poza przypadkami, gdy taki obowiązek wynika z powszechnie obowiązujących przepisów prawa lub została na to wyrażona Pani/Pana zgoda.

    4. Posiada Pani/Pan prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania. Prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania (jeżeli przetwarzanie odbywa się na podstawie zgody), którego dokonano na podstawie zgody przed jej cofnięciem, listownie na adres: BIZON INT Sp. z o.o. z siedzibą: Tomice, ul. Europejska 4, 05-532 Baniocha k. Warszawy, lub e-mailowo na adres: daneosobowebizon@bizea.com.pl

    5. Ma Pan/Pani prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.(RODO)

    6. Pani/Pana dane nie będą przetwarzane w sposób zautomatyzowany.

    7. Pani/Pana dane nie będą podlegały profilowaniu.

    8. Bliższe informacje wraz z Polityką Bezpieczeństwa Przetwarzania Danych Osobowych znajdują się na naszej stronie Internetowej oraz w siedzibie Firmy.

 

ПОЛИТИКА БЕЗОПАСНОСТИ
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
в
BIZON INT Sp. z o.o. z siedzibą: Tomice, ul. Europejska 4, 05-532 Baniocha k. Warszawy

 

Допуск

Реализация конституционного права каждого человека на защиту частной жизни и положений Регламента (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и об отмене Директивы 95/46 / EC (общее положение о защите данных) с целью применения технических и организационных мер, обеспечивающих защиту обрабатываемых персональных данных, соответствующих угрозам и категориям данных, подлежащих защите , и, в частности, для защиты данных от несанкционированного доступа, удаления неавторизованным лицом, обработки выше Регламента и изменения, утраты, повреждения или уничтожения вводится следующий набор процедур.

Глава 1
Основные положения

§ 1. Всякий раз, когда в документе упоминается:
1) регулирование - под ним понимается Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95 / 46 / EC (общие правила защиты данных);
2) личные данные - это информация об идентифицированном или идентифицируемом физическом лице («субъекте данных»); идентифицируемое физическое лицо - это лицо, которое может быть прямо или косвенно идентифицировано, в частности, на основе идентификатора, такого как имя и фамилия, идентификационный номер, данные о местоположении, интернет-идентификатор или один или несколько конкретных физических, физиологических, генетических, психических факторов экономическая, культурная или социальная принадлежность физического лица;
3) набор данных - под ним понимается упорядоченный набор персональных данных, доступных в соответствии с определенными критериями, независимо от того, является ли этот набор централизованным, децентрализованным или функционально или географически рассредоточенным;
4) обработка данных - под ним понимается операция или набор операций, выполняемых с персональными данными или наборами персональных данных в автоматическом или неавтоматическом режиме, например сбор, запись, организация, организация, хранение, адаптация или изменение, загрузка, просмотр, использование, раскрытие путем отправки, распространения или иного обмена, корректировки или комбинирования, ограничения, удаления или уничтожения;
5) IT система - понимается как совокупность взаимодействующих устройств, программ, процедур обработки информации и программных средств, используемых для обработки данных;
6) защита данных в IT-системе - понимается реализация и действие соответствующих технических и организационных мер, обеспечивающих защиту данных от несанкционированной обработки;
7) удаление данных - это понимается как уничтожение персональных данных или их изменение таким образом, что невозможно будет идентифицировать субъект данных;
8) контроллер данных - под ним понимается физическое или юридическое лицо, государственный орган, подразделение или другое юридическое лицо, которое самостоятельно или совместно с другими определяет цели и средства обработки персональных данных; если цели и средства такой обработки указаны в законодательстве Союза или в законодательстве государства-члена, контролер также может быть назначен в соответствии с законодательством Союза или законодательством государства-члена, или могут быть установлены конкретные критерии для его назначения;
9) согласие субъекта данных - это означает добровольное, конкретное, информированное и недвусмысленное волеизъявление, которое субъект данных в форме заявления или четкого позитивного действия разрешает обрабатывать относящиеся к нему личные данные;
10) получатели данных - это означает физическое или юридическое лицо, государственный орган, агентство или другое лицо, которому раскрываются личные данные, независимо от того, является ли оно третьей стороной. Однако государственные органы, которые могут получать персональные данные в ходе конкретной процедуры в соответствии с законодательством Союза или государства-члена, не считаются получателями; обработка этих данных этими государственными органами должна соответствовать применимым правилам защиты данных в соответствии с целями обработки;
11) третья страна - понимается как страна, не входящая в Европейское экономическое пространство;
12) технические и организационные меры - следует понимать технические и организационные меры, необходимые для обеспечения конфиденциальности, целостности и подотчетности обрабатываемых персональных данных;
13) ограничение обработки - это следует понимать как маркировку сохраненных личных данных с целью ограничения их обработки в будущем;
14) профилирование - это означает любую форму автоматизированной обработки персональных данных, которая заключается в использовании персональных данных для оценки определенных личных факторов физического лица, в частности, для анализа или прогнозирования аспектов, связанных с последствиями работы физического лица, экономической ситуации, здоровье, личные предпочтения, интересы, надежность, поведение, местонахождение или передвижение;
15) псевдонимизация - это означает обработку персональных данных таким образом, чтобы их больше нельзя было отнести к конкретному субъекту данных без использования дополнительной информации, при условии, что такая дополнительная информация хранится отдельно и подлежит техническим и организационным мерам, предотвращающим ее отнесение идентифицированному или идентифицируемому физическому лицу;
16) процессор - это означает физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает персональные данные от имени контролера;
17) нарушение защиты персональных данных - это нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, модификации, несанкционированному раскрытию или несанкционированному доступу к передаваемым, хранимым или иным образом обработанным личным данным.

Глава 2
Контроллер данных

§ 2. Контроллер данных, в частности:

    1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

    2. Prowadzi rejestr czynności przetwarzania. W rejestrze zamieszcza się następujące informacje:

        • имя и фамилия или имя и контактные данные контроллера данных, а также любых совместных контроллеров и, если применимо, представителя контроллера данных и DPO;

        • цели обработки,

        • описание категорий субъектов данных и категорий персональных данных,

        • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,

        • где применимо, передача персональных данных в третью страну или международную организацию, включая название этой третьей страны или международной организации, а в случае передачи, упомянутой в регламенте, ст. 49 сек. 1, второй абзац, документация о соответствующих гарантиях,

        • по возможности планируемые даты удаления отдельных категорий данных,

        • где возможно, общее описание технических и организационных мер безопасности, указанных в Статье 32 сек. 1. постановления,

Глава 3
Технические и организационные меры

§ 3. Чтобы защитить данные, контролер данных соблюдает требования, указанные в постановлении:

а) проводит оценку воздействия на защиту данных,
б) проводит анализ рисков в отношении ресурсов, задействованных в отдельных процессах,
c) только лицам, уполномоченным администратором данных, разрешено обрабатывать данные (Приложение 1),
г) договоры на поручение обработки данных в соответствии с Приложением 2,
e) эта политика безопасности была разработана и реализована.

§ 4. Следующее относится к защите личных данных меры физической защиты персональных данных:

    • сборники персональных данных хранятся в помещении, закрытом обычными дверьми (неармированными, негорючими),

    • файлы с личными данными хранятся в помещении, защищенном дверью, файлы с личными данными хранятся в помещении, расположенном на 1 и 2 этажах.

    • здание, в котором находится администратор данных, оборудовано системой охранной сигнализации.

    • доступ в помещения, где обрабатываются файлы с персональными данными, обеспечивается системой контроля доступа - ключи выдаются на стойке регистрации только уполномоченным лицам.

    • доступ в здание, где находится администратор данных, контролируется системой видеонаблюдения с использованием промышленных камер

    • здание, в котором находится контроллер данных, круглосуточно контролируется службой безопасности,

    • файлы персональных данных на бумажных носителях хранятся в закрытом металлическом шкафу и в закрытых неметаллических шкафах,

    • резервные копии / архивы файлов персональных данных хранятся в закрытом неметаллическом шкафу

    • помещения, в которых обрабатываются файлы с персональными данными, защищены от воздействия пожара с помощью системы противопожарной защиты и / или отдельно стоящего огнетушителя,

    • По истечении срока годности документы, содержащие персональные данные, уничтожаются механически с помощью уничтожителей документов.

§ 5. W celu ochrony danych osobowych stosuje się następujące środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:

    • компьютеры, используемые для обработки персональных данных, подключены к локальной компьютерной сети,

    • такие устройства, как ИБП, электрогенератор и / или отдельная электросеть, использовались для защиты ИТ-системы, используемой для обработки персональных данных, от последствий отключения электроэнергии,

    • доступ к набору персональных данных, который обрабатывается на отдельной компьютерной станции / ноутбуке, защищен от несанкционированной активации паролем

    • доступ к операционной системе компьютера, на котором обрабатываются персональные данные, защищен процессом аутентификации с использованием идентификатора пользователя и пароля,

    • приняты меры по предотвращению создания несанкционированных копий персональных данных, обрабатываемых с использованием ИТ-систем,

    • использовалась система регистрации доступа к системе / набору персональных данных,

    • были применены меры криптографической защиты данных для персональных данных, передаваемых посредством телетрансляции,

    • дисковый массив использовался для защиты личных данных от последствий сбоя дисковой памяти,

    • Были применены меры защиты от вредоносных программ, такие как черви, вирусы, троянские кони, руткиты,

    • Система Firewall использовалась для защиты доступа к компьютерной сети,

    • система IDS / IPS использовалась для защиты доступа к компьютерной сети,

§ 6. W celu ochrony danych osobowych stosuje się następujące środki ochrony w ramach narzędzi programowych i baz danych:

    • применены меры для определения прав доступа к указанному объему данных в составе обрабатываемого набора персональных данных,

    • доступ к наборам данных, частично обрабатываемых в ИТ-системах, требует аутентификации с использованием идентификатора пользователя и пароля,

    • были применены системные меры для определения соответствующих прав доступа к ИТ-ресурсам, включая файлы личных данных для отдельных пользователей ИТ-системы,

    • использован механизм принудительной периодической смены паролей доступа к набору персональных данных,

    • установлены заставки на рабочие места, где обрабатываются персональные данные,

    • использовался механизм автоматической блокировки доступа к ИТ-системе, используемой для обработки персональных данных, в случае длительного бездействия пользователя (хранители экрана),

    • § 7. W celu ochrony danych osobowych stosuje się następujące środki organizacyjne:

    • лица, занятые в обработке данных, ознакомлены с положениями о защите личных данных,

    • лица, занятые обработкой персональных данных, прошли обучение в области безопасности ИТ-систем,

    • лица, занятые обработкой персональных данных, обязаны хранить их в тайне,

    • компьютерные мониторы, на которых обрабатываются персональные данные, настроены таким образом, чтобы предотвращать несанкционированный доступ к обрабатываемым данным,

    • резервные копии набора персональных данных хранятся не в той комнате, где находится сервер, на котором персональные данные обрабатываются на постоянной основе,

    • администратор данных определил основные правила безопасности, применимые ко всем сотрудникам Компании, а именно:

        • принцип необходимых знаний - ограничение доступа к данным только теми, которые необходимы для выполнения обязанностей в данной должности,

        • принцип ответственности за ресурсы - процессор несет ответственность за обрабатываемые данные и обязан соблюдать установленные процедуры безопасности в этом отношении,

        • принцип закрытого помещения - не оставлять в помещении одних посторонних (в случае отсутствия уполномоченного лица), абсолютное запирание помещений ключом при выходе из них и не оставлять ключи в замках,

        • принцип чистого стола - не оставлять бумажные документы и носители информации на столе (CD, DVD, USB-флешки и т. д.) без присмотра,

        • принцип конфиденциальности учетных записей в системах - каждый сотрудник обязан работать в ИКТ-системах на назначенных ему учетных записях, категорически запрещается делать учетные записи доступными для людей, которые к ним не привязаны,

        • принцип конфиденциальности паролей и кодов доступа - сохранение конфиденциальности и неразглашение паролей и кодов доступа посторонним лицам, в частности, этот принцип применяется к личным паролям для доступа к системам ИКТ и защищенным зонам,

        • принцип использования деловой электронной почты - каждое лицо, уполномоченное обрабатывать данные при исполнении служебных обязанностей, использует только официальный электронный почтовый ящик, запрещается использовать личную электронную почту в этой сфере,

        • zasada czystego ekranu – blokowanie komputera przed każdym opuszczeniem pomieszczenia, w przypadku dłuższej nieobecności w pomieszczeniu konieczne jest wylogowanie się z systemu,

        • принцип чистого рабочего стола - рабочий стол компьютера должен содержать только значки для стандартного программного обеспечения и бизнес-приложений, а также ярлыки для папок, при условии, что имя не содержит данных, в частности персональных данных, которые могут быть неконтролируемым раскрытием (например, во время презентации),

        • принцип чистых принтеров / копиров - снятие документов с принтеров сразу после их печати, в частности, это правило распространяется на документы, оставленные в принтерах, расположенных в другом помещении,

        • принцип чистого мусора - бумажные документы, за исключением рекламных материалов, должны быть измельчены или измельчены сторонней компанией,

        • zasada legalności oprogramowania – zakaz samodzielnego instalowania oprogramowania, w tym w szczególności przechowywania na komputerze treści naruszających prawa autorskie oraz innych nielegalnych danych,

        • принцип сообщения об инцидентах безопасности - каждый обработчик данных обязан сообщать об инцидентах, связанных с информационной безопасностью, то есть о несанкционированном раскрытии, уничтожении или изменении информации, в соответствии с процедурой, указанной в главе 8,

        • zasada korzystania z zasobów Spółki – dane, będące w posiadaniu administratora danych, mogą być przetwarzane wyłącznie w środkach przetwarzania dopuszczonych do wykorzystania w Spółce, w szczególności zabrania się korzystania w tym celu z prywatnych środków przetwarzania danych,

        • принцип отказа от имен, содержащих личные данные, с точки зрения указания файлов, папок и т. д.

        • принцип адекватной защиты аппаратных ресурсов Компании, используемых в качестве бизнес-оборудования - портативных компьютеров, телефонов, смартфонов, планшетов и других устройств, которые лица, обрабатывающие данные в Компании, используют в коммерческих целях, должен быть надлежащим образом защищен от доступа посторонних лиц, по крайней мере, они должны иметь защиту в виде паролей для активации устройства.

 

Глава 4
Процедура DPIA
(Оценка воздействия на защиту данных)

§ 8. Ocenę skutków dla ochrony danych osobowych (DPIA) przeprowadza się dla każdego procesu.
§ 9. DPIA выполняется при каждом значительном изменении обработки персональных данных, например, при смене поставщика услуг, изменении метода обработки данных, обмене задействованными в процессе ресурсами.
§ 10. DPIA проводится вместе с анализом рисков не реже одного раза в год в отношении процессов, которые в результате предыдущего DPIA показали высокий риск для прав и свобод субъектов данных.

 

Глава 5
Процедура анализа рисков и план обработки рисков

§ 11. Контроллер данных выполняет анализ рисков для ресурсов, задействованных в процессах.
§ 12. Анализ рисков проводится не реже одного раза в год и является основой для обновления метода управления рисками.
§ 13. По результатам анализа рисков контролер данных самостоятельно внедряет методы управления рисками.
§ 14.. Каждый раз контролер данных выбирает метод борьбы с риском и определяет, какие риски и в каком порядке будут рассматриваться в первую очередь.

Глава 6
Порядок взаимодействия с внешними организациями

§ 15.1. Każdorazowe skorzystanie z usług podmiotu przetwarzającego jest poprzedzone zawarciem umowy powierzenia przetwarzania danych osobowych
2. Администратор данных ведет реестр внешних лиц, которым доверяют персональные данные для обработки.
§ 16. Każdorazowo przed zawarciem umowy powierzenia przetwarzania danych osobowych administrator danych weryfikuje zgodność z rozporządzeniem wszystkich podmiotów przetwarzających, z których usług ma zamiar skorzystać z wykorzystaniem procedury współpracy z podmiotami zewnętrznymi .

Глава 7
Процедура защиты данных по умолчанию
(с учетом защиты данных на этапе проектирования)

§ 17. W każdym przypadku tworzenia nowego produktu lub usług administrator danych uwzględnia prawa osób, których dane dotyczą, na każdym kluczowym etapie jego projektowania i wdrażania. Wdraża odpowiednie środki techniczne i organizacyjne aby domyślnie przetwarzane były tylko te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania ( ilość zbieranych danych, zakres i okres przetwarzanych danych oraz ich dostępność).
§ 18.. Контроллер данных, если он намеревается начать обработку персональных данных в новом процессе, выполняет DPIA в отношении этого процесса.

Глава 8
Процедура управления инцидентами

§ двадцать. W każdym przypadku naruszenia ochrony danych osobowych, administrator danych weryfikuje, czy naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
§ 21. Administrator danych w przypadku stwierdzenia, że naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, zawiadamia niezwłocznie organ nadzorczy, jednak nie później niż w ciągu 72 godz. od identyfikacji naruszenia z wykorzystaniem procedury zarządzania incydentami bezpieczeństwa.
§ 22. Administrator danych zawiadamia osoby, których dane dotyczą, w przypadku wystąpienia wobec nich naruszeń skutkujących ryzykiem naruszenia ich praw lub wolności w oparciu o wzór zawiadomienia osoby, której dane dotyczą, o naruszeniu, chyba że zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka wystąpienia ww. naruszenia.
§ 23. Administrator danych dokumentuje naruszenia oraz prowadzi rejestr naruszeń , które skutkują naruszeniem praw i wolności osób fizycznych.

Глава 9
Порядок реализации прав человека

§ 24. Контроллер данных рассматривает каждый случай желания субъекта данных осуществлять права, предусмотренные в регулировании, на индивидуальной основе.
§ 25. Administrator danych niezwłocznie realizuje następujące prawa osób, których dane dotyczą:

    • право на доступ к данным,

    • право исправлять данные,

    • право на удаление данных,

    • право на переносимость данных,

    • право возражать против обработки данных,

    • право не подчиняться решениям, основанным исключительно на профилировании.

§ 26.. В случае реализации права на исправление, удаление или ограничение обработки данных, контролер данных должен немедленно проинформировать получателей данных, которым он предоставил данные, за исключением случаев, когда это невозможно или потребует несоразмерных усилий.
§ 27.. Контроллер данных отказывается осуществлять права субъектов данных, если такая возможность вытекает из положений регламента, однако любой отказ от осуществления прав субъектов данных требует обоснования с правовой основой, вытекающей из регулирования.

Глава 10
Порядок получения согласия и информирования людей

§ 28. 1. Когда данные собираются непосредственно от субъекта данных, контролер данных должен выполнить информационное обязательство по отношению к субъекту данных.
2. В случае сбора данных от сотрудника применяется шаблон информационного обязательства.
§ 29. В каждом случае сбора данных из источников, отличных от субъекта данных, контроллер данных выполняет информационное обязательство перед субъектом данных немедленно, но не позднее, чем во время первого контакта с субъектом данных,
§ 30. W każdym przypadku odbierania zgody od osoby, której dane dotyczą, korzysta się z klauzul.

Глава 11
Заключительные положения

§ 31. Все принципы, описанные в этом документе, соблюдаются лицами, уполномоченными обрабатывать персональные данные, с особым упором на интересы субъектов данных.
Статья 32.. Этот документ действителен с момента его утверждения контроллером данных.

ru_RUРусский
ru_RUРусский pl_PLPolski en_GBEnglish (UK) de_DEDeutsch ro_RORomână lt_LTLietuvių kalba ukУкраїнська