ПочнітьPolityka Prywatności

Polityka Prywatności

INFORMACJE DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH

На підставі ст. 13 Регламенту (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб при обробці персональних даних та про вільне переміщення таких даних, а також про скасування Директиви 95/46 / ЄС, ми хотіли б повідомити Вам, що:

Administratorem Pani/Pana danych osobowych jest BIZON INT Sp. z o.o. z siedzibą: Tomice, ul. Europejska 4, 05-532 Baniocha k. Warszawy.

Na podstawie przeprowadzonych analiz Administrator danych nie ma obowiązku wyznaczenia inspektora. Administrator przetwarza dane osobowe zwykłe w następujących kategoriach i celu, na podstawie:

    • Jeśli jest Pan/Pani PRACOWNIKIEM BIZON INT Sp. z o.o. to dane osobowe zwykłe są gromadzone w celu

    • obsługi procesu zatrudnienia pracowników BIZON INT Sp. z o.o., spraw pracowniczych oraz archiwizacji dokumentów dotyczących zatrudnienia.

    • Jeśli jest Pan/Pani PRACOWNIKIEM KONTRAHENTA BIZON INT Sp. z o.o. dane osobowe zwykłe; dane te są gromadzone w celu realizacji procesu ofertowania, zawierania umów i zamówień oraz realizacji kontraktów serwisowych tzw. usług.

    • Jeśli jest Pan/Pani KONSUMENTEM dane osobowe zwykłe dotyczące danych konsumentów , osób fizycznych; dane te są zbierane w celu realizacji zamówień dla osób fizycznych.

    1. Dane osobowe będą przechowywane przez okres zależny od obowiązujących przepisów dotyczących rodzaju realizowanej usługi.

    2. Pani/Pana dane osobowe nie będą przekazywane do państwa trzeciego/organizacji międzynarodowej.

    3. Pani/Pana dane osobowe nie są i nie będą udostępniane innym odbiorcom poza przypadkami, gdy taki obowiązek wynika z powszechnie obowiązujących przepisów prawa lub została na to wyrażona Pani/Pana zgoda.

    4. Posiada Pani/Pan prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania. Prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania (jeżeli przetwarzanie odbywa się na podstawie zgody), którego dokonano na podstawie zgody przed jej cofnięciem, listownie na adres: BIZON INT Sp. z o.o. z siedzibą: Tomice, ul. Europejska 4, 05-532 Baniocha k. Warszawy, lub e-mailowo na adres: daneosobowebizon@bizea.com.pl

    5. Ma Pan/Pani prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.(RODO)

    6. Pani/Pana dane nie będą przetwarzane w sposób zautomatyzowany.

    7. Pani/Pana dane nie będą podlegały profilowaniu.

    8. Bliższe informacje wraz z Polityką Bezpieczeństwa Przetwarzania Danych Osobowych znajdują się na naszej stronie Internetowej oraz w siedzibie Firmy.

 

ПОЛІТИКА БЕЗПЕКИ
ОБРОБКА ПЕРСОНАЛЬНИХ ДАНИХ
в
BIZON INT Sp. z o.o. z siedzibą: Tomice, ul. Europejska 4, 05-532 Baniocha k. Warszawy

 

Вступ

Реалізація конституційного права кожної людини на захист приватного життя та положень Регламенту (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб при обробці персональних даних та про вільне переміщення таких даних та скасування Директиви 95/46 / ЄС (загальне положення про захист даних) з метою застосування технічних та організаційних заходів, що забезпечують захист персональних даних, що обробляються, відповідно до загроз та категорій даних, що підлягають захисту , і, зокрема, для захисту даних від несанкціонованого доступу, видалення несанкціонованою особою, обробки вище Положення та зміни, втрати, пошкодження чи знищення, вводиться такий набір процедур.

Розділ 1
Загальні положення

§ 1. Всякий раз, коли в документі згадується:
1) регулювання - це розуміється як Регламент (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб при обробці персональних даних та про вільний рух таких даних, а також про скасування Директиви 95 / 46 / EC (загальний регламент про захист даних);
2) особисті дані - це означає інформацію про ідентифіковану або ідентифікувану фізичну особу ("суб'єкт даних"); фізична особа, що ідентифікується - це особа, яку можна прямо або опосередковано ідентифікувати, зокрема на основі ідентифікатора, такого як ім’я та прізвище, ідентифікаційний номер, дані про місцезнаходження, ідентифікатор Інтернету або один або кілька конкретних фізичних, фізіологічних, генетичних, психічних факторів економічна, культурна чи соціальна ідентичність фізичної особи;
3) набір даних - це розуміється як упорядкований набір персональних даних, доступний за конкретними критеріями, незалежно від того, централізований, децентралізований чи функціонально чи географічно розподілений;
4) обробка даних - розуміється як операція або сукупність операцій, що виконуються над персональними даними або наборами персональних даних в автоматизованому або неавтоматизованому вигляді, наприклад, збір, запис, організація, організація, зберігання, адаптація або модифікація, завантаження, перегляд, використання, розкриття, надсилання, розповсюдження або іншим способом обмін, коригування або комбінування, обмеження, видалення або знищення;
5) ІТ-система - це розуміється як сукупність взаємодіючих пристроїв, програм, процедур обробки інформації та програмних засобів, що використовуються для обробки даних;
6) захист даних в ІТ-системі - це розуміється як здійснення та функціонування відповідних технічних та організаційних заходів, що забезпечують захист даних від несанкціонованої обробки;
7) видалення даних - це розуміється як знищення персональних даних або їх модифікація таким чином, що неможливо буде ідентифікувати суб’єкта даних;
8) контролер даних - розуміється як фізична або юридична особа, орган державної влади, підрозділ чи інший суб’єкт, який самостійно або спільно з іншими визначає цілі та засоби обробки персональних даних; якщо цілі та засоби такої обробки визначені законодавством Союзу або законодавством держави-члена, контролер також може бути призначений згідно із законодавством Союзу або законодавством держави-члена, або можуть бути встановлені конкретні критерії для його призначення;
9) згода суб'єкта даних - це означає добровільне, конкретне, поінформоване та однозначне волевиявлення, яке суб’єкт даних у формі заяви або чіткої позитивної дії дозволяє обробці персональних даних, що стосуються його;
10) одержувачів даних - це означає фізичну або юридичну особу, державний орган, установу чи іншу організацію, якій розкриваються персональні дані, незалежно від того, є вона третьою стороною чи ні. Однак органи державної влади, які можуть отримати персональні дані в ході конкретного провадження згідно із законодавством Союзу або держави-члена, не вважаються одержувачами; обробка цих даних цими державними органами повинна відповідати чинним правилам захисту даних відповідно до цілей обробки;
11) третя країна - розуміється як країна, що не належить до Європейського економічного простору;
12) технічні та організаційні заходи - це слід розуміти як технічні та організаційні заходи, необхідні для забезпечення конфіденційності, цілісності та підзвітності оброблюваних персональних даних;
13) обмеження обробки - це слід розуміти як маркування збережених персональних даних з метою обмеження їх подальшої обробки;
14) профілювання - це означає будь-яку форму автоматизованої обробки персональних даних, яка полягає у використанні персональних даних для оцінки певних особистих факторів фізичної особи, зокрема для аналізу або прогнозування аспектів, пов'язаних з наслідками роботи фізичної особи, економічним становищем, здоров'я, особисті уподобання, інтереси, надійність, поведінка, місцезнаходження або пересування;
15) псевдонімізація - це означає обробку персональних даних таким чином, що вони більше не можуть бути віднесені до конкретного суб'єкта даних без використання додаткової інформації, за умови, що така додаткова інформація зберігається окремо і підлягає технічним та організаційним заходам, що перешкоджають її приписуванню ідентифікованій або ідентифікуваній фізичній особі;
16) процесор - це означає фізичну або юридичну особу, державний орган, установу чи інший орган, який обробляє персональні дані від імені контролера;
17) порушення захисту персональних даних - це означає порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, модифікації, несанкціонованого розголошення або несанкціонованого доступу до персональних даних, що передаються, зберігаються або обробляються іншим чином.

Розділ 2
Контролер даних

§ 2. Контролер даних, зокрема:

    1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

    2. Prowadzi rejestr czynności przetwarzania. W rejestrze zamieszcza się następujące informacje:

        • ім'я та прізвище або ім'я та контактні дані контролера даних, а також будь-яких спільних контролерів, і, де це можливо - представника контролера даних та DPO;

        • цілі обробки,

        • опис категорій суб'єктів даних та категорій персональних даних,

        • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,

        • де це можливо, передача персональних даних третій країні або міжнародній організації, включаючи назву цієї третьої країни або міжнародної організації, а у випадку передачі, про яку йдеться у регламенті, ст. 49 сек. Абзац другий 1, документація про відповідні запобіжні заходи,

        • якщо можливо, заплановані дати видалення окремих категорій даних,

        • де це можливо, загальний опис технічних та організаційних заходів безпеки, зазначених у ст 32 сек. 1. регламенту,

Розділ 3
Технічні та організаційні заходи

§ 3. З метою захисту даних контролер даних відповідає вимогам, зазначеним у регламенті:

а) проводить оцінку впливу на захист даних,
b) проводить аналіз ризиків щодо ресурсів, що беруть участь в окремих процесах,
в) обробляти дані дозволяється лише особам, уповноваженим адміністратором даних (Додаток 1),
г) контракти на доручення обробки даних відповідно до додатка 2,
д) ця політика безпеки була розроблена та впроваджена.

§ 4. Наступне стосується захисту персональних даних заходи фізичного захисту персональних даних:

    • колекції персональних даних зберігаються в приміщенні, захищеному звичайними дверима (неармовані, не пожежні),

    • файли персональних даних зберігаються в приміщенні, захищеному дверима, файли персональних даних - у приміщенні, розташованому на 1-му та 2-му поверсі.

    • будівля, в якій знаходиться адміністратор даних, обладнана протиугінною сигналізацією

    • доступ до приміщень, де обробляються файли персональних даних, охоплюється системою контролю доступу - ключі видаються на стійці реєстрації лише уповноваженим особам.

    • доступ до будівлі, де знаходиться адміністратор даних, контролюється системою спостереження за допомогою промислових камер

    • будівля, в якій базується контролер даних, цілодобово контролюється службою безпеки,

    • файли персональних даних на паперовій основі зберігаються в закритій металевій шафі та в закритих неметалевих шафах,

    • резервні копії / архіви файлів персональних даних зберігаються в закритому неметалевому шафі

    • приміщення, в яких обробляються файли персональних даних, захищені від впливу вогню за допомогою системи протипожежного захисту та / або окремо стоячого вогнегасника,

    • Після закінчення строку корисності документи, що містять персональні дані, механічно знищуються за допомогою подрібнювачів документів.

§ 5. W celu ochrony danych osobowych stosuje się następujące środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:

    • комп'ютери, що використовуються для обробки персональних даних, підключені до локальної комп'ютерної мережі,

    • такі пристрої, як ДБЖ, генератор електроенергії та / або окрема електромережа, використовувались для захисту ІТ-системи, що використовується для обробки персональних даних, від наслідків відключення електроенергії,

    • доступ до набору персональних даних, який обробляється на окремій комп'ютерній станції / ноутбуці, захищений від несанкціонованої активації паролем

    • доступ до операційної системи комп'ютера, в якому обробляються персональні дані, забезпечується процесом автентифікації з використанням ідентифікатора користувача та пароля,

    • вжито заходів для запобігання виготовлення несанкціонованих копій персональних даних, що обробляються з використанням ІТ-систем,

    • була використана система реєстрації доступу до системи / набору персональних даних,

    • застосовані заходи захисту криптографічних даних щодо персональних даних, переданих за допомогою телепередачі,

    • дисковий масив використовувався для захисту персональних даних від наслідків збою дискової пам'яті,

    • були застосовані заходи проти зловмисного програмного забезпечення, такі як хробаки, віруси, троянські коні, руткіти,

    • система брандмауера була використана для захисту доступу до комп'ютерної мережі,

    • система IDS / IPS була використана для захисту доступу до комп’ютерної мережі,

§ 6. W celu ochrony danych osobowych stosuje się następujące środki ochrony w ramach narzędzi programowych i baz danych:

    • були застосовані заходи щодо визначення прав доступу до зазначеного обсягу даних як частини оброблюваного набору персональних даних,

    • доступ до наборів даних, частково оброблених в ІТ-системах, вимагає автентифікації з використанням ідентифікатора користувача та пароля,

    • системні заходи були застосовані для визначення відповідних прав доступу до ІТ-ресурсів, включаючи файли персональних даних для окремих користувачів ІТ-системи,

    • механізм був використаний для примусової періодичної зміни паролів доступу до набору персональних даних,

    • заставки були встановлені на робочих станціях, де обробляються персональні дані,

    • застосовувався механізм автоматичного блокування доступу до ІТ-системи, що використовується для обробки персональних даних, у разі тривалої бездіяльності роботи користувача (заставки),

    • § 7. W celu ochrony danych osobowych stosuje się następujące środki organizacyjne:

    • особи, зайняті в обробці даних, знайомі з положеннями про захист персональних даних,

    • особи, зайняті в обробці персональних даних, пройшли навчання в галузі безпеки ІТ-системи,

    • особи, зайняті в обробці персональних даних, зобов'язані зберігати їх у таємниці,

    • комп’ютерні монітори, на яких обробляються персональні дані, встановлюються таким чином, щоб запобігти несанкціонованому доступу до оброблених даних,

    • резервні копії набору персональних даних зберігаються в приміщенні, відмінному від того, в якому сервер, на якому постійно обробляються персональні дані,

    • адміністратор даних визначив основні правила безпеки, що застосовуються до всіх працівників Компанії, тобто:

        • принцип необхідних знань - обмеження доступу до даних лише до тих, які необхідні для виконання обов'язків на певній посаді,

        • принцип відповідальності за ресурси - обробник відповідає за дані, які він обробляє, і зобов'язаний дотримуватися встановлених процедур безпеки у зв'язку з цим,

        • принцип закритої кімнати - не залишати присутніх наодинці в кімнаті (за відсутності уповноваженої особи), абсолютне замикання кімнат ключем при виході з них і не залишаючи ключі в замках,

        • принцип чистого письмового столу - не залишати паперові документи та носії даних на столі (компакт-диски, DVD-диски, флешки тощо) без нагляду,

        • принцип конфіденційності рахунків у системах - кожен працівник зобов'язаний працювати в системах ІКТ на призначених йому рахунках, категорично забороняється робити облікові записи доступними для людей, які їм не призначені,

        • принцип конфіденційності паролів та кодів доступу - збереження конфіденційності та нерозголошення паролів та кодів доступу стороннім особам, зокрема цей принцип застосовується до персональних паролів для доступу до систем ІКТ та захищених зон,

        • принцип використання ділової електронної пошти - кожна особа, уповноважена обробляти дані при виконанні службових обов'язків, використовує лише офіційну електронну скриньку, заборонено використовувати приватну електронну пошту в цьому обсязі,

        • zasada czystego ekranu – blokowanie komputera przed każdym opuszczeniem pomieszczenia, w przypadku dłuższej nieobecności w pomieszczeniu konieczne jest wylogowanie się z systemu,

        • принцип чистого робочого столу - робочий стіл комп'ютера повинен містити лише піктограми для стандартного програмного забезпечення та бізнес-додатків, а також ярлики до папок, за умови, що ім'я не містить даних, зокрема особистих даних, які можуть неконтрольовано розкриватися (наприклад, під час презентації),

        • принцип чистоти принтерів / копірів - взяття документів із принтерів відразу після їх друку, зокрема, це правило поширюється на документи, залишені в принтерах, розташованих в іншій кімнаті,

        • принцип чистого сміття - паперові документи, за винятком рекламних матеріалів, повинні подрібнюватися або подрібнюватися зовнішньою компанією,

        • zasada legalności oprogramowania – zakaz samodzielnego instalowania oprogramowania, w tym w szczególności przechowywania na komputerze treści naruszających prawa autorskie oraz innych nielegalnych danych,

        • принцип повідомлення про інциденти з безпекою - кожен обробник даних зобов'язаний повідомляти про інциденти, пов'язані з інформаційною безпекою, тобто несанкціоноване розголошення, знищення або зміна інформації, відповідно до процедури, зазначеної в главі 8,

        • zasada korzystania z zasobów Spółki – dane, będące w posiadaniu administratora danych, mogą być przetwarzane wyłącznie w środkach przetwarzania dopuszczonych do wykorzystania w Spółce, w szczególności zabrania się korzystania w tym celu z prywatnych środków przetwarzania danych,

        • принцип не використання імен, що містять персональні дані, з точки зору вказівки файлів, папок тощо.

        • принцип належного захисту апаратних ресурсів Компанії, що використовуються як господарське обладнання, - портативні комп’ютери, телефони, смартфони, планшети та інші пристрої, які особи, які обробляють дані в Компанії, використовують у комерційних цілях, повинні бути належним чином захищені від доступу сторонніх осіб, принаймні вони повинні мати захист у вигляді паролів для активації пристрою.

 

Розділ 4
Процедура DPIA
(Оцінка впливу на захист даних)

§ 8. Ocenę skutków dla ochrony danych osobowych (DPIA) przeprowadza się dla każdego procesu.
§ 9. DPIA здійснюється з кожною суттєвою зміною обробки персональних даних, наприклад, зміною постачальника послуг, зміною способу обробки даних, обміном ресурсів, що беруть участь у процесі.
§ 10. DPIA проводиться разом з аналізом ризиків принаймні раз на рік стосовно процесів, які в результаті попереднього DPIA виявили високий ризик для прав та свобод суб'єктів даних.

 

Розділ 5
Процедура аналізу ризику та план лікування ризиків

§ 11. Контролер даних проводить аналіз ризиків для ресурсів, що беруть участь у процесах.
§ 12. Аналіз ризиків проводиться принаймні раз на рік і є основою для оновлення методу управління ризиками.
§ 13. На основі результатів аналізу ризиків контролер даних самостійно впроваджує методи управління ризиками.
§ 14. Кожного разу, коли контролер даних вибирає метод боротьби з ризиком та визначає, які ризики та в якому порядку будуть розглядатися першими.

частина 6
Порядок співпраці із зовнішніми суб'єктами

§ 15.1. Każdorazowe skorzystanie z usług podmiotu przetwarzającego jest poprzedzone zawarciem umowy powierzenia przetwarzania danych osobowych
2. Адміністратор даних веде реєстр зовнішніх суб’єктів, яким доручені персональні дані для обробки
§ 16. Każdorazowo przed zawarciem umowy powierzenia przetwarzania danych osobowych administrator danych weryfikuje zgodność z rozporządzeniem wszystkich podmiotów przetwarzających, z których usług ma zamiar skorzystać z wykorzystaniem procedury współpracy z podmiotami zewnętrznymi .

Розділ 7
Процедура захисту даних за замовчуванням
(врахування захисту даних на етапі проектування)

§ 17. W każdym przypadku tworzenia nowego produktu lub usług administrator danych uwzględnia prawa osób, których dane dotyczą, na każdym kluczowym etapie jego projektowania i wdrażania. Wdraża odpowiednie środki techniczne i organizacyjne aby domyślnie przetwarzane były tylko te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania ( ilość zbieranych danych, zakres i okres przetwarzanych danych oraz ich dostępność).
§ 18. Контролер даних, якщо він має намір розпочати обробку персональних даних у новому процесі, здійснює DPIA стосовно цього процесу.

Розділ 8
Процедура управління аваріями

§ двадцять. W każdym przypadku naruszenia ochrony danych osobowych, administrator danych weryfikuje, czy naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
§ 21. Administrator danych w przypadku stwierdzenia, że naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, zawiadamia niezwłocznie organ nadzorczy, jednak nie później niż w ciągu 72 godz. od identyfikacji naruszenia z wykorzystaniem procedury zarządzania incydentami bezpieczeństwa.
§ 22. Administrator danych zawiadamia osoby, których dane dotyczą, w przypadku wystąpienia wobec nich naruszeń skutkujących ryzykiem naruszenia ich praw lub wolności w oparciu o wzór zawiadomienia osoby, której dane dotyczą, o naruszeniu, chyba że zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka wystąpienia ww. naruszenia.
§ 23. Administrator danych dokumentuje naruszenia oraz prowadzi rejestr naruszeń , które skutkują naruszeniem praw i wolności osób fizycznych.

Розділ 9
Порядок здійснення прав осіб

§ 24. Контролер даних розглядає кожен випадок готовності суб'єкта персональних даних реалізовувати права, передбачені регламентом, в індивідуальному порядку.
§ 25. Administrator danych niezwłocznie realizuje następujące prawa osób, których dane dotyczą:

    • право на доступ до даних,

    • право на виправлення даних,

    • право на видалення даних,

    • право на перенесення даних,

    • право заперечувати проти обробки даних,

    • право не підлягати рішенням, заснованим виключно на профілюванні.

§ 26. У разі здійснення права на виправлення, видалення та обмеження обробки даних контролер даних повинен негайно інформувати одержувачів даних, яким він надав дані, якщо це неможливо або вимагатиме непропорційних зусиль.
§ 27. Контролер даних відмовляється здійснювати права суб'єктів даних, якщо така можливість випливає з положень регламенту, однак будь-яка відмова у здійсненні прав суб'єктів даних вимагає обґрунтування правовою основою, що випливає з регулювання.

Розділ 10
Порядок отримання згоди та інформування людей

§ 28. 1. Кожного разу, коли дані збираються безпосередньо від суб'єкта даних, контролер даних повинен виконувати інформаційне зобов'язання щодо суб'єкта даних.
2. У разі збору даних від працівника застосовується шаблон інформаційного обов’язку.
§ 29. У кожному випадку збору даних з інших джерел, крім суб'єкта даних, контролер даних виконує інформаційне зобов'язання щодо суб'єкта даних негайно, але не пізніше, ніж під час першого контакту з суб'єктом даних,
§ 30. W każdym przypadku odbierania zgody od osoby, której dane dotyczą, korzysta się z klauzul.

Розділ 11
Заключні положення

§ 31. Усі принципи, описані в цьому документі, дотримуються особами, уповноваженими обробляти персональні дані, з особливим акцентом на інтереси суб’єктів даних.
§ 32. Цей документ діє з дати його затвердження контролером даних.

ukУкраїнська
ukУкраїнська pl_PLPolski en_GBEnglish (UK) de_DEDeutsch ro_RORomână lt_LTLietuvių kalba ru_RUРусский