Ogólna polityka ochrony danych osobowych

§ 1.

  1. Celem Ogólnej Polityki Ochrony Danych Osobowych zwanej dalej „Polityką”, jest określenie zasad przetwarzania i zabezpieczania danych osobowych, aby uzyskać optymalny i zgodny z wymogami obowiązujących aktów prawnych sposób przetwarzania danych osobowych. W szczególności Polityka ma zapewnić ochronę danych osobowych przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem, zniszczeniem lub nieupoważnioną zmianą.
  2. Wprowadzenie Polityki ma zapewnić:
    1) dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne,
    2) integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
    3) integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej,
    4) poufność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie
    są udostępniane nieupoważnionym osobom,
    5) rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie.

§ 2.

  1. Polityka została opracowana w związku z wymogami zawartymi w art. 24 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanym dalej „RODO”.
  2. W razie zmiany obowiązujących przepisów prawa powodujących niezgodność niniejszego dokumentu z nimi, Polityka, oraz dokumenty z nią powiązane, zostaną dostosowane do obowiązujących przepisów.

§ 3.

Ochrona danych osobowych realizowana jest poprzez zastosowanie zabezpieczeń fizycznych, opracowanie odpowiednich zasad przetwarzania danych oraz nadzór osób upoważnionych do przetwarzania danych.

§ 4.

Przez użyte w Polityce określenia należy rozumieć:

  1. Administrator – Petromex spółka z ograniczoną odpowiedzialnością ul. Pocztowa 3, 46-070 Komprachcice, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w Opolu, VIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000659690, o numerze NIP 9910508711, o numerze REGON 366485301, o kapitale zakładowym w wysokości 1.500.000,00 zł,
  2. Administrator systemu informatycznego (ASI) – osoba upoważniona przez Administratora do administrowania i zarządzania systemami informatycznymi,
  3. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej
    do zidentyfikowania osoby fizycznej („osobie, której dane dotyczą”),
  4. Hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym,
  5. Identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym,
  6. Inspektor ochrony danych (IOD) – osoba wyznaczona przez Administratora, posiadająca kwalifikacje zawodowe, a w szczególności wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych osobowych oraz umiejętności wypełniania zadań wynikających z zapisów RODO,
  7. Podmiot przetwarzający – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora,
  8. Przetwarzanie danych – operacja lub zestaw operacji wykonanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie,
  9. RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r w sprawie osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),
  10. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych,
  11. System tradycyjny – zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem danych osobowych zapisanych na papierze,
  12. Upoważniony – osoba będąca pracownikiem Administratora lub osoba wykonującą na rzecz Administratora usługi, która w związku z wykonywaniem czynności ma dostęp do danych osobowych, a do ich przetwarzania została pisemnie upoważniona przez Administratora,
  13. Zbiór danych osobowych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentalizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie,
  14. Zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.

§ 5.

  1. Osobą działającą w imieniu Administratora jest Prezes Zarządu Spółki.
  2. Administrator może powołać Inspektora ochrony danych.
  3. Administrator jest odpowiedzialny za zastosowanie adekwatnych do istniejących zagrożeń zabezpieczeń. Zastosowane zabezpieczenia mają zminimalizować ryzyko wystąpienia niebezpiecznych zdarzeń – ograniczyć ryzyko zabrania danych przez osobę nieuprawnioną, uszkodzenia lub zniszczenia danych.

§ 6.

  1. Zapisy Polityki zobowiązane są stosować wszystkie osoby, które u Administratora mają dostęp do danych osobowych.
  2. Polityka dotyczy wszystkich danych osobowych przetwarzanych u Administratora, niezależnie od formy ich przetwarzania (system tradycyjny, system informatyczny).
  3. Polityka ma zastosowanie wobec wszystkich komórek organizacyjnych
    w tym oddziałów, samodzielnych stanowisk pracy i wszystkich procesów przebiegających w ramach przetwarzania danych osobowych.
  4. Zakresy ochrony danych osobowych określone przez dokumenty Polityki mają zastosowanie do systemów informatycznych, w których są przetwarzane dane osobowe, a w szczególności do wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe podlegające ochronie.

§ 7.

Politykę stosuje się w szczególności do:

  1. danych osobowych przetwarzanych w systemach informatycznych,
  2. wszystkich informacji dotyczących danych osobowych zawartych w przetwarzanych zbiorach,
  3. wszystkich lokalizacji – budynków i pomieszczeń, w których są przetwarzane dane (wykaz miejsc przetwarzania danych stanowi Załącznik nr 1 do niniejszej Polityki),
  4. wszystkich informacji danych zawartych w opisie struktury zbiorów,
  5. informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych,
  6. rejestru osób dopuszczonych do przetwarzania danych osobowych,
  7. innych dokumentów zawierających dane osobowe.

§ 8.

  1. Administrator ma stały nadzór nad określanymi w Załączniku nr 2 do niniejszej Polityki zbiorami danych osobowych. Wykaz zbiorów danych zawiera informacje o:
    1) systemach informatycznych służących do przetwarzania poszczególnych zbiorów,
    2) podstawie prawnej przetwarzania danych (zasada legalności),
    3) terminie usuwania lub okresowych przeglądów danych pod kątem dalszej ich przydatności (zasada ograniczenia przechowywania).
  2. Struktura zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych określona została w Załączniku nr 3 do niniejszej Polityki i podlega stałej weryfikacji pod kątem adekwatności gromadzonych danych w stosunku do celu przetwarzania (zasada minimalizacji).

§ 9.

  1. W celu realizacji obowiązku informacyjnego Administrator, w przypadku pozyskiwania danych osobowych od osób fizycznych przedstawia klauzule informacyjne zawierające elementy takie jak:
    1) dane kontaktowe Administratora,
    2) dane Inspektora ochrony danych (jeśli został powołany),
    3) cel przetwarzania danych,
    4) podstawa prawna przetwarzania (jeśli istnieje),
    5) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit f RODO – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią,
    6) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
    7) okres przechowywania danych lub kryteria określenia tego okresu,
    8) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
    9) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit a RODO – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
    10) informacje o prawie wniesienia skargi do organu nadzorczego,
    11) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
    12) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
  2. Klauzule informacyjne stosowane są w szczególności:
    1) w procesie rekrutacji,
    2) przy zatrudnianiu pracowników,
    3) przy zawieraniu umów z osobami fizycznymi,
    4) przy pozyskiwaniu danych w celach marketingowych,
    5) przy pozyskiwaniu danych poprzez formularze na stronach internetowych,
    6) na wszelkich formularzach służących do pozyskiwania danych osobowych.
  3. Administrator ma stały nadzór nad prawidłowym kształtem klauzul informacyjnych, dba o to, by były one czytelne, zrozumiałe i jasno przedstawiały informacje na temat procesu przetwarzania danych.

§ 10.

  1. Do przetwarzania danych dopuszczone są wyłącznie osoby posiadające upoważnienie nadane przez Administratora. Wzór upoważnienia stanowi Załączniku nr 4 do niniejszej Polityki.
  2. Administrator nadając uprawnienia pracownikom, którzy przetwarzają dane odbiera od pracownika oświadczenie o zachowaniu danych w poufności oraz o zapoznaniu się z przepisami i wewnętrznymi politykami określającymi zasady zabezpieczania i przetwarzania danych osobowych w podmiocie.
  3. W celu nadzoru nad ważnością i zakresem upoważnień Administrator prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, która stanowi Załączniku nr 5 do niniejszej Polityki. Ewidencja zawiera informacje takie jak:
    1) imię i nazwisko upoważnionego,
    2) zakres upoważnienia,
    3) datę nadania upoważnienia,
    4) datę ustania upoważnienia (uzupełnianą w momencie odwołania upoważnienia – zakończenia stosunku pracy lub zmiany zakresu upoważnienia np. w przypadku zmiany stanowiska).

§ 11.

  1. Upoważnieni zobowiązani są przetwarzać dane zgodnie z prawem – wykorzystywać dane zgodnie z celem, dla którego zostały zebrane.
  2. Upoważnieni mają dokładać wszelkich starań aby zabezpieczać dane osobowe przed ich utratą, uszkodzeniem, zniszczeniem czy zmianą i nie udostępniać ich osobom nieupoważnionym.
  3. Osoby upoważnione zobowiązuje się do stosowania określonych przez Administratora procedur i środków przetwarzania oraz zabezpieczania danych osobowych, a także do podporządkowania się poleceniom przełożonych w zakresie ochrony danych osobowych.
  4. Zadaniem osoby upoważnionej jest dopilnowanie, by przebywanie osób nieupoważnionych w pomieszczeniach, w których przetwarzane są dane osobowe, miało miejsce wyłącznie w obecności osoby upoważnionej.
  5. Dokumenty zawierające dane osobowe niezbędne do pracy w terenie należy przechowywać w warunkach gwarantujących ich należytą ochronę, tj. w teczkach uniemożliwiających odczytanie zawartości dokumentów.
  6. Pozostawanie w pracy po godzinach pracy może mieć miejsce tylko w związku
    z pełnionymi obowiązkami i za zgodą Administratora lub osoby przez niego upoważnionej.
  7. Po zakończeniu pracy:
    1) komputery wyłącza się, a komputery przenośne (w przypadku jego używania) zabezpiecza się w zamykanych szafkach,
    2) dokumenty zawierające dane osobowe zabezpiecza się poprzez zamknięcie w biurku/szafie, a klucze od biurek i szaf przechowuje się w uzgodnionym miejscu,
    3) pomieszczenie zamyka się na klucz, zaraz po sprawdzeniu czy w pomieszczeniu nie pozostały niezabezpieczone dokumenty zawierające dane osobowe.
  8. Upoważnieni mają zachować szczególną ostrożność przy otwieraniu wiadomości mailowych zawierających załączniki, zwłaszcza w przypadku otrzymania wiadomości od nieznanego nadawcy.
  9. W przypadku używania zewnętrznych nośników danych (pendrive, dyski zewnętrzne) na komputerach służbowych Upoważniony ponosi odpowiedzialność za skutki ich używania.
  10. Osoba korzystająca z komputera przenośnego w celu przetwarzania danych osobowych zobowiązana jest do zwrócenia szczególnej uwagi na zabezpieczenie przetwarzanych informacji, zwłaszcza przed dostępem do nich osób nieupoważnionych oraz przed zniszczeniem.
  11. Upoważnieni, których zakres obowiązków wymaga dokonywania czynności służbowych z dokumentacją zawierającą dane osobowe poza obszarem przetwarzania danych, a także czynności związanych z przesyłaniem i transportem korespondencji, są zobowiązani stosować środki zapewniające ochronę tych danych osobowych podczas ich transportu, przechowywania i użytkowania poza obszarem siedziby pracodawcy, a w szczególności zabezpieczyć te dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
  12. Każdy upoważniony, który podejrzewa, iż mogło nastąpić naruszenie bezpieczeństwa ochrony danych osobowych lub podejrzewa próbę dokonania takiego naruszenia przez osoby nieupoważnione, jest zobowiązany do niezwłocznego poinformowania o powyższym Administratora, który przeprowadzi postępowanie kontrolne, pod kątem wyjaśnienia okoliczności ewentualnego naruszenia bezpieczeństwa danych osobowych.
  13. W przypadku drukowania lub oczekiwania na wydrukowanie informacji zawierającej dane osobowe, upoważnionemu nie wolno odchodzić od drukarki, na której dokonywany jest wydruk. Zasada ta nie obowiązuje, jeśli drukarka znajduje się w zabezpieczonym miejscu chronionym przed dostępem osób nieupoważnionych.
  14. Upoważnieni zobowiązani są do regularnego sprawdzania (przynajmniej raz dziennie po zakończeniu pracy) czy na drukarkach, faksach lub kserokopiarkach nie pozostawiono nieodebranych wydruków. Wydruki takie powinny być zabezpieczone do czasu odebrania ich przez ich właścicieli. Pozostawianie wydruków na urządzeniach drukujących może stanowić podstawę do podjęcia działań dyscyplinarnych.
  15. Zabronione jest tworzenie dodatkowych kopii dokumentów zawierających dane osobowe, jeśli nie wymagają tego obowiązki służbowe.
  16. Upoważnieni w celu skutecznego usunięcia błędnie utworzonych lub niepotrzebnych już wydruków z danymi osobowymi mają obowiązek używać niszczarki do dokumentów. Obowiązkiem Upoważnionego jest dopilnowanie, by przeznaczone do usunięcia dokumenty, zawierające dane osobowe niszczone były w stopniu uniemożliwiającym ich odczytanie.
  17. W przypadku przejścia na inne stanowisko lub rozwiązania stosunku pracy, pracownik upoważniony do dostępu do danych osobowych zobowiązany jest rozliczyć się z dokumentów zawierających dane osobowe.

§ 12.

  1. Upoważnieni, których zakres obowiązków wymaga dokonywania czynności służbowych z dokumentacją zawierającą dane osobowe poza obszarem przetwarzania danych, a także czynności związanych z przesyłaniem i transportem korespondencji ponoszą pełną odpowiedzialność za powierzony im sprzęt oraz dokumentację znajdującą się poza siedzibą Administratora.
  2. Odpowiedzialność za bezpieczeństwo dokumentacji lub akt wynoszonych poza obszar przetwarzania danych ponosi Upoważniony, który te akta wynosi, z chwilą ich pobrania. Odpowiedzialność ta dotyczy również danych znajdujących się na nośnikach cyfrowych.
  3. Wszyscy Upoważnieni do przetwarzania danych osobowych zobowiązani są
    do stosowania reguł zawartych w niniejszej Polityce i dokumentach powiązanych.
  4. Wobec osoby, która w przypadku stwierdzenia lub podejrzenia naruszenia bezpieczeństwa danych osobowych nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła osoby odpowiedzialnej za nadzorowanie naruszeń, lub nie stosuje się do obowiązków wynikających z wewnętrznych polityk można wszcząć postępowanie dyscyplinarne. Kara dyscyplinarna orzeczona wobec osoby uchylającej się od powiadomienia nie wyklucza odpowiedzialności karnej tej osoby, zgodnie z przepisami oraz możliwości wniesienia wobec niej sprawy z powództwa cywilnego przez pracodawcę o zrekompensowanie poniesionych strat.

§ 13.

  1. Każda osoba przed dopuszczeniem do pracy ze zbiorami danych osobowych w wersji papierowej lub mająca dostęp do systemu informatycznego służącego do przetwarzania danych osobowych zostaje poddana przeszkoleniu w zakresie ochrony danych osobowych.
  2. Za zorganizowanie szkolenia odpowiada Administrator.
  3. Zakres szkolenia obejmuje zaznajomienie upoważnionego z przepisami z zakresu ochrony danych osobowych i wydanymi na ich podstawie wytycznymi oraz instrukcjami obowiązującymi u Administratora w zakresie zasad pracy z danymi osobowymi w zbiorach tradycyjnych i przetwarzanych za pomocą systemów informatycznych.
  4. Szkolenia osób upoważnionych odbywają się cyklicznie, a powtarzane są zwłaszcza gdy:
    1) częste są uchybienia przy przetwarzaniu danych osobowych wynikające z zaniedbań pracowników,
    2) nastąpiła zmiana przepisów dotyczących przetwarzania i zabezpieczania danych osobowych.

§ 14.

  1. Administrator bądź pracownicy upoważnieni do przetwarzania danych osobowych mogą udostępniać dane osobowe wnioskującemu z zachowaniem zasady, że udostępnienie danych osobowych nie może naruszać praw i wolości osoby, których dane dotyczą. Wzór wniosku o udostępnienie danych stanowi Załącznik nr 6 do niniejszej Polityki. Każdorazowe udostępnienie danych jest odnotowane w rejestrze udostępniania, który stanowi Załącznik nr 7 do niniejszej Polityki.
  2. W przypadku powierzenia przetwarzania danych osobowych Administrator korzysta wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi prawa i chroniło prawa osób, których dane dotyczą.
  3. Powierzenie przetwarzania danych może mieć miejsce na podstawie pisemnej umowy zawartej między Administratorem a podmiotem przetwarzającym, która określa w szczególności przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa Administratora. Wzór umowy powierzenia danych stanowi Załącznik nr 8 do niniejszej Polityki.
  4. W umowie powierzenia Administrator gwarantuje sobie prawo do osobistej lub zleconej (audyt zewnętrzny) kontroli wykonania przedmiotu umowy w siedzibie podmiotu przetwarzającego m. in. w zakresie odpowiedniego zabezpieczania danych oraz przestrzegania właściwych przepisów prawa.
  5. Wykaz podmiotów, którym powierzono przetwarzanie danych stanowi Załącznik nr 9
    do niniejszej Polityki.
  6. Powierzenie przetwarzania danych uregulowane w Polityce nie ma zastosowania do przekazywania danych podmiotom upoważnionym do ich przetwarzania na mocy przepisów prawa, w tym w szczególności ZUS, Prokuraturze, Policji, Sądom, Komornikom, itd.
    § 15.
  7. W sprawach nieuregulowanych w wewnętrznych politykach Administratora mają zastosowanie przepisy prawa z zakresu ochrony danych osobowych.
  8. Administrator dokonuje systematycznej analizy wdrożonych dokumentów z zakresu ochrony danych osobowych w celu oceny ich aktualności i ewentualnej ich aktualizacji. Analiza taka dokonywana jest nie rzadziej niż raz w roku.
  9. W celu wykazania realizacji obowiązku nadzoru nad dokumentacją z zakresu ochrony danych osobowych prowadzony jest Załącznik nr 10 do niniejszej Polityki zawierający zestawienie informacji o aktualizowanych załącznikach do niniejszej Polityki lub aktualizacji treści dokumentów powiązanych.
  10. Wszyscy upoważnieni do przetwarzania danych osobowych zobowiązani są do zapoznania się z niniejszą Polityką i dokumentami powiązanymi. Wykaz osób zapoznanych z wewnętrznymi zasadami ochrony danych osobowych stanowi Załącznik nr 11 do niniejszej Polityki.
  11. Wszystkie ww. Załączniki, stanowią integralną część niniejszej Polityki.
  12. Niniejszy dokument wchodzi w życie z dniem 25 maja 2018 roku.