Polityka prywatności

Polityka ochrony danych osobowych
obowiązująca w:

TRADO nieruchomości Danuta Smoczyńska,

(dalej: Biuro).

PREAMBUŁA
Niniejszy dokument jest polityką ochrony danych osobowych (dalej: POLITYKA) w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO).
POLITYKĘ stosuje się do danych osobowych przetwarzanych metodą tradycyjną oraz w systemie informatycznym, danych osobowych zapisanych na zewnętrznych nośnikach informacji oraz informacji dotyczących bezpieczeństwa przetwarzania danych osobowych, w szczególności dotyczących wdrożonych zabezpieczeń technicznych i organizacyjnych.
POLITYKA obowiązuje wszystkich pracowników Biura oraz inne osoby mające dostęp do danych osobowych, w tym osoby zatrudnione na umowę zlecenia lub umowę agencyjną.

§ 1
ZASADY OGÓLNE
1. POLITYKA zawiera opis zasad ochrony danych osobowych obowiązujących w Biurze.
2. Filarami ochrony danych osobowych w Biurze jest:
a. Legalność – Biuro dba o ochronę prywatności i przetwarza dane zgodnie z prawem.
b. Bezpieczeństwo – Biuro zapewnia odpowiedni poziom bezpieczeństwa danych, podejmując stale działania w tym zakresie.
c. Prawa jednostki – Biuro umożliwia osobom, których dane przetwarza, wykonywanie swoich praw i prawa te realizuje.
d. Rozliczalność – Biuro dokumentuje, w jaki sposób spełnia obowiązki, aby w każdej chwili móc wykazać zgodność z przepisami prawa. W skład dokumentacji wchodzą w szczególności:
1) Polityka bezpieczeństwa w zakresie ochrony danych osobowych,
2) Rejestr Czynności Przetwarzania Danych Osobowych,
3) Instrukcja zarządzania systemem informatycznym,
4) Instrukcje postępowania w sytuacji naruszenia danych osobowych,
5) Inne zarządzenia, instrukcje, wytyczne i polecenia służbowe określające zasady i procedury mające znaczenie dla ochrony danych osobowych wydawane przez Biuro.
3. Biuro przetwarza dane osobowe z poszanowaniem następujących zasad:
a. Przetwarzanie w oparciu o podstawę prawną i zgodnie z prawem (legalizm),
b. Przetwarzanie rzetelne i uczciwe (rzetelność),
c. Przetwarzanie w sposób przejrzysty dla osoby, której dane dotyczą (transparentność),
d. Zbieranie dla oznaczonych, konkretnych i zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami (minimalizacja),
e. Przetwarzanie merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane (prawidłowość i adekwatność),
f. Przechowywanie w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (czasowość).
g. Przetwarzanie z zapewnieniem odpowiedniego bezpieczeństwa danych (bezpieczeństwo).

§ 2
ODPOWIEDZIALNOŚĆ
Za wdrożenie i utrzymanie POLITYKI odpowiedzialny jest następujący organ:
TRADO nieruchomości Danuta Smoczyńska.

§ 3
DANE OSOBOWE PRZETWARZANE PRZEZ BIURO

1. Biuro przetwarza dane osobowe w celu:
a) realizacji usługi pośrednictwa w obrocie nieruchomościami ,
b) realizacji polityki zatrudnienia,
c) obsługi księgowej Biura,
d) realizacji innych usprawiedliwionych celów i zadań.
2. Biuro nie przetwarza danych szczególnych kategorii i danych karnych w rozumieniu RODO.
3. Biuro dysponuje następującymi zbiorami danych osobowych:
a) zbiory danych osobowych prowadzone w wersji papierowej: w szczególności rejestry umów, faktur, zestawienia, skorowidze,
b) zbiory danych prowadzone w systemach informatycznych, wspomagających funkcjonowanie Biura: w tym w komputerach, laptopach, sprzętach służących do komunikacji, odbierania informacji z zewnątrz, programie obsługującym księgowość oraz biuro nieruchomości.
§ 4
SYSTEM OCHRONY DANYCH
1. Biuro dokonuje identyfikacji zasobów danych osobowych oraz sposobów ich wykorzystania. W szczególności Biuro identyfikuje przypadki, w których dokonuje profilowania danych osobowych oraz w których przetwarza lub może przetwarzać dane niezidentyfikowane, zapewniając zgodność przetwarzania z zaleceniami RODO.
2. Biuro opracowuje, prowadzi i utrzymuje Rejestr Czynności Przetwarzania Danych Osobowych w Spółce (dalej: Rejestr), w którym inwentaryzuje i monitoruje sposób, w jaki wykorzystuje dane osobowe. Wzór Rejestru stanowi Załącznik nr 1 do Polityki.
3. Biuro zapewnia, identyfikuje, weryfikuje podstawy prawne przetwarzania danych osobowych, w tym:
a) zapewnia system zarządzania zgodami na przetwarzanie danych osobowych i komunikację na odległość,
b) inwentaryzuje i uszczegóławia uzasadnienie przypadków, gdy Biuro przetwarza dane osobowe na podstawie prawnie uzasadnionego interesu Biura.
4. Biuro spełnia obowiązki informacyjne względem osób, których dane osobowe przetwarza oraz zapewnia obsługę ich praw, terminowo realizując otrzymane w tym zakresie żądania. Biuro dba o czytelność i styl przekazywanych informacji i komunikacji z osobami, których dane przetwarza. Biuro dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań osób, których dane dotyczą.
5. Biuro posiada zasady i metody zarządzania minimalizacją danych osobowych, w tym:
a) zasady zarządzania adekwatnością danych do celów ich przetwarzania,
b) zasady reglamentacji i zarządzania dostępem do danych,
c) zasady zarządzania okresem przechowywania danych i weryfikacji dalszej przydatności.
6. Biuro zapewnia odpowiedni poziom bezpieczeństwa danych osobowych, w tym:
a) przeprowadza analizy ryzyka dla czynności przetwarzania danych lub ich kategorii,
b) przeprowadza oceny skutków dla ochrony danych osobowych, gdzie ryzyko jest wysokie,
c) dostosowuje środki ochrony danych do ustalonego ryzyka,
d) posiada system zarządzania bezpieczeństwem informacji,
e) stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych osobowych odpowiedniemu organowi.
7. Biuro stosuje zasady doboru Podmiotów Przetwarzających dane osobowe na rzecz Biura, posiada zasady weryfikacji wykonywania Umów Powierzenia danych osobowych.
8. Biuro posiada zasady weryfikacji, czy dane osobowe nie są przekazywane do państw trzecich lub do organizacji międzynarodowych, poza Europejski Obszar Gospodarczy.
9. Biuro zarządza zmianami wpływającymi na prywatność. W tym celu procedury uruchamiania nowych projektów i inwestycji w Biurze uwzględniają konieczność oceny wpływu zmiany na ochronę danych, analizę ryzyka, zapewnienia prywatności już w fazie projektowania zmiany.
10. Biuro realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych sprawuje kontrolę i nadzór nad niszczeniem zbędnych danych osobowych i/lub ich zbiorów. Kontrola i nadzór może w szczególności polegać na wprowadzeniu odpowiednich procedur niszczenia danych, a także zleceniu niszczenia ich wyspecjalizowanym podmiotom zewnętrznym, gwarantującym bezpieczeństwo procesu niszczenia danych odpowiednie do rodzaju nośnika danych.

§ 5
PODSTAWOWE ZASADY BEZPIECZEŃSTWA PRAWNEGO I FIZYCZNEGO
1. Biuro stosuje ograniczenia dostępu do danych osobowych: prawne (oświadczenia o zachowaniu poufności, zakresy upoważnień) i fizyczne (strefy dostępu, zamykanie pomieszczeń oraz szaf).
2. Za bieżącą, operacyjną ochronę danych osobowych odpowiada każda osoba przetwarzająca te dane w zakresie zgodnym z obowiązkami służbowymi oraz rolą sprawowaną w procesie przetwarzania danych.
3. Każda z osób mająca styczność z danymi osobowymi jest zobowiązana do ochrony danych osobowych oraz przetwarzania ich w granicach udzielonego jej upoważnienia.
4. Biuro zapewnia adekwatny do zmieniających się warunków i technologii poziom bezpieczeństwa przetwarzania danych osobowych.
5. Dostęp do danych osobowych powinien być przyznawany zgodnie z zasadą wiedzy koniecznej.
6. Dane osobowe powinny być chronione przed nieuprawnionym dostępem i modyfikacją.
7. Dane osobowe należy przetwarzać wyłącznie za pomocą autoryzowanych urządzeń służbowych.
8. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie.
9. Upoważnienia są wydawane indywidualnie przed rozpoczęciem przetwarzania danych osobowych przez TRADO nieruchomości Danuta Smoczyńska.
Wzór upoważnienia stanowi załącznik nr 2 do POLITYKI.
10. Upoważnienia przechowywane są w aktach osobowych pracownika i obowiązują do czasu ustania stosunku pracy lub innej umowy będącej podstawa zatrudnienia albo obowiązków związanych z przetwarzaniem danych osobowych.
11. Biuro prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych.
12. Osoby upoważnione do przetwarzania danych osobowych są zobowiązane do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, do których uzyskały dostęp w trakcie zatrudnienia, również po ustaniu zatrudnienia.
13. Osoby upoważnione do przetwarzania danych osobowych zobowiązane są zapoznać się z regulacjami wewnętrznymi dotyczącymi ochrony danych osobowych w Biurze, w szczególności z POLITYKĄ oraz Instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
14. Biuro zapewnia odpowiednie szkolenie osób upoważnionych do przetwarzania danych osobowych w zakresie ochrony danych oraz pokwitowanie przez pracowników oświadczenia o zachowaniu poufności i przestrzeganiu zasad przetwarzania danych osobowych. Wzór oświadczenia stanowi załącznik nr 3 do POLITYKI.
15. Dane osobowe mogą być przetwarzane wyłącznie w obszarach przetwarzania danych osobowych, na które składają się pomieszczenia biurowe oraz części pomieszczeń, gdzie Biuro prowadzi działalność. Do takich pomieszczeń zalicza się w szczególności:
a) pomieszczenia biurowe, w których zlokalizowane są stacje robocze lub serwery służące do przetwarzania danych osobowych;
b) pomieszczenia, w których przechowuje się dokumenty źródłowe oraz wydruki z systemu informatycznego zawierające dane osobowe;
c) pomieszczenia, w których przechowywane są sprawne i uszkodzone urządzenia, elektroniczne nośniki informacji oraz kopie zapasowe zawierające dane osobowe;
d) pomieszczenia, w których mieści się archiwum dokumentów Biura.
16. Biuro stosuje kontrolę dostępu fizycznego do pomieszczeń, w których są przechowywane dane osobowe. Biuro dokonuje aktualizacji uprawnień dostępowych przy zmianach w składzie personelu oraz zmianach podmiotów przetwarzających. Biuro dokonuje okresowego przeglądu ustanowionych użytkowników systemu oraz aktualizuje ich nie rzadziej, niż raz na rok. Szczegółowe zasady ochrony systemu informatycznego zawarte są w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
17. Pomieszczenia, w których przetwarzane są dane osobowe, powinny być zamykane podczas nieobecności osób upoważnionych do przetwarzania danych osobowych, w sposób ograniczający możliwość dostępu do nich osobom nieupoważnionym.
18. Osoby upoważnione zobowiązane są do zamykania na klucz wszelkich pomieszczeń lub budynków wchodzących w skład obszarów, w których przetwarzane są dane osobowe w czasie ich chwilowej nieobecności w pomieszczeniu pracy jak i po jej zakończeniu, a klucze nie mogą być pozostawione w zamku drzwi. Nie można wynosić ww. kluczy po zakończeniu pracy poza miejsca przeznaczone do ich przechowywania.
19. Wydruki i nośniki elektroniczne zawierające dane osobowe należy przechowywać w zamykanych szafach, które znajdują się w obszarach przetwarzania danych osobowych.
20. Niepotrzebne wydruki lub inne dokumenty należy niszczyć za pomocą niszczarek.
21. Przebywanie wewnątrz obszarów przetwarzania danych osobowych osób nieuprawnionych jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania tych danych.
22. Szczegółowy wykaz obszarów przetwarzania danych osobowych znajduje się w biurze TRADO nieruchomości pod adresem Konin, ul. Chopina 23D/8.
23. Lokalizację i umiejscowienie danych osobowych należy starannie dobierać z uwzględnieniem wymaganych aspektów bezpieczeństwa przetwarzania danych osobowych.
W szczególności należy rozważyć aspekty dotyczące:
a) zasilania energią elektryczną;
b) klimatyzacji oraz wentylacji;
c) wykrywania oraz ochrony przed pożarem i powodzią;
d) fizycznej kontroli dostępu.
24. Kopie zapasowe zawierające dane osobowe należy przechowywać w drugiej fizycznej lokalizacji w bezpiecznej odległości od lokalizacji podstawowej.
25. Urządzenia służące do przetwarzania danych osobowych należy przechowywać w bezpieczny i nadzorowany sposób.
26. Urządzenia mobilne takie jak np. komputery przenośne, urządzenia PDA, telefony komórkowe nie powinny być pozostawiane bez opieki jeżeli nie są zastosowane odpowiednie środki ochrony.
27. Należy wdrożyć politykę czystego biurka i czystego ekranu w celu redukcji ryzyka nieautoryzowanego i nieuprawnionego dostępu lub uszkodzenia danych osobowych.
28. Klucze dostępowe, karty, hasła itd. służące do uzyskania dostępu do systemów informatycznych służących do przetwarzania danych osobowych należy zabezpieczać a sposób ich uzyskiwania należy szczegółowo zdefiniować w procedurach.
29. Dostęp do serwerowni lub innych pomieszczeń, w których znajdują się systemy informatyczne służące do przetwarzania danych osobowych lub zbiory nieinformatyczne należy rejestrować oraz okresowo przeglądać.
30. Przyznawanie dostępu gościom należy wykonywać wyłącznie w określonych i autoryzowanych celach.
31. Monitory należy ustawić w taki sposób aby uniemożliwiać podgląd wyświetlanych danych osobowych przez osoby nieuprawnione.
32. W przypadku korzystania z usług zewnętrznych podmiotów oferujących zbieranie i niszczenie papierów, urządzeń lub nośników zwierających dane osobowe, należy wybrać wykonawcę z odpowiednimi zabezpieczeniami i doświadczeniem.

§ 6
ANALIZA RYZYKA
1. Biuro przeprowadza i dokumentuje analizy adekwatności środków bezpieczeństwa danych osobowych.
2. Biuro ustala możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa i ocenia koszt ich wdrażania.
3. Biuro stosuje środki bezpieczeństwa ustalane w ramach analiz ryzyka i adekwatności bezpieczeństwa oraz ocen skutków dla ochrony danych.

§ 7
ZGŁASZANIE NARUSZEŃ
Biuro stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych odpowiedniemu organowi w terminie 72 godzin od ustalenia naruszenia.

Dokument ten podpisano, przyjęto w dniu 24.05.2018
Danuta Smoczyńska