POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH
GLOKER Sp. z o.o.
z miejscem prowadzenia działalności w Krakowie 31-134, ul.Basztowa 4/1, wpisana do KRS pod nr. 0000840791, Regon 386037544, NIP 5252822738
Polityka Bezpieczeństwa Danych Osobowych, zwana dalej PBDO została przyjęta w celu realizacji zasady zgodności z prawem, rzetelności oraz przejrzystości przetwarzania danych osobowych w Gloker Sp. z o.o. PBDO określa na jakich zasadach zbieramy oraz przetwarzamy dane osobowe oraz jakie prawa przysługują klientom i pracownikom w związku z przetwarzaniem ich danych.
Od dnia 25.05.2018r. swoje bezpośrednie zastosowanie ma Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych – dalej „RODO”).
Zachęcamy do zapoznania się z poniższymi informacjami dotyczącymi ochrony danych.
Celami PBDO Gloker Sp. z o.o. są:
Zapewnienie właściwej ochrony zidentyfikowanych zbiorów danych osobowych oraz zapewnienie zgodności działania Gloker Sp. z o.o. z ustawą o ochronie danych osobowych i jej rozporządzeniami wykonawczymi.
W Gloker kierujemy się zasadą niezbędności.
- Przetwarzamy tylko te dane, które są niezbędne do zawarcia lub wykonania umowy, której jesteś stroną. Zapisując się do szkoły czy na kurs zawierasz z nami umowę o świadczenie usług edukacyjnych. Jej realizacja bez danych, za pomocą których możemy Cię zidentyfikować jest niemożliwa. Dlatego prawo dopuszcza gromadzenie oraz przetwarzanie danych osobowych bez dodatkowej zgody.
- Twoje dane przetwarzamy również gdy wymaga tego od nas przepis prawa. Placówki Gloker podlegają przepisom ustaw i rozporządzeń oświatowych, które m.in. nakazują przetwarzanie danych i przekazywanie ich do innych podmiotów (np. urzędów).
- Twoja dobrowolna zgoda może być wyrażona w przypadku, gdy chcesz otrzymywać od nas informacje marketingowe np. o specjalnych promocjach czy wydarzeniach. Taka zgoda obejmuje również działania, które podejmujemy z własnej inicjatywy, informując Cię o zbliżających się zajęciach, zmianach w planie czy miejscu ich prowadzenia, egzaminach zewnętrznych, możliwościach dalszego kształcenia. Udzielenie takiej zgody jest dobrowolne i jeśli nie chcesz, nie musisz jej udzielać. Wówczas jednak nie będziemy mogli podjąć tych działań i nie otrzymasz informacji dodatkowych, o których mowa powyżej.
- Twoje dane mogą być przetwarzane wyłącznie w określonych powyżej celach, nie sprzedajemy i nie przekazujemy Twoich innym podmiotom niż wymagane przepisami.
- Twoje dane przetwarzane będą do czasu istnienia podstawy do ich przetwarzania – czyli w przypadku udzielenia zgody do momentu jej cofnięcia, ograniczenia lub innych działań ograniczających tę zgodę, w przypadku niezbędności danych do wykonania umowy – przez czas jej wykonywania, a w przypadku, gdy podstawą przetwarzania danych jest uzasadniony interes administratora – do czasu istnienia tego interesu.
- Ustanowione w niniejszej polityce zasady muszą być stosowane przez wszystkie osoby posiadające dostęp do danych osobowych. PBDO określa zasady ochrony infrastruktury oraz zasobów informatycznych, służących do przetwarzania danych i dotyczy wszystkich osób zatrudnionych, współpracujących lub świadczących usługi na rzecz Gloker Sp. z o.o.
Zastosowane definicje i skróty:
PBDO – Polityka Bezpieczeństwa Danych Osobowych IZSI – Instrukcja Zarządzania Systemem Informatycznym ADO – Administrator Danych Osobowych IOD – Inspektor Ochrony Danych Osobowych ASI – Administrator Systemów Informatycznych
I. Informacje o Administratorze danych osobowych (ADO).
Administratorem Twoich danych osobowych jest Gloker Sp. z o.o. z siedzibą w Warszawie 01-001, al. Jana Pawła II 43a/37b, wpisana do KRS pod nr. 0000840791, Regon 386037544, NIP 5252822738. Działalność szkolna i kursowa prowadzona jest w Krakowie 31-134, przy ul. Basztowej 4/1.
W kwestiach dotyczących przetwarzania Twoich danych osobowych możesz skontaktować się bezpośrednio z ADO – Administratorem Danych Osobowych, wysyłając tradycyjną korespondencję na adres pocztowy: ul.Basztowa 4/1, Kraków 31-134.
Zadania Administratora Danych Osobowych (ADO)
- ADO nadzoruje, zatwierdza i monitoruje przestrzeganie zasad ochrony przetwarzanych informacji w Gloker Sp. z o.o. oraz definiuje, zatwierdza i nadzoruje postanowienia PBDO oraz IZSI.
- ADO wydaje upoważnienia do przetwarzania danych osobowych, wyznacza IOD oraz ASI.
- ADO zapewnia niezbędne zasoby potrzebne do odpowiedniego funkcjonowania PBDO oraz IZSI.
4) ADO prowadzi rejestr użytkowników upoważnionych do przetwarzania danych osobowych i ma obowiązek informować pracowników o wydanych upoważnieniach.
- ADO zapoznaje pracowników z regulacjami dotyczącymi bezpieczeństwa danych osobowych.
- ADO zarządza incydentami bezpieczeństwa danych osobowych – realizuje procedurę obsługi incydentów, analizuje incydenty, wszczyna postępowanie wyjaśniające w związku z incydentami oraz prowadzi rejestr incydentów bezpieczeństwa.
- ADO prowadzi rejestr czynności przetwarzania oraz ewidencjonuje zbiory danych osobowych.
- Raz w roku ADO odpowiedzialny jest za inwentaryzację zasobów wspierających przetwarzanie informacji oraz za okresową realizację szacowania ryzyka utraty bezpieczeństwa danych osobowych.
Administrator dokłada wszelkich starań, aby zapewnić wszelkie środki fizycznej, technicznej i organizacyjnej ochrony danych osobowych przed ich przypadkowym czy umyślnym zniszczeniem, przypadkową utratą, zmianą, nieuprawnionym ujawnieniem, wykorzystaniem czy dostępem, zgodnie ze wszystkimi obowiązującymi przepisami.
Pełne informacje o przetwarzaniu danych osobowych znajdują się w klauzulach informacyjnych przekazywanych Wam w momencie zbierania danych osobowych dla określonych celów.
Korzystając z formularza rezerwacji na stronie gloker.edu.pl i pisząc do nas maila wyrażasz zgodę na postanowienia zawarte w niniejszej Polityce Prywatności.
II. Cel przetwarzania danych osobowych.
Dane osobowe to wszystkie indywidualne dane osobowe lub faktyczne dotyczące konkretnej lub możliwej do zidentyfikowania osoby fizycznej. Dane osobowe obejmują w szczególności takie informacje, jak imię i nazwisko, adres, adres e-mail, numer telefonu.
Jeśli jesteś lub chcesz być słuchaczem Gloker
Twoje dane osobowe przetwarzane są wyłącznie w celach związanych z prowadzoną przez nas działalnością oświatową, w zakresie wykonania zawartej z Tobą umowy o świadczenie usług edukacyjnych, a także przekazywania informacji związanych ze szkołą i prowadzonymi przez nas szkoleniami. Twoje dane osobowe mogą być przekazywane stronom trzecim jedynie w następujących przypadkach: Jeśli przekazanie jest w inny sposób konieczne do świadczenia usługi zamówionej lub zleconej przez ciebie lub jeśli istnieje przepis prawny nakaz administracyjny lub sądowy.
Jakie są Twoje prawa związane z przetwarzaniem danych osobowych?
przysługują Ci następujące prawa w związku z przetwarzaniem przez Nas Twoich danych:
- prawo dostępu do Twoich danych, w tym uzyskania kopii danych,
- prawo żądania sprostowania danych,
- prawo do usunięcia danych (w określonych sytuacjach),
- prawo wniesienia skargi do organu nadzorczego zajmującego się ochroną danych,
- prawo do ograniczenia przetwarzania danych.
Jeżeli Twoje dane są przetwarzane na podstawie zgody lub w ramach świadczonej usługi (dane są niezbędne w celu świadczenia usługi edukacyjnej) możesz dodatkowo skorzystać z poniższych praw:
- prawo do wycofania zgody w zakresie w jakim dane są przetwarzane. Wycofanie zgody nie ma wpływu na zgodność z prawem przetwarzania.
- prawo do przenoszenia danych osobowych, tj. do otrzymania od administratora Twoich danych osobowych, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu. Jeżeli Twoje dane przetwarzane są w oparciu o uzasadniony interes administratora, przysługuje Ci prawo wniesienia sprzeciwu wobec takiego przetwarzania. W celu skorzystania z powyższych praw należy skontaktować się z administratorem danych mailowo: [email protected] lub telefonicznie 12 632 62 03 / 509 986 445.
III. Inspektor ochrony danych osobowych (IODO).
W sprawach dotyczących ochrony Twoich danych osobowych oraz realizacji przysługujących Ci praw możesz w każdym czasie skontaktować się z naszym Inspektorem Ochrony Danych mailowo: [email protected] lub osobiście w siedzibie szkoły w Krakowie 31-134 przy ul.Basztowej 4/1.
Zadania Inspektora Ochrony Danych Osobowych (IODO)
- informowanie administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich i doradzanie im w sprawie ochrony danych osobowych;
- monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
- udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie ich wykonania;
- współpraca z organem nadzorczym; pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO.
IV. Administrator Systemu Informatycznego
- Zarządza Systemem Informatycznym Gloker Sp. z o.o.
- Odpowiada za aktualizację dokumentów IZSI i prowadzenie wykazu programów służących do przetwarzania danych osobowych.
- Nadzoruje stosowanie środków technicznych i organizacyjnych zapewniających ochronę danych przetwarzanych w Systemie Informatycznym Gloker Sp. z o.o., a w szczególności odpowiada za zabezpieczenie tych danych przed ich udostępnieniem osobom nieupoważnionym, uszkodzeniem lub zniszczeniem.
- Nadzoruje administrowanie systemu informatycznego Gloker Sp. z o.o. oraz prowadzi bieżącą ewidencję wszystkich użytkowników i ich identyfikatorów.
- Ewidencjonuje systemy informatyczne i aplikacje oraz urządzenia komputerowe, które są niezbędne do realizacji zadań komórek organizacyjnych Gloker Sp. z o.o.
- Opiniuje wdrażanie aplikacji oraz realizuje i nadzoruje zakup urządzeń komputerowych przez komórki organizacyjne Gloker Sp. z o.o.
- Nadzoruje rozbudowę i administruje licencjami SI Gloker Sp. z o.o.
V. Nauczyciel – Pracownik
- Odpowiada za przestrzeganie postanowień oraz zasad ustanowionych przez PBDO oraz IZSI w adekwatnym zakresie.
- Odpowiada za zabezpieczenie przekazanych do przetwarzania danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem.
- Ma obowiązek niezwłocznie poinformować ADO w przypadku zidentyfikowania wszelkich naruszeń w zakresie bezpieczeństwa danych.
VI. Sposób zabezpieczania danych osobowych w Gloker Szkolenie i zobowiązanie do zachowania tajemnicy
- Wszyscy pracownicy oraz przedstawiciele stron trzecich zatrudnieni przy przetwarzaniu danych osobowych muszą zostać zapoznani z obowiązującymi w Gloker Sp. z o.o. przepisami dotyczącymi ochrony danych osobowych oraz podpisać zobowiązanie do zachowania w tajemnicy danych osobowych, do których będą mieli dostęp przed przystąpieniem do pracy z danymi osobowymi.
- Do przetwarzania danych osobowych są dopuszczone tylko osoby posiadające ważne upoważnienie do przetwarzania danych osobowych w zbiorach danych osobowych Gloker Sp. z o.o. Upoważnienia do przetwarzania danych osobowych w Gloker wystawia oraz zatwierdza ADO, który prowadzi i aktualizuje rejestr upoważnień.
Wydawanie upoważnień
Upoważnienia są wydawane pracownikom lub przedstawicielom firm zewnętrznych, którym jest to niezbędne w celu właściwego wykonywania obowiązków służbowych lub w celu realizacji umowy. Upoważnienia są wydawane w dwóch jednobrzmiących egzemplarzach – jeden jest wydawany upoważnionemu, drugi przechowuje ADO.
Upoważnienie wygasa w przypadku: pływu okresu jego ważności, odwołania lub ustania stosunku pracy bądź rozwiązania innej umowy.
Zarządzanie rejestrem zbiorów danych osobowych
- Wszystkie zbiory danych znajdują się w Rejestrze Czynności Przetwarzania.
- Utworzenie nowego zbioru danych osobowych może być wynikiem:
- realizacji określonego celu,
- przyjęcia zbioru danych w wyniku zawarcia umowy o powierzeniu przetwarzania
lub przekazania zbioru danych osobowych należących do innego podmiotu.
Zbiory danych zostały utworzone na podstawie:
a. zakresu danych (rodzaju przetwarzanych informacji), b. celu przetwarzania danych zawartych w zbiorze.
Aktualizacja zgłoszenia zbioru danych osobowych
- Aktualizacji zgłoszenia zbioru danych osobowych w rejestrze czynności przetwarzania wymagają w szczególności następujące sytuacje:
- zamiar powierzenia przetwarzania danych osobowych administrowanych przez Gloker Sp. z o.o. innemu podmiotowi w wyniku podpisania umowy,
- zamiar przekazania danych osobowych administrowanych przez Gloker Sp. z o.o. innemu podmiotowi w wyniku podpisania umowy,
- dokonanie zmian w warunkach technicznych, organizacyjnych lub prawnych związanych ze zbiorem danych osobowych.
- Decyzję o usunięciu zbioru danych osobowych podejmuje ADO.
- Wykreślenie zbioru danych osobowych z rejestru czynności przetwarzania następuje niezwłocznie po zaprzestaniu przetwarzania danych.
- ADO jest zobowiązany do podjęcia działań mających na celu wyrejestrowanie zbioru danych z rejestru czynności przetwarzania, poprzez zainicjowanie procesu komisyjnego fizycznego usunięcia danych osobowych (w formie papierowej oraz elektronicznej) z uwzględnieniem wymogów procedur wewnętrznych oraz przepisów o archiwizacji danych. W skład komisji wchodzi ASI oraz IOD.
- W uzasadnionych przypadkach wynikających z realizacji zadań, dopuszcza się, na podstawie umowy, powierzenie przetwarzania danych podmiotowi zewnętrznemu.
Udostępnianie danych osobowych
Udostępnimy wszystkie Wasze dane osobowe na pisemny, umotywowany wniosek, chyba że przepis prawa stanowi inaczej.
Wniosek powinien zawierać:
- dane o wnioskodawcy,
- zakres żądanych informacji,
- cel pozyskania danych,
- podstawę prawną upoważniającą do pozyskania informacji.
Jeśli wniosek nie zawiera któregoś z powyżej wskazanych elementów, wnioskodawcę wzywa się do o uzupełnienia wniosku.
VI. Fizyczne środki ochrony
Strefy bezpieczeństwa
- Ustala się podział obszarów zajmowanych przez Gloker Sp. z o.o. na strefy ogólnodostępne i strefy bezpieczeństwa.
- Strefa ogólnodostępna – to obszar, w którym osoby nieupoważnione mogą poruszać się bez rozpoznania tożsamości.
- Strefa bezpieczna / pokój dyrekcji – to obszar wydzielony, do którego dostęp jest ograniczony do ściśle określonych osób.
Zabezpieczenia strefy bezpieczeństwa – miejsca przetwarzania danych osobowych.
Pomieszczenie / sekretariat, w którym znajduje się terminal systemu teleinformatycznego oraz nośniki danych osobowych w postaci papierowej posiada zamek patentowy oraz całodobowy nadzór firmy ochroniarskiej z systemem sygnalizacji włamania i napadu wyposażony w urządzenia pozwalające na alarmowe powiadomienie ochrony w wypadku zagrożenia zdrowia i życia osób w nich przebywających, monitoring z systemem rejestracji obrazu oraz system alarmowy z indywidualnymi kodami dostępu pozwalający na identyfikację czasu wejścia i wyjścia konkretnej, upoważnionej osoby.
1) Serwery, aktywne i pasywne urządzenia sieci teleinformatycznej, centrale telefoniczne, urządzenia zapewniające zasilanie bezprzerwowe oraz rozdzielnie energetyczne zasilające uprzednio wymieniony sprzęt, magazyny kopii zapasowych, archiwa, zbiory danych osobowych oraz zbiory innych informacji wrażliwych są umieszczone w strefach bezpieczeństwa.
- Wstęp do strefy bezpieczeństwa jest ograniczony tylko do tych osób, które uzyskały stosowne uprawnienia.
- Wejście oraz wyjście ze strefy bezpieczeństwa jest rejestrowane. Rejestruje się tożsamość osób oraz czas ich wejścia i wyjścia w rozkładzie czasu pracy.
Zarządzanie dostępem do pomieszczeń – zarządzanie kluczami
Za organizację zabezpieczenia oraz organizację wydawania kluczy do pomieszczeń Gloker Sp. z o.o. odpowiada dyrektor szkoły.
Wymagania dla zabezpieczeń środowiskowych
- Przeciwpożarowe wyłączniki zasilania są umieszczone w miejscach uzgodnionych ze Strażą Pożarną, przy jednoczesnym ich zabezpieczeniu przed użyciem przypadkowym bądź wykorzystaniem do celów sabotażowych.
- Budynki są wyposażone w instalację ppoż. i odgromową. Linie energetyczne i telekomunikacyjne (wykorzystujące technologie z użyciem kabli przewodzących) są zaopatrzone w zabezpieczenia przepięciowe.
- Na wypadek zagrożenia pożarem dla każdego obiektu opracowane są instrukcje przeciwpożarowe. Ciągi komunikacyjne obiektów są zaopatrzone w tabliczki informujące o kierunku ewakuacji i w miarę potrzeby wyposażone w oświetlenie awaryjne.
- W pomieszczeniach technicznych, w których zlokalizowane są kluczowe elementy systemu informatycznego jest utrzymywana właściwa temperatura.
- Pomieszczenia, w których zlokalizowane są kluczowe elementy SI są zabezpieczone przed zniszczeniem w skutek pożaru (przy pomocy podręcznego sprzętu gaśniczego, systemów detekcji i sygnalizacji pożaru).
Naruszenie bezpieczeństwa danych osobowych
W Gloker Sp. z o.o. w celu ustalenia jednolitych zasad postępowania w przypadkach stwierdzenia naruszeń zasad ochrony przetwarzanych danych osobowych wprowadza się i utrzymuje procedury zgłaszania i obsługi zdarzeń związanych z bezpieczeństwem danych osobowych. Integralną częścią PBDO jest INSTRUKCJA ZGŁASZANIA NARUSZEŃ I INCYDENTÓW ZWIĄZANYCH Z BEZPIECZEŃSTWEM DANYCH OSOBOWYCH oraz KATALOG ZAROŻEŃ I INCYDENTÓW.
Sprawdzenia i sprawozdawczość dotycząca ochrony danych osobowych
Sprawdzenia realizowane są w celu:
- zweryfikowania zgodności przetwarzania danych osobowych z polityką bezpieczeństwa oraz z przepisami o ochronie danych osobowych,
- testowania zabezpieczeń, czyli sprawdzanie poprawności funkcjonowania zabezpieczeń np. poprzez:
- weryfikację poprawnego działania zabezpieczeń mechanicznych – zamków,
- weryfikację reagowania i zgłaszania alarmów przez systemy alarmowe,
- weryfikację działania systemów kontroli dostępu,
- weryfikacja świadomości pracowników w zakresie ochrony danych osobowych,
- weryfikacja stosowania polityki czystego biurka,
- weryfikację skuteczności działania filtrów stron internetowych,
- weryfikację aktualności sygnatur wirusów w systemach antywirusowych,
- pomiar i ocenę skuteczności zabezpieczeń.
ADO przygotowuje plan sprawdzeń.
Plan sprawdzeń tworzony jest z uwzględnieniem wyników wcześniejszych sprawdzeń i innych kontroli w zakresie ochrony informacji, wyników analiz skarg i wniosków oraz zidentyfikowanego ryzyka.
- ADO może przeprowadzać sprawdzenia przy udziale innych pracowników lub korzystać z wyspecjalizowanych przedstawicieli podmiotów zewnętrznych.
- Zagadnienia objęte sprawdzeniem są zgodne z zatwierdzonym planem sprawdzeń powinny obejmować:
- Zasady przetwarzania danych osobowych,
- Realizację obowiązków w zakresie udzielania informacji osobom, których dane są przetwarzane,
- Zasady przekazywania danych osobowych do państwa trzeciego,
- Sposób zabezpieczenia danych osobowych, w szczególności:
- Zasady przechowywania danych w formie papierowej oraz elektronicznej,
- Mechanizmy kontroli dostępu do danych osobowych,
- Zastosowane środki ochrony danych osobowych przed ich utratą na skutek awarii systemu informatycznego,
- Zastosowane zabezpieczenia przed zagrożeniami pochodzącymi z sieci publicznej,
- Środki zapewniające poufność danych osobowych przy ich przesyłaniu w sieci publicznej oraz lokalnych urządzeń bezprzewodowych,
- Środki zapewniające poufność danych przetwarzanych przy wykorzystaniu elektronicznych przenośnych nośników informacji,
- Środki zapewniające poufność danych osobowych przy ich przesyłaniu w sieci publicznej oraz lokalnych urządzeń bezprzewodowych,
- Sposób zabezpieczenia danych przez podmiot, któremu dane zostały powierzone.
ADO ustala stan faktyczny na podstawie dowodów zebranych w toku sprawdzenia. Dowodami mogą być w szczególności dokumenty, oględziny, pisemne lub ustne wyjaśniania (ADO może żądać udzielenia w wyznaczonym przez niego terminie ustnych lub pisemnych wyjaśnień) oraz utrwalone stany konfiguracji technicznych spodków zabezpieczeń.
Wprowadziliśmy szereg zabezpieczeń, które na bieżąco monitorujemy.
Wasze dane są u nas bezpieczne!