Cel opracowania
Celem wprowadzenia Polityki Ochrony Danych Osobowych jest przystosowanie firmy MULTIBOND Spółka z o. o. spółka komandytowa z siedzibą w Łodzi do spełnienia wymogów Rozporządzenia Parlamentu Europejskiego i Rady (EU) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 94/46/WE (ogólne rozporządzenie o ochronie danych).
Przeprowadziwszy wieloaspektową analizę oraz ocenę ryzyka związaną z przetwarzaniem danych osobowych postanawia się wdrożyć procedury zawarte w niniejszym opracowaniu.
Inspektor Ochrony Danych Osobowych
Powołuje się Inspektora Ochrony Danych Osobowych, do którego obowiązków będzie należeć:
- Monitorowanie przestrzegania przepisów o ochronie danych osobowych.
- Wprowadzanie aktualizacji w Polityce Ochrony Danych Osobowych firmy.
- Prowadzenie Rejestru Naruszeń.
- Konsultacje z organem ochrony danych, tj. Generalnym Inspektorem Ochrony Danych Osobowych.
Na stanowisko Inspektora Ochrony Danych Osobowych powołuje się członka zarządu spółki – Michała Antoniaka.
Pozyskiwanie danych osobowych
Firma nie prowadzi sprzedaży detalicznej i nie zajmuje się pozyskiwaniem, przetwarzaniem i przechowywaniem danych osobowych klientów prywatnych. Firma współpracuje wyłącznie z podmiotami gospodarczymi, których dane są ogólnodostępne np.: w ramach bazy danych Centralna Ewidencja i Informacja o Działalności Gospodarczej. W przypadku zmiany polityki sprzedaży ustala się, że dane osobowe klientów będzie się pozyskiwać wyłącznie na drodze kontaktu bezpośredniego, mailowego lub telefonicznego. Dane osobowe będzie się przechowywać w celu:
- Realizacji bieżących zamówień.
- Wystawienia dokumentu sprzedaży.
- Przyszłego kontaktu z klientem.
Klienci podczas pierwszego kontaktu z Firmą zostaną poproszeni o udzielenie zgody na przechowywanie i przetwarzanie danych osobowych – formularz udzielenia zgody stanowi Załącznik nr 1 niniejszego opracowania.
Klienci zostaną poinformowani o:
- Celu pozyskania danych.
- Czasie ich przetwarzania.
- Możliwości zmiany ich treści.
- Możliwości ich usunięcia, tzw „prawo bycia zapomnianym”.
Klient może również wyrazić zgodę na przetwarzanie swoich danych osobowych przesyłając w formie pisemnej stosowne oświadczenie stanowiące integralną część zamówienia przyjmowanego do realizacji.
Przetwarzanie danych osobowych
Dane osobowe klientów przechowywane są w komputerowym programie fakturujących Asystent Produkcja (z dalszymi aktualizacjami).
Ryzyko przedostania się danych w niepowołane ręce jest minimalizowanie poprzez następujące czynniki:
- Dostęp do programu ograniczony dla osób nieupoważnionych – hasło administracyjne.
- Dane przetwarzane są wyłącznie na wewnętrzne potrzeby firmy.
Firma nie prowadzi sprzedaży poprzez sklep internetowych w związku z czym nie istnieje zjawisko automatyzacji działań na danych osobowych klientów. Dane klientów nie są również przekazywane podmiotom trzecim, np. na potrzeby prowadzenia newsletterów. Wyjątkiem od tej reguły jest archiwizowanie dokumentów sprzedaży przez zewnętrzną firmę zajmującą się obsługą księgowo-rachunkową – warunki tej współpracy określone zostały w osobnej umowie.
Firma przechowuje i przetwarza dane osobowe pracowników – dane te są administrowane przez zewnętrzną firmę zajmującą się kadrami – warunki tej współpracy określone zostały w osobnej umowie.
Zewnętrzna firma fakturująca również funkcjonuje w oparciu o poszanowanie założeń ustawy o ochronie danych osobowych.
Monitoring wizyjny
W budynku firmy wprowadzony został, za pośrednictwem kamer przemysłowych, system monitoringu wizyjnego. Obszarem monitoringu objęte są:
- ciągi komunikacyjne wewnątrz budynku,
- pomieszczenia produkcyjne,
- magazyny,
- sklep,
- teren zewnętrzny wokół budynku.
Podstawą prawną przetwarzania zapisu monitoringu jest art. 6 ust 1 lit. f) Rozporządzenia Ogólnego w sprawie ODO – Prawnie uzasadnionym interesem realizowanym przez Administratora jest zapewnienie bezpieczeństwa mienia jak i bezpieczeństwa osób przebywających na terenie obiektów zarządzanych przez administratora oraz art. 222 ustawy z dnia 26 czerwca 1974r. – Kodeks Pracy.
Dane osobowe (wizerunek) będą przetwarzane w celu zapewnienia bezpieczeństwa pracowników, klientów i gości oraz ochrony mienia pracowników, klientów i gości i innych osób przebywających na terenie objętym monitoringiem.
Dane osobowe zbierane w ramach monitoringu wizyjnego będą udostępniane jedynie podmiotom uprawnionym na podstawie przepisów prawa. Dane nie będą wykorzystywane do innych celów.
Zapis z monitoringu będzie przechowywany przez okres nie dłuższy niż 90 dni. Po tym okresie podlega automatycznemu skasowaniu, za wyjątkiem danych dotyczących incydentów związanych z naruszeniem bezpieczeństwa osób lub mienia albo dostępem osób nieupoważnionych. Dane to mogą być przechowywane dłużej tj. do czasu wyjaśnienia sprawy lub zakończenia odpowiednich postępowań.
Osoba, której wizerunek został utrwalony w systemie monitoringu ma prawo do dostępu do zapisu przy założeniu, że nie naruszy to praw i wolności osób trzecich. Na podstawie przepisów prawa i w przypadkach przez te przepisy uzasadnionych osoba, której wizerunek został utrwalony w systemie monitoringu ma prawdo do ograniczenia przetwarzania oraz posiada prawo do wniesienia sprzeciwu wobec przetwarzania. Jeśli osoba, której wizerunek został utrwalony uzna, że jej dane są przetwarzane niezgodnie z prawem ma prawdo do złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych lub innego uprawnionego organu.
Rejestr naruszeń
Ze względu na ryzyko wystąpienia wycieku danych osobowych i ich przedostania się w ręce osób niepowołanych ustanawia się Rejestr Naruszeń w formie, która stanowi Załącznik nr 2 niniejszego opracowania.
O incydentach naruszenia bezpieczeństwa Firma zobowiązuje się bezzwłocznie (ale w terminie nieprzekraczającym 72h) zawiadamiać:
- Osoby, których dane dotyczą jeżeli naruszenie to może powodować wysokie ryzyko naruszenia praw lub wolności tej osoby.
- Organy ochrony danych, tj. Generalnego Inspektora Ochrony Danych Osobowych.