POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
fantazjapisz.pl

• 1 Podstawa prawna

Zasady przetwarzania danych osobowych w szczególności regulują:

1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
2. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781)
3. Zarządzenie nr 19/2019 Prezesa Urzędu Ochrony Danych Osobowych w sprawie nadania statutu Urzędowi Ochrony Danych Osobowych, wydane na podstawie art. 45 ust. 3 pkt 1-3 ustawy;
4. Rozporządzenie Rady Ministrów z dnia 20 marca 2019 r. w sprawie wzoru legitymacji służbowej pracownika Urzędu Ochrony Danych Osobowych – wydane na podstawie art. 47 ustawy
5. Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz.U. z 2020 r., poz. 344), 
6. Wytyczne w zakresie opracowania i wdrożenia polityki bezpieczeństwa Generalnego Inspektora Rozporządzenie Prezesa Rady Ministrów z dnia 31 maja 2019 roku w sprawie trybu i sposobu realizacji zadań przez inspektora ochrony danych, na podstawie art. 47 ust. 4 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125);

• 2 Postanowienia Ogólne

1. Polityka Bezpieczeństwa Danych Osobowych, zwana dalej Polityką, została sporządzona w związku z wymaganiami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – dalej Rozporządzenie UE) oraz ustawy o ochronie danych osobowych. 
2. Niniejszy dokument stanowi zbiór spójnych, precyzyjnych reguł i procedur, według których P.P.H.U „ANBA” s.c. Barbara Pupek Lesław Pupek prowadzący działalność gospodarczą pod firmą P.P.H.U „ANBA” s.c. Barbara Pupek Lesław Pupek, prowadzący sklep internetowy “fantazjapisz.pl” („Sprzedawca”) buduje, zarządza oraz udostępnia zasoby i systemy informacyjne i informatyczne. Ustanawia przewidziane do wykonania działania oraz sposób ustanowienia zasad i reguł postępowania koniecznych do zapewnienia właściwej ochrony przetwarzanych danych osobowych. Polityka ustanawia zasady bezpieczeństwa przetwarzania danych osobowych, które powinny być przestrzegane i stosowane w Podmiocie przez wszystkie osoby przetwarzające dane osobowe, wraz z powołaniem na właściwe podstawy prawne. Polityka reguluje zasady organizacji pracy przy zbiorach danych osobowych przetwarzanych w systemach informatycznych oraz metodami tradycyjnymi. Opisano w niej również zagrożenia bezpieczeństwa przetwarzanych danych osobowych oraz sposoby reakcji na przypadki naruszeń bezpieczeństwa.
3. Niniejszy dokument pełni również funkcję informacyjną i edukacyjną, poprzez zaprezentowanie obowiązków i odpowiedzialności osób związanych z przetwarzaniem danych osobowych. 
4. Sprzedawca stosuje adekwatne do sytuacji środki aby zapewnić bezpieczeństwo informacji.

• 3 Objaśnienie pojęć

1. ADO – Administrator Danych Osobowych, będący organem, jednostką organizacyjną, podmiotem lub osobą fizyczną, decydujący o celach i środkach przetwarzania danych osobowych. 
2. ASI – Administrator Systemu Informatycznego, będący wyznaczoną przez Administratora Danych Osobowych osobą odpowiedzialną za prawidłowe funkcjonowanie sprzętu, oprogramowania i ich konserwację, w zakresie wskazanym przez ADO. Z uwagi na okoliczność, iż usługi informatyczne świadczone są przez podmiot zewnętrzny, Zarząd Spółki, może wyznaczyć na ASI podmiot zewnętrzny.
3. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
4. Dane wrażliwe (szczególna kategoria danych) - dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej oraz dane dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa.
5. Organ ochrony danych – Prezes Urzędu Ochrony Danych Osobowych lub względnie inny organ będący organem powołanym do spraw z zakresu ochrony danych osobowych.
6. Sprzedawca –  P.P.H.U „ANBA” s.c. Barbara Pupek Lesław Pupek prowadzący działalność gospodarczą pod firmą P.P.H.U „ANBA” s.c. Barbara Pupek Lesław Pupek, prowadzący sklep internetowy “fantazjapisz.pl”. 

Sklep - sklep internetowy “fantazjapisz.pl”

1. Polityka – niniejszy dokument Polityki Bezpieczeństwa Danych Osobowych.
2. Przetwarzanie danych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
3. Systemy informatyczne – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych stosowanych przez Spółkę w celu przetwarzania danych.
4. Osoba Upoważniona – osoba posiadająca formalne upoważnienie wydane przez Administratora Danych Osobowych lub przez osobę wyznaczoną, uprawniona do przetwarzania danych osobowych.
5. Usuwanie danych –zniszczenie danych osobowych lub ich modyfikacja, która uniemożliwia ustalenie tożsamości osoby, której dane dotyczą.
6. Zabezpieczenie danych w systemie informatycznym –wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem
7. Zbiór danych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie. 
8. Zgoda osoby, której dane dotyczą – oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

• 4 Przetwarzanie danych osobowych

1. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Przy rozstrzyganiu czy określona informacja lub informacje stanowią dane osobowe, w razie powzięcia jakichkolwiek wątpliwości, należy przyjąć, iż informacje stanowią dane osobowe.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny PESEL, NIP albo jeden lub kilka specyficznych czynników określających tę osobę – przykładowo informacje o zatrudnieniu, zajmowanym stanowisku lub aktualnym pracodawcy, adresie zamieszkania, adresie do korespondencji, adresie e-mail.
3. Danymi osobowymi będą zarówno takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak i takie, które nie pozwalają na jej natychmiastową identyfikację, lecz przy nakładzie pracy lub/i kosztów umożliwią jej identyfikację.

Sprzedawca przetwarza dane osobowe w następujących celach

1. Zawieranie oraz wykonywanie umów z klientami, zleceniodawcami, kontrahentami Sprzedawcy, a także gośćmi obiektów Spółki służących świadczeniu usług hotelarskich zakwaterowania, najmu, gastronomicznych i rozrywkowych.
2. Badania statystyczne w zakresie usług świadczonych przez Sprzedawcę.
3. Archiwizowanie danych osobowych wymagane przepisami prawa
4. Działania marketingowe zmierzające do pozyskania klientów Sprzedawcy w zakresie działalności: (...)
5. Spełnienia obowiązków wynikających z przepisów prawa, w szczególności w zakresie prawa podatkowego, rachunkowości, ubezpieczeń społecznych.

Przetwarzanie danych osobowych jest dopuszczalne tylko wtedy gdy: 

1. kiedy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
2. kiedy przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; 
3. kiedy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; 
4. kiedy przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
5. kiedy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; 
6. kiedy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

1. Sprzedawca nie przetwarza danych wrażliwych (szczególnej kategorii danych), z wyjątkiem sytuacji, gdy:

1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, 
2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, 
3. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody,
4. przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą,
5. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą; 
6. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
7. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
8. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego 
9. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
10. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

1. Obowiązki informacyjne o przetwarzaniu danych - W przypadku zbierania danych od osoby, której te dane dotyczą Sprzedawca, jako Administrator Danych Osobowych podaje jej wszystkie następujące informacje:

1. Swoje oznaczenie tj. firmę, adres siedziby, dane kontaktowe, a także dane kontaktowe inspektora ochrony danych lub/i oraz osoby wyznaczonej do kontaktu w sprawie przetwarzania danych osobowych
2. cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
3. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) Rozporządzenia UE – tj. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią;
4. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców;
5. informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony – lub informacja, iż dane nie będą przekazywane do państwa trzeciego lub organizacji międzynarodowej;
6. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
7. informacje o przekazaniu danych innym administratorom danych, w szczególności Spółkom Grupy Hossa – ze wskazaniem tych podmiotów.
8. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
9. jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
10. informacje o prawie wniesienia skargi do organu nadzorczego tj. Generalnego Inspektora Ochrony Danych Osobowych (Prezesa Urzędu Ochrony Danych Osobowych lub innego organu właściwego ze względu na ochronę danych osobowych);
11. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
12. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 Rozporządzenia UE, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

1. W przypadku zbierania danych nie od osoby, której te dane dotyczą, w szczególności w przypadku uzyskania danych od kontrahentów Sprzedawcy, Sprzedawca jako Administrator Danych Osobowych jest zobowiązana poinformować tę osobę bezpośrednio po utrwaleniu danych dodatkowo o: 

1. źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
2. kategoriach odnośnych danych osobowych.

Podanych wyżej zasad nie stosuje się, jeżeli: 

1. przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą,
2. poinformowanie wymaga niewspółmiernie dużego wysiłku – w szczególności, gdy dane przetwarzane są w celach archiwizacyjnych, statystycznych, badań naukowych. Na potrzeby niniejszej Polityki przyjmuje się, że w związku z otrzymaniem danych osobowych od kontrahentów oraz Spółek Grupy Hossa na podstawie stosownych umów lub porozumień dotyczących wykonywania wzajemnych zobowiązań i związanego z tym przetwarzania danych osobowych, z uwagi na dynamikę stosunków gospodarczych wynikających z rozmiaru i zakresu działalności Spółki – każdorazowe informowanie danej osoby nie byłoby możliwe bez uszczerbku dla sprawności funkcjonowania Spółki,
3. przekazanie informacji okazuje się niemożliwe,
4. utrwalenie lub ujawnienie danych jest wyraźnie nakazane prawem UE lub prawa krajowego,
5. dotyczy to tajemnicy zawodowej wynikającej z prawa UE lub prawa krajowego – na potrzeby niniejszej Polityki przyjmuje się, że tajemnica zawodowa oznacza m.in. tajemnicę obowiązującą radców prawnych, doradców podatkowych, lekarzy.

1. Sprzedawca realizuje obowiązki poprzez dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, zapewniając aby dane te były:

1. przetwarzane zgodnie z prawem tj. zgodne z wszelkimi normami prawa, zarówno tymi już istniejącymi w momencie wejścia w życie Rozporządzenia UE, jak i tymi, które dopiero później zostały wprowadzone do porządku prawnego. 
2. zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
3. merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane tj. informacje wynikające z danych przetwarzanych przez administratora są zgodne z prawdą, kompletne oraz odpowiadają aktualnemu stanowi rzeczy. Administrator Danych Osobowych przetwarza dane tylko w takim zakresie, w jakim jest to niezbędne do wypełnienia celu, w jakim dane są przez niego przetwarzane. 
4. przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
5. Administrator Danych Osobowych stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

1. Dodatkowo Sprzedawca zapewnia bezpieczeństwo informacji poprzez:
1. poufność informacji tj. informacje nie są udostępniane lub wyjawiane osobom nieupoważnionym, osoby nieuprawnione nie mają dostępu do danych,
2. integralność  informacji tj. informacje są kompletne i niezmieniane w sposób nieuprawniony,
3. rozliczalność działań - wszystkie istotne czynności wykonane przy przetwarzaniu danych zostały zarejestrowane i jest możliwe zidentyfikowanie osoby względnie kategorii osób, która daną czynność wykonała,
4. niezawodność działań - wykonywane czynności prowadzi do zamierzonych skutków.
2. Sprzedawca realizuje obowiązek ochrony danych w fazie projektowania i obowiązek domyślnej ochrony danych, wdrażając i stosując Politykę ochrony danych w fazie projektowania i domyślne] ochrony danych (załącznik nr 8 do niniejszej Polityki).

• 5 Powierzenie i udostępnienie danych osobowych

1. Powierzenie przetwarzania danych:

1. W przypadku konieczności przetwarzania danych przez odrębne podmioty świadczące usługi dla Sprzedawcy może ona powierzyć ich przetwarzanie. Powierzenie przetwarzania odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
2. Ewidencja podmiotów, którym Sprzedawca powierza dane osobowe prowadzona jest w ramach prowadzonej w Spółce ewidencji umów.

Powierzenie nie polega na udostępnieniu danych. Udostępnienie jest przekazaniem danych innemu podmiotowi (odbiorcy danych), który staje się ich administratorem zaś powierzenie polega na przetwarzaniu danych przez podmiot, który nie jest administratorem tych danych.

1. Udostępnianie danych:
1. Udostępnianie danych osobowych, jest jedną z form ich przetwarzania. Udostępnianie danych osobowych można określić, jako wszelkie działania umożliwiające innym niż administrator podmiotom, zapoznanie się z nimi. 
2. Nie jest istotne czy udostępnianie danych ma charakter odpłatny czy nie, aby czynność była uznana za udostępnianie. 
3. Nie jest istotne, czy udostępnianie następuje w formie przekazu ustnego, pisemnego, za pomocą powszechnych środków przekazu lub poprzez sieć komputerową itd., aby czynność była uznana za udostępnianie. 
4. Udostępnianie danych osobowych osobom lub podmiotom uprawnionym do ich otrzymania odbywa się na mocy przepisów prawa. 
5. Udostępnione dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
6. Ewidencja podmiotów, którym Spółka udostępnia dane osobowe prowadzona jest w ramach prowadzonej w Spółce ewidencji umów.
2. Rejestrowanie czynności przetwarzania – Inspektor Ochrony Danych Spółki prowadzi rejestr czynności przetwarzania danych osobowych (wzór stanowi załącznik nr 7 do niniejszej Polityki), za które odpowiada. W rejestrze tym zamieszcza wszystkie następujące informacje: 

1. Dane Administratorów Danych osobowych oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych; 
2. cele przetwarzania; 
3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych - kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych; 
4. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi Rozporządzenia UE, dokumentacja odpowiednich zabezpieczeń;
5. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych; g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

• 6 Upoważnienie do przetwarzania danych osobowych

1. Do przetwarzania danych osobowych uprawnione są wyłącznie Sprzedawca oraz Osoby Upoważnione do przetwarzania danych osobowych
2. Celem niniejszej procedury jest minimalizacja ryzyka nieuprawnionego dostępu do danych osobowych i utraty ich poufności przez osoby nieupoważnione.
3. Inspektor Ochrony danych Spółki nie jest uprawniony do przyznawania upoważnień w przedmiocie przetwarzania danych osobowych.
4. Pisemne upoważnienia do przetwarzania danych osobowych udzielane są przez Sprzedawcę. (wzór upoważnienia stanowi załącznik nr 3 do niniejszej Polityki).
5. Upoważnienie do przetwarzania danych osobowych następuje wyłącznie na podstawie indywidualnego upoważnienia nadanego zgodnie z przepisami ustawy o ochronie danych osobowych.
6. Nadanie upoważnienia do przetwarzania danych osobowych musi nastąpić przed rozpoczęciem przetwarzania danych przez osobę upoważnioną.
7. Inspektor Ochrony Danych Spółki lub osoba przez niego upoważniona prowadzi dokument Ewidencji osób upoważnionych do przetwarzania danych osobowych (wzór stanowi załącznik nr 2 do niniejszej Polityki). 
8. W przypadku konieczności nadania bądź zmiany uprawnień (np. z powodu zatrudnienia osoby lub zmiany stanowiska pracy), Inspektor Ochrony Danych lub osoba przez niego upoważniona zobowiązany jest do sprawdzenia, czy dana osoba:
1. odbyła szkolenie z zakresu przestrzegania zasad bezpieczeństwa danych osobowych,
2. będzie przetwarzała dane osobowe w zakresie i celu określonym w Polityce i instrukcji zarządzania systemem informatycznym.
9. Nadanie upoważnienia do przetwarzania danych osobowych wymaga zaznajomienia się z przepisami dotyczącymi ochrony danych osobowych, w zakresie niezbędnym do czynności wykonywanych w ramach udzielonego upoważnienia.
10. Zakończenie współpracy pomiędzy Spółką a upoważnionym automatycznie uchyla jego upoważnienie bez konieczności jego odwołania.
11. Inspektor Ochrony Danych jest odpowiedzialny za organizację i przeprowadzenie szkoleń lub zaznajomienie w innej formie osób upoważnionych z przepisami dotyczącymi ochrony danych osobowych.
12. Odbycie szkolenia z zakresu ochrony danych osobowych zostaje potwierdzone przez osobę w nim uczestniczącą w formie pisemnego Potwierdzenia uczestnictwa w szkoleniu (wzór stanowi załącznik  nr 4 do niniejszej Polityki).

• 7 Obowiązki w obszarze ochrony danych osobowych
• 7A Obowiązki Spółki jako Administratora Danych Osobowych

1. Podział zadań i obowiązków związanych z organizacją ochrony danych osobowych, 
2. Podejmowanie odpowiednich i niezbędnych działań mających na celu zapewnienie prawidłowej ochrony danych osobowych, w szczególności poprzez sporządzanie i wdrażanie właściwych warunków organizacyjnych i technicznych, 
3. Wprowadzenie do stosowania procedur zapewniających prawidłowe przetwarzanie danych osobowych – w tym niniejszej procedury,
4. W przypadku naruszenia ochrony danych osobowych, Inspektor Ochrony Danych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je do Organu ochrony danych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych,
5. W przypadku gdy dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (wzór stanowi załącznik nr 5 niniejszej Polityki).
6. Wyznaczenie Inspektora Ochrony Danych,
7. Zapewnienie środków i organizacyjnej odrębności Inspektorowi Ochrony Danych, niezbędnych do niezależnego wykonywania przez niego zadań,
8. Udokumentowanie powołania Inspektora Ochrony Danych,
9. Zawiadomienie Organu ochrony danych osobowych o wyznaczeniu Inspektora Ochrony Danych, w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora – zgodnie z art. 37 ust. 7 RODO, 
10. Egzekwowanie rozwoju środków bezpieczeństwa przetwarzania danych osobowych – w szczególności poprzez wdrażanie nowych rozwiązań informatycznych, systemowych, 
11. Poddawanie przeglądom skuteczności Polityki bezpieczeństwa przetwarzania danych osobowych – przy czym przegląd taki powinien zostać przeprowadzony przez Inspektora Ochrony Danych nie rzadziej niż raz do roku, oraz przy każdej istotnej zmianie przepisów dotyczących ochrony danych osobowych. 

Z ww. przeglądu Inspektor Ochrony Danych składa zarządowi Spółki pisemny raport, zawierający przynajmniej informacje o: ilości naruszeń ochrony danych osobowych, w tym naruszeń zgłoszonych Organowi ochrony danych, poziomu faktycznego wykonywania obowiązków wynikających z niniejszej procedury, ilości przeprowadzonych szkoleń, osobach upoważnionych do nadawania upoważnień do przetwarzania danych osobowych oraz wnioski. Inspektor Ochrony Danych sporządza raport w oparciu o własną wiedzę, doświadczenie, w sposób niezależny.

1. Zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: organizację i nadzorowanie przestrzegania zasad ochrony danych osobowych zarówno w systemach informatycznych, jak również w zbiorach danych osobowych prowadzonych w formie papierowej i elektronicznej,
2. Prowadzenie dokumentacji opisującej zastosowaną politykę bezpieczeństwa przetwarzania danych osobowych (niniejsza Polityka oraz wynikające z niej instrukcje i procedury),
3. Wdrożenie zapoznania z przepisami dotyczącymi ochrony danych osobowych oraz zagrożeniami związanymi z przetwarzaniem danych przez pracowników Podmiotu,
4. Zapewnienie kontroli nad tym, jakie dane osobowe, przez kogo i kiedy zostały wprowadzone do zbiorów,
5. Nadawanie i uchylanie uprawnień do przetwarzania danych osobowych w Podmiocie,
6. Prowadzenie rejestru osób Upoważnionych do przetwarzania danych, zawierającego imię i nazwisko Upoważnionego, datę nadania i ustania, zakres Upoważnienia do przetwarzania danych osobowych, identyfikator w przypadku gdy Upoważniony został zarejestrowany w systemie informatycznym, służącym do przetwarzania danych osobowych,
7. Zapewnienie zapoznania osób Upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
8. Analiza sytuacji, okoliczności i przyczyn, które doprowadziły do naruszenia ochrony danych osobowych i przygotowanie zaleceń i rekomendacji dotyczących eliminacji ryzyka ich ponownego wystąpienia – formie pisemnego raportu przedkładanego zarządowi Spółki,
9. Prowadzenie zgodnych z Polityką działań w przypadku stwierdzenia nieuprawnionego dostępu do bazy danych lub naruszenia zabezpieczenia danych,
10. Zapewnienie podstaw prawnych do przetwarzania danych osobowych od chwili zebrania danych osobowych do chwili ich usunięcia – w szczególności poprzez zapewnienie posiadania stosownych zgód osób, których dotyczą przetwarzane dane, 
11. Dbałość o prawidłowe przetwarzanie danych osobowych, w szczególności poprzez zapewnienie aktualności, adekwatności oraz merytorycznej poprawności danych osobowych przetwarzanych w określonym przez nich celu, 

• 7B Obowiązki Inspektora Ochrony Danych

1. Informowanie administratora oraz jego pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy Rozporządzenia UE oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie,
2. Monitorowanie przestrzegania rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
3. Udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania,
4. Współpraca z Organem ochrony danych,
5. Pełnienie funkcji punktu kontaktowego dla organu nadzorczego – Organu ochrony danych w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 Rozporządzenia UE, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach,
6. Pełnienie funkcji punktu kontaktowego dla osób, których dane dotyczą we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy rozporządzenia. Inspektor Ochrony Danych w uzgodnieniu z zarządem Spółki uprawniony jest wyznaczyć - celem prawidłowej i sprawnej realizacji obowiązków Spółki i praw osób, które dane dotyczą – dodatkowe osoby do pełnienia funkcji punktu kontaktowe
7. Prowadzenie w Spółce rejestru czynności przetwarzania danych osobowych.
8. Zapewnienie realizacji oraz wsparcia w realizacji obowiązków Spółki wynikających z niniejszej Polityki, w szczególności wskazanych w §7A Polityki.

• 7C Obowiązki Administratora Systemu Informatycznego

1. Zapewnienie optymalnej ciągłości działania systemu informatycznego,
2. Nadzór nad pracami firm zewnętrznych przeprowadzających prace przy naprawach, konserwacjach systemów informatycznych zawierających dane osobowe,
3. Nadawanie, zmiana i blokowanie uprawnień danemu Użytkownikowi do systemów informatycznych,
4. Właściwa konfiguracja systemu informatycznego zapewniająca jego bezpieczeństwo i ograniczenie dostępu do danych osobowych przez osoby nieupoważnione,
5. Monitorowanie funkcjonowania zabezpieczeń wdrożonych w celu ochrony danych osobowych,
6. Nadzór na sprawnym działaniem systemu sporządzania kopii bezpieczeństwa.
7. Podejmowanie działań w przypadku wykrycia naruszeń bezpieczeństwa w systemie zabezpieczeń lub podejrzenia naruszenia np. pojawienie się wirusa w systemie,
8. Instalacja i konfiguracja oprogramowania na poszczególnych stacjach roboczych,
9. Świadczenie pomocy technicznej (oprogramowanie i urządzenia) dla pracowników Spółki,
10. Okresowa weryfikacja zainstalowanego oprogramowania na stacjach roboczych poszczególnych użytkowników,
11. Zabezpieczenie w sposób adekwatny do zagrożeń komputerów przenośnych,
12. Pozostałe działania przewidziane Polityką Bezpieczeństwa, w szczególności załącznikiem numer 1 (Instrukcja Zarządzania Systemem Informatycznym).

• 7D Obowiązki Osób Upoważnionych

1. Znajomość Polityki oraz przepisów powszechnie obowiązującego prawa w obszarze ochrony danych osobowych, przetwarzanych przez Spółkę, w szczególności udział w szkoleniach przeprowadzanych przez Spółkę;
2. Znajomość, zrozumienie i stosowanie w możliwie największym zakresie wszelkich dostępnych środków ochrony danych osobowych oraz uniemożliwienie osobom nieuprawnionym dostępu do swojej stacji roboczej,
3. Przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami prawa oraz przyjętymi regulacjami, w granicach przyznanego upoważnienia,
4. Postępowanie zgodnie z ustalonymi regulacjami wewnętrznymi dotyczącymi przetwarzania danych osobowych, w szczególności zgodnie z niniejszą Polityką
5. Zachowanie w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia, również po ustaniu zatrudnienia,
6. Ochrona danych osobowych oraz środków przetwarzających dane osobowe przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub zniekształceniem, 
7. Informowanie o wszelkich podejrzeniach naruszenia lub zauważonych naruszeniach oraz słabościach systemu przetwarzającego dane osobowe do przełożonego, który ma obowiązek poinformować Inspektora Ochrony Danych.
8. Całkowite opuszczenie pomieszczenia, w którym przetwarzane są dane osobowe, musi wiązać się z zastosowaniem przez Osoby Upoważnione dostępnych środków zabezpieczających to pomieszczenie przed wejściem osób niepowołanych.
9. Opuszczenie pomieszczenia, w którym przetwarzane są dane osobowe, musi wiązać się z zastosowaniem dostępnych środków zabezpieczających używane aktualnie zbiory danych osobowych. W szczególności w razie planowanej, choćby chwilowej, nieobecności Osoby Upoważnionej,  obowiązana jest ona umieścić zbiory występujące w formach tradycyjnych w odpowiednio zabezpieczonym miejscu ich  przechowywania – w szczególności w zamykanej szafie lub szufladzie oraz dokonać niezbędnych operacji w systemie informatycznym, uniemożliwiając dostęp do danych osobowych osobom niepowołanym.
10. Opuszczenie przez Osoby Upoważnione obszaru ich przetwarzania bez zabezpieczenia budynku i/lub pomieszczenia oraz umiejscowionych w nim zbiorów danych jest niedopuszczalne

• 8 Ocena ryzyka i przeglądy

1. Uwzględniając kategorie przetwarzanych danych oraz zagrożenia zidentyfikowane w wyniku przeprowadzonej analizy ryzyka, Spółka stosuje wysoki poziom bezpieczeństwa.
2. Przegląd stanu ochrony przetwarzanych przez Spółkę danych jest przeprowadzany przynajmniej raz w roku.
3. Przegląd stanu ochrony przetwarzanych przez Podmiot danych osobowych przeprowadza Inspektor Ochrony Danych
4. Przegląd obejmuje wszystkie obszary działalności i elementy infrastruktury Spółki, w których wymagane jest przestrzeganie zasad przetwarzania danych osobowych, w szczególności systemy informatyczne, zabezpieczenia fizyczne oraz organizacyjne.
5. W ramach przeglądu w szczególności sprawdza się aktualności wszelkich ewidencji i rejestrów, w tym rejestru osób upoważnionych, poziom stosowanych zabezpieczeń organizacyjnych i technicznych.
6. Przegląd jest protokołowany.
7. Inspektor opracowuje wyniki przeprowadzonego przeglądu, które następnie przekazuje w formie Raportu z przeglądu zarządowi Spółki.
8. Na podstawie raportu pokontrolnego Spółka w uzgodnieniu z Inspektorem Ochrony Danych inicjuje działania zapobiegawcze lub kontrolujące.

• 9 Zagrożenia oraz naruszenia bezpieczeństwa danych osobowych

1. Na bezpieczeństwo procesu przetwarzania danych osobowych składają się rozliczalność, poufność i integralność przetwarzanych danych. 
2. Rozliczalność oznacza możliwość przypisania działań osoby/kategorii osób jednoznacznie i wyłącznie tej osobie/kategorii osób. Poufność wyraża się zapewnieniem, że przetwarzane dane osobowe nie są udostępniane nieupoważnionym podmiotom. Integralność oznacza zapewnienie niemożliwości zmiany lub nieautoryzowanego zniszczenia danych osobowych.
3. W przypadku stwierdzenia naruszenia ochrony danych osobowych lub ich zagrożenia, każdy pracownik jest zobowiązany poinformować o tym fakcie Inspektora Ochrony Danych, właściwą osobę przez niego upoważnioną lub przełożonego. Osoba upoważniona lub przełożony pracownika jest zobowiązany powiadomić Inspektora Ochrony Danych.
4. Zagrożeniem bezpieczeństwa informacji są przykładowe zdarzenia:

1. nieprzestrzeganie Polityki przez osoby przetwarzające dane, np. niezamykanie pomieszczeń, szaf, biurek, brak stosowania zasad ochrony haseł, 
2. niewłaściwe zabezpieczenie fizyczne dokumentów, urządzeń lub pomieszczeń,
3. niewłaściwe zabezpieczenie oprogramowania lub sprzętu IT przed wyciekiem, kradzieżą lub utratą danych osobowych.

Postępowanie Administratora Ochrony Danych lub osoby przez niego upoważnionej w przypadku stwierdzenia wystąpienia zagrożenia:

1. ustalenie zakresu i przyczyn zagrożenia oraz jego ewentualnych skutków, 
2. w miarę możliwości przywrócenie stanu zgodnego z zasadami ochrony danych osobowych,
3. w razie konieczności zainicjowanie działań dyscyplinarnych,
4. zarekomendowanie działań zapobiegawczych w kierunku wyeliminowania podobnych zagrożeń  w przyszłości,
5. udokumentowanie prowadzonego postępowania w Rejestrze naruszeń bezpieczeństwa (wzór stanowi załącznik nr 6 do niniejszej Polityki).

1. Instrukcja postępowania w przypadku naruszenia bezpieczeństwa danych osobowych. Na potrzeby niniejszej polityki przyjmuje się, że jest to naruszenie ze względu na dostępność, integralność i poufność. Incydenty powinny być wykrywane, rejestrowane i monitorowane w celu zapobieżenia ich ponownemu wystąpieniu. Przykładowy katalog sytuacji naruszenia:

1. losowe zdarzenie wewnętrzne, np. awaria komputera, serwera, twardego dysku, błąd użytkownika, informatyka, zgubienie danych,
2. losowe zdarzenie zewnętrzne, np. klęski żywiołowe, zalanie, awaria zasilania, pożar,
3. incydent umyślny, np. wyciek informacji, ujawnienie danych nieupoważnionym osobom, świadome zniszczenie danych, działanie wirusów komputerowych, włamanie do pomieszczeń lub systemu informatycznego (wewnętrzne i zewnętrzne).

1. Postępowanie Inspektora Ochrony Danych w przypadku stwierdzenia wystąpienia naruszenia danych osobowych:

1. Powiadomienie zarządu Spółki
2. ustalenie czasu zdarzenia będącego incydentem, 
3. ustalenie zakresu incydentu,
4. określenie przyczyn, skutków oraz szacowanych zaistniałych szkód,
5. zabezpieczenie dowodów,
6. ustalenie osób odpowiedzialnych za naruszenie,
7. usunięcie skutków incydentu,
8. ograniczenie szkód wywołanych incydentem,
9. zainicjowanie działań dyscyplinarnych,
10. zarekomendowanie działań zapobiegawczych w kierunku wyeliminowania podobnych zagrożeń w przyszłości,
11. udokumentowanie prowadzonego postępowania w Rejestrze naruszeń bezpieczeństwa (wzór stanowi załącznik nr 6 do niniejszej Polityki).

1. Postępowanie Administratora lub Osoby Upoważnionej w przypadku stwierdzenia wystąpienia zagrożenia:
1. powstrzymanie się od rozpoczęcia lub kontynuowania pracy, jak również od podejmowania jakichkolwiek czynności, mogących spowodować zatarcie śladów naruszenia bądź innych dowodów,
2. zabezpieczenie elementów systemu informatycznego lub kartotek, przede wszystkim poprzez uniemożliwienie dostępu do nich osób nieupoważnionych,
3. podjęcie, stosownie do zaistniałej sytuacji, wszelkich niezbędnych działań celem zapobieżenia dalszym zagrożeniom, które mogą skutkować utratą danych osobowych.

• 10 Wykaz lokalizacji, gdzie przetwarzane są dane osobowe

Wykaz lokalizacji, gdzie przetwarzane są dane osobowe  znajduje się  w prowadzonym przez Spółkę rejestrze czynności przetwarzania danych osobowych według wzoru (załącznik  nr 7).

• 11 Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych.

Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych  znajduje się w  prowadzonym przez Spółkę rejestrze czynności przetwarzania danych osobowych według wzoru (załącznik nr 7).

• 12 Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi

Opis struktury zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych i powiązania między nimi stanowi element prowadzonego przez Spółkę według wzoru rejestru czynności przetwarzania danych osobowych (załącznik nr 7).

• 13 Opis sposobu przepływu danych pomiędzy systemami

1. Opis sposobu przepływu danych pomiędzy systemami znajduje się  w prowadzonym przez Spółkę rejestrze  czynności przetwarzania danych osobowych według wzoru stanowiącego załącznik nr 7 do niniejszej Polityki. 
2. Wykazy i opisy o których mowa w §10-§13 mogą być również prowadzone w formie odrębnego wykazu, który również podlega bieżącej aktualizacji.

• 14 Środki organizacyjne ochrony danych

1. Została opracowana i wdrożona polityka bezpieczeństwa;
2. Została opracowana i wdrożona instrukcja zarządzania systemem informatycznym;
3. Powołano Inspektora Ochrony Danych;
4. Powołano Administratora Systemu Informatycznego;
5. Do przetwarzania danych są dopuszczane wyłącznie osoby posiadające ważne upoważnienia nadane przez administratora danych;
6. Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych;
7. Osoby zatrudnione przy przetwarzaniu danych są zaznajomione z przepisami dotyczącymi ochrony danych osobowych;
8. Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego;
9. Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy;
10. Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane;
11. Kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco;
12. Przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych;
13. Przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych;
14. Stosuje się pisemne umowy powierzenia przetwarzania danych dla współpracy z podwykonawcami przetwarzającymi dane osobowe;
15. W Spółce prowadzi się politykę czystego biurka.

• 15 Środki ochrony fizycznej danych

1. Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi).
2. Zbiory danych osobowych w formie papierowej przechowywane są w niemetalowych szafach i szufladach.
3. Archiwalne zbiory danych osobowych przechowywane są w zamykanych pomieszczeniach z ograniczonym dostępem osób upoważnionych przez szefów biur.
4. Pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i wolnostojącej gaśnicy.
5. Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów oraz specjalistycznej firmy zajmującej się profesjonalnym niszczeniem dokumentów.

• 16 Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej ochrony danych

1. Dane osobowe są przetwarzane przy użyciu komputerów stacjonarnych i przenośnych. 
2.  Przetwarzanie danych przy użyciu komputerów przenośnych zabezpieczone jest poprzez ograniczenie dostępu do aplikacji o szczególnym znaczeniu, tj. aplikacji do przetwarzania danych osobowych GiP ReHot, GiP GaM, GiP GH, Symfonia, Flex, AS, Oskar, Płace (AOSZ) tylko z lokalizacji określonych przez Spółkę.
3. Zastosowano urządzenia typu UPS, generator prądu i/lub wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania.
4. Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
5. Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu aplikacji informatycznych o szczególnym znaczeniu (AOSZ).
6. Zastosowano systemowe mechanizmy wymuszające okresową zmianę haseł.
7. Zastosowano system rejestracji dostępu do AOSZ.
8. Zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji.(VPN, szyfrowane poczta SSL).
9. Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia.
10. Zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamięci dyskowej.
11. Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. wirusy, konie trojańskie.
12. Zastosowano system rejestracji nieudanych Iogowań do systemu informatycznego.
13. Użyto system Firewall do ochrony dostępu do sieci komputerowej.
14. Użyto system IDS/IPS do ochrony dostępu do sieci komputerowej.
15. Zewnętrzne nośniki danych są przed ich użyciem sprawdzane przez użytkowników programem antywirusowym.

• 17 Środki ochrony w ramach narzędzi programowych i baz danych

1. Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych.
2. Uwierzytelnianie uprawnionego użytkownika  w systemie informatycznym  odbywa się przez centralne zarządzanie systemem loginów i haseł (serwer z obsługą usługi katalogowej) i uprawnień dostępowych do zasobów sieciowych zawierających dane osobowe. 
3. Zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego.
4. Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe.
5. Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.
6. Zastosowano konta o ograniczonych uprawnieniach - wgrywanie jakiegokolwiek oprogramowania do systemów informatycznych, na których przetwarzane są dane osobowe, jest możliwe tylko przez administratora systemu informatycznego zgodnie z właściwościami systemu operacyjnego.
7. Administrator Systemu Informatycznego prowadzi bieżący monitoring zabezpieczeń systemów.

• 18 Postanowienia końcowe

1. Polityka Bezpieczeństwa Przetwarzania Danych Osobowych wraz z załącznikami wchodzi w życie z dniem jej wprowadzenia Zarządzeniem Zarządu Spółki pełniącej funkcję Administratora Danych Osobowych.
2. Niniejsza Polityka bezpieczeństwa jest dokumentem obowiązującym w Spółce w zakresie wdrażania, przestrzegania i weryfikacji zasad ochrony danych osobowych.
3. Polityka bezpieczeństwa jest dokumentem obowiązującym wszystkie osoby dopuszczone do przetwarzania danych osobowych w ramach działalności Podmiotu.
4. Każda osoba dopuszczona do przetwarzania danych osobowych w ramach działalności Podmiotu ma obowiązek zapoznania się z niniejszą Polityką bezpieczeństwa.
5. Każda Osoba Upoważniona ponosi odpowiedzialność za przestrzeganie zasad ochrony danych osobowych w ramach wykonywania własnych obowiązków, w szczególności za zniszczenie, nieprawidłową modyfikację, udostępnienie danych osobom trzecim, prawidłowe konstruowanie i zmianę haseł.
6. W zakresie nieuregulowanym Polityką bezpieczeństwa, zastosowanie znajdują przepisy ustawy o ochronie danych osobowych.