Bezpečnostní politika

Politika informační bezpečnosti

v INNOVATORS Spółka z ograniczoną odpowiedzialnością se sídlem v Przemyślu (37-700) na ul. Bogusławskiego 13, zapsaná v rejstříku podnikatelů Národního soudního rejstříku pod číslem 0000859053, daňové identifikační číslo (NIP): 7010996482.

Datum přípravy: 2. srpna 2021

Tato Politika informační bezpečnosti, dále jen „Politika“, byla vypracována za účelem prokázání, že osobní údaje shromažďované Správcem jsou zpracovávány a zabezpečeny v souladu s právními požadavky týkajícími se zásad zpracování a zabezpečení údajů ve Společnosti, včetně Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“).

Definice:

1. Správce údajůINNOVATORS, společnost s ručením omezeným, se sídlem v Přemyšli (37-700), ul. Bogusławskiego 13, zapsaná v obchodním rejstříku Národního soudního rejstříku pod číslem 0000859053, daňové identifikační číslo (NIP): 7010996482.
2. Osobní údaje– jakékoli informace týkající se identifikované nebo identifikovatelné fyzické osoby.
3. IT systém – soubor spolupracujících zařízení, programů, postupů pro zpracování informací a softwarových nástrojů používaných pro zpracování dat.
4. Uživatel – osoba pověřená správcem údajů ke zpracování osobních údajů.
5. Soubor dat – jakýkoli strukturovaný soubor osobních údajů dostupný podle specifických kritérií.
6. Zpracování údajů – jakékoli operace prováděné s osobními údaji, jako je shromažďování, zaznamenávání, ukládání, vyvíjení, změna, sdílení a mazání v tradiční formě a v IT systémech.
7. ID uživatele – posloupnost písmen, číslic nebo jiných znaků, která jednoznačně identifikuje osobu oprávněnou ke zpracování osobních údajů v IT systému (Uživatel) v případě zpracování osobních údajů v takovém systému.
8. Heslo – posloupnost písmen, číslic nebo jiných znaků, známá pouze osobě oprávněné k práci v IT systému (Uživatel) v případě zpracování osobních údajů v takovém systému.
9. Autentizace – akce zaměřená na ověření deklarované identity entity (uživatele).

I. Obecná ustanovení.

1. Tyto Zásady se vztahují na všechny Osobní údaje zpracovávané ve společnosti INNOVATORS Spółka z o. o., bez ohledu na formu jejich zpracování (tradičně zpracovávané soubory záznamů, IT systémy) a na to, zda jsou nebo mohou být údaje zpracovávány v datových souborech.
2. Zásady jsou uloženy v elektronické a papírové verzi v kanceláři Správce.
3. Zásady jsou zpřístupněny k nahlédnutí osobám oprávněným ke zpracování osobních údajů na jejich žádost, jakož i osobám, které mají být oprávněny ke zpracování osobních údajů, za účelem seznámení se s jejich obsahem.
4. Pro efektivní implementaci Zásad Správce údajů zajišťuje:
   1. technická opatření a organizační řešení odpovídající hrozbám a kategoriím chráněných údajů,
   2. kontrola a dohled nad zpracováním osobních údajů,
   3. sledování uplatňovaných ochranných opatření.
5. Monitorování použitých bezpečnostních opatření ze strany Správce údajů zahrnuje mimo jiné aktivity Uživatelů, porušování pravidel přístupu k datům, zajištění integrity souborů a ochranu před vnějšími a vnitřními útoky.
6. Správce údajů zajišťuje, aby činnosti prováděné v souvislosti se zpracováním a ochranou osobních údajů byly v souladu s těmito zásadami a příslušnými právními ustanoveními.

II. Osobní údaje zpracovávané správcem údajů.

1. Osobní údaj zpracovávané správcem údajů jsou shromažďovány v datových sadách.
2. Správce údajů neprovádí činnosti zpracování, které by s sebou nesly vážnou pravděpodobnost vysokého rizika pro práva a svobody fyzických osob. Pokud jsou takové činnosti plánovány, provede činnosti uvedené v článku 35 a násl. GDPR.
3. Při plánování nových činností zpracování Správce analyzuje jejich vliv na ochranu osobních údajů a během fáze jejich návrhu zohledňuje otázky ochrany údajů.
4. Správce údajů vede registr činností zpracování.

III. Povinnosti a odpovědnosti v oblasti řízení bezpečnosti.

1. Všechny osoby jsou povinny zpracovávat osobní údaje v souladu s platnými předpisy, zejména s GDPR, zákonem ze dne 10. května 2018 o ochraně osobních údajů (Sbírka zákonů z roku 2018, položka 1000, ve znění pozdějších předpisů) a v souladu s bezpečnostní politikou stanovenou správcem údajů, pokyny pro správu IT systému, jakož i dalšími interními dokumenty a postupy souvisejícími se zpracováním osobních údajů ve společnosti INNOVATORS sp. z o. o.
2. Veškeré osobní údaje ve společnosti INNOVATORS sp. z o. o. jsou zpracovávány v souladu se zásadami zpracování stanovenými zákonem:
   1. V každém případě je přítomen alespoň jeden z právních základů pro zpracování údajů,
   2. Data jsou zpracovávána spolehlivě a transparentně,
   3. Osobní údaje jsou shromažďovány pro konkrétní, výslovně uvedené a legitimní účely a nejsou dále zpracovávány způsobem, který je s těmito účely neslučitelný.
   4. Osobní údaje jsou zpracovávány pouze v rozsahu nezbytném k dosažení účelu zpracování údajů,
   5. Osobní údaje jsou přesné a aktualizované dle potřeby,
   6. Doba uchovávání údajů je omezena na dobu jejich použitelnosti pro účely, pro které byly shromážděny, a po uplynutí této doby budou anonymizovány nebo smazány.
   7. Informační povinnost je vůči subjektu údajů splněna v souladu s články 13 a 14 GDPR,
   8. Data jsou chráněna před porušením pravidel ochrany osobních údajů.
3. Za porušení nebo pokus o porušení zásad zpracování a ochrany osobních údajů se považuje zejména:
   1. narušení bezpečnosti IT systémů, ve kterých jsou osobní údaje zpracovávány, pokud jsou v takových systémech zpracovávány;
   2. zpřístupnění údajů nebo umožnění jejich zpřístupnění neoprávněným osobám nebo subjektům;
   3. nedodržení povinnosti chránit osobní údaje, a to i neúmyslné;
   4. nedodržení povinnosti zachovávat mlčenlivost o osobních údajích a způsobů jejich zabezpečení;
   5. zpracování Osobních údajů v rozporu se zamýšleným rozsahem a účelem jejich shromažďování;
   6. způsobení poškození, ztráty, nekontrolované změny nebo neoprávněného kopírování Osobních údajů;
   7. porušení práv osob, jejichž údaje jsou zpracovávány.
4. Pokud jsou zjištěny okolnosti porušení pravidel ochrany osobních údajů, je Uživatel povinen podniknout veškeré nezbytné kroky k omezení dopadů porušení a neprodleně o tom informovat Správce údajů.

IV. Oblast zpracování osobních údajů.

1. Oblast, ve které jsou osobní údaje zpracovávány v prostorách společnosti INNOVATORS sp. z o. o., zahrnuje kancelářské prostory internetového obchodu nacházející se v budově na adrese ul. Bogusławskiego 13 v Přemyšli (37-700).
2. Seznam budov, místností nebo částí místností tvořících prostor, ve kterém Správce zpracovává osobní údaje, tvoří přílohu těchto Bezpečnostních zásad.
3. Oblast, ve které jsou osobní údaje zpracovávány, zahrnuje také všechny přenosné počítače a další nosiče dat nacházející se mimo výše uvedenou oblast.

V. Definování technických a organizačních opatření nezbytných k zajištění důvěrnosti, integrity a odpovědnosti zpracovávaných údajů.

1. Správce údajů zajišťuje použití technických a organizačních opatření nezbytných k zajištění důvěrnosti, integrity, odpovědnosti a kontinuity zpracovávaných údajů.
2. Použitá bezpečnostní opatření (technická a organizační) by měla být přiměřená zjištěné úrovni rizika pro jednotlivé systémy, typy souborů a kategorie dat. Tato opatření zahrnují:
   1. Vstup do místností, kde se zpracovávají osobní údaje, je omezen pouze na oprávněné osoby. Ostatní osoby mohou vstupovat do místností používaných ke zpracování údajů pouze v doprovodu oprávněné osoby.
   2. Uzamčení místností tvořících oblast zpracování osobních údajů uvedenou v bodě IV výše klíčem během nepřítomnosti zaměstnanců tak, aby se zabránilo přístupu třetích stran k nim.
   3. Používání skříní a trezorů uzamykatelných klíčem k zabezpečení dokumentů.
   4. Použití skartovačky k efektivnímu odstranění dokumentů obsahujících osobní údaje.
   5. Ochrana lokální sítě před aktivitami iniciovanými zvenčí pomocí síťového firewallu.
   6. Vytváření nouzových kopií dat na externích discích.
   7. Ochrana počítačového vybavení používaného správcem před škodlivým softwarem pomocí antivirových programů.
   8. Zabezpečení přístupu k zařízením internetového obchodu pomocí hesel pro přístup k těmto zařízením.
   9. Použití šifrování dat během přenosu.
   10. Zahrnutí klauzule do obsahu odesílaných zpráv informující o důvěrnosti odesílané korespondence.
   11. Místnosti, ve kterých jsou zpracovávány osobní údaje, jsou uklízeny za přítomnosti oprávněných osob.

VI. Svěření zpracování osobních údajů

1. Správce osobních údajů může svěřit zpracování osobních údajů jinému subjektu pouze písemnou smlouvou, a to v souladu s požadavky stanovenými pro takové smlouvy v článku 28 GDPR.
2. Před svěřením zpracování osobních údajů si Správce, pokud je to možné, získá informace o aktuálních postupech zpracovatele v oblasti ochrany osobních údajů.

VII. Porušení pravidel ochrany osobních údajů

1. Pokud je zjištěno porušení ochrany osobních údajů, Správce posoudí, zda porušení mohlo vést k riziku porušení práv nebo svobod fyzických osob.
2. V jakékoli situaci, kdy porušení mohlo vést k riziku pro práva nebo svobody fyzických osob, Správce bez zbytečného odkladu – pokud je to proveditelné, nejpozději do 72 hodin od zjištění porušení – oznámí porušení zásad ochrany osobních údajů dozorovému orgánu. Podrobný postup, který je třeba dodržet v případě porušení nebo podezření na porušení ochrany osobních údajů, je stanoven v dokumentu s názvem „Postupy pro řešení porušení ochrany osobních údajů“, zatímco vzor pro hlášení je uveden v dokumentu s názvem „Hlášení incidentu porušení ochrany osobních údajů“, které oba vypracoval Správce.
3. Pokud je riziko porušení práv a svobod vysoké, Správce o incidentu informuje i subjekt údajů.

VIII. Předávání údajů do třetí země

Správce osobních údajů nepředá osobní údaje do třetí země, s výjimkou případů, kdy k tomu dojde na žádost subjektu údajů.

IX. Závěrečná ustanovení

Za nedodržení povinností vyplývajících z tohoto dokumentu nese zpracovatel odpovědnost podle zákona o ochraně osobních údajů a trestního zákoníku ve vztahu k osobním údajům, na které se vztahuje profesní tajemství.