Polityka ochrony danych osobowych

Szkoła Językowa Blue Jay English, Agnieszka Wachowska, NIP: 972-027-94-66, adres do kontaktu: ul. Sosnowa 87, 62-002 Złotniki, e-mail: biuro@bluejay.pl

I. PRZEPISY OGÓLNE

  1. Niniejszy dokument zatytułowany „Polityka ochrony danych osobowych” (dalej: Polityka) ma za zadanie stanowić mapę wymogów, zasad i regulacji ochrony danych osobowych w Szkole Językowej Blue Jay English, Agnieszka Wachowska, NIP: 972-027-94-66, adres do kontaktu: ul. Sosnowa 87, 62-002 Złotniki, e-mail: biuro@bluejay.pl.
  2. Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu RODO – rozporządzenie Parlamentu Europejskiego i Rady  (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ( ogólne rozporządzenie o ochrony danych) ( Dz.Urz. UE L 119, s.1).

II. ODPOWIEDZIALNOŚĆ

  1. Odpowiedzialny za wdrożenie i utrzymanie niniejszej Polityki jest właściciel Blue Jay English, Agnieszka Wachowska, NIP: 972-027-94-66, adres do kontaktu: ul. Sosnowa 87, 62-002 Złotniki, e-mail: biuro@bluejay.pl.
  2. Za stosowanie niniejszej Polityki odpowiedzialni są:
    a) Szkoła Językowa Blue Jay English, NIP: 972-027-94-66,
    d) wszyscy członkowie personelu.

III. OCHRONA DANYCH W FIRMIE

  1. Filary ochrony danych w firmie
    Legalność – firma dba o ochronę prywatności i przetwarza dane zgodnie z prawem.
    Bezpieczeństwo – firma zapewnia odpowiedni poziom bezpieczeństwa danych podejmując stale działania w tym zakresie.
    Prawa Jednostki – firma umożliwia osobom, których dane przetwarza, wykonywanie swoich praw i prawa te realizuje.
    Rozliczalność – firma dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej chwili móc wykazać zgodność.
  2. Zasady ochrony danych w firmie Firma przetwarza dane osobowe z poszanowaniem następujących zasad:
    • w oparciu o podstawę prawną i zgodnie z prawem (legalizm);
    • rzetelnie i uczciwie (rzetelność);
    • w sposób przejrzysty dla osób, których dane dotyczą (transparentność);
    • w konkretnych celach i nie „na zapas” (minimalizacja);
    • nie więcej niż potrzeba (adekwatność);
    • z dbałością o prawidłowość danych (prawidłowość);
    • nie dłużej niż potrzeba (czasowość);
    • zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo);
  3. System ochrony danych
    System ochrony danych osobowych w firmie składa się z następujących elementów:

    A/ Inwentaryzacja danych – firma dokonuje inwentaryzacji zasobów danych osobowych, w tym ustala:

    a/ zbiory danych,

    b/ podstawy przetwarzania,

    c/ zakres przetwarzania,

    d/ cel przetwarzania.

    Firma opracowuje, prowadzi i utrzymuje Rejestr Czynności Przetwarzania Danych Osobowych. Rejestr jest narzędziem rozliczania zgodności z ochroną danych osobowych w firmie.

    B/ Podstawy prawne –  zapewnia, identyfikuje, weryfikuje podstawy prawne przetwarzania danych osobowych i rejestruje je w rejestrze.

    C/ Obsługa praw jednostki – firma spełnia obowiązki informacyjne względem osób, których dane przetwarza oraz zapewnia obsługę ich praw, realizując zgłoszone w tym zakresie żądania, w tym:

    a/ Obowiązki informacyjne – firma przekazuje osobom prawem wymagane informacje przy zbieraniu danych i w innych sytuacjach oraz organizuje i zapewnia udokumentowanie realizacji tych obowiązków;

    b/ Możliwość wykonania żądań – firma weryfikuje i zapewnia możliwość efektywnego wykonania każdego typu żądania przez siebie i swoich przetwarzających;

    c/ Obsługa żądań – firma zapewnia odpowiednie nakłady i procedury, aby żądania osób były realizowane w terminach i w sposób wymagany przez RODO i dokumentowane.

    d/ Zawiadamianie o naruszeniach firma stosuje procedury pozwalające na ustalenie konieczności zawiadomienia osób dotkniętych zidentyfikowanym naruszeniem ochrony danych w terminie 72 godzin od ustalenia naruszenia.

    D/ Minimalizacja, privacy by design, privacy by default – firma przetwarza dane w czasie oraz zakresie, jaki jest niezbędny.

     Firma posiada w tym celu procedurę retencji danych, która służyć ma ustaleniu niezbędnego okresu przetwarzania danych oraz jego możliwym ograniczeniu.

     Firma, celem zapewnienia przetwarzania wyłącznie niezbędnych ilości danych, dokonuje cyklicznych, tj. corocznych, kontroli danych w tym zakresie.

    E/ Bezpieczeństwo – firma zapewnia odpowiedni poziom bezpieczeństwa danych, w tym:

    – przeprowadza w zależności od potrzeb analizy ryzyka dla czynności przetwarzania, kategorii tych czynności lub aktywów, za których pomocą mają dane być przetwarzane;

    – przeprowadza oceny skutków dla ochrony danych, tam gdzie ryzyko naruszenia praw i wolności osób jest wysokie;

    – dostosowuje środki ochrony danych do ustalonego ryzyka;

    – zarządza dostępem do danych poprzez prowadzenie ewidencji osób upoważnionych do przetwarzania danych;

    – stosuje procedurę identyfikacji, oceny oraz zgłoszenia naruszeń danych osobowych do Urzędu Ochrony Danych.

    F/ Przetwarzający – firma powierzając przetwarzanie danych osobowych zawiera stosowną umowę, w ramach której wprowadza wymogi przetwarzania oraz określa zasady ich weryfikacji.

    G/ Eksport danych – firma weryfikuje, czy przekazuje dane do państw trzecich, tj. poza UE. W przypadku pojawienia się konieczności eksportu danych firma podejmuje działania, aby odbywało się to w sposób zgodny z prawem.

IV. SPOSÓB OBSŁUGI PRAW JEDNOSTKI I OBOWIAZKÓW INFORMACYJNYCH

  1. Firma dba o czytelność i styl przekazywanych informacji i komunikacji z osobami, których dane przetwarza.
  2. Firma ułatwia osobom korzystanie z ich praw poprzez różne działania, w tym: zamieszczenie w klauzulach  informacji do informacji o prawach osób, o sposobie skorzystania z nich, w tym wymaganiach dotyczących identyfikacji, metod kontaktu z firmą w tym celu itp.
  3. Firma dba o dotrzymywanie prawnych terminów realizacji obowiązków względem osób.
    4. Firma wprowadza adekwatne metody identyfikacji i uwierzytelniania osób dla potrzeb realizacji praw i jednostki i obowiązków informacyjnych.
  4. W celu realizacji praw jednostki firma zapewnia procedury i mechanizmy pozwalające zidentyfikować dane konkretnych osób , zintegrować te dane, wprowadzać do nich zmiany i usuwać w sposób zintegrowany,
  5. Firma dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań osób.

V. MINIMALIZACJA

Firma dba o minimalizację przetwarzania danych pod kątem:
a) Adekwatności danych do celów (ilości danych i zakresu przetwarzania),
b) Dostępu danych,
c) Czasu przechowywania danych.

  1. Minimalizacja zakresu
    – Firma zweryfikowała zakres pozyskiwanych danych, zakres ich przetwarzania i ilość przetwarzanych danych pod kątem adekwatności do celów przetwarzania w ramach wdrożenia RODO.
    – Firma dokonuje okresowego  przeglądu ilości przetwarzania danych i zakresu ich przetwarzania nie rzadziej niż raz na rok.
    – Firma przeprowadza weryfikację zmian co do ilości i zakresu przetwarzania danych w ramach procedur zarządzania zmianą (privacy by design)
  1. Minimalizacja dostępu
    – Firma stosuje ograniczenia dostępu do danych osobowych: prawne (zobowiązania do poufności, zakresy upoważnień), fizyczne (strefy dostępu, zamykanie pomieszczeń) i logiczne (ograniczenia uprawnień do systemów przetwarzających dane osobowe i zasobów sieciowych, w których rezydują dane osobowe).
    – stosuje kontrolę dostępu fizycznego.
    – dokonuje aktualizacji uprawnień dostępowych przy zmianach w składzie personelu i zmianach ról osób oraz zmianach podmiotów przetwarzających.
    – będzie dokonywać okresowego przeglądu ustanowionych użytkowników systemów i aktualizuje ich nie rzadziej niż raz na rok.
  1. Minimalizacja czasu
    Firma wdraża mechanizmy kontroli cyklu życia danych osobowych, w tym weryfikacji dalszej przydatności danych względem terminów.
    Dane, których zakres przydatności ulega ograniczeniu wraz z upływem czasu, są usuwane z systemów firmy, jak też z akt papierowych. Dane takie mogą być archiwizowane oraz znajdować się na kopiach zapasowych systemów i informacji przetwarzanych przez firmę. Procedury archiwizacji i korzystania z archiwów, tworzenia i wykorzystania kopii zapasowych uwzględniają wymagania kontroli nad cyklem życia danych, a w tym wymogi usuwania danych.