Niniejszy dokument wyznacza reguły i zasady ochrony danych osobowych.

. Wprowadzenie

1.1. Informacja wstępna
Niniejsza „Polityka bezpieczeństwa”, zwana dalej Polityką, została sporządzona w celu wykazania, że dane osobowe są przetwarzane i zabezpieczone zgodnie z wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczenia danych w firmie MARDIM BUDOWNICTWO SP. Z O.O., w tym z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO).

1.2. Podstawowe pojęcia
Administrator – w tym dokumencie rozumiany jako MARDIM BUDOWNICTWO SP. Z O.O.;
Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym (Użytkownikowi) w razie przetwarzania danych osobowych w takim systemie;
Podmiot powierzający – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
Przetwarzanie danych – operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
PUODO – Prezes Urzędu Ochrony Danych Osobowych lub jego następca prawny będący organem nadzorczym w rozumieniu RODO
Odbiorca – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;
System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji narzędzi programowych zastosowanych w celu przetwarzania danych;
Zbiór danych – każdy uporządkowany zestaw danych o charakterze osobowym, dostępny według określonych kryteriów.
Zgoda – dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

2. Postanowienia ogólne

Polityka dotyczy wszystkich danych osobowych przetwarzanych przez Administratora, niezależnie od formy ich przetwarzania – zautomatyzowany (np. przy wykorzystaniu systemu informatycznego) i niezautomatyzowany (np. zbiory papierowe) oraz od tego, czy dane są lub mogą być przetwarzane w zbiorach danych. Obejmuje standard postępowania względem podmiotów, z którymi Administrator współpracuje.
Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w siedzibie Administratora i wraz z dokumentami z nią powiązanymi powinna być systematycznie aktualizowana.
Polityka jest udostępniana do wglądu osobom uprawnionym do przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma zostać nadane upoważnienie do przetwarzania danych osobowych, celem zapoznania się z jej treścią.
Dla skutecznej realizacji Polityki Administrator danych zapewnia:
odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne, prowadząc rejestr czynności przetwarzania
możliwość efektywnego wykonania każdego typu żądania dotyczącego ochrony danych osobowych
monitorowanie zastosowanych środków ochrony.
Administrator danych zapewnia, że czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem danych osobowych są zgodne z niniejszą Polityką oraz odpowiednimi przepisami prawa.

Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

Administrator danych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości przetwarzanych danych.
Zastosowane środki ochrony (techniczne i organizacyjne) powinny być adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych. Środki obejmują:
ograniczenie dostępu do pomieszczeń, w których przetwarzane są dane osobowe, jedynie do osób uprawnionych. Inne osoby mogą przebywać w pomieszczeniach wykorzystywanych do przetwarzania danych jedynie w towarzystwie osoby uprawnionej;
zamykanie pomieszczeń tworzących obszar przetwarzania danych określony w pkt 5 na czas nieobecności osoby uprawnionej, w sposób uniemożliwiający dostęp do nich osób trzecich;
wykorzystywanie zamykanych szafek i sejfów do zabezpieczenia dokumentów;
wykorzystywanie niszczarki do skutecznego usuwania dokumentów zawierających dane osobowe;
ochronę sieci lokalnej przed działaniami inicjowanymi z zewnątrz przy użyciu sieci firewall;
wykonywanie kopii awaryjnych danych;
ochronę sprzętu komputerowego wykorzystywanego u Administratora danych przed złośliwym oprogramowaniem;
zabezpieczenie dostępu do nośników danych przy pomocy haseł dostępu;
wykorzystywanie szyfrowania danych przy ich transmisji.

4. Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem danych osobowych

Wszystkie dane osobowe są przetwarzane przez Administratora z poszanowaniem zasad przetwarzania przewidzianych przez przepisy prawa:
w każdym wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstaw dla przetwarzania danych;
dane są przetwarzane rzetelnie i w sposób przejrzysty;
dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu przetwarzania danych;
dane osobowe są prawidłowe i w razie potrzeby uaktualniane;
czas przechowywania danych jest ograniczony do okresu ich przydatności do celów, do których zostały zebrane, a po tym okresie są one anonimizowane bądź usuwane;
wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie z treścią art. 13 i 14 RODO;
dane są zabezpieczone przed naruszeniami zasad ich ochrony.
Przed rozpoczęciem przetwarzania danych osobowych w oparciu o zgodę Administrator weryfikuje, czy zgoda jest najbardziej odpowiednią podstawą prawną przetwarzania danych osobowych. Zgoda ma charakter odrębnego oświadczenia woli, spełnia wymogi dobrowolności, konkretności, świadomości i jednoznaczności.
Wyrażenie zgody na przetwarzanie danych osobowych jest odnotowane w sposób zautomatyzowany. O sposobie wycofania zgody należy zakomunikować zanim zgoda zostanie pozyskana. Po wycofaniu zgody Administrator weryfikuje możliwość i zakres dalszego przetwarzania danych. Jeżeli zgoda została wycofana i brak innej podstawy przetwarzania danych, to dane osobowe należy co do zasady usunąć, z tym, że możliwe będzie pozostawienie danych osobowych w zakresie niezbędnym do obrony przed roszczeniami.
Administrator po otrzymaniu żądania na podstawie art. 15–22 RODO:
a) weryfikuje rodzaj żądania, w miarę możliwości prosząc osobę, której dane dotyczą, o podanie dodatkowych informacji,
b) sprawdza, czy żądanie jest możliwe do zrealizowania oraz czy nie zachodzą przesłanki wyłączające możliwość realizacji żądania,
c) weryfikuje czas oraz środki potrzebne na realizację żądania.
Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych osobowych uważa się w szczególności:
naruszenie bezpieczeństwa systemu informatycznego, w którym przetwarzane są dane osobowe, w razie ich przetwarzania w takim systemie;
udostępnianie lub umożliwianie udostępniania danych osobom lub podmiotom do tego nieupoważnionym;
zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia ochrony danych osobowych;
przetwarzanie danych osobowych niezgodnie z założonym zakresem i celem ich zbierania;
spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnionego kopiowania danych osobowych;
naruszenie praw osób, których dane są przetwarzane.

5. Monitorowanie zastosowanych środków ochrony

Dane osobowe przetwarzane przez Administratora gromadzone są w zbiorach danych.
Administrator danych nie podejmuje czynności przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator danych wykona czynności określone w art. 35 i nast. RODO.
W przypadku planowania nowych czynności przetwarzania Administrator dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony danych w fazie ich projektowania.
Administrator danych prowadzi rejestr czynności przetwarzania, który jest narzędziem rozliczania zgodności z przepisami o ochronie danych osobowych
Obszar przetwarzania danych osobowych

Obszar, w którym przetwarzane są dane osobowe na terenie Administratora obejmuje pomieszczenie biurowe zlokalizowane Droginia 271a, 32-400 Myślenice.
Dodatkowo obszar, w którym przetwarzane są dane osobowe, stanowią wszystkie komputery przenośne oraz inne nośniki danych znajdujące się poza obszarem wskazanym powyżej.

Naruszenia zasad ochrony danych osobowych

W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator danych dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt naruszenia zasad ochrony danych do PUODO bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Zgłoszenie naruszenia dokonuje za pośrednictwem formularza internetowego dostępnego pod adresem: https://uodo.gov.pl/pl/134/233
Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o incydencie także osobę, której dane dotyczą.

Powierzanie i udostępnianie danych osobowych

Administrator danych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, według przygotowanego wzoru, zgodnego z wymogami wskazanymi dla takich umów w art. 28 RODO.
Przed zawarciem umowy powierzenia Administrator danych w miarę możliwości dokonuje weryfikacji kontrahenta poprzez uzyskanie informacji o dotychczasowych praktykach procesora dotyczących zabezpieczenia danych osobowych.
Zarówno w przypadku powierzenia, jak i udostępnienia danych, Administrator wskazuje w polityce prywatności lub właściwej klauzuli informacyjnej informacje, komu dane będą ujawnione tj. o odbiorcy lub kategorii odbiorców (zgodnie z art. 13-14 RODO).

Przekazywanie danych do państwa trzeciego

Administrator danych nie będzie przekazywał danych osobowych do państwa trzeciego, poza sytuacjami, w których następuje to na wniosek osoby, której dane dotyczą.
Postanowienia końcowe

Integralną część niniejszej Polityki bezpieczeństwa stanowi rejestr czynności przetwarzania danych osobowych.

Klauzula do zbierania wizytówek (na eventach i w innych miejscach)

Poprzez wrzucenie swojej wizytówki do pudełka przyjmujesz do wiadomości, że:

Administratorem danych osobowych jest MARDIM BUDOWNICTWO SP. Z O.O. (Droginia 271a, 32-400 Myślenice).
Dane osobowe będą przetwarzane w celu nawiązania kontaktu drogą mailową lub telefoniczną z wykorzystaniem danych kontaktowych zawartych na wizytówce oraz prowadzenia dalszej korespondencji (art. 6 ust. 1 lit. f RODO). Jeżeli korespondencja będzie dotyczyła procesu zawierania lub wykonania umowy przez Administratora, dane osobowe będą przetwarzane także w tym celu (art. 6 ust. 1 lit. b RODO). Administrator może przetwarzać dane osobowe pozyskane w związku z prowadzoną korespondencją mailową także w celu dochodzenia lub obrony przed roszczeniami (art. 6 ust. 1 lit. f RODO) czy w celu realizacji ciążących na nim obowiązków prawnych (art. 6 ust. 1 lit. c RODO).
Podanie danych jest dobrowolne, ale niezbędne do realizacji w/w celów.
Dane nie będą nikomu udostępniane, chyba, że będzie to niezbędne do wykonania umowy, której stroną jest Administrator danych lub wynikać to będzie z przepisów prawa. Administrator może powierzyć Twoje dane np. dostawcom usług informatycznych czy księgowych.
Przysługuje Ci prawo dostępu do danych, w tym uzyskania kopii danych, prawo do przenoszenia danych, prawo do sprostowania i usunięcia danych, ograniczenia przetwarzania oraz prawo do zgłoszenia sprzeciwu (gdy przetwarzanie następuje na podstawie art. 6 ust. 1 lit. f RODO). Przysługuje Ci prawo wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych).
Dane osobowe zostaną usunięte lub zanonimizowane maksymalnie po upływie potencjalnych roszczeń związanych z prowadzoną korespondencją, w szczególności wynikających z procesu zawierania i realizacji umowy zawartej przez Administratora czy zobowiązań publicznoprawnych, lub wcześniej jeżeli zgłosisz skuteczny sprzeciw.
We wszelkich kwestiach dotyczących ochrony danych można się kontaktować pisząc na adres siedziby Administratora lub na adres mailowy: biuro@mardim.pl

Klauzula zgody na informacje handlowe drogą elektroniczną
Jeżeli chcesz otrzymywać od MARDIM BUDOWNICTWO SP. Z O.O. informacje handlowe drogą elektroniczną, wypełnij puste pola oraz zaznacz i podpisz wskazaną poniżej zgodę:
Adres e-mail_________________________
Imię i nazwisko_______________________
[…] Wyrażam zgodę, aby MARDIM BUDOWNICTWO SP. Z O.O. (Droginia 271a, 32-400 Myślenice) wykorzystał podany przeze mnie adres e-mail do systematycznego przesyłania informacji handlowych związanych z produktami i usługami dewelopera.
[…] Wysyłka wyżej wymienionych maili łączy się z przetwarzaniem danych osobowych (adresu mailowego, imienia i nazwiska). Zaznaczenie wyżej wymienionej zgody oznaczać będzie także, że chcesz by Twoje dane były przetwarzane w wyżej wskazanym celu.

____________________________
(podpis)

Administratorem danych osobowych jest MARDIM BUDOWNICTWO SP. Z O.O. (Droginia 271a, 32-400 Myślenice).
Dane osobowe będą przetwarzane w celu systematycznego przesyłania/przekazywania informacji handlowych związanych z produktami i usługami Administratora danych na podany przez Ciebie adres e-mail (art. 6 ust. 1 lit. a RODO).
Wyrażenie zgody jest dobrowolne, ale niezbędne do realizacji w/w celów. Zgoda może być w każdej chwili wycofana. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.
Dane nie będą nikomu udostępniane, chyba, że będzie to niezbędne do wykonania umowy, której stroną jest Administrator danych lub wynikać to będzie z przepisów prawa. Administrator może powierzyć Państwa dane np. dostawcom usług informatycznych czy księgowych.
Przysługuje Państwu prawo dostępu do danych, w tym uzyskania kopii danych, prawo do przenoszenia danych, prawo do sprostowania i usunięcia danych, ograniczenia przetwarzania oraz prawo do zgłoszenia sprzeciwu (gdy przetwarzanie następuje na podstawie art. 6 ust. 1 lit. f RODO). Przysługuje Państwo prawo wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych).
Dane osobowe zostaną usunięte lub zanonimizowane po wycofaniu zgody na wysyłanie informacji handlowych drogą elektroniczną, z wyłączeniem zakresu niezbędnego do udokumentowania prawidłowego wykonania obowiązków związanych z przetwarzaniem danych na potrzeby obrony przed roszczeniami (art. 6 ust. lit. f RODO).
W celu wykonania wyżej wymienionych praw, należy skierować żądanie poprzez wiadomość e-mail: biuro@mardim.pl  lub przesłanie informacji na adres siedziby Administratora.