Polityka prywatności

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH

ZAMIAR

Celem niniejszej polityki jest ustalenie niezbędnych środków i obowiązków pracowników Numeno w celu wypełnienia obowiązków dotyczących zagwarantowania i ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do prywatności, rodziny i życia osobistego, w związku z przetwarzaniem danych osobowych.

ZAKRES

Niniejsza polityka ma zastosowanie do wszystkich Numeno pracowników odpowiedzialnych za przetwarzanie danych osobowych i/lub, w stosownych przypadkach, osób upoważnionych.

TERMINY I DEFINICJE

  • ANSPDCP – Krajowy Urząd Nadzoru Przetwarzania Danych Osobowych.

  • Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio na podstawie numeru identyfikacyjnego albo jednego lub kilku szczególnych czynników określających jej tożsamość fizyczną, fizjologiczną, psychiczną, ekonomiczną, kulturową lub społeczną.

  • Dane anonimowe – dane, których ze względu na pochodzenie lub szczególny sposób przetwarzania nie można powiązać ze zidentyfikowaną lub możliwą do zidentyfikowania osobą.

  • Kontroler (Operator) – każda osoba fizyczna lub prawna, publiczna lub prywatna, w tym organy publiczne, instytucje oraz ich struktury terytorialne, która ustala cel i sposób przetwarzania danych osobowych.

  • Inspektor Bezpieczeństwa Danych – osoba odpowiedzialna za prawidłowe funkcjonowanie systemu ochrony informacji, w którym przechowywane są dane osobowe, a także za opracowanie, wdrożenie i monitorowanie przestrzegania polityki bezpieczeństwa danych osobowych.

  • Przetwarzanie danych osobowych – jakakolwiek operacja lub zestaw operacji wykonywanych na danych osobowych, niezależnie od tego, czy w sposób zautomatyzowany, czy ręczny, taka jak zbieranie, rejestrowanie, organizowanie, przechowywanie, adaptowanie, modyfikowanie, ekstrakcja, konsultacja, wykorzystywanie, ujawnianie osobom trzecim poprzez transmisję, rozpowszechnianie lub w inny sposób, łączenie, blokowanie, usuwanie lub niszczenie.

  • Składowanie – przechowywanie danych osobowych na dowolnym nośniku.

  • Użytkownik – każda osoba działająca z upoważnienia administratora, osoby upoważnionej lub przedstawiciela, posiadająca uznane prawo dostępu do baz danych osobowych.

DOKUMENTY REFERENCYJNE

  • Ustawa nr 677/2001 o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych ze zmianami.

  • Rozporządzenie Rzecznika Praw Obywatelskich nr 52/18.04.2002 w sprawie minimalnych wymagań bezpieczeństwa w zakresie przetwarzania danych osobowych.

  • Decyzja ANSPDCP nr 90/18.07.2006 dotycząca przypadków, w których nie jest wymagane powiadomienie o przetwarzaniu danych osobowych.

  • Decyzja ANSPDCP nr 100/23.11.2007 dotycząca przypadków, w których nie jest wymagane powiadomienie o przetwarzaniu danych osobowych.

  • Decyzja ANSPDCP nr 132/20.12.2011 w sprawie warunków przetwarzania numerów identyfikacyjnych osób fizycznych i innych danych osobowych ogólnego przeznaczenia.


ZASADY OGÓLNE

Numeno Podjęła odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmianą, ujawnieniem lub nieuprawnionym dostępem. Wyznaczono osoby odpowiedzialne za przestrzeganie przepisów ustawy nr 677/2001.

Wdrożono środki mające na celu zapewnienie bezpiecznego przechowywania danych osobowych, gwarantując odpowiedni poziom ochrony zgodnie z obowiązującym prawem.Działania organizacyjne i techniczne koncentrują się na:

  • Identyfikacja i uwierzytelnianie użytkownika

  • Typ dostępu i uprawnienia

  • Procedury gromadzenia danych

  • Komputery i terminale dostępowe

  • Pliki dziennika dostępu

  • Szkolenie personelu


PROCEDURY SZCZEGÓŁOWE

Identyfikacja i uwierzytelnianie użytkownika

  • Dostęp do systemów danych osobowych wymaga uwierzytelnienia za pomocą unikalnych poświadczeń uzyskanych podczas rejestracji i zarządzania tożsamością.

  • Każdy użytkownik ma unikalny identyfikator (nazwę użytkownika), którego nie można udostępniać ani przypisywać innym osobom.

  • Nieaktywne konta są wyłączane i usuwane po upływie określonego okresu Numeno.

  • Każde konto wymaga uwierzytelnienia za pomocą hasła. Hasła są bezpiecznie przechowywane, okresowo aktualizowane i maskowane podczas wprowadzania.

  • Dostęp jest automatycznie blokowany po określonej liczbie nieudanych prób uwierzytelnienia.

  • Użytkownicy są zobowiązani do zachowania poufności swoich danych uwierzytelniających i ponoszą odpowiedzialność wobec administratora za ich wykorzystanie.

  • Upoważniony personel zarządza zawieszeniem lub unieważnieniem konta w przypadku jego zamknięcia, zmiany przydziału, niewłaściwego wykorzystania lub dłuższej nieobecności.

Typ dostępu

Użytkownicy mogą uzyskiwać dostęp wyłącznie do danych osobowych niezbędnych do wykonywania obowiązków służbowych. Prawa dostępu są określane na podstawie funkcjonalności (administracja, wprowadzanie danych, przetwarzanie, przechowywanie danych itp.) oraz dozwolonych czynności (odczyt, zapis, usuwanie), w tym procedur egzekwowania tych ograniczeń.

Zbieranie danych

  • Tylko upoważniony personel może zbierać i wprowadzać dane osobowe Numeno systemy.

  • Wszystkie modyfikacje danych są rejestrowane wraz z datą, godziną i identyfikatorem użytkownika. Usunięte lub zmodyfikowane dane są przechowywane do celów audytu.

Komputery i terminale dostępowe

  • Terminale zlokalizowane są w pomieszczeniach o ograniczonym dostępie lub w zamykanych na klucz obszarach.

  • Sesje bezczynności są automatycznie wylogowywane po ustalonym czasie.

  • Dostęp do serwerów przechowujących dane osobowe jest możliwy wyłącznie na podstawie kontrolowanych uprawnień.

  • Urządzenia mobilne przechowujące dane osobowe nie mogą opuszczać terenu obiektu bez uprzedniego uzyskania zgody.

Rejestry dostępu

  • Każdy dostęp do danych osobowych jest rejestrowany. Rejestrowane są również próby nieautoryzowanego dostępu.

  • Rejestry są przechowywane przez co najmniej 2 lata i mogą stanowić dowód w dochodzeniach.

  • Logi pozwalają na identyfikację użytkowników, którzy uzyskali dostęp do danych bez odpowiedniego uzasadnienia.

Szkolenie personelu

  • Pracownicy zostali poinformowani o ustawie nr 677/2001, minimalnych wymogach bezpieczeństwa i ryzykach związanych z przetwarzaniem danych osobowych.

  • Użytkownicy są szkoleni w zakresie zachowania poufności i otrzymują przypomnienia w postaci powiadomień systemowych.

  • Użytkownicy muszą się wylogować przy opuszczaniu stanowisk pracy.

Bezpieczeństwo komputerów i danych

Środki obejmują:

  1. Zakaz używania nieautoryzowanego oprogramowania.

  2. Świadomość użytkowników na temat zagrożeń związanych ze złośliwym oprogramowaniem i wirusami.

  3. Instalacja oprogramowania antywirusowego, antymalware i systemów bezpieczeństwa.

  4. Ograniczenie kopiowania/drukowania danych osobowych poza normalnym obiegiem biznesowym.

Drukowanie i przetwarzanie ręczne

  • Tylko upoważnieni użytkownicy mogą drukować dane osobowe.

  • Dokumenty zawierające dane osobowe muszą być przechowywane w zamykanych szafkach lub zwrócone upoważnionemu personelowi niezwłocznie po użyciu.


PRZETWARZANIE IDENTYFIKOWALNYCH DANYCH OSOBOWYCH

  • Przetwarzanie jest dozwolone wyłącznie po uzyskaniu wyraźnej zgody, na podstawie przepisów prawnych lub po uzyskaniu zgody ANSPDCP i przy zapewnieniu odpowiednich zabezpieczeń.

  • Zasady: Dane muszą być istotne, ograniczone, dokładne i przetwarzane wyłącznie w określonych celach. Przechowywanie jest ograniczone do tego, co jest absolutnie niezbędne.


PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ

Prawo do informacji

  • Osoby fizyczne muszą zostać poinformowane o celu przetwarzania, przysługujących im prawach (dostęp, korekta, sprzeciw) oraz innych informacjach wymaganych przez organy nadzorcze.

  • Zgoda jest uzyskiwana przed zbieraniem danych osobowych.

  • Numer rejestracyjny powiadomienia należy podawać we wszystkich dokumentach służących gromadzeniu, przechowywaniu lub ujawnianiu danych osobowych.

Prawo dostępu

  • Osoby fizyczne mogą raz w roku bezpłatnie zażądać potwierdzenia, czy ich dane są przetwarzane.

Prawo do sprostowania lub usunięcia

  • Osoby fizyczne mogą żądać poprawienia, aktualizacji, zablokowania lub usunięcia danych przetwarzanych niezgodnie z prawem.

  • Przekształcenie w dane anonimowe jest dozwolone w przypadku niezgodnego z przepisami przetwarzania.

Prawo do sprzeciwu

  • Osoby fizyczne mogą w dowolnym momencie sprzeciwić się przetwarzaniu swoich danych osobowych z uzasadnionych przyczyn. Przetwarzanie musi zostać wstrzymane, jeśli sprzeciw jest uzasadniony, chyba że przepisy prawa stanowią inaczej.

Prawo do dochodzenia roszczeń

  • Podmioty danych mogą odwołać się do organów nadzorczych lub sądów w celu dochodzenia swoich praw i ubiegania się o odszkodowanie za szkody poniesione w wyniku niezgodnego z prawem przetwarzania danych.


UJAWNIANIE DANYCH OSOBOWYCH

  • Dane mogą być udostępniane upoważnionemu personelowi lub podmiotom publicznym/prywatnym:

    1. Wyraźna, świadoma zgoda osoby, której dane dotyczą; lub

    2. Autoryzacja prawna.

  • Przelewy online muszą gwarantować bezpieczeństwo systemu.

  • Podmioty danych, które skorzystały z prawa sprzeciwu, nie mogą poddawać swoich danych przetwarzaniu.


POSTANOWIENIA KOŃCOWE

Aby uzyskać dodatkowe informacje, osoby zainteresowane mogą się skontaktować z: office@noumeno.com

INFORMACJE O FIRMIE

Numeno S.R.L.
Numer CUI: 36407456
Rejestr handlowy: J35/2277/2016
Strona internetowa: www.noumeno.com
E-mail: office@noumeno.com