RODO

Polityka ochrony danych osobowych w DOTIN Home Sp. z o. o.

Celem polityki ochrony danych osobowych, zwanej dalej Polityką, jest wprowadzenie i utrzymanie wymaganej przez przepisy rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. oraz ustawy o ochronie danych osobowych (Dz. U z 218 r. poz. 1000) właściwej ochrony danych osobowych w związku z przetwarzaniem danych osobowych w DOTIN Home Sp. z o. o.

Niniejsza polityka dotyczy zarówno danych osobowych przetwarzanych w sposób tradycyjny w księgach, aktach, wykazach i innych zbiorach ewidencyjnych, jak i w systemach informatycznych. Dotyczy istniejących oraz przetwarzanych w przyszłości zbiorów danych osobowych. Procedury i zasady określone w niniejszym dokumencie stosuje się do wszystkich osób upoważnionych do przetwarzania danych osobowych, zarówno zatrudnionych, jak i innych, np. stażystów, praktykantów.

Określenia użyte w Polityce ochrony danych osobowych oznaczają:

administrator danych osobowych (ADO) – DOTIN Home Sp. z o. o.,

administrator systemów informatycznych (ASI) – osoba zobowiązana do zarządzania systemami informatycznymi wykorzystywanymi do przetwarzania danych osobowych,

dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,

przetwarzanie danych osobowych – gromadzenie, utrwalanie, przechowywanie, opracowywanie, modyfikowanie, udostępnianie i usuwanie danych osobowych, zwłaszcza w systemach informatycznych,

użytkownik – osoba upoważniona do przetwarzania danych osobowych,

system informatyczny – system (urządzenia, narzędzia, programy), w których przetwarzane są dane osobowe,

zabezpieczenie systemu informatycznego – należy przez to rozumieć wdrożenie stosowanych środków administracyjnych, technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych a także ich utratą,

RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE,

ustawa o ochronie danych osobowych – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U z 218 r. poz. 1000).

Zasady przetwarzania danych osobowych

1.1. Administratorem Państwa danych osobowych jest:

DOTIN Home spółka z ograniczoną odpowiedzialnością (DOTIN Home Sp. z o. o. ), ul. Bema 4/9A, 25-373 Kielce, wpisana do Rejestru Przedsiębiorców prowadzonego przez Sąd Rejonowy w Kielcach, X Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000031411, REGON: 290009520, NIP: 6570308991
Spółka wyznaczyła punkt kontaktowy dla osób, których dane dotyczą, którym jest adres e-mail: biuro@dotinhome.pl. Kontaktować się można również pisemnie pod adresem DOTIN Home sp. z o.o. , ul. Bema 4/9A, 25-373 Kielce.

Administrator przetwarza następujące kategorie danych osobowych: dane identyfikacyjne (np. imię i nazwisko, PESEL, NIP), dane adresowe (np. adres zamieszkania) oraz dane kontaktowe (np. adres e-mail, numer telefonu) oraz ewentualnie inne dane, jeżeli są one niezbędne do celów, w których Administrator przetwarza dane (np. dane związane z płatnościami).

Administrator danych przetwarza dane osobowe:

zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”),
zbiera je w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie przetwarza ich dalej w sposób niezgodny z tymi celami („ograniczenie celu”),
adekwatnie, stosownie oraz w sposób ograniczony do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”),
prawidłowo i w razie potrzeby uaktualnia zebrane dane („prawidłowość”),
przechowuje je w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”),
w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem ora przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (”integralność i poufność”).

1.2. W celu realizacji tych zasad administrator danych przetwarza dane legalnie, na podstawie przesłanek opisanych w art. 6 RODO. Pobiera dane osobowe adekwatnie do celów przetwarzania i przetwarza je przez określony czas. Wobec osób, których dane przetwarza wypełnia obowiązki informacyjne określone w art. 13 RODO lub w art. 14 RODO (gdy informacje pobierane są w sposób inny niż od osoby, której dane dotyczą) oraz wskazuje przysługujące im uprawnienia takie jak prawo do:

dostępu do danych,
sprostowania danych,
usunięcia danych (prawo do bycia zapomnianym),
przenoszenia,
sprzeciwu wobec przetwarzania,
ograniczenia przetwarzania,
wniesienia skargi do organu nadzorczego,
sprzeciwu wobec bycia profilowanym.

W przypadku, gdy przetwarzanie danych odbywa się na podstawie zgody, osoby jej udzielające maja również prawo do cofnięcia zgody na przetwarzanie danych osobowych w dowolnym momencie. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.

Potwierdzenie spełnienia obowiązków informacyjnych przez administratora danych stanowią klauzule informacyjne przekazywane osobom, których dane są przetwarzane. W przypadku pracowników przedstawia się im klauzule do podpisania i zamieszcza w aktach osobowych pracowników. W przypadku klientów i kontrahentów przekazywane im są w momencie zawierania umowy.

1.3. Administrator danych zapewnia ochronę danych w przypadku korzystania z usług podmiotów zewnętrznych w postaci zawierania stosownych umów powierzenia oraz korzystając z usług podmiotów przetwarzających realizujących obowiązki wynikające z RODO. W razie wystąpienia incydentu technicznego lub fizycznego administrator danych zapewnia zdolność do szybkiego przywrócenia dostępności do danych osobowych i dostępu do nich.

Administrator jest uprawniony do udostępnienia danych osobowych podmiotom uczestniczącym w procesie realizacji zawartej umowy, jeśli jest to niezbędne dla jej realizacji. W szczególności chodzi tu o takie podmioty jak:

podmioty świadczące usługi pogotowia gazowego, elektrycznego i technicznego,
podmioty przeprowadzające wymagane przeglądy techniczne (np. kominiarskie),
firmy ubezpieczeniowe prowadzące postępowania odszkodowawcze.

Administrator jest uprawniony do udostępnienia danych osobowych również innym podmiotom, jeśli obowiązek taki wynika z przepisów prawa. Administrator nie przewiduje przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.

Cele przetwarzania danych osobowych

Dane osobowe mogą być przetwarzane przez Administratora w następujących celach:

wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy – na podstawie art. 6 ust. 1 lit. b RODO,
do wypełnienia obowiązków prawnych ciążących na Administratorze umowy – na podstawie art. 6 ust. 1 lit. c RODO,
ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej umowy – na podstawie art. 6 ust. 1 lit. d RODO,
odpowiedzi na zapytania lub korespondencję, co jest prawnie uzasadnionym interesem – na podstawie art. 6 ust. 1 lit. f RODO,
dochodzenia roszczeń lub obrony przed roszczeniami, co jest prawnie uzasadnionym interesem – na podstawie art. 6 ust. 1 lit. f RODO.Źródło danych osobowych

Administrator przetwarza dane osobowe, które pochodzą od osób fizycznych lub podmiotów, z którymi te osoby są związane. Administrator może przetwarzać również dane pochodzące ze źródeł ogólnodostępnych.

Czas przetwarzania danych osobowych

Administrator może przechowywać dane osobowe przez następujące okresy:

w przypadku danych przetwarzanych w celu wykonania umowy lub podjęcia działań na żądanie – przez okres wymagany przepisami prawa oraz okres niezbędny do dochodzenia własnych roszczeń lub obrony przed roszczeniami zgłoszonymi w stosunku do Administratora,
w przypadku danych przetwarzanych w celu odpowiedzi na zapytania lub korespondencję – przez okres 3 lat od momentu przesłania zapytania lub korespondencji,
w przypadku danych przetwarzanych w celu wypełnienia obowiązków prawnych ciążących na Administratorze – przez okres wymagany przepisami prawa,
w przypadku danych przetwarzanych w celu dochodzenia roszczeń lub obrony przed roszczeniami.

Analiza ryzyka

Administrator danych prowadzi analizę ryzyka w celu zabezpieczenia danych osobowych adekwatnie do zidentyfikowanych zagrożeń. Analiza prowadzona jest osobno dla każdego zbioru danych lub kilku zbiorów o podobnym zakresie danych. Analiza prowadzona jest okresowo raz na kwartał oraz w przypadku zaistnienia zagrożenia.

Wykaz zabezpieczeń

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

Procedura postępowania z incydentami

Administrator danych zgodnie z art. 33 RODO stosuje procedurę definiowania i postepowania z incydentami naruszenia danych osobowych, reagowania na nie i wprowadzania działań naprawczych. Każda osoba upoważniona do przetwarzania danych osobowych ma obowiązek poinformowania o możliwości wystąpienia incydentu lub o jego wystąpieniu. Taka informacja powinna być przekazana bezpośredniemu przełożonemu.

Powiadomienia wymagają:

ślady na drzwiach, oknach i szafach wskazujące na próbę włamania,
niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,
otwarte drzwi do pomieszczeń, szaf, gdzie przechowywane są dane osobowe,
obecność osób postronnych w jednostce,
niewłaściwe zabezpieczenie sprzętu elektronicznego, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych, udostępnianie haseł osobom postronnym,
nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka/ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek, przyklejanie kartek z hasłami w szufladach),
złe ustawienie monitorów pozwalające na wgląd osób postronnych w dane osobowe,
dokumentacja zawierająca dane osobowe niszczona bez użycia niszczarki,
wynoszenie danych osobowych w wersji papierowej i elektronicznej na zewnątrz jednostki bez upoważnienia administratora danych,
kradzież, zagubienie komputerów lub CD, twardych dysków, pen-drive z danymi osobowymi,
awarie serwera, komputerów, twardych dysków, oprogramowania,
udostępnienie danych osobowych osobom nieupoważnionym,
telefoniczne próby wyłudzenia danych osobowych,
maile nakłaniające do ujawnienia identyfikatora lub hasła,
zainfekowanie komputerów wirusem lub inne błędne zachowanie komputerów,
zdarzenia losowe (pożar obiektu, zalanie wodą, utrata zasilania, utrata łączności),
włamanie do systemu informatycznego lub pomieszczeń,
kradzież danych/sprzętu,
świadome zniszczenie dokumentów.

Należy również powiadomić administratora systemów informatycznych. Ponadto należy wprowadzić działania naprawcze i zaradcze. W przypadku gdy incydent skutkuje naruszeniem praw lub wolności osób fizycznych, administrator danych zgłasza je w ciągu 72 godzin Prezesowi Urzędu Ochrony Danych Osobowych oraz gdy istnieje taki wymóg, powiadamia o tym fakcie osoby, których incydent dotyczył.

Regulamin ochrony danych osobowych i szkolenia wewnętrzne

Administrator danych wprowadza w DOTIN Home Sp. z o. o. Regulamin ochrony danych osobowych w celu zapewnienia osobom przetwarzającym dane osobowe pełny zakres wiedzy na temat zasad przetwarzania danych osobowych w jednostce oraz obciążających je obowiązków z tym związanych. Osoby zapoznane z Regulaminem zobowiązane są potwierdzić fakt zapoznania się z tym dokumentem oraz zdeklarować stosowanie się do jego zasad. Każda osoba przed zatrudnieniem powinna zostać przeszkolona z przepisów dotyczących ochrony danych osobowych zawartych w niniejszej Polityce i zapoznana z Regulaminem, co potwierdza pisemnie.

Polityka ochrony danych osobowych w DOTIN Home Sp. z o. o.

Określenia użyte w Polityce ochrony danych osobowych oznaczają:

administrator danych osobowych (ADO) – DOTIN Home Sp. z o. o.,

administrator systemów informatycznych (ASI) – osoba zobowiązana do zarządzania systemami informatycznymi wykorzystywanymi do przetwarzania danych osobowych,

dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,

przetwarzanie danych osobowych – gromadzenie, utrwalanie, przechowywanie, opracowywanie, modyfikowanie, udostępnianie i usuwanie danych osobowych, zwłaszcza w systemach informatycznych,

użytkownik – osoba upoważniona do przetwarzania danych osobowych,

system informatyczny – system (urządzenia, narzędzia, programy), w których przetwarzane są dane osobowe,

zabezpieczenie systemu informatycznego – należy przez to rozumieć wdrożenie stosowanych środków administracyjnych, technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych a także ich utratą,

RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE,

ustawa o ochronie danych osobowych – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U z 218 r. poz. 1000).

Zasady przetwarzania danych osobowych

1.1.

Administratorem Państwa danych osobowych jest:

Spółka wyznaczyła punkt kontaktowy dla osób, których dane dotyczą, którym jest adres e-mail: biuro@dotinhome.pl. Kontaktować się można również pisemnie pod adresem DOTIN Home sp. z o.o. , ul. Bema 4/9A, 25-373 Kielce.

Administrator danych przetwarza dane osobowe:

zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”),

zbiera je w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie przetwarza ich dalej w sposób niezgodny z tymi celami („ograniczenie celu”),

adekwatnie, stosownie oraz w sposób ograniczony do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”),

prawidłowo i w razie potrzeby uaktualnia zebrane dane („prawidłowość”),

przechowuje je w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”),

1.2.

dostępu do danych,

sprostowania danych,

usunięcia danych (prawo do bycia zapomnianym),

przenoszenia,

sprzeciwu wobec przetwarzania,

ograniczenia przetwarzania,

wniesienia skargi do organu nadzorczego,

sprzeciwu wobec bycia profilowanym.

1.3.

Administrator jest uprawniony do udostępnienia danych osobowych podmiotom uczestniczącym w procesie realizacji zawartej umowy, jeśli jest to niezbędne dla jej realizacji. W szczególności chodzi tu o takie podmioty jak:

podmioty świadczące usługi pogotowia gazowego, elektrycznego i technicznego,

podmioty przeprowadzające wymagane przeglądy techniczne (np. kominiarskie),

firmy ubezpieczeniowe prowadzące postępowania odszkodowawcze.

Administrator jest uprawniony do udostępnienia danych osobowych również innym podmiotom, jeśli obowiązek taki wynika z przepisów prawa. Administrator nie przewiduje przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.

Cele przetwarzania danych osobowych

Dane osobowe mogą być przetwarzane przez Administratora w następujących celach:

wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy – na podstawie art. 6 ust. 1 lit. b RODO,

do wypełnienia obowiązków prawnych ciążących na Administratorze umowy – na podstawie art. 6 ust. 1 lit. c RODO,

ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej umowy – na podstawie art. 6 ust. 1 lit. d RODO,

odpowiedzi na zapytania lub korespondencję, co jest prawnie uzasadnionym interesem – na podstawie art. 6 ust. 1 lit. f RODO,

dochodzenia roszczeń lub obrony przed roszczeniami, co jest prawnie uzasadnionym interesem – na podstawie art. 6 ust. 1 lit. f RODO.Źródło danych osobowych

Administrator przetwarza dane osobowe, które pochodzą od osób fizycznych lub podmiotów, z którymi te osoby są związane. Administrator może przetwarzać również dane pochodzące ze źródeł ogólnodostępnych.

Czas przetwarzania danych osobowych

Administrator może przechowywać dane osobowe przez następujące okresy:

w przypadku danych przetwarzanych w celu wykonania umowy lub podjęcia działań na żądanie – przez okres wymagany przepisami prawa oraz okres niezbędny do dochodzenia własnych roszczeń lub obrony przed roszczeniami zgłoszonymi w stosunku do Administratora,

w przypadku danych przetwarzanych w celu odpowiedzi na zapytania lub korespondencję – przez okres 3 lat od momentu przesłania zapytania lub korespondencji,

w przypadku danych przetwarzanych w celu wypełnienia obowiązków prawnych ciążących na Administratorze – przez okres wymagany przepisami prawa,

w przypadku danych przetwarzanych w celu dochodzenia roszczeń lub obrony przed roszczeniami.

Analiza ryzyka

Wykaz zabezpieczeń

Procedura postępowania z incydentami

Powiadomienia wymagają:

ślady na drzwiach, oknach i szafach wskazujące na próbę włamania,

niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,

otwarte drzwi do pomieszczeń, szaf, gdzie przechowywane są dane osobowe,

obecność osób postronnych w jednostce,

niewłaściwe zabezpieczenie sprzętu elektronicznego, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych, udostępnianie haseł osobom postronnym,

nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka/ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek, przyklejanie kartek z hasłami w szufladach),

złe ustawienie monitorów pozwalające na wgląd osób postronnych w dane osobowe,

dokumentacja zawierająca dane osobowe niszczona bez użycia niszczarki,

wynoszenie danych osobowych w wersji papierowej i elektronicznej na zewnątrz jednostki bez upoważnienia administratora danych,

kradzież, zagubienie komputerów lub CD, twardych dysków, pen-drive z danymi osobowymi,

awarie serwera, komputerów, twardych dysków, oprogramowania,

udostępnienie danych osobowych osobom nieupoważnionym,

telefoniczne próby wyłudzenia danych osobowych,

maile nakłaniające do ujawnienia identyfikatora lub hasła,

zainfekowanie komputerów wirusem lub inne błędne zachowanie komputerów,

zdarzenia losowe (pożar obiektu, zalanie wodą, utrata zasilania, utrata łączności),

włamanie do systemu informatycznego lub pomieszczeń,

kradzież danych/sprzętu,

świadome zniszczenie dokumentów.

Regulamin ochrony danych osobowych i szkolenia wewnętrzne