Rejestr czynności przetwarzania – humanclub.pl
I Administrator
II Cele przetwarzania danych
III Kategoria osób, których dane są przetwarzane
Firma przetwarza dane klientów oraz pracowników, osób samozatrudnionych oraz innych podmiotów współpracujących, w tym również podmiotów zewnętrznych.
IV Kategorie podmiotów, które posiadają dostęp do danych
Do danych osobowych mają dostęp wszyscy członkowie zespołu Firmy. Dostępy do poszczególnych kategorii osób rozdzielone są poprzez ograniczenie uprawnień technicznych wejścia do wspólnego dysku lub folderu
Zewnętrznie do danych osobowych dostęp mają następujące podmioty – GoogleDrive, Google; Facebook; Get Response, Gmail;
Kancelaria Podatkowa WIOL – Łódź Al. T. Kościuszki 23/25 (księgowość zewnętrzna),Kancelaria adwokacka Michał Jóźwik – Damian Majda – obsługa prawna przedsiębiorców,Łódź, ul. 28 Pułku Strzelców Kaniowskich 11 lok 1;
Powszechny Zakład Ubezpieczeń Spółka Akcyjna, Warszawa, Al. Jana Pawła II 24,eFITNESS, Poznań, ul. Goździkowa 6
Powyższe podmioty jako znajdujące się w obszarze EOG lub na liście Privacy Shield przestrzegają przepisów z zakresu danych osobowych analogicznych do Rozporządzenia tzw. RODO. Z podmiotami zawarte zostały umowy powierzenia, przeważnie w formie aktualizacji ich regulaminów.
V Kategorie danych
W przypadku, gdy uczestnikiem zajęć tanecznych są dzieci, przetwarzane są dane zarówno ich jak i ich rodziców.
VI Przechowywanie danych
Firma zobowiązuje się do niszczenia powstałych tymczasowo dokumentów zawierających dane osobowe (np. lista uczestników konkretnego eventu lub zajęć) oraz dbałości o obieg danych i ich minimalizację zgodnie z poniższymi procedurami.
VII Techniczne i organizacyjne środki bezpieczeństwa
VIII Zasada minimalnych uprawnień
W ramach nadawania uprawnień przetwarzanych danych należy stosować zasadę „minimalnych uprawnień”, to znaczy przydzielać minimalne uprawnienia, które są konieczne do wykonywania pracy na danym stanowisku.
Przykładowo:
pracując na komputerze PC każdy pracownik powinien posiadać tylko takie uprawnienia jakie są wymagane do realizacji swoich obowiązków (a nie na przykład uprawnienia administracyjne).
IX Zasada zabezpieczeń
System IT Firmy powinien być chroniony celem uzyskania skutecznej ochrony danych.
Przykładowo:
w celu ochrony przed wirusami stosuje się równolegle wiele technik: oprogramowanie antywirusowe, systemy typu firewall, odpowiednią konfigurację systemu aktualizacji Windows.
X Dostęp do danych poufnych na stacjach PC
Dostęp do danych poufnych w LAN realizowany jest na przeznaczonych do tego serwerach.
XI Publiczne udostępnianie infrastruktury IT
Infrastruktura udostępniona publicznie musi być szczególnie zabezpieczona.
Przykładowe środki bezpieczeństwa:
XII Kopie zapasowe
XIII Dostęp do systemów IT po zakończeniu współpracy
W przypadku rozwiązania współpracy pracownika z Firmą niezwłocznie dezaktywowane są wszelakie jego dostępy w systemach IT oraz w terminie 1 roku od dnia rozwiązania współpracy dezaktywowane są indywidualnie przyporządkowane do pracownika adresy e-mail.
XIV Zabezpieczenie stacji roboczych
XV Wykorzystanie haseł
XVI Odpowiedzialność pracowników za dane poufne
Pracownicy zobowiązani są do strzeżenie danych poufnych, w tym osobowych.
XVII Odpowiedzialność pracowników za dane dostępowe do systemów
XVII Przykłady ochrony danych dostępowych
nieprzekazywanie dostępów do systemów IT innym osobom (np. przekazywanie swojego hasła dostępowego osobom trzecim),
nieprzechowywanie danych w miejscach publicznych (np. zapisywanie haseł dostępowych w łatwo dostępnych miejscach),
ochrona danych dostępowych przed kradzieżą przez osoby trzecie.
XVIII Systemy IT/serwery
Systemy IT przechowujące dane poufne (np. dane osobowe) muszą być odpowiednio zabezpieczone. W szczególności należy dbać o poufność, integralność i rozliczalność danych przetwarzanych w systemach.
XIX Dokumentacja papierowa
XX Ograniczony dostęp do biura
Dostęp do budynku Firmy jest ograniczony poprzez drzwi wejściowe i alarm
XXI Naruszenie danych osobowych
Pracownik zobowiązany jest do poinformowania o naruszeniu w ciągu 24 godzin. O ile wystąpi taka konieczność zgłoszenie naruszenia danych osobowych następuje w ciągu 48 godzin od daty powzięcia informacji o powyżej wymienionym zdarzeniu, zgodnie z poniżej przedstawionym schematem.
XXII Formularze
Raport z naruszenia ochrony danych osobowych w Firmie powinien zawierać następujące informacje:
XXIII. Prawo do usunięcia/zmiany danych
Jeśli klient chce usunąć swoje dane przetwarzane przez Firmę powinien stawić się w siedzibie firmy osobiście w celu weryfikacji danych – niemożliwa jest weryfikacja np. poprzez PESEL, ponieważ Firma go nie pobiera.
Firma usuwa dane z:
programu fakturowego – zostawiamy z powodu przepisów ustawy o rachunkowości.
XXIV Wgląd do danych osobistych
Jeśli jakikolwiek podmiot, którego dane są przetwarzane przez Firmę chce otrzymać wgląd do swoich danych i je poprawić/zaktualizować, powinien stawić się w siedzibie firmy osobiście w celu weryfikacji danych – niemożliwa jest weryfikacja np. poprzez PESEL, ponieważ Firma go nie pobiera. Następnie po jego weryfikacji, dane klienta zostaną niezwłocznie zmienione/podane.
XXV Procedura przeniesienia danych klienta
W sytuacji gdy klient zgłosi się z prośbą o przeniesienie jego danych do innej firmy, z którą aktualnie nawiązał współpracę, musi się on zgłosić się osobiście z podaniem adresu e-mail na który mają te dane zostać przez Firmę wysłane, a następnie po jego weryfikacji, dane klienta zostaną niezwłocznie zmienione/podane.