Polityka Bezpieczeństwa Informacji
POLITYKA BEZPIECZEŃSTWA INFORMACJI
GRUPA TRAVELIGO SP. Z O.O.
WARSZAWA, 11.05.2018 r.
Niniejsza Polityka Bezpieczeństwa Informacji, (zwana dalej „Polityką”), została sporządzona w celu zapewnienia zgodności ochrony danych osobowych z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO).
I. Postanowienia ogólne
- Polityka dotyczy wszystkich danych osobowych przetwarzanych w Grupa Traveligo sp. z o.o., będącej właścicielem serwisu www.traveligo.pl, określając warunki, cel wykorzystywania danych pozyskanych od Użytkowników i Klientów portalu www.traveligo.pl, niezależnie od formy ich przetwarzania.
- Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w siedzibie Administratora – Grupa Traveligo sp. z o.o. (oznaczonej dalej jako „Administrator”).
II. Dane osobowe przetwarzane u administratora danych
- Dane osobowe przetwarzane przez Administratora gromadzone są w zbiorach danych.
- Administratorem bazy danych jest Grupa Traveligo sp. z o.o., z siedzibą w Warszawie, 04-031, ul. Wzorcowa 25, e-mail: info@traveligo.pl
- Administrator nie podejmuje czynności przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator wykona czynności określone w art. 35 i nast. RODO.
- Administrator danych prowadzi rejestr czynności przetwarzania.
III. Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem danych osobowych
1. Wszystkie dane osobowe są przetwarzane z poszanowaniem zasad przetwarzania przewidzianych przez przepisy prawa:
a) przetwarzanie danych ma miejsce wyłącznie w przypadku zaistnienia przewidzianych przepisami prawa podstaw,
b) dane są przetwarzane są rzetelnie i w sposób przejrzysty,
c) dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,
d) dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu przetwarzania danych,
e) dane osobowe są prawidłowe i w razie potrzeby uaktualniane,
f) czas przechowywania danych jest ograniczony do okresu ich przydatności do celów, do których zostały zebrane, a po tym okresie są one anonimizowane bądź usuwane,
g) wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie z treścią art. 13 i 14 RODO.
h) dane są zabezpieczone przed naruszeniami zasad ich ochrony.
3. Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych osobowych uważa się w szczególności:
a) naruszenie bezpieczeństwa systemów informatycznych, w których przetwarzane są dane osobowe,
b) zaniechanie, dopełnienia obowiązku zapewnienia danym osobowym ochrony,
c) udostępnianie lub umożliwienie udostępniania danych osobom lub podmiotom do tego nieupoważnionym,
d) niedopełnienie obowiązku zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia,
e) spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie Danych osobowych,
f) przetwarzanie danych osobowych niezgodnie z założonym zakresem i celem ich zbierania.
4. W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego powiadomienia Administratora.
IV. Prawa i obowiązki informacyjne wobec osób przekazujących dane osobowe, uprawnienia Użytkownika.
1. W przypadku zbierania danych osobowych Administrator podaje swoją tożsamość i dane kontaktowe, cele przetwarzania danych oraz podstawę prawną przetwarzania, jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f RODO – prawnie uzasadnione interesy realizowane przez Administratora lub osobę trzecia, informację o odbiorcach danych osobowych lub kategoriach odbiorców jeżeli istnieją której dane dotyczą, oraz gdy ma to zastosowanie informację o zamiarze przekazania danych osobowych do państwa trzeciego.
2.Podczas pozyskiwania danych Administrator podaje informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, okres przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe kryteria ustalania tego okresu oraz informuje o:
a) prawie dostępu do danych,
b) prawie do sprostowania i usuwania danych,
c) prawie do ograniczenia przetwarzania,
d) prawie do wniesienia sprzeciwu wobec przetwarzania,
e) prawie do przenoszenia danych,
f) prawie do cofnięcia zgody w dowolnym momencie, jeżeli przetwarzanie odbywa się na podstawie zgody,
g) prawie do wniesienia skargi,
h) czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.
3. Realizacja uprawnień wskazanych w ust. 2 lit. a)-f) następuje poprzez wprowadzenie adresu e-mail w formularzu na stronie check_personal_data. Po otrzymaniu informacji zwrotnej Użytkownik zostanie poinformowany za pomocą e-maila, czy znajduje się w bazie danych Grupy Traveligo sp. z o.o. oraz otrzyma link do profilu, za pomocą którego wykona swoje uprawnienia wskazane w ust. 2 lit. a)-f).
4. Dane, które przetwarzane są na podstawie zgody będą przetwarzane aż do czasu wycofania zgody Użytkownika. Wycofanie zgody przez Użytkownika może nastąpić w dowolnym momencie.
5. Użytkownik może również sprawdzić status swoich danych osobowych kontaktując się z Grupą Traveligo za pomocą e-maila na adres: info@traveligo.pl
VI. Obowiązki w zakresie zatrudnienia i prowadzenia współpracy.
1. Administrator w zakresie zatrudniania, zakończenia lub zmiany warunków zatrudnienia pracowników lub współpracowników na podstawie innych umów cywilnoprawnych zapewnia aby:
a) pracownicy byli odpowiednio przeszkoleni do wykonywania swoich obowiązków,
b) każdy z przetwarzających dane osobowe był upoważniony w formie pisemnej do przetwarzania zgodnie z „Upoważnieniem do przetwarzania danych osobowych”
c) każdy pracownik zobowiązał się do zachowania danych osobowych przetwarzanych w Grupa Traveligo sp. z o.o. w tajemnicy.
d) każdy pracownik został zobowiązany do zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu w przypadku ich zaistnienia.
2. W przypadku przekazania danych osobowych kontrahentom celem realizacji świadczonych usług, przekazanie to nastąpi na podstawie umowy o powierzenie przetwarzania danych osobowych, na warunkach gwarantujących bezpieczeństwo danych.
VII. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych
1. Administrator zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości danych.
2. Zastosowane środki ochrony powinny być adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych, Środki obejmują:
a) ograniczenie dostępu do pomieszczeń, w których przetwarzane są dane osobowe, jedynie do osób odpowiednio upoważnionych,
b) uniemożliwienia dostępu do pomieszczeń, w których przetwarzane są dane osobom trzecim,
c) wykorzystanie zamykanych szafek do zabezpieczenia dokumentów,
d) wykorzystanie niszczarki do usuwania dokumentów zawierających dane osobowe,
e) ochronę sieci lokalnej przed działaniami inicjowanymi z zewnątrz przy użyciu sieci firewall,
f) wykonywanie kopii awaryjnych danych,
g) ochronę sprzętu komputerowego wykorzystywanego u administratora przed złośliwym oprogramowaniem,
h) zabezpieczenie dostępu do urządzeń przy pomocy haseł dostępu oraz unikatowych loginów.
VIII. Naruszenia zasad ochrony danych osobowych.
1. W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
2. W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
3. Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o incydencie także osobę, której dane dotyczą.
IX. Powierzenie przetwarzania danych osobowych
Grupa Traveligo sp. z o.o. może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO i tylko jeżeli są to dane, które niezbędne są do świadczenia usługi turystycznej lub innej objętej zakresem działania.
X. Przekazywanie danych do państwa trzeciego
Administrator Danych Osobowych nie będzie przekazywał danych osobowych do państwa trzeciego, poza sytuacjami, kiedy świadczenie usługi turystycznej lub innej związane jest z koniecznością przekazania danych osobowych do państwa trzeciego w celu realizacji usługi.
XI. Postanowienia końcowe
Za niedopełnienie obowiązków wynikających z niniejszego dokumentu pracownik ponosi odpowiedzialność na podstawie Kodeksu pracy i przepisów o ochronie danych osobowych.