Salon Gdynia, ul. Morska 318

#

Godziny otwarcia

pon.-pt. 9:00 - 19:00 sobota 9:00 - 15:00 więcej informacji

Salon Gdańsk, ul. Lubowidzka 42

#

Godziny otwarcia

pon.-pt. 9:00 - 19:00 sobota 9:00 - 15:00 więcej informacji

HATCHBACK

HATCHBACK

HATCHBACK

HATCHBACK

Elektryczne

#

Polityka Prywatności

POLITYKA BEZPIECZEŃSTWA – REGULAMIN PRZETWARZANIA DANYCH OSOBOWYCH W GRUPIE PLICHTA

§ 1  Zakres regulaminu
1. Niniejszy regulamin opracowany został w oparciu o Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – tzw. RODO) i o ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000). Regulamin określa zakres, zasady oraz tryb przetwarzania i udostępniania danych osobowych, sposób zabezpieczania zbiorów danych osobowych będących w posiadaniu Spółki, a także obowiązki Administratora Danych Osobowych, Inspektora Ochrony Danych oraz praw osób, których dane Spółka przetwarza.

2. Regulamin określa środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, rozliczalności i integralności przetwarzania danych osobowych.

§ 2 Pojęcia używane w regulaminie
1. Ustawa – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000);
2. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;
3. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
4. Rejestr czynności – dokument zawierający kompletną listę procesów przetwarzania danych osobowych wraz z szczegółowymi informacjami na temat celu przetwarzania i sposobu ich zabezpieczenia;
5. Przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie;
6. Usuwanie danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dotyczą;
7. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych;
8. System tradycyjny – zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji oraz wyposażenia i środków trwałych w celu przetwarzania danych osobowych na papierze;
9. Bezpieczeństwo systemu informatycznego – wdrożenie stosownych środków administracyjnych, technicznych i fizycznych w celu zabezpieczenia zasobów technicznych oraz ochrony przed nieuprawnionym przetwarzaniem danych;
10. Administrator Danych Osobowych – organ lub osoba decydująca o celach i środkach przetwarzania danych osobowych. Administratorem Danych jest Prezes Zarządu Grupy Plichta, który ponosi pełnię odpowiedzialności wynikającej z przepisów ustawy o ochronie danych osobowych w odniesieniu do zbiorów danych osobowych znajdujących się w jego ustawowej dyspozycji (dalej zwany ADO);
11. Inspektor Ochrony Danych – podmiot zewnętrzny, wyznaczony przez Administratora Danych Osobowych, nadzorujący przestrzeganie zasad ochrony danych osobowych, w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (dalej zwany IOD);
12. Klauzula informacyjna – formuła tekstowa, wynikająca z obowiązku informacyjnego ADO;
13. Analiza ryzyka – ocena procesów przetwarzania danych, która ma na celu ustalenie związanych z nimi potencjalnych zagrożeń;
14. Umowa powierzenia przetwarzania – umowa zawarta między ADO a Podmiotem przetwarzającym te dane – jej treść powinna określać przedmiot przetwarzania danych, czas jego trwania, cel oraz charakter;
15. Procesor – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
16. Osoba upoważniona lub użytkownik systemu – osoba posiadająca upoważnienie wydane przez ADO lub osoba uprawniona przez niego do przetwarzania danych osobowych w systemie informatycznym w zakresie wskazanym w upoważnieniu, zwana dalej użytkownikiem;
17. Odbiorcy danych – rozumie się przez to każdego, komu udostępnia się dane osobowe,
z wyłączeniem:
a) osoby, której dane dotyczą,
b) osoby upoważnionej do przetwarzania danych,
c) Inspektora Danych Osobowych,
d) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.

§ 3 Odpowiedzialność za bezpieczeństwo informacji
1. Administrator Danych Osobowych, realizując politykę bezpieczeństwa, dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a szczególności zapewnienia, aby te dane były:
a) przetwarzane zgodnie z prawem;
b) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane przetwarzaniu niezgodnemu z tymi celami;
c) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane.
2. Celem wdrożenia polityki bezpieczeństwa jest ochrona danych osobowych, ochrona obszaru, w którym przetwarzane są dane osobowe, a przede wszystkim zapewnienie technicznych i organizacyjnych uwarunkowań mających wpływ na zarządzanie danymi osobowymi, uniemożliwiających dostęp osobom nieuprawnionym bądź zbieranie ich przez osoby nieuprawnione oraz zabezpieczenie danych przed ich uszkodzeniem lub zniszczeniem.
3. Ochronie podlegają dane osobowe niezależnie od formy przechowywania, sprzęt komputerowy, systemy operacyjne i informatyczne oraz pomieszczenia, w których odbywa się proces przetwarzania.
4. Grupa Plichta może powierzyć przetwarzanie danych podmiotom, z którymi zostanie podpisana umowa powierzenia przetwarzania danych. Powierzenie przetwarzania danych osobowych może mieć miejsce wyłącznie na podstawie pisemnej umowy określającej w szczególności zakres i cel przetwarza-nia danych. Umowa musi określać również zakres odpowiedzialności podmiotu, któremu powierzono przetwarzanie danych z tytułu niewykonania lub nienależytego wykonania umowy.

§4 Inspektor Ochrony Danych
1. Funkcję Inspektora Ochrony Danych w Grupie Plichta pełni M Consulting Sp. z o.o., z siedzibą przy ul. Toruńskiej 148, 87-800 Włocławek, reprezentowana przez Pawła Modrzejewskiego, e-mail: inspektor@plichta.com.pl
2. Do uprawnień i obowiązków IOD należą w szczególności:
• informowanie ADO, w tym jego pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy rozporządzenia RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
• monitorowanie przestrzegania rozporządzenia RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk ADO w dziedzinie ochrony danych osobowych, w tym podziału obowiązków;
• działanie zwiększające świadomość, szkolenie personelu uczestniczącego w operacjach przetwarzania oraz powiązanych z tym audytach;
• udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowania jej wykonania zgodnie z art. 35 RODO;
• współpraca z organem nadzorczym – Prezesem Urzędu Ochrony Danych Osobowych;
• pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

3. Osoba przetwarzająca dane w systemie informatycznym obowiązana jest niezwłocznie powiadomić IOD, gdy:
• stwierdzi naruszenie zabezpieczeń informatycznych,
• stan urządzeń, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakości komunikacji w sieci telekomunikacyjnej mogą wskazywać na naruszenie zabezpieczeń tych danych.
4. IOD po potwierdzeniu naruszenia systemu informatycznego ma obowiązek:
• zabezpieczyć ślady pozwalające na określenie przyczyn naruszenia systemu informatycznego,
• przeanalizować i określić skutki naruszenia informatycznego;
• określić czynniki, które spowodowały naruszenie systemu informatycznego,
• dokonać niezbędnych korekt w systemie informatycznym polegających na zabezpieczeniu systemu przed ponownym jego naruszeniem,
• powiadomić organy ścigania, jeżeli skutki noszą znamiona przestępstwa oraz gdy sposób naruszenia i skutki mogą być powtórzone w innym miejscu lub w przyszłości.

§ 5 Dostęp do danych osobowych
1. Dostęp do zbiorów danych osobowych mają Członkowie Zarządu Spółki, a także Dyrektorzy i pracownicy oddziałów Grupy Plichta i inne osoby zatrudnione na podstawie umowy cywilno-prawnej, które uzyskały pisemne upoważnienie wydane przez ADO oraz po złożeniu oświadczenia, o którym mowa w pkt. 2.
2. Każda z osób, które uzyskały dostęp do zbiorów danych, podpisuje oświadczenie o przestrzeganiu przepisów w zakresie zachowania poufności i integralności danych, dbania o ich bezpieczeństwo oraz korzystania z nich wyłącznie w ramach udzielonego upoważnienia i na podstawie prawa. Oświadczenie potwierdza również pisemnie fakt zapoznania się z niniejszą dokumentacją i zrozumieniem wszystkich zasad bezpieczeństwa.
3. Oświadczenia, upoważnienia do przetwarzania danych osobowych oraz ich odwołania, a także rejestr osób upoważnionych do przetwarzania danych osobowych przechowywane są w specjalnie wydzielonym segregatorze i nadzorowane przez IOD .

§ 6 Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych
1. Zabezpieczenia organizacyjne:
a) sporządzenie i wdrożenie Polityki bezpieczeństwa danych osobowych;
b) sporządzenie i wdrożenie Instrukcji zarządzania systemem informatycznym;
c) wyznaczenie Inspektora Ochrony Danych;
d) dopuszczenie do przetwarzania danych wyłącznie osób posiadających upoważnienia nadane przez IOD;
e) stworzenie procedury postępowania w sytuacji naruszenia ochrony danych osobowych;
f) zaznajomienie osób zatrudnionych przy przetwarzaniu danych z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego;
g) osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy;
h) przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych;
i) monitoruje się wdrożone zabezpieczenia systemu informatycznego.
2. Ochrona pomieszczeń wykorzystywanych do przetwarzania danych osobowych:
a) dane osobowe mogą być przetwarzane wyłącznie w obszarach przetwarzania danych osobowych, na które składają się pomieszczenia biurowe Spółki;
b) budynki i wszystkie pomieszczenia, w których zlokalizowano przetwarzanie danych osobowych, zabezpieczone są przed dostępem osób nieuprawnionych;
c) dokumentacja papierowa po godzinach pracy jest przechowywana w zamykanych biurkach lub szafach;
d) pomieszczenia, w których przetwarzane są dane osobowe, są zamykane podczas nieobecności osób upoważnionych do przetwarzania danych osobowych w sposób ograniczający możliwość dostępu do nich osobom nieupoważnionym; osoby upoważnione zobowiązane są do zamykania na klucz wszelkich pomieszczeń biura w czasie ich chwilowej nieobecności w pomieszczeniu pracy jak i po jej zakończeniu, a klucze nie mogą być pozostawione w zamku drzwi;
e) wydruki i nośniki elektroniczne zawierające dane osobowe należy przechowywać w zamykanych szafach, które znajdują się w obszarach przetwarzania danych osobowych;
f) przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe, jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych;
g) dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń do tego przeznaczonych lub dokonując takiej ich modyfikacji, która nie pozwoli na odtworzenie ich treści, aby po dokonaniu usunięcia danych niemożliwa była identyfikacja osób;
h) w miejscu przetwarzania danych osobowych, utrwalonych w formie papierowej, pracownicy zobowiązani są do stosowania zasady tzw. „czystego biurka”; zasada ta oznacza niepozostawianie materiałów zawierających dane osobowe w miejscu umożliwiającym fizyczny dostęp do nich osobom nieuprawnionym; za realizację powyższej zasady odpowiedzialny jest na swym stanowisku każdy z użytkowników;
i) niedopuszczalne jest wynoszenie materiałów zawierających dane osobowe poza obszar ich przetwarzania bez związku z wykonywaniem czynności służbowych; za bezpieczeństwo i zwrot materiałów zawierających dane osobowe odpowiada w tym przypadku osoba dokonująca ich wyniesienia.
3. Zabezpieczenia techniczne:
a) dla zapewnienia ciągłości działania systemów informatycznych służących do przetwarzania danych osobowych stosuje się w nich sprzęt oraz oprogramowanie wyprodukowane przez renomowanych producentów oraz zabezpiecza się sprzęt przed awarią zasilania lub zakłóceniami w sieci zasilającej;
b) stanowiska komputerowe wyposażono w indywidualną ochronę antywirusową; stosuje się oprogramowanie antywirusowe z automatyczną aktualizacją w celu ochrony systemu przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
c) kontrola antywirusowa jest przeprowadzana na wszystkich nośnikach magnetycznych i optycznych, służących zarówno do przetwarzania danych osobowych w systemie jak i do celów instalacyjnych;
d) komputery zabezpieczono przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą indywidualnego identyfikatora użytkowania i cykliczne (nie rzadziej niż co 30 dni) wymuszanie zmiany hasła, które składa się z co najmniej 8 znaków, i jest skonstruowane w sposób nie trywialny, w szczególności zawiera małe i duże litery, cyfry oraz znaki specjalne;
e) monitory komputerów należy ustawić w taki sposób aby uniemożliwiać podgląd wyświetlanych danych osobowych przez osoby nieuprawnione;
f) zbiory danych osobowych oraz programy służące do przetwarzania danych osobowych są zabezpieczane przed przypadkową utratą albo celowym zniszczeniem poprzez wykonywanie kopii zapasowych (co najmniej raz na kwartał);
g) kopie zapasowe są usuwane niezwłocznie po ustaniu ich użyteczności.
h) stosuje się oprogramowanie umożliwiające trwałe usunięcie danych osobowych z urządzeń, dysków lub innych elektronicznych nośników informacji, które przeznaczone są do naprawy, przekazania lub likwidacji przez osobę nieuprawnioną;
i) na stacjach roboczych użytkownicy nie posiadają uprawnień do instalowania nieautoryzowanego oprogramowania;
j) przesyłanie danych osobowych przez sieć publiczną (Internet) jest możliwe tylko przez wdrożenie fizycznych lub logicznych zabezpieczeń.
4. Środki ochrony fizycznej:
a) obszar, na którym przetwarzane są dane osobowe, zamykany jest na klucz,
b) urządzenia służące do przetwarzania danych osobowych umieszcza się w zamykanych na klucz pomieszczeniach.

§ 7 Instrukcja postępowania w przypadku zagrożeń i incydentów zagrażających bezpieczeństwu danych osobowych
1. Instrukcja definiuje katalog zagrożeń i incydentów zagrażających bezpieczeństwu danych osobowych oraz opisuje sposób reagowania na nie. Celem instrukcji jest minimalizacja skutków wystąpienia incydentów bezpieczeństwa, ograniczenie ryzyka powstania zagrożeń
i występowania incydentów w przyszłości.
2. Każdy pracownik, Dyrektor bądź Członek Zarządu Spółki, w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych, zobowiązany jest poinformować ADO. Do typowych zagrożeń bezpieczeństwa danych osobowych należą:
a) niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,
b) niewłaściwe zabezpieczenie sprzętu, oprogramowania przed wyciekiem, kradzieżą
i utratą danych osobowych,
c) nieprzestrzeganie zasad ochrony danych osobowych przez pracowników.
3. Do typowych incydentów bezpieczeństwa danych osobowych należą:
a) zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności),
b) zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, użytkowników, utrata/ zagubienie danych),
c) umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania).
4. W przypadku stwierdzenia incydentu lub wystąpienia zagrożenia, ADO wraz z IOD prowadzi postępowanie wyjaśniające, w toku którego:
a) ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki,
b) zabezpiecza ewentualne dowody,
c) ustala osoby odpowiedzialne za naruszenie,
d) podejmuje działania naprawcze (usuwa skutki incydentu i ogranicza szkody),
e) inicjuje działania dyscyplinarne,
f) wyciąga wnioski i rekomenduje działania korygujące zmierzające do eliminacji podobnych incydentów w przyszłości,
g) dokumentuje prowadzone postępowania.
5. ADO zgłasza niezwłocznie wszelkie incydenty i zagrożenia bezpieczeństwa danych osobowych IOD.
6. IOD prowadzi rejestr incydentów i zagrożeń w celu ich zidentyfikowania i zapobiegania ich wystąpieniu w przyszłości.

§ 8 Pozostałe informacje
1. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych przetwarzanych przez Spółkę, a zwłaszcza prawo do:
• uzyskania wyczerpującej informacji, czy taki zbiór istnieje oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy;
• uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze;
• uzyskania informacji, od kiedy przetwarza się dane jej dotyczące oraz podania w powszechnie zrozumiałej formie treści tych danych;
• uzyskania informacji o źródle danych, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej;
• uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane;
• żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem RODO i/lub ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane.
2. Dane osobowe udostępnia się na pisemny, umotywowany wniosek. Wniosek powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie. Udostępnione dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.

§ 9 Postanowienia końcowe
1. Polityka jest dokumentem wewnętrznym i nie może być udostępniania osobom postronnym w żadnej formie.
2. ADO ma obowiązek zapoznać z treścią Polityki każdego użytkownika.
3. Użytkownicy zobowiązani są do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w Polityce.
4. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także, gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, można wszcząć postępowanie dyscyplinarne.
5. Kara dyscyplinarna orzeczona wobec osoby uchylającej się od powiadomienia nie wyklucza odpowiedzialności karnej tej osoby, zgodnie z ustawą oraz możliwości wniesienia wobec niej sprawy z powództwa cywilnego przez pracodawcę o zrekompensowanie poniesionych strat.
6. W sprawach nieuregulowanych w Polityce mają zastosowanie przepisy RODO oraz ustawy.

Wejherowo, 25/05/2018