Polityka prywatności

POLITYKA BEZPIECZEŃSTWA INFORMACJI
W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH w
KRAKOWSKIM PRZEDSIĘBIORSTWIE HOTELARSKO-TURYSTYCZNYM SP. Z O.O.

I. POSTANOWIENIA OGÓLNE

§1.

Celem Polityki Bezpieczeństwa danych osobowych, zwanej dalej Polityką Bezpieczeństwa, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych w zakresie ochrony danych osobowych, sposobu przetwarzania w Krakowskim Przedsiębiorstwie Hotelarsko-Turystycznym sp. z o.o. w Krakowie przy ul. Nowohuckiej 33 grupy informacji zawierającej dane osobowe przez przetwarzanie danych osobowych rozumie się wszelkie operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie i modyfikowanie, udostępnianie odczytu danych oraz usuwanie danych, w rozumieniu art. 7 pkt 2 oraz art. 4 pkt 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanym dalej „RODO”).

§2.

Określenia użyte w Polityce

  1. Bezpieczeństwa oznaczają: Jednostka – Krakowskie Przedsiębiorstwo Hotelarsko-Turystyczne sp. z o.o. 30-728 Kraków, ul. Nowohucka 33,
  2. dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
  3. przetwarzanie danych osobowych – gromadzenie, utrwalanie przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych osobowych, zwłaszcza w systemach informatycznych,
  4. użytkownik – osoba upoważniona do przetwarzania danych osobowych,
  5. administrator systemu – osoba upoważniona do zarządzania systemem informatycznym,
  6. system informatyczny – system przetwarzania danych w Krakowskim Przedsiębiorstwie Hotelarsko-Turystycznym sp. z o.o. wraz z zasobami ludzkimi, technicznymi oraz finansowymi, który dostarcza i rozprowadza informacje,
  7. zabezpieczenie systemu informatycznego – należy przez to rozumieć wdrożenie stosowanych środków administracyjnych, technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych a także ich utratą.

II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI

§3.

  1. Utrzymanie bezpieczeństwa przetwarzanych przez Jednostkę informacji rozumiane jest jako zapewnienie ich poufności, integralności i dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z zasobem stanowiącym przedmiot niniejszej Polityki.
  2. Poniżej opisane jest rozumienie wyżej wymienionych pojęć w odniesieniu do informacji i aplikacji:
  1.  Dodatkowo zarządzanie bezpieczeństwem informacji wiąże się z zapewnieniem:

III. ZAKRES

§4.

  1. W systemie informacyjnym Jednostki przetwarzane są informacje służące do wykonywania zadań niezbędnych dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisów prawa.
  2. Informacje te są przetwarzane i składowane zarówno w postaci manualnej jak i elektronicznej.

§5.

Politykę Bezpieczeństwa stosuje się do:

  1. danych osobowych przetwarzanych w systemie informatycznym, w szczególności w systemach rezerwacyjnych i meldunkowych naszych hoteli,
  2. wszystkich informacji dotyczących danych pracowników Jednostki, w tym danych osobowych personelu i treści zawieranych umów o pracę,
  3. wszystkich danych kandydatów do pracy zbieranych na etapie rekrutacji,
  4. informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych,
  5. rejestru osób dopuszczonych do przetwarzania danych osobowych,
  6. innych dokumentów zawierających dane osobowe.

§6.

  1. Zakresy określone przez dokumenty Polityki Bezpieczeństwa Informacji mają zastosowanie do całego systemu informacyjnego Jednostki w szczególności do:
  1. Do stosowania zasad określonych przez dokumenty Polityki Bezpieczeństwa zobowiązani są wszyscy pracownicy w rozumieniu Kodeksu Pracy, konsultanci, stażyści oraz inne osoby mające dostęp do informacji podlegających ochronie.

§7.

Informacje niejawne nie są objęte zakresem niniejszej Polityki.

IV. STRUKTURA DOKUMENTÓW POLITYKI BEZPIECZEŃSTWA INFORMACJI

§8.

  1. Dokumenty Polityki Bezpieczeństwa Informacji ustanawiają metody zarządzania oraz wymagania niezbędne do zapewnienia skutecznej i spójnej ochrony przetwarzanych informacji.
  2. Zestaw dokumentów Polityki Bezpieczeństwa Informacji składa się z:

1. DOSTĘP DO INFORMACJI

§9.

Wszystkie osoby, których rodzaj wykonywanej pracy będzie wiązał się z dostępem do danych osobowych, przed przystąpieniem do pracy, podlegają przeszkoleniu w zakresie obowiązujących przepisów prawa dotyczących ochrony danych osobowych oraz obowiązujących w Jednostce zasad ochrony danych osobowych.

§10.

Zakres czynności dla osoby dopuszczonej do przetwarzania danych osobowych powinien określać zakres odpowiedzialności tej osoby za ochronę danych osobowych w stopniu odpowiednim do zadań tej osoby realizowanych przy przetwarzaniu tych danych.

§11.

Udostępnianie danych osobowych podmiotom upoważnionym do ich otrzymania, na podstawie przepisów prawa, mogą być udostępnione jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą.

§12.

Pomieszczenia, w których przetwarzane są dane osobowe, powinny być zamykane na czas nieobecności w nich osób zatrudnionych przy przetwarzaniu danych, w sposób uniemożliwiający dostęp do nich osób trzecich.

§13.

Dane osobowe udostępnia się na pisemny, umotywowany wniosek, który powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać zakres i przeznaczenie.

2. ZARZĄDZANIE DANYMI OSOBOWYMI

§14.

Administratorem danych osobowych jest Dyrektor Krakowskiego Przedsiębiorstwa Hotelarsko-Turystycznego sp. z o.o. 30-728 Kraków, ul. Nowohucka 33

§15.

  1. Za bezpieczeństwo danych osobowych Jednostki, odpowiadają:
  1. Administrator danych osobowych realizując politykę bezpieczeństwa informacji ma prawo wydawać decyzje regulujące kwestie związane z ochroną danych w strukturach Jednostki.
  2. W umowach zawieranych przez Jednostkę winny znajdować się postanowienia zobowiązujące podmioty zewnętrzne do ochrony danych udostępnionych przez Jednostkę.

§16.

  1. Zapoznanie się z dokumentami określonymi w §8 pkt 2 pracownicy Jednostki potwierdzają podpisem na „Indywidualnym zakresie czynności osoby zatrudnionej przy przetwarzaniu danych osobowych” (wzór w załączniku nr 3) i przekazują Administratorowi danych osobowych.

§17.

Ochrona zasobów danych osobowych Jednostki jako całości przed ich nieuprawnionym użyciem lub zniszczeniem jest jednym z podstawowych obowiązków pracowników Jednostki.

3. ZAKRESY ODPOWIEDZIALNOŚCI

§18.

Za bezpieczeństwo informacji odpowiedzialny jest każdy pracownik Jednostki.

§19.

Dyrektor KPHT sp. z o.o. w zakresie nadzoru nad bezpieczeństwem informacji:

  1. odpowiada za realizację ustawy o ochronie danych osobowych w zakresie dotyczącym Administratora danych osobowych,
  2. sprawuje nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których dane są przetwarzane oraz kontrolą przebywających w nich osób,
  3. określa strategię zabezpieczania systemów informatycznych Jednostki,
  4. sprawuje nadzór nad zapewnieniem awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych,
  5. sprawuje nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych na których zapisane są dane osobowe,
  6. identyfikuje i analizuje zagrożenia oraz ryzyko, na które narażone może być przetwarzanie danych osobowych w systemach informatycznych Jednostki,
  7. określa potrzeby w zakresie zabezpieczenia systemów informatycznych, w których przetwarzane są dane osobowe,
  8. sprawuje nadzór nad bezpieczeństwem danych zawartych w komputerach przenośnych, dyskach wymiennych, palmtopach, w których przetwarzane są dane osobowe,
  9. sprawuje nadzór nad obiegiem oraz przechowywaniem dokumentów i wydawnictw zawierających dane osobowe,
  10. monitoruje działanie zabezpieczeń wdrożonych w celu ochrony danych osobowych w systemach informatycznych,
  11. sprawuje nadzór nad funkcjonowaniem mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane oraz kontrolą dostępu do danych,
  12. zatwierdza wnioski o przyznaniu danemu użytkownikowi identyfikatora oraz praw dostępu do informacji chronionych w danym systemie przetwarzania,
  13. powiadamia administratora systemu o konieczności utworzenia identyfikatora użytkownika w systemie oraz zmianie/nadaniu uprawnień dostępu użytkownika do systemu.

§20.

Administrator danych osobowych zobowiązany jest do przestrzegania wszystkich przepisów ustawy o ochronie danych, w szczególności poprzez:

  1. określanie indywidualnych obowiązków i odpowiedzialności osób zatrudnionych przy przetwarzaniu danych osobowych, wynikających z ustawy o ochronie danych osobowych,
  2. określenie budynków, pomieszczeń lub części pomieszczeń, tworzące obszar, w którym przetwarzane są dane osobowe z użyciem stacjonarnego sprzętu komputerowego,
  3. zapoznawanie osób zatrudnionych przy przetwarzaniu danych osobowych z przepisami obowiązującymi w tym zakresie,
  4. wdrażanie zaleceń Dyrektora KPHT sp. z o.o. w zakresie ochrony danych osobowych,
  5. wdrażanie i nadzorowanie przestrzegania Polityki bezpieczeństwa informacji,
  6. wdrażanie i nadzorowanie przestrzegania instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
  7. działanie zgodnie z instrukcją postępowania w sytuacji naruszenia ochrony danych osobowych,
  8. stwarzanie warunków organizacyjnych i technicznych umożliwiających spełnienie wymogów wynikających z obowiązywania ustawy o ochronie danych osobowych,
  9. odpowiedzialność za poprawność merytoryczną danych gromadzonych w systemach informacyjnych,
  10. określanie, które osoby i na jakich prawach mają dostęp do danych informacji,
  11. prowadzi ewidencję baz danych w systemach informatycznych, w których przetwarzane są dane osobowe,
  12. prowadzi ewidencję osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych, prowadzi ewidencję miejsc przetwarzania danych osobowych w systemach informatycznych,
  13. prowadzi rejestr zbiorów danych osobowych Jednostki (przetwarzanych metodą tradycyjną lub w systemach informatycznych).

§21.

Dyrektor KPHT sp. z o.o. wyznacza również zasady i decyduje w sprawach:

  1. bieżący monitoring i zapewnienie ciągłości działania systemu informatycznego oraz baz danych,
  2. optymalizację wydajności systemu informatycznego, baz danych,
  3. instalacje i konfiguracje sprzętu sieciowego i serwerowego,
  4. instalacje i konfiguracje oprogramowania systemowego, sieciowego, oprogramowania bazodanowego,
  5. konfigurację i administrację oprogramowaniem systemowym, sieciowym oraz bazodanowym zabezpieczającym dane chronione przed nieupoważnionym dostępem,
  6. współpracę z dostawcami usług oraz sprzętu sieciowego i serwerowego oraz zapewnienie zapisów dotyczących ochrony danych osobowych, zarządzanie kopiami awaryjnymi konfiguracji oprogramowania systemowego, sieciowego,
  7. zarządzanie kopiami awaryjnymi danych w tym danych osobowych oraz zasobów umożliwiających ich przetwarzanie,
  8. przeciwdziałanie próbom naruszenia bezpieczeństwa informacji,
  9. przyznawanie na wniosek Administratora Danych ściśle określonych praw dostępu do informacji w danym systemie,
  10. ustala procedury bezpieczeństwa i standardów zabezpieczeń,
  11. zarządzanie licencjami, procedurami ich dotyczącymi,
  12. prowadzenie profilaktyki antywirusowej.

PRZETWARZANIE DANYCH OSOBOWYCH

§22.

  1. Przetwarzanie danych osobowych następuje w wyznaczonych miejscach zabezpieczonych przed przypadkowym dostępem przez wyznaczone do tego celu osoby.
  2. Urządzenia, w których przetwarzane są dane osobowe, powinny być zamykane na czas nieobecności w nich osób zatrudnionych przy przetwarzaniu danych, w sposób uniemożliwiający dostęp do nich osób trzecich.

§23.

  1. Wydruki, które zawierają dane osobowe i są przeznaczone do usunięcia należy niszczyć w stopniu uniemożliwiającym ich odczytanie.
  2. Urządzenia, dyski lub inne informatyczne nośniki danych, przeznaczone do naprawy, pozbawia się przed naprawą zapisu tych danych albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.

OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DO ZAPEWNIENIA POUFNOŚCI PRZETWARZANYCH DANYCH

§24.

W Jednostce rozróżnia się następujące kategorie środków zabezpieczeń danych osobowych:

  1. Zabezpieczenia fizyczne:
  1. Zabezpieczenia procesów przetwarzania danych w dokumentacji papierowej:
  1. Zabezpieczenia organizacyjne:
  1. Organizacja pracy przy przetwarzaniu danych osobowych i zasady przetwarzania:

6. ARCHIWIZOWANIE INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE

§25.

Archiwizacja informacji zawierających dane osobowe odbywa w formie elektronicznej oraz papierowej. Nośniki danych przechowywane są w wydzielonych pomieszczeniach, które są zabezpieczone przed dostępem osób nieupoważnionych.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Krakowskim Przedsiębiorstwie Hotelarsko-Turystycznym sp. z o.o. w Krakowie przy ul. Nowohuckiej 33

I. ZAKRES STOSOWANIA

Instrukcja określa zasady zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, a w szczególności: sposób rejestrowania i wyrejestrowania użytkownika, sposób przydziału haseł i zasady korzystania z nich, procedury rozpoczęcia i zakończenie pracy, obowiązki użytkownika, metodę i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemu.

II. OBSZAR PRZETWARZANIA DANYCH

  1. Obszar przetwarzania danych osobowych z użyciem stacjonarnego sprzętu komputerowego stanowią pomieszczenia ustalone przez Dyrektora KPHT sp. z o.o.. Ich wykazem dysponuje Administrator danych osobowych.
  2. Wszystkie pomieszczenia, które należą do obszaru przetwarzania danych, wyposażone są w zamknięcia. W czasie, gdy nie znajdują się w nich osoby upoważnione, pomieszczenia są zamykane w sposób uniemożliwiający wstęp osobom nieupoważnionym. Osoby nieupoważnione mogą przebywać w obszarze przetwarzania danych tylko za zgodą Administratora Danych lub w obecności osób upoważnionych.

III. REJESTROWANIE I WYREJESTROWANIE UŻYTKOWNIKA

  1. Użytkownikiem systemu informatycznego (osobą upoważnioną) może być:
  1. Uzyskanie uprawnień następuje na dwóch poziomach:
  1. Pisemny wniosek o zarejestrowanie użytkownika składa bezpośredni przełożony pracownika. Wniosek zostaje przekazany do Administratora danych osobowych, który może zgłosić sprzeciw wobec przyznania uprawnień, ze względu na zagrożenie naruszenia bezpieczeństwa danych osobowych.
  2. W przypadku zakończenia pracy w Jednostce, stosuje się następująca procedurę wyrejestrowania użytkownika:

IV. SPOSÓB PRZYDZIAŁU HASEŁ I ZASADY KORZYSTANIA Z NICH

  1. Każdorazowe uwierzytelnienie użytkownika w systemie następuje po podaniu loginu i hasła.
  2. Używanie hasła jest obowiązkowe dla każdego użytkownika, posiadającego login w systemie.
  3. W Jednostce obowiązują następujące zasady korzystania z haseł:
  1. Prawidłowe wykonywanie obowiązków związanych z korzystaniem użytkowników z haseł nadzoruje Administrator danych osobowych. Nadzór ten w szczególności polega na obserwacji (monitorowaniu) funkcjonowania mechanizmu uwierzytelniania i przywracania stanu prawidłowego w przypadku nieprawidłowości.

V. ROZPOCZĘCIE I ZAKOŃCZENIE PRACY

  1. Przed przystąpieniem do pracy w systemie informatycznym użytkownik zobowiązany jest sprawdzić urządzenie komputerowe i stanowisko pracy ze zwróceniem uwagi, czy nie zaszły okoliczności wskazujące na naruszenie ochrony danych osobowych. W przypadku naruszenia ochrony danych osobowych użytkownik niezwłocznie powiadamia Administratora danych osobowych.
  2. Użytkownik rozpoczyna pracę w systemie informatycznym od następujących czynności:
  1. Niedopuszczalne jest uwierzytelnianie się na hasło i login innego użytkownika lub praca w systemie informatycznym na koncie innego użytkownika.
  2. Zakończenie pracy użytkownika w systemie następuje po „wylogowaniu się” z systemu. Po zakończeniu pracy użytkownik zabezpiecza swoje stanowisko pracy, w szczególności dyskietki, dokumenty i wydruki zawierające dane osobowe, przed dostępem osób nieupoważnionych.
  3. W przypadku dłuższego opuszczenia stanowiska pracy, użytkownik zobowiązany jest „wylogować się” lub zaktywizować wygaszacz ekranu z opcją ponownego „logowania” się do systemu.
  4. W przypadku wystąpienia nieprawidłowości w mechanizmie uwierzytelniania („logowaniu się” w systemie), użytkownik niezwłocznie powiadamia o nich administratora.

VI. TWORZENIE, PRZECHOWYWANIE, SPRAWDZANIE PRZYDATNOŚCI I LIKWIDACJI KOPII ZAPASOWYCH

  1. Kopie zapasowe są tworzone, przechowywane i wykorzystywane z uwzględnieniem następujących zasad:

VII. SPRAWDZANIE OBECNOŚCI WIRUSÓW KOMPUTEROWYCH

  1. Sprawdzanie obecności wirusów komputerowych dokonywane jest poprzez zainstalowanie programu, który skanuje automatycznie, bez udziału użytkownika, na obecność wirusów wszystkie pliki. Program jest zainstalowany na wszystkich stacjach roboczych.
  2. Po każdej naprawie i konserwacji komputera należy dokonać sprawdzenia pod kątem występowania wirusów i ponownie zainstalować program antywirusowy.
  3. Elektroniczne nośniki informacji pochodzenia zewnętrznego podlegają sprawdzeniu programem antywirusowym przed rozpoczęciem korzystania z nich. Dane uzyskiwane drogą teletransmisji należy umieszczać – przed otwarciem – w katalogu przejściowym, który podlega sprawdzeniu.

VIII. SPOSÓB I CZAS PRZECHOWYWANIA NOŚNIKÓW INFORMACJI, W TYM KOPII INFORMATYCZNYCH I WYDRUKÓW

  1. Wydruki i dokumenty papierowe zawierające dane osobowe przechowywane są wyłącznie w odrębnych zamykanych szafach.
  2. Osoba zatrudniona przy przetwarzaniu danych osobowych sporządzająca wydruk zawierający dane osobowe ma obowiązek na bieżąco sprawdzać przydatność wydruku w wykonywanej pracy, a w przypadku jego nieprzydatności – niezwłocznie wydruk zniszczyć.
  3. Elektroniczne nośniki informacji z danymi osobowymi są oznaczane i przechowywane w zamykanych szafach lub sejfach znajdujących się w specjalnym pomieszczeniu, do którego dostęp mają wyłącznie odrębnie upoważnieni pracownicy.
  4. Fizyczna likwidacja zniszczonych lub niepotrzebnych elektronicznych nośników informacji z danymi osobowymi odbywa się w sposób uniemożliwiający odczyt danych osobowych.
  5. Dopuszczalne jest zlecenie/powierzenie niszczenia wszelkich nośników danych osobowych wyspecjalizowanym podmiotom zewnętrznym. Podstawą przekazania danych do zniszczenia innemu podmiotowi powinna być w każdym przypadku umowa zawarta na piśmie.

IX. ZASADY PRZEGLĄDANIA I KONSERWACJI SYSTEMU

  1. Przegląd i konserwacja zbiorów danych dokonywane są poprzez:
  1. Przeglądu i konserwacji dokonują specjalista ds Informatyki w porozumieniu z Administratorem danych osobowych.
  2. W przypadku zlecenia wykonywania czynności, o których mowa wyżej, podmiotowi zewnętrznemu, wszelkie prace powinny odbywać się pod nadzorem Administratora danych osobowych.

X. KOMUNIKACJA W SIECI KOMPUTEROWEJ

  1. W zakresie korzystania z sieci komputerowej w Jednostce obowiązują następujące zasady:

XI. OBOWIĄZKI I ODPOWIEDZILANOŚĆ UŻYTKOWNIKA ZWIĄZANE Z OBOWIĄZYWANIEM INSTRUKCJI

  1. Użytkownik systemu jest zobowiązany zapoznać się z treścią niniejszej Instrukcji i potwierdzić to stosownym oświadczeniem.
  2. Naruszenie przez pracownika niniejszej Instrukcji może zostać potraktowane jako naruszenie obowiązków pracowniczych i powodować określoną przepisami Kodeksu pracy odpowiedzialność pracownika.
  3. Treść niniejszej Instrukcji ma charakter poufny, chroniony tajemnicą pracodawcy na zasadzie art. 100 § 2 pkt 4 Kodeksu pracy.

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH w Krakowskim Przedsiębiorstwie Hotelarsko-Turystycznym sp. z o.o. w Krakowie przy ul. Nowohuckiej 33

§1

Instrukcja jest przeznaczona dla osób zatrudnionych przy przetwarzaniu danych osobowych.

§2

Za naruszenie ochrony danych osobowych uznaje się przypadki, gdy:

  1. stwierdzono naruszenie zabezpieczenia systemu informatycznego lub naruszenie zabezpieczenia zbioru danych osobowych zebranych i przetwarzanych w innej formie,
  2. stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci telekomunikacyjnej mogą wskazywać na naruszenie zabezpieczeń tych danych.

§3

Każdy pracownik Jednostki, który stwierdzi lub podejrzewa naruszenie ochrony danych osobowych w systemie informatycznym (lub przetwarzanych w inny sposób) zobowiązany jest do niezwłocznego poinformowania o tym administratora tego systemu informatycznego lub w przypadku jego nieobecności administratora danych osobowych Jednostki.

§4

  1. Dane osobowe zostają ujawnione, gdy stają się znane w całości lub części pozwalającej na określenie osobom nieuprawnionym tożsamości osoby, której dane dotyczą. 
  2. W stosunku do danych, które zostały zagubione, pozostawione bez nadzoru poza obszarem bezpieczeństwa należy przeprowadzić postępowanie wyjaśniające, czy dane osobowe należy uznać za ujawnione.

§5

  1. Administrator bazy danych osobowych, który stwierdził lub uzyskał informację wskazującą na naruszenie ochrony tej bazy danych zobowiązany jest do niezwłocznego:
  1. Po przywróceniu normalnego stanu bazy danych osobowych należy przeprowadzić szczegółową analizę w celu określenia przyczyn naruszenia ochrony danych osobowych lub podejrzenia takiego naruszenia, oraz przedsięwziąć kroki mające na celu wyeliminowanie podobnych zdarzeń w przyszłości.
  2. Jeżeli przyczyną zdarzenia był błąd użytkownika systemu informatycznego, należy przeprowadzić szkolenie wszystkich osób biorących udział w przetwarzaniu danych.
  3. Jeżeli przyczyną zdarzenia była infekcja wirusem należy ustalić źródło jego pochodzenia i wykonać zabezpieczenia antywirusowe i organizacyjne wykluczające powtórzenie się podobnego zdarzenia w przyszłości. 
  4. Jeżeli przyczyną zdarzenia było zaniedbanie ze strony użytkownika systemu należy wyciągnąć konsekwencje dyscyplinarne wynikające z kodeksu pracy oraz ustawy o ochronie danych osobowych.

§6

  1. Administrator bazy danych osobowych, w której nastąpiło naruszenie ochrony danych osobowych przygotowuje szczegółowy raport o przyczynach, przebiegu i wnioskach ze zdarzenia i w terminie 14 dni od daty jego zaistnienia przekazuje i administratorowi bezpieczeństwa informacji Jednostce.
  2. Administrator danych osobowych w KPHT sp. z o.o. przeprowadza analizę raportów i uwzględnia je w opracowywaniu corocznego raportu dla Dyrektora KPHT sp. z o.o.

Kraków, dnia ................

 

Upoważnienie imienne

do przetwarzania danych osobowych

 

Stosownie do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanym  „Rodo”) upoważniam Panią / Pana:

 

..............................................................................................................................................

(imię i nazwisko osoby upoważnionej)

zatrudnioną (ego) w 

..............................................................................................................................................

                (nazwa jednostki i komórki organizacyjnej)

na stanowisku: ........................................................................................................................................

do przetwarzania od dnia ........................................ r. danych osobowych w zakresie : ........................................................................................................................................

 

i nadaję identyfikator: ..................................................................................................................

......................................................................

       (podpis administratora danych )

 

 

Kraków, dnia ................

 

OŚWIADCZENIE 

Oświadczam, że przed przystąpieniem do pracy przy przetwarzaniu danych osobowych zostałam/em zaznajomiona/ny z przepisami dotyczącymi ochrony danych osobowych, w tym z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanym  „Rodo”)

Zapoznałam/em się i rozumiem zasady dotyczące ochrony danych osobowych opisane w:

 

......................................................

podpis pracownika 


WYKAZ POMIESZCZEŃ, W KTÓRYCH SĄ PRZETWARZANE, PRZECHOWYWANE, NISZCZONE  DANE OSOBOWE W Krakowskim Przedsiębiorstwie Hotelarsko-Turystycznym sp. z o.o. w Krakowie przy ul. Nowohuckiej 33.

 

ZARZĄDZENIE nr 1

Dyrektora Krakowskiego Przedsiębiorstwa Hotelarsko-Turystycznego 

sp. z o.o. z dnia 23 maja 2018 roku

 

w sprawie: zasad przetwarzania danych osobowych w KPHT sp. z o.o.. 

Na podstawie rozdz. III pkt. 3 Regulaminu Organizacyjnego KPHT sp. z o.o.  oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych z a r z ą d z a m,  co następuje:

§ 1.

  1. Wprowadzam do stosowania zasady zawarte w dokumencie pn.: „Polityka  bezpieczeństwa informacji w zakresie przetwarzania danych w Krakowskim Przedsiębiorstwie Hotelarsko-Turystycznym sp. z o.o.” stanowiący załącznik do niniejszego Zarządzenia. Załącznik publikowany jest w oryginale w Biurze Zarządu oraz w formie elektronicznej na wszystkie skrzynki mailowe w KPHT sp. z o.o..  

  2. Integralną częścią w.w. dokumentu są jego załączniki:

    1. Nr 1 – Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych;

    2. Nr 2 – Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych;

    3. Nr 3 – Upoważnienie imienne do przetwarzania danych osobowych;

    4. Nr 4 – Oświadczenie uprawnionego;

§ 2. 

Wyznaczam jako Administratora Danych Osobowych zastępcę Dyrektora Hoteli Krakus.

§ 2.

Zarządzenie wchodzi w życie z dniem 25 maja 2018 roku.

 

W oryginale

Podpis Prezes Zarządu

Andrzej Krzyworzeka

Zarządzaj ustawieniami plików cookies
Zarządzaj ustawieniami dotyczącymi prywatności
Pliki cookies niezbędne do funkcjonowania strony

Pliki cookies niezbędne do działania usług dostępnych na stronie internetowej, umożliwiające przeglądanie ofert, dokonywanie rezerwacji, wspierające mechanizmy bezpieczeństwa m.in: uwierzytelnianie użytkowników i wykrywanie nadużyć.

Pliki cookies analityczne

Pliki cookies umożliwiające zbieranie informacji o sposobie korzystania przez użytkownika ze strony internetowej w celu optymalizacji jej funkcjonowania, oraz dostosowania do oczekiwań użytkownika,

Pliki cookies marketingowe

Pliki cookies umożliwiające wyświetlanie użytkownikowi treści marketingowych dostosowanych do jego preferencji, oraz kierowanie do niego powiadomień o ofertach marketingowych odpowiadających jego zainteresowaniom, obejmujących informacje dotyczące produktów i usług administratora strony i podmiotów trzecich.

Twoje preferencje nie zostały jeszcze zapisane