POLITYKA PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJĄCA W IVROXE SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ WARSZAWIE

1. Cel dokumentu
   1. Niniejszy dokument (zwany dalej „Polityką") określa całość zasad przetwarzania i ochrony danych osobowych obowiązujących u IvRoxe spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie przy ulicy Postępu 10 lok. 88 (02-676 Warszawa), wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000968153, NIP: 5213965445, REGON: 521824143 („Salon").
   2. Dokument zawiera także wzory dokumentów stosowanych przez Salon w związku z przetwarzaniem danych osobowych.
   3. Polityka i wdrożone zasady ochrony danych osobowych zostały opracowane z uwzględnieniem przedmiotu działalności Salonu tj. działalnością w zakresie świadczenia usług związanych z poprawą kondycji fizycznej, w szczególności usług masażu.
   4. Zasady wdrożone w Polityce mają na celu zapewnienie najwyższej ochrony danych osobowych przetwarzanych przez Salon, z uwzględnieniem postanowień Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO").
   5. Niniejsza Polityka podlega aktualizacji wraz ze zmieniającymi się przepisami prawnymi oraz zmianami w Salonie dotyczącymi przeprowadzanych operacji na Danych Osobowych. Przegląd przeprowadzany jest przez Salon co najmniej raz do roku, chyba że konieczność częstszych aktualizacji spowodowana jest istotnymi zmianami w przepisach prawa lub planowaną zmianą działalności Salonu.

1. Zakres stosowania
   1. Polityka obowiązuje wszystkich pracowników i współpracowników Salonu oraz inne osoby mające dostęp do danych osobowych. Dodatkowo Salon zapewnia stosowanie zasad wynikających z niniejszej Polityki przez podmioty przetwarzające dane osobowe na jej zlecenie na zasadach określonych w Punkcie 11.

1. Terminologia

Skróty użyte w Polityce:

DANE OSOBOWE – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny PESEL, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

SZCZEGÓLNE KATEGORIE DANYCH OSOBOWYCH - dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej (np. wizerunek twarzy lub dane daktyloskopijne), dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

OSOBA UPOWAŻNIONA – osoba, której Salon wydał upoważnienie do przetwarzania Danych Osobowych, w zakresie wskazanym w upoważnieniu.

PODMIOT DANYCH – osoba fizyczna, której Dane Osobowe są przetwarzane.

PRZETWARZANIE DANYCH OSOBOWYCH – operacja lub zestaw operacji wykonywanych na Danych Osobowych w sposób zautomatyzowany lub niezautomatyzowany, taki jak zbieranie, przechowywanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

SYSTEM INFORMATYCZNY – zespół współpracujących ze sobą urządzeń, programów, procedur i narzędzi programowych zastosowanych w celu Przetwarzania Danych Osobowych.

UODO – Urząd Ochrony Danych Osobowych.

USTAWA– ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, uzupełniająca postanowienia RODO.

1. Odpowiedzialność
   1. Za zapoznanie pracowników z Polityką i innymi zasadami Przetwarzania Danych Osobowych odpowiedzialny jest Ivan Filippov.
   2. Każdy pracownik i współpracownik Salonu, w szczególności Osoby Upoważnione, ponoszą odpowiedzialność za przestrzeganie bezpieczeństwa Danych Osobowych, w szczególności opisanych w niniejszej Polityce.
   3. Niezależnie od odpowiedzialności określonej w przepisach prawa powszechnie obowiązującego, naruszenie obowiązków określonych w niniejszej Polityce może być podstawą rozwiązania umowy o pracę lub umowy o współpracy z osobą, która dopuściła się zawinionego naruszenia tych zasad.
   4. Naruszenie zasad określonych w Polityce może być potraktowane jako nienależyte wykonanie umowy zlecenia/o dzieło, w szczególności gdy wykonawca w razie naruszenia zasad ochrony Danych Osobowych lub uzasadnionego podejrzenia takiego naruszenia nie poinformował o tym Salonu. Rozwiązanie umowy z wykonawcą nie wyklucza jego odpowiedzialności karnej.

1. Zasady podstawowe
   1. Salon podejmuje wszelkie kroki mające na celu zapewnienia rzetelnego Przetwarzania Danych Osobowych oraz zapewnienia najwyższej ochrony Danych Osobowych. W tym celu zapewnia:

1. zgodność z prawem, rzetelność i przejrzystość Przetwarzania Danych Osobowych;
2. minimalizację danych – Dane Osobowe są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
3. prawidłowość – Dane Osobowe są zgodne ze stanem faktycznym i w razie potrzeby uaktualniane;
4. ograniczenie celu – zbieranie Danych Osobowych w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz nieprzetwarzania Danych Osobowych w sposób niezgodny z celami;
5. integralność i poufność — Dane Osobowe są przetwarzane za pomocą odpowiednich środków technicznych oraz organizacyjnych; w sposób gwarantujący odpowiednie zabezpieczenie Danych Osobowych, w tym ochronę przed niezgodnym z prawem przetwarzaniem oraz przypadkowym udostępnieniem;
6. ograniczenie przechowywania – Dane Osobowe są przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których Dane Osobowe są przetwarzane;
7. rozliczalność — Salon jest odpowiedzialna za przestrzeganie powyższych zasad, uwzględnienie ich na etapie projektowania (privacy by design) oraz wykazanie ich przestrzegania.

1. Rejestr czynności przetwarzania
   1. Mając na względzie fakt, że przetwarzanie przez Salon danych nie ma charakteru sporadycznego, Salon prowadzi rejestr czynności przetwarzania, stanowiący Załącznik nr 1. Rejestr czynności przetwarzania przechowywany jest w formacie elektronicznym excel i jest na bieżąco aktualizowany.
   2. W Salonie może dochodzić do przetwarzania szczególnych kategorii Danych Osobowych m.in. w postaci Danych Osobowych pracowników obejmujących dane o stanie zdrowia, w zakresie dozwolonym przez przepisy prawa pracy, zabezpieczenia społecznego i ochrony socjalnej.

1. Analiza ryzyka
   1. Salon dokonał analizy ryzyka Przetwarzania Danych Osobowych na podstawie kryteriów stanowiących Załącznik nr 2 do Polityki oraz informacji zawartych z niniejszej Polityce.
   2. W wyniku oceny:

1. przeprowadzonej analizy ryzyka;
2. sporządzonego rejestru czynności przetwarzania;
3. zgodności przetwarzania danych osobowych z RODO;

Salon uznał, że przeprowadzenie oceny skutków dla ochrony danych jest nie jest konieczne.

1. Salon dokonuje ponownej analizy ryzyka w przypadku zmiany kategorii przetwarzanych Danych Osobowych, zmiany procedur obowiązujących w Salonie lub zmiany obowiązującego prawa.

1. Podział zadań
   1. Postanowienia ogólne

1. Salon jest administratorem danych osobowych, czyli podmiotem odpowiedzialnym za Przetwarzanie Danych Osobowych oraz za ich ochronę zgodnie z postanowieniami RODO, Ustawy i innych obowiązujących przepisów prawa.
2. Bez względu na powyższe, wszystkie Osoby Upoważnione są zobowiązane do zapewnienia bezpieczeństwa Przetwarzania Danych Osobowych.

Inspektor Ochrony Danych

1. Mając na względzie fakt, że nie zachodzą przesłanki wskazane w art. 37 ust. 1 RODO, Salon nie powołuje inspektora ochrony danych.

Administrator Danych Osobowych

1. Administratorem Danych Osobowych jest IvRoxe spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie.
2. Adres Salonu: ul. Postępu 10 lok. 88, 02-676 Warszawa

Dane kontaktowe do Salonu: e-mail: ivroxe@gmail.com

1. Adres korespondencyjny: ul. Postępu 10 lok. 88, 02-676 Warszawa
2. Obowiązki Administratora wykonuje Ivan Filippov.
3. Do podstawowych obowiązków Administratora należy:

1. identyfikacja obszarów, w których są przetwarzane Dane Osobowe;
2. identyfikacja kategorii Danych Osobowych z uwzględnieniem zasady minimalizacji Danych Osobowych;
3. nadzór nad prawidłowym Przetwarzaniem Danych Osobowych, w tym decydowanie o nadaniu upoważnień z uwzględnieniem zasady minimalizacji Danych Osobowych;
4. zapewnienie prawidłowości przetwarzania oraz skutecznej ochrony Danych Osobowych zgodnie z zasadami wynikającymi z RODO;
5. podział zadań i obowiązków związanych z ochroną Danych Osobowych;
6. implementacja i aktualizacja środków technicznych i organizacyjnych zapewniających prawidłowe Przetwarzanie Danych Osobowych oraz możliwość wykazania prawidłowości Przetwarzania Danych Osobowych;
7. zapewnienie okresowych przeglądów Przetwarzania Danych Osobowych, analizy ryzyka oraz obowiązującej Polityki.

1. Osoby upoważnione
   1. Do przetwarzania Danych Osobowych dopuszczane są jedynie osoby posiadające upoważnienie do przetwarzania danych osobowych.
   2. Nadawaniem uprawnień do przetwarzania Danych Osobowych zajmuje się Ivan Filippov.
   3. Dostęp do Danych Osobowych jest przyznawany tylko takim osobom, dla których dostęp jest niezbędny do wykonania ich obowiązków lub zapewnienia ochrony Danych Osobowych.
   4. Upoważnienia są wydawane przed rozpoczęciem Przetwarzania Danych Osobowych po dostarczeniu Salonie podpisanego Oświadczenia, którego wzór stanowi Załącznik nr 3 do niniejszej Polityki.
   5. Upoważnienie sporządzane jest zgodnie ze wzorem stanowiącym Załącznik nr 4 do Polityki.
   6. Ewidencja Osób Upoważnionych do Przetwarzania Danych Osobowych jest prowadzona przez Salon zgodnie ze wzorem stanowiącym Załącznik nr 5.
   7. Osoba Upoważniona zobowiązana jest do znajomości obowiązujących zasad ochrony Danych Osobowych, w tym niniejszej Polityki i powinna stosować w możliwie najszerszym zakresie wszelkie dostępne środki tej ochrony, co w szczególności dotyczy uniemożliwienia osobom nieuprawnionym dostępu do Przetwarzanych Danych Osobowych.
   8. Osoby Upoważnione do przetwarzania Danych Osobowych przechodzą okresowe szkolenia dotyczące obowiązujących w Salonie zasad przetwarzania i ochrony Danych Osobowych.
   9. Do obowiązków Osoby Upoważnionej należy także:

1. przetwarzanie Danych Osobowych zgodnie z obowiązującymi przepisami prawa oraz obowiązującą Polityką i innymi wewnętrznymi regulacjami;
2. zachowanie w tajemnicy Danych Osobowych oraz informacji o sposobach ich zabezpieczenia;
3. niezwłoczne informowanie Salonu o wszelkich podejrzeniach incydentów związanych z naruszeniem zasad Przetwarzania Danych.

1. Realizacja uprawnień podmiotu danych
   1. Podstawowe zasady
      1. Podmiot Danych jest uprawniony do:

1. otrzymania informacji o danych Salonu, zasadach przetwarzania danych oraz przysługujących jej uprawnieniach, na zasadach określonych w pkt 9.2 poniżej;
2. uzyskania potwierdzenia, czy przetwarzane są dane jego dotyczące, a jeżeli ma to miejsce – uzyskania dostępu oraz otrzymania informacji, o których mowa w pkt 9.3 poniżej (prawo dostępu);
3. żądania niezwłocznego sprostowania dotyczących jego Danych Osobowych, które są nieprawidłowe oraz (z uwzględnieniem celów przetwarzania) żądania uzupełniania niekompletnych danych Osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia;
4. żądania niezwłocznego usunięcia dotyczących go Danych Osobowych (prawo do bycia zapomnianym);
5. żądania ograniczenia przetwarzania Danych Osobowych;
6. przenoszenia Danych Osobowych;
7. wniesienia sprzeciwu wobec przetwarzania dotyczących go Danych Osobowych;

1. Działania, o których mowa w ust. 9.1.1 pkt b)-g), podejmowane są na wniosek Podmiotu danych.
2. Wnioski powinny być kierowane na adres e-mail: [_] lub na adres:
   ul. Postępu 10 lok. 88, 02-676 Warszawa.
3. Wnioski, o których mowa w pkt 9.1.3, rozpatrywane są przez Ivan Filippov.
4. Jeżeli wniosek budzi wątpliwości osoby go rozpatrującej, w tym co do zakresu żądanych informacji, osoba ta może zwrócić się do Podmiotu danych z prośbą o wyjaśnienie niejasności.
5. Odpowiedzi na wnioski, o których mowa w pkt 9.1.1 pkt b)-f) udziela się pisemnie w terminie miesiąca od otrzymania wniosku, chyba że Podmiot danych wskazał inną formę.
6. Termin, o którym mowa w pkt 9.1.6 może być przedłużony o dwa miesiące ze względu na skomplikowany charakter żądania lub liczbę żądań. Osoba rozpatrująca wniosek jest zobowiązana do poinformowania Podmiotu danych o przedłużeniu terminu oraz jego przyczynach.
7. Działania, o których mowa w niniejszym rozdziale, podejmowane są bezpłatnie. Jeżeli żądania są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, Salon może zadecydować o:

1. odmowie podjęcia działań;
2. pobraniu opłaty, która nie może być wyższa niż koszty faktycznie poniesione przez Salon w związku z rozpatrywaniem wniosku;

1. Osoba rozpatrująca wniosek jest upoważniona do dokonania weryfikacji tożsamości Podmiotu danych, o ile zachodzą co do tego wątpliwości, poprzez wgląd do dowodu osobistego lub innego dokumentu tożsamości.
2. Salon w terminie 14 dni informuje o sprostowaniu lub usunięciu Danych Osobowych lub ograniczeniu ich przetwarzania zgodnie z wnioskiem, każdego odbiorcę, któremu ujawniono Dane Osobowe, chyba że będzie to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.

Informacja udzielana podmiotowi danych

1. Podmiot Danych przed rozpoczęciem Przetwarzania Danych Osobowych otrzymuje od Salonu na piśmie następujące informacje:

1. dane Salonu;
2. cel i podstawę prawną Przetwarzania Danych Osobowych;
3. okres, przez który Dane Osobowe są przetwarzane lub kryteria ustalenia tego okresu;
4. prawo dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz prawo wniesienia sprzeciwu wobec ich przetwarzania;
5. prawo do cofnięcia zgody w dowolnym momencie (jeżeli przetwarzanie danych odbywa się na podstawie zgody);
6. prawo do wniesienia skargi do organu nadzorczego;
7. kategorie odbiorców Danych Osobowych;
8. informację, czy podanie danych jest wymogiem ustawowym czy umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.

1. Informacji, o których mowa w ust. 9.2.1, nie udziela się, jeżeli Podmiot Danych dysponuje już tymi danymi.
2. Informacje zawarte są w klauzulach informacyjnych, stanowiących Załącznik nr 6 do Polityki. Klauzule informacyjne są udostępniane Podmiotom Danych w następujący sposób:

1. Pracownikom i Współpracownikom – jako załącznik do umowy;
2. Kandydatom do pracy – pierwsza warstwa w ogłoszeniu o pracę, pozostałe informacje są przekazywane przy pierwszym kontakcie z kandydatem;
3. Osobom zakładającym konto, dokonującym zakupów w serwisie Administratora, odbiorcom newslettera, osobom korzystającym z formularza kontaktowego oraz publikującym opinie w Serwisie – poprzez odesłanie do klauzuli informacyjnej na stronie internetowej Salonu;
4. Klientom korzystającym z usług Salonu – w formie klauzuli informacyjnej udostępnionej w siedzibie Salonu;
5. Pozostałym osobom, w tym potencjalnym klientom, klientom, podwykonawcom, dostawcom, partnerom – jako załącznik do umowy.

1. Prawo dostępu przysługujące podmiotowi danych
   1. Podmiot Danych może uzyskać od Salonu potwierdzenie, czy jego Dane Osobowe są przetwarzane a jeżeli tak, jest uprawniony do uzyskania dostępu do nich oraz uzyskania informacji o:

1. celach przetwarzania;
2. źródle danych (jeżeli nie zostały zebrane bezpośrednio od Podmiotu Danych);
3. kategoriach przetwarzanych Danych Osobowych;
4. odbiorcach lub kategoriach odbiorców, którym Dane Osobowe zostały lub zostaną ujawnione;
5. planowanym okresie przechowywania Danych Osobowych, a gdy nie jest to możliwe – o kryteriach ustalania tego okresu;
6. przysługujących mu prawach.

1. Wraz z informacją, o której mowa powyżej, Podmiotowi Danych dostarcza się kopię Danych Osobowych podlegających przetwarzaniu. Kopia przekazywana jest w formie e-mail, chyba że Podmiot Danych wskazał inną formę.
2. Za wszelkie kolejne kopie, o które zwróci się Podmiot Danych w przeciągu dwóch miesięcy od otrzymania poprzedniej kopii, Salon pobiera opłatę w wysokości odpowiadającej kosztom administracyjnym poniesionym przez Salon w związku ze sporządzeniem takiej kopii.

1. Bezpieczeństwo przetwarzania danych osobowych
   1. Osoby Upoważnione mają obowiązek podejmowania działań w celu zapewnienia najwyższej ochrony Danych Osobowych.
   2. Salon ustala następujące podstawowe zasady bezpieczeństwa:

1. wydruki ograniczone do minimum;
2. dokumenty papierowe nie są pozostawiane bez nadzoru;
3. zasada ograniczonego dostępu do danych, upoważnienia nadawane są zgodnie z zakresem obowiązków;
4. hasła zabezpieczające komputery składają się z co najmniej 6 znaków;
5. logowanie do smartfonów odbywa się poprzez wpisanie obowiązkowego pinu (co najmniej 6 znaków);
6. każda osoba mająca dostęp do danych zostaje zapoznana z zasadami ochrony danych;
7. osoby mające dostęp do danych osobowych zobowiązane są do zachowania danych osobowych oraz informacji o sposobach ich zabezpieczenia w tajemnicy;
8. zobowiązanie do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia odbywa się także za pośrednictwem odbieranych pisemnych oświadczeń od osób dopuszczonych do przetwarzania danych osobowych.

1. Udostępnianie i powierzanie przetwarzania danych osobowych
   1. Udostępnianie danych osobowych
      1. Dane Osobowe mogą być udostępniane wyłącznie podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa oraz Podmiotom danych.
      2. Zasady udostępniania Danych Osobowych Podmiotom Danych wskazane są w punkcie 9.
      3. Udostępnianie Danych Osobowych następuje wyłącznie za zgodą Salonu z uwzględnieniem zasad ich bezpieczeństwa, w tym zasady minimalizacji danych.
      4. Informacje zawierające Dane Osobowe powinny być przekazywane uprawnionym podmiotom w sposób gwarantujący ochronę Danych osobowych.
      5. Udostępniając Dane Osobowe innym podmiotom, Salon ma obowiązek odnotowywać informacje o udostępnieniu, w tym: informacje o odbiorcy Danych Osobowych, datę i zakres udostępnionych Danych Osobowych, podstawę prawną udostępnienia.
      6. Udostępniając Dane Osobowe, należy zaznaczyć, że można je wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
   2. Powierzanie przetwarzania danych osobowych
      1. Salon powierza przetwarzanie Danych Osobowych przede wszystkim podmiotom, które na jej zlecenie świadczą usługi księgowe.
      2. Powierzenie Przetwarzania Danych Osobowych następuje wyłącznie na podstawie pisemnej umowy, która określa w szczególności:

1. rodzaj Danych Osobowych;
2. kategorie osób, których dane dotyczą;
3. okres na jaki dane są powierzone;
4. obowiązki i prawa Salon;
5. zakres odpowiedzialności podmiotu, któremu powierzono przetwarzanie danych, z tytułu niewykonania lub nienależytego wykonania umowy;
6. zobowiązanie podmiotu zewnętrznego do Przetwarzania Danych Osobowych wyłącznie na udokumentowane polecenie Salonu.
   1. Powierzenie Przetwarzania Danych Osobowych musi uwzględniać wymogi określone w art. 28 RODO. W szczególności podmiot zewnętrzny, któremu ma zostać powierzone Przetwarzanie Danych Osobowych, jest obowiązany przed rozpoczęciem Przetwarzania Danych Osobowych do podjęcia środków wymaganych na mocy art. 32 RODO.
   2. Podmiot Przetwarzający Dane Osobowe nie może podzlecać przetwarzania Danych Osobowych bez uzyskania uprzedniej pisemnej zgody Salon.
   3. Powierzenie Przetwarzania Danych Osobowych nie oznacza zwolnienia Salonu z odpowiedzialności za zgodne z prawem Przetwarzanie Danych Osobowych, co oznacza konieczność zapewnienia Salonie uprawnienia do przeprowadzenia w siedzibie podmiotu zewnętrznego kontroli wykonania umowy stanowiącej podstawę powierzenia Przetwarzania Danych Osobowych m. in. w zakresie obowiązujących regulacji wewnętrznych, udzielonych Upoważnień do przetwarzania danych oraz zobowiązań do zachowania tajemnicy. Podmiot zewnętrzny powinien także udostępnić Salonowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w Rozporządzeniu.

1. Zarządzanie incydentami
   1. Zdarzenia naruszające bezpieczeństwo danych osobowych
      1. Zagrożenia losowe naruszające bezpieczeństwo Danych Osobowych są to:

1. zagrożenia losowe wewnętrzne (np. pomyłki, błędy oprogramowania, awarie sprzętu);
2. zagrożenia losowe zewnętrzne (np. przerwy w dostawie prądu, klęski żywiołowe,).

1. Zagrożenia mogą być również celowe, do których zalicza się:

1. nieuprawniony dostęp do Systemu Informatycznego z zewnątrz (włamanie),
2. nieuprawniony dostęp do Systemu Informatycznego spowodowany przez pracownika,
3. nieuprawnione udostępnienie Danych Osobowych,
4. pogorszenie jakości Systemu Informatycznego skutkujące utratą lub obniżeniem poziomu ochrony poufności.

1. Naruszeniem bezpieczeństwa Danych Osobowych jest także nieprawidłowe zabezpieczenie miejsc przechowywania Danych Osobowych, w tym dostęp do komputerów dla osób nieupoważnionych, otwarte szafy z aktami, pozostawienie nośników w miejscu publicznym.

Monitorowanie i zgłaszanie incydentów

1. Każda osoba, która zauważyła zdarzenie mogące spowodować naruszenie bezpieczeństwa Danych Osobowych zobowiązana jest do natychmiastowego poinformowania Ivan Filippov.
2. Po otrzymaniu zgłoszenia o możliwości naruszenia bezpieczeństwa Danych Osobowych osoba poinformowana o incydencie Ivan Filippov bezzwłocznie podejmuje działania mające na celu:

1. wyjaśnienie zdarzenia, w tym stwierdzenie czy miało miejsce naruszenie bezpieczeństwa Danych Osobowych,
2. wyjaśnienie przyczyn naruszenia i zebrania ewentualnych dowodów naruszenia zasad ochrony Danych Osobowych,
3. minimalizację skutków naruszenia Danych Osobowych,
4. usunięcie skutków incydentu.

1. Wyjaśnienie zgłoszonego zdarzenia następuje w szczególności poprzez:

1. przeprowadzenie analizy poprawności funkcjonowania systemu informatycznego,
2. weryfikację sposobów zabezpieczenia przetwarzania danych w systemie informatycznym, w szczególności danych konfiguracyjnych tego systemu informatycznego.

1. Po wyjaśnieniu incydentu związanego z bezpieczeństwem Danych Osobowych, Ivan Filippov sporządza raport, który zawiera między innymi:

1. Opis zidentyfikowanego incydentu;
2. Podjęte działania mające na celu zminimalizowanie skutków incydentu;
3. Ewentualne działania mające na celu zapobieżenie wystąpienia takiego incydentu w przyszłości;

1. Raporty z incydentów archiwizuje się w Salonie do celów dowodowych. Wzór raportu z incydentu stanowi Załącznik nr 7 do Polityki.
2. Salon prowadzi ewidencję interwencji związanych z zaistniałymi incydentami w zakresie bezpieczeństwa Danych Osobowych zawierającą następujące informacje:

1. imię i nazwisko zgłaszającego incydent,
2. imię i nazwisko osoby przyjmującej zgłoszenie incydentu,
3. datę zgłoszenia incydentu,
4. okoliczności naruszenia Ochrony Danych Osobowych,
5. skutki naruszenia Ochrony Danych Osobowych,
6. przeprowadzone działania wyjaśniające przyczyny zaistnienia incydentu,
7. wyniki przeprowadzonych działań,
8. podjęte akcje naprawcze i ocena ich skuteczności.

1. Ewidencja interwencji stanowi Załącznik nr 8 do Polityki. Ewidencja interwencji prowadzona jest w wersji papierowej lub w wersji elektronicznej.
2. Co najmniej raz do roku Salon przeprowadza analizę zaistniałych incydentów w celu:

1. określenia skuteczności podejmowanych działań wyjaśniających i naprawczych,
2. określenia wymaganych działań zwiększających bezpieczeństwo Systemu Informatycznego i minimalizujących ryzyko zaistnienia incydentów,
3. określenia potrzeb w zakresie szkoleń Osób Upoważnionych.

1. Zgłaszanie naruszeń do UODO
   1. W przypadku naruszenia bezpieczeństwa Danych Osobowych Salon nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłasza je do UODO.
   2. Zgłoszenia nie dokonuje się, jeżeli, w oparciu o raport z incydentu, jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
   3. Jeżeli zgłoszenie jest dokonane po upływie 72 godzin od stwierdzenia naruszenia, do zgłoszenia załącza się wyjaśnienie przyczyn opóźnienia.
   4. Salon dokonuje powiadomienia za pomocą formularza dostępnego w serwisie UODO.