Polityka bezpieczeństwa

Polityka bezpieczeństwa informacji i ochrony danych osobowych

Firma Qualio Badania i działania społeczne spółka cywilna, z siedzibą w Łodzi, ul. Sienkiewicza 61a, lok. 121, 90­-009, zwana dalej Administratorem wdraża niniejszą politykę bezpieczeństwa informacji w celu zapewnienia zgodności z przepisami europejskimi i krajowymi dotyczącymi bezpieczeństwa danych osobowych, a w szczególności po to, by chronić prawa i wolności osób, których dane dotyczą.
Przepisami nadrzędnymi w zakresie ochrony informacji jest:
– Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
– Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dziennik Ustaw RP, Warszawa, dnia 24 maja 2018 r., Poz. 1000).Terminy użyte w niniejszej polityce swe definicje znajdują w wymienionych przepisach.

  1. Administrator przetwarza dane osobowe swoich zleceniobiorców zatrudnionych w ramach umowy zlecenie oraz uczestników badań, które prowadzi, w ramach umowy o świadczenie usługi. Podstawą przetwarzania powyższych danych jest:

– niezbędność wykonania umowy, której stroną jest osoba, której dane dotyczą;
– niezbędność wypełnienia obowiązku prawnego ciążącego na administratorze;
– niezbędność do ochrony żywotnych interesów osoby, której dane dotyczą;
– niezbędność wynikająca z prawnie uzasadnionych interesów realizowanych przez Administratora.

  1. Administrator dokłada wszelkich starań, by przetwarzanie przez niego danych osobowych wypełniało wymogi:

– zgodności z prawem, rzetelności i przejrzystości;
– ograniczenia celu zbierania danych;
– minimalizacji danych;
– prawidłowości danych;
– ograniczenia przechowywania danych;
– integralności i poufności danych;
– rozliczalności zgodności z wymaganiami Przepisów.

  1. Administrator dokłada wszelkich starań, by rzetelnie poinformować osoby, których dane osobowe przetwarza o celach przetwarzania, ich podstawach prawnych i innych aspektach, które istotne są z punktu widzenia przepisów i realizacji praw osób, których dane dotyczą. Administrator jest także gotów bez zbędnej zwłoki zrealizować żądania osób, które uzasadnione są przepisami i do realizacji których Administrator jest zobligowany.

  2. Administrator pisemnie upoważnia do przetwarzania danych osobowych osoby, będące zleceniobiorcami, bądź pracownikami Administratora. Każde upoważnienie wydawane jest na określony czas i ujęte jest w formie klarownej ewidencji. Administrator dokłada wszelkich starań, by podnosić świadomość swoją oraz swoich zleceniobiorców i pracowników w zakresie zapewnienia zgodności z Przepisami. Ponadto zleceniobiorcy i pracownicy Administratora zostają zobowiązani do zachowania tajemnicy, którą powzięli w związku z pełnionymi przez siebie zadaniami, wykonywanymi na zlecenie Administratora.

  3. Realizując projekt Administrator analizuje go pod kątem zapewnienia zgodności z wymaganiami Przepisów o ochronie danych osobowych oraz zbierając dane domyślnie gromadzi tylko dane niezbędne do realizacji postawionych celów.

  4. Administrator dokonuje szacowanie ryzyka, związanego z przetwarzaniem danych osobowych, oraz wdraża odpowiednie środki organizacyjne i techniczne w celu zminimalizowania tegoż ryzyka. Administrator nieustannie monitoruje stan zagrożenia bezpieczeństwa informacji oraz analizuje ich przyczyny i stara się je zniwelować. W przypadku zidentyfikowania zagrożeń Administrator podejmuje niezbędne kroki zmierzające do ich wyeliminowania, np.:

– ustalenie zakresu i przyczyn zagrożenia oraz jego ewentualnych skutków;
– w miarę możliwości przywrócenie stanu zgodnego z zasadami ochrony danych osobowych;
– w razie konieczności zainicjowanie działań dyscyplinarnych.

  1. W przypadku zmaterializowania się zagrożenia Administrator podejmuje kroki w celu
    zminimalizowania i wyeliminowania ewentualnych negatywnych skutków, np. poprzez:

– ustalenie czasu zdarzenia będącego incydentem;
– ustalenie zakresu incydentu;
– określenie przyczyn, skutków oraz szacowanych zaistniałych szkód;
– zabezpieczenie dowodów;
– ustalenie osób odpowiedzialnych za naruszenie;
– usunięcie skutków incydentu;
– ograniczenie szkód wywołanych incydentem;
– zainicjowanie działań dyscyplinarnych;
– zarekomendowanie działań zapobiegawczych w kierunku wyeliminowania podobnych zagrożeń w przyszłości;
– udokumentowanie prowadzonego postępowania w rejestrze naruszeń.
8. Niniejsza polityka podlega nieustannemu przeglądowi oraz aktualizacji.