POLITYKA PRYWATNOŚCI I STOSOWANIA COOKIES

Polityka Ochrony Danych Osobowych

Rekwar Spółka z ograniczoną odpowiedzialnością

WPROWADZENIE

 

Niniejszy dokument opisuje reguły oraz procedury dotyczące sposobu przetwarzania oraz bezpieczeństwa przetwarzania Danych Osobowych, w tym przetwarzania danych z użyciem systemów informatycznych przez Administratora Danych Osobowych tj. REKWAR SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ siedzibą pod adresem: 05-250 Słupno, ul. Wilcza 4, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla Miasta Stołecznego Warszawy w Warszawie, XIV Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: 0000114082, NIP: 5242427360, REGON: 015171922.

Dokument ma zastosowanie do przetwarzania wszelkich Danych Osobowych gromadzonych przez Administratora Danych Osobowych, pobieranych bezpośrednio od osób, których Dane dotyczą, a także z innych źródeł:

  1. pobieranych przez:
  1. pracowników,
  2. za pośrednictwem strony internetowej www.rekwar.com.pl (poprzez formularz kontaktowy),
  3. za pośrednictwem przedstawicieli handlowych będących zleceniobiorcami lub kontrahentami (przedsiębiorcami)
  4. za pośrednictwem poczty elektronicznej, w tym poprzez adres e-mail: biuro@rekwar.com.pl
  5. za pośrednictwem przedstawicieli handlowych, będących zleceniobiorcami lub kontrahentami (przedsiębiorcami),
  6. za pośrednictwem ankiet papierowych, elektronicznych
  7. za pośrednictwem social media – konta firmowe na portalach społecznościowych
  1. Danych Osobowych, które Administrator Danych Osobowych przetwarza jako Podmiot przetwarzający,
  2. Danych Osobowych udostępnionych Administratorowi Danych Osobowych.

 

Opisane reguły i procedury określają granice dopuszczalnego zachowania wszystkich osób przetwarzających Dane Osobowe zatrudnionych oraz współpracujących z Administratorem Danych Osobowych. Dokument zwraca uwagę na konsekwencje, jakie mogą ponosić osoby przekraczające określone granice oraz procedury postępowania dla zapobiegania i minimalizowania skutków zagrożeń w związku z naruszeniem bezpieczeństwa przetwarzania Danych Osobowych.

 

Polityka Ochrony Danych Osobowych obowiązuje wszystkich pracowników (bez względu na to czy podstawą zatrudnienia jest stosunek pracy czy umowa cywilnoprawna) i współpracowników Administratora Danych Osobowych dokonujących jakichkolwiek operacji na Danych Osobowych. Realizacja postanowień tego dokumentu ma zapewnić ochronę Danych Osobowych, właściwą ocenę i udokumentowanie przypadków naruszenia bezpieczeństwa przetwarzania oraz zapewnić właściwy tryb działania w celu przywrócenia bezpieczeństwa danych przetwarzanych w systemach informatycznych.

 

Polityka bezpieczeństwa została opracowana w oparciu o art. 24 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE. L 119 z 04.05.2016, str. 1, z późn. zm.) oraz art. 31 ust. 4 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125).

 

Polityka ochrony Danych Osobowych określa przede wszystkim sposób postępowania w przypadku:

 

  1. przetwarzania Danych Osobowych, niezależnie od tego z jakich źródeł Dane te pochodzą, w jakim celu są przetwarzane oraz jakich kategorii Danych Osobowych dotyczy przetwarzanie,
  2. stwierdzenia naruszenia bezpieczeństwa ochrony Danych Osobowych,
  3. stwierdzenia naruszenia zabezpieczenia systemów informatycznych, w jakich Dane są przetwarzane,
  4. zapobiegania skutkom naruszenia bezpieczeństwa przetwarzania Danych Osobowych.

 

Celem niniejszego dokumentu oraz opisanych w nim reguł i procedur jest – zwłaszcza w odniesieniu do pracowników i współpracowników REKWAR SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ, którzy w toku pracy i współpracy* przetwarzają lub mają styczność z danymi osobowymi – spełnienie następujących postulatów:

  1. spełnienie wymagań prawnych dotyczących przetwarzania Danych Osobowych jako cel podstawowy,
  2. zwiększenie świadomości co do wagi i wartości informacji wynikających z Danych Osobowych,
  3. konieczność ochrony Danych Osobowych oraz dóbr osobistych osób, których Dane dotyczą,
  4. ochrona informacji oraz zapewnienie prywatności i godności każdego pracownika, klienta oraz innych osób, których Dane dotyczą,
  5. ciągłe uczenie się i wyciąganie wniosków z błędów,
  6. stałe doskonalenie rozwiązań dostosowujących działania do nowych celów oraz potencjalnych zagrożeń związanych z przetwarzaniem Danych Osobowych,
  7. uświadomienie i zapewnienie, że wszyscy pracownicy i współpracownicy są zobowiązani do przestrzegania szczegółowych zasad postępowania wskazanych w niniejszym dokumencie.

 

 

ROZDZIAŁ I

PRZEPISY WPROWADZAJĄCE

 

  1. DEFINICJE

 

Użyte w niniejszym dokumencie określania oznaczają:

 

  1. Administrator Danych Osobowych (Administrator) – REKWAR SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ siedzibą pod adresem: 05-250 Słupno, ul. Wilcza 4, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla Miasta Stołecznego Warszawy w Warszawie, XIV Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: 0000114082, NIP: 5242427360, REGON: 015171922
  2. Administrator Systemu – osoba odpowiedzialna za zapewnienie ciągłości i poprawności działania Systemu Informatycznego lub aplikacji,
  3. Baza Danych Osobowych (Baza) – każdy posiadający strukturę zbiór danych, które są lub mogą stanowić Dane Osobowe, dostępny według określonych kryteriów,
  4. Dane Osobowe (Dane) – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
  5. Hasło – ciąg znaków literowych, cyfrowych lub innych pozwalający na dostęp do Systemu Informatycznego, znany jedynie osobie uprawnionej do pracy w Systemie Informatycznym,
  6. Identyfikator – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do dostępu do Systemu Informatycznego,
  7. Inspektor Ochrony danych Osobowych – Administrator nie jest zobowiązany do powołania Inspektora Ochrony Danych Osobowych
  8. Integralność – właściwość zapewniająca, że Dane Osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
  9. Podmiot przetwarzający – podmiot, o którym mowa w Art. 28 RODO, który dokonuje czynności przetwarzania Danych Osobowych na zlecenie Administratora danych osobowych.
  10. Polityka – niniejsza Polityka ochrony Danych Osobowych obowiązująca u Administratora,
  11. Poufność – właściwość zapewniająca, że Dane Osobowe nie są udostępniane nieupoważnionym podmiotom,
  12. Profilowanie – dowolne zautomatyzowane przetwarzanie danych osobowych pozwalające ocenić czynniki osobowe osoby fizycznej, a w szczególności analizować lub prognozować aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą – o ile wywołuje skutki prawne względem tej osoby lub w podobny sposób znacząco na nią wpływa.
  13. Przetwarzanie Danych Osobowych – jakiekolwiek operacje wykonywane na Danych Osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie i inne, a zwłaszcza te, które wykonuje się w systemach informatycznych,
  14. PUODO – Prezes Urzędu Ochrony Danych Osobowych pełniący funkcję organu nadzorczego na terenie Rzeczpospolitej Polskiej w rozumieniu art. 4 pkt 21 w zw. z art. 51 ust. 1 RODO,
  15. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem Danych Osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),
  16. Sieć Telekomunikacyjna – sieć telekomunikacyjna oraz publiczna sieć telekomunikacyjna w rozumieniu odpowiednio art. 2 pkt. 35 oraz art. 2 pkt 29 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz.U. 2017 poz. 1907, 2201, z 2018 r. poz. 138), w tym w szczególności Internet,
  17. System Informatyczny – zbiór powiązanych ze sobą elementów: serwerów z systemami operacyjnymi, systemu zarządzania Bazami Danych Osobowych, oprogramowania (programów użytkowych), urządzeń końcowych (komputerów, terminali, drukarek) oraz urządzeń służących do komunikacji między sprzętowymi elementami systemu,
  18. Ustawa – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000),
  19. Użytkownik (Użytkownicy) – osoba upoważniona przez Administratora Danych Osobowych do bezpośredniego dostępu do Danych Osobowych przetwarzanych w Systemie Informatycznym, która posiada ustalony indywidualny Identyfikator oraz Hasło.

 

  1. PODSTAWA PRAWNA

 

  1. Polityka jest zgodna z następującymi aktami prawnymi:
  2. Konstytucja Rzeczypospolitej Polskiej,
  3. RODO,
  4. Ustawą,
  5. przepisami innych aktów prawnych powszechnie obowiązujących w zakresie w jakim dotyczą ochrony danych osobowych.

 

 

ROZDZIAŁ II

PODSTAWOWE ZASADY ZWIĄZANE Z PRZETWARZANIEM DANYCH OSOBOWYCH

 

  1. ZAKRES OBOWIĄZYWANIA

 

  • 1. Ochrona Danych Osobowych przetwarzanych przez Administratora Danych Osobowych obowiązuje wszystkie osoby, które mają dostęp do Danych Osobowych podlegających przetwarzaniu, bez względu na zajmowane stanowisko oraz miejsce wykonywania jak również charakter łączącej je umowy lub stosunku pracy z Administratorem Danych Osobowych.
  • 2. Użytkownicy są zobligowani do stosowania niezbędnych środków zapobiegających ujawnieniu Danych Osobowych osobom nieupoważnionym, w tym w szczególności procedur i reguł wskazanych w niniejszej Polityce.
  • 3. Zachowanie tajemnicy w zakresie Danych Osobowych obowiązuje zarówno podczas trwania stosunku pracy lub innej umowy łączącej Użytkownika z Administratorem Danych Osobowych, jak również po jego ustaniu tych stosunków pracy.
  • 4. Administrator jest odpowiedzialny za nadzór nad tworzeniem, wdrażaniem, administracją i interpretacją niniejszej Polityki oraz innych standardów, zaleceń oraz procedur dotyczących ochrony Danych Osobowych obowiązujących u Administratora Danych Osobowych.
  • 5. Polecenia Administratora Danych Osobowych, a także innych osób delegowanych i wyznaczonych do działań związanych z ochroną Danych Osobowych oraz w zakresie ochrony informacji i bezpieczeństwa Systemu Informatycznego, muszą być bezwzględnie wykonywane przez wszystkich jego pracowników, współpracowników i użytkowników Systemu Informatycznego, którzy zajmują się przetwarzaniem Danych Osobowych.
  • 6. Wszędzie, gdzie jest mowa o pracownikach należy przez to rozumieć zarówno osoby zatrudnione w ramach stosunku pracy, jak również w oparciu o umowę cywilnoprawną (w tym umowę zlecenia oraz umowę o współpracy i o świadczenie usług).

 

 

 

  1. ZASADY PRZETWARZANIA ORAZ OCHRONY DANYCH OSOBOWYCH

 

  • Przetwarzanie przez Administratora Danych Osobowych Danych Osobowych może odbywać się wyłącznie zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której Dane dotyczą.
  • Dane Osobowe zbierane przez Administratora Danych Osobowych są tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
  • Dane Osobowe mogą być przetwarzane przez Administratora Danych Osobowych w sposób adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane.
  • Administrator Danych Osobowych zobowiązany jest do przetwarzania danych prawidłowych
    i w razie potrzeby, szczególnie na wniosek osoby której Dane dotyczą, ich uaktualniania.
  • Dane Osobowe są przechowywane w formie umożliwiającej identyfikację osoby, której Dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których Dane te są przetwarzane.
  • Dane Osobowe są przetwarzane w sposób zapewniający odpowiednie ich bezpieczeństwo w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
  • Przetwarzanie Danych Osobowych może odbywać się wyłącznie w obszarach do tego celu przeznaczonych. Wykaz pomieszczeń, w których dopuszczalne jest przetwarzanie Danych Osobowych stanowi Załącznik nr 1 do niniejszej Polityki.
  • W szczególnych przypadkach możliwe jest przetwarzanie Danych Osobowych poza wyznaczonym obszarem (np. na komputerach przenośnych), jednak wymaga to poinformowania oraz zgody Administratora Danych Osobowych.
  • Dostęp do pomieszczeń, w których przetwarzane są Dane Osobowe oraz do pomieszczeń, w których znajdują się serwery Baz Danych Osobowych lub przechowywane są kopie zapasowe mogą mieć wyłącznie osoby, które posiadają do tego odpowiednie upoważnienie na Dane przez Administratora Danych Osobowych.
  • Przetwarzania Danych Osobowych może dokonywać wyłącznie osoba posiadająca upoważnienie do ich przetwarzania tj. osoba, która znajduje się w Ewidencji osób upoważnionych do przetwarzania Danych Osobowych, stanowiącej Załącznik nr 4 do niniejszej Polityki, prowadzonej przez Administratora Danych Osobowych.
  • Wszystkie osoby przetwarzające Dane Osobowe z upoważnienia Administratora obowiązuje zasada „czystego biurka”, zabraniająca pozostawiania jakichkolwiek dokumentów z danymi osobowymi podczas nieobecności pracownika przy stanowisku pracy. Niedozwolone jest pozostawianie dokumentacji papierowej z danymi osobowymi na stanowisku pracy po zakończeniu aby uniemożliwić zapoznanie się z danymi osobowymi osobom nieuprawnionym.
  • W przypadku opuszczenia stanowiska pracy osoba przetwarzająca Dane Osobowe powinna wylogować się z Systemu lub zablokować dostęp do pulpitu stacji roboczej, z której korzysta przy przetwarzaniu Danych Osobowych. Ponadto w razie opuszczenia stanowiska pracy lub zakończenia pracy z Systemem Informatycznym należy zamykać pliki zawierające Dane Osobowe. Uniemożliwi to dostęp do Danych Osobowych osobie nieupoważnionej. (polityka czystego ekranu).

 

 

  1. PODSTAWA PRAWNA DO PRZETWARZANIA DANYCH OSOBOWYCH

 

  • 1. Przetwarzanie Danych Osobowych przez Administratora możliwe jest pod warunkiem, że:
    1. osoba, której Dane dotyczą, wyraziła zgodę na przetwarzanie swoich Danych Osobowych w jednym lub większej liczbie określonych celów,
    2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której Dane dotyczą, lub do podjęcia działań na żądanie osoby, której Dane dotyczą, przed zawarciem umowy,
    3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze,
    4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której Dane dotyczą, lub innej osoby fizycznej,
    5. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której Dane dotyczą, wymagające ochrony jej Danych Osobowych, w szczególności gdy osoba, której Dane dotyczą, jest dzieckiem.
  • 2. Administrator Danych Osobowych zobowiązuje się nie przetwarzać Danych Osobowych jeżeli nie spełni jednej z przesłanek, o których mowa w punkcie poprzedzającym.

 

 

ROZDZIAŁ III

ZARZĄDZANIE BEZPIECZEŃSTWEM DANYCH OSOBOWYCH

 

  1. PRZETWARZANIE DANYCH OSOBOWYCH

 

  • 1. Administrator dokonuje przetwarzania Danych Osobowych w określonych zbiorach Danych Osobowych jako ich Administrator, a także – w określonych przypadkach – jako Podmiot przetwarzający.
  • 2. Wykaz zbiorów Danych Osobowych wraz z opisem ich struktury oraz rejestrem czynności przetwarzania Danych Osobowych zawiera Załącznik nr 2 do niniejszej Polityki.
  • 3. W przypadku istnienia więcej niż jednego zbioru Danych Osobowych, dla każdego zbioru prowadzony jest odpowiednio rejestr czynności przetwarzania o którym mowa w punkcie poprzedzającym.
  • 4. Załącznik, o którym mowa w pkt III.1.2., powinien być aktualizowany po wprowadzeniu istotnych zmian w strukturze Danego zbioru Danych Osobowych, który opisuje. W przypadku systemów, które są rozbudowywane, wprowadzone zmiany powinny zostać uwzględnione w niniejszej Polityce.

 

 

 

 

  1. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ

 

  • 1. W przypadku przekazania do Administratora Danych Osobowych żądania dostępu do Danych Osobowych skierowanego przez osobę, której Dane te dotyczą, Administrator zobowiązany jest spełnić wobec niej obowiązek informacyjny, a także dostarczyć w sposób niezwłoczny, na adres e-mail wskazany przez ww. osobę, treść stosowanego przez siebie obowiązku informacyjnego.
  • 2. W przypadku przekazania do Administratora Danych Osobowych żądania przekazania kopii swoich Danych Osobowych przez osobę, której Dane te dotyczą, Administrator dostarcza ww. w formie elektronicznej na adres e-mail wskazany przez ww. osobę. Administrator nie pobiera opłat za kopie Danych w przypadku przekazania pierwszego egzemplarza kopii, zaś w przypadku kolejnych kopii koszt ich przekazania będzie odpowiadał realnym kosztom ich sporządzenia oraz dostarczenia.
  • 3. W przypadku przekazania do Administratora Danych Osobowych żądania sprostowania lub uaktualnienia Danych Osobowych osoby, której Dane dotyczą, Administrator dokonuje stosownych zmian w swoim Systemie Informatycznym, informując jednocześnie o wspomnianym osobę, której Dane dotyczą, w formie wiadomości przesyłanej na adres e-mail ww. osoby.
  • 4. W przypadku przekazania do Administratora żądania usunięcia Danych przez osobę, której Dane dotyczą (prawo do bycia zapomnianym), Administrator usuwa lub anonimizuje Dane Osobowe jej dotyczące pod warunkiem, że nie jest zobowiązany do ich zachowania w związku z przepisem szczególnym lub spełnieniem spoczywającego na nim obowiązku prawnego.
  • 5. W przypadku przekazania do Administratora Danych Osobowych żądania dotyczącego ograniczenia przetwarzania Danych Osobowych przez osobę, której Dane te dotyczą, Administrator zobowiązany jest do ograniczenia przetwarzania tych Danych Osobowych do niezbędnego minimum, aż do momentu przekazania ww. osobie informacji, które uprawdopodobnią właściwe przetwarzanie Danych Osobowych przez Administratora Danych Osobowych.
  • 6. W przypadku przekazania do Administratora Danych Osobowych żądania dotyczącego przeniesienia Danych Osobowych osoby, której Dane dotyczą, do innego administratora Danych Osobowych, Administrator zobowiązany jest do przekazania Danych wskazanych przez osobę, której Dane dotyczą, w sposób zapewniający odpowiednie bezpieczeństwo Danych oraz poszanowanie pozostałych praw wynikających z przepisów powszechnie obowiązujących.
  • 7. Wszelkie żądania, o których mowa w niniejszym dokumencie, Administrator zobowiązany jest spełnić w terminie nie dłuższym niż trzy miesiące od momentu otrzymania żądania, z tym zastrzeżeniem, że w terminie nie dłuższym niż miesiąc od otrzymania żądania przekaże osobie, która skierowała do niego żądanie, informację o planowanym podjęciu działania, a w terminie nie dłuższym niż dwa miesiące od przekazania ww. informacji spełni żądanie osoby, której Dane dotyczą, z zastrzeżeniem punktu 2.8.
  • 8. Administrator zobowiązany jest do weryfikacji prawnej możliwości spełnienia żądania. Jeżeli z nałożonego na Administratora Danych Osobowych obowiązku prawnego lub przepisu szczególnego będzie wynikało, że nie może on spełnić żądania osoby, której Dane dotyczą, poinformuje on ją o tym w terminach, o których mowa w powyższym punkcie.

 

 

  1. OBOWIĄZEK INFORMACYJNY

 

  • 1. Każda osoba, której Dane Osobowe będą przetwarzane przez Administratora ma prawo do bycia informowanym o przetwarzaniu Danych Osobowych. W związku z tym, wobec osób, których Dane dotyczą, a których Dane Osobowe są przez Administratora przetwarzane, Administrator zobowiązany jest wypełniać obowiązek informacyjny( załącznik nr 6).
  • 2. Obowiązek informacyjny spełniany jest wobec wszystkich osób, których Dane dotyczą, a które to Dane są przez Administratora przetwarzane, niezależnie od celu ich przetwarzania.
  • 3. Obowiązek informacyjny Administratora powinien obejmować ujawnienie informacji takich jak:
    1. tożsamość i Dane kontaktowe Administratora oraz – gdy ma to zastosowanie – tożsamość i Dane kontaktowe przedstawiciela Administratora,
    2. cele przetwarzania Danych Osobowych oraz podstawa prawna tego przetwarzania,
    3. gdy ma to zastosowanie – prawnie uzasadnione interesy realizowane przez Administratora lub przez stronę trzecią,
    4. informacje o odbiorcach Danych Osobowych lub o kategoriach odbiorców, jeżeli istnieją,
    5. gdy ma to zastosowanie – informacje o zamiarze przekazania Danych Osobowych do państwa trzeciego lub organizacji międzynarodowej,
    6. okres, przez który Dane Osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
    7. informacja o prawie do żądania od Administratora przez osobę, której Dane dotyczą, dostępu do jej Danych Osobowych, ich sprostowania, usunięcia („bycia zapomnianym”), ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu wobec przetwarzania oraz do złożenia skargi do PUODO,
    8. informacja o prawie do cofnięcia zgody udzielonej przez osobę, której Dane dotyczą, w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
    9. informacja czy podanie Danych Osobowych jest wymogiem ustawowym lub warunkiem zawarcia umowy oraz czy osoba, której Dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania Danych,
    10. informacja o zautomatyzowanym podejmowaniu decyzji, w tym o Profilowaniu oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której Dane dotyczą.
  • 4. Obowiązek informacyjny Administrator spełnia przez przekazanie informacji drogą elektroniczną lub przekazanie informacji w umowach zawieranych z osobami, których Dane dotyczą.
  • 5. Niedopuszczalnym jest niewypełnienie obowiązku informacyjnego przez Administratora Danych Osobowych lub jego pracowników.
  • 6. Ponadto, jeżeli Administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego (PUODO) oraz skorzystania ze środków ochrony prawnej przed sądem.
  • 7. Jeżeli Administrator ma uzasadnione wątpliwości co do tożsamości osoby której dane dotyczą, a która chce aby spełnić wobec niej obowiązek informacyjny, może wystąpić do niej z wnioskiem o udokumentowanie swojej tożsamości m.in. po przez weryfikację adresu e-mail w oparciu o który osoba której dane dotyczą prowadzi konto w serwisach bądź aplikacjach prowadzonych przez Administratora.
  • 8. Obowiązek informacyjny spełniany jest również wobec osób, których dane osobowe zostały Administratorowi udostępnione. W takim przypadku treść obowiązku informacyjnego dostarczana jest osobie której dane dotyczą po wejściu w posiadanie przez Administratora jej danych osobowych lub przy pierwszym kontakcie z osobą której dane dotyczą. Obowiązek informacyjny w zakresie wskazanym powyżej, przekazywany jest w formie elektronicznej lub mailowej. Obowiązek informacyjny Administratora powinien obejmować ujawnienie informacji takich jak:
  1. tożsamość i dane kontaktowe Administratora oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  3. cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;
  4. kategorie odnośnych danych osobowych;
  5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
  7. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  8. jeżeli ma to uzasadnienie – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
  9. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  10. jeżeli ma to uzasadnienie – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  11. informacje o prawie wniesienia skargi do organu nadzorczego;
  12. informacje o źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;

 

 

  1. OCENA SKUTKÓW PRZETWARZANIA DANYCH OSOBOWYCH

 

  • 1. Administrator Danych Osobowych szacuje prawdopodobieństwo naruszenia bezpieczeństwa przetwarzania Danych Osobowych przez przeprowadzanie oceny skutków przetwarzania Danych Osobowych przed wprowadzeniem nowych rozwiązań, które mogą mieć wpływ na to przetwarzanie u Administratora.
  • 2. Wykaz skutków przetwarzania Danych Osobowych dla ich bezpieczeństwa w poszczególnych Bazach Danych Osobowych, określony jest w Załączniku nr 5 do niniejszej Polityki.
  • 3. W przypadku istnienia więcej niż jednej Bazy, dla której należy przeprowadzić ocenę skutków przetwarzania Danych Osobowych, powinien zostać sporządzony odrębny Załącznik do niniejszej Polityki opatrzony odpowiednio numerem 5a, 5b itd. dla każdej Bazy z osobna.
  • 4. Administrator przeprowadza ocenę skutków przetwarzania Danych Osobowych w przypadku jednoczesnego wystąpienia co najmniej dwóch z poniższych przypadków:
    1. ocena i scoring, w tym Profilowanie i przewidywanie, w szczególności dotyczące takich czynników osobowych osoby, której Dane dotyczą, jak świadczenie pracy, sytuacja ekonomiczna, zdrowie, osobiste preferencje, zainteresowania, wiarygodność, zachowanie, lokalizacja czy poruszanie się,
    2. zautomatyzowane podejmowanie decyzji, w tym Profilowanie, wywołujące skutki prawne lub wpływające na osobę, której Dane dotyczą, w podobny sposób,
    3. systematyczne monitorowanie mające na celu obserwowanie, monitorowanie lub kontrolowanie osoby, której Dane dotyczą, w tym systematyczne monitorowanie miejsc dostępnych publicznie,
    4. przetwarzanie szczególnych kategorii Danych Osobowych z art. 9 ust. 1 (dane wrażliwe) i art. 10 (dane dotyczące karalności) RODO,
    5. przetwarzane Danych Osobowych na dużą skalę,
    6. przetwarzanie Danych Osobowych podlegających łączeniu lub dopasowywaniu,
    7. wykorzystanie do przetwarzania Danych Osobowych innowacyjnych rozwiązań technicznych lub organizacyjnych, zwłaszcza w kontekście nowatorskich technologii wykorzystujących np. biometrię,
    8. transfer danych poza granice Europejskiego Obszaru Gospodarczego, a zwłaszcza do USA,
    9. przetwarzanie Danych, które samo w sobie utrudnia osobie, której Dane dotyczą, wykonywanie przysługujących im praw lub korzystanie z usługi czy zawarcie umowy.
  • 5. Ocena skutków przetwarzania Danych Osobowych dokonana przez Administratora Danych Osobowych powinna zawierać co najmniej:
    1. opis planowanych operacji przetwarzania Danych Osobowych i celów tego przetwarzania,
    2. ocenę niezbędności i proporcjonalności przetwarzania w stosunku do celów tj. wskazanie czy określonego – potencjalnie ryzykownego – działania można uniknąć lub, jeśli nie ma takiej możliwości, jakie środki zastosowano, aby ryzyko zostało zminimalizowane,
    3. ocenę ryzyka naruszenia praw i wolności osoby, której Dane dotyczą, w szczególności, aby Administrator, jego pracownicy i współpracownicy zdawali sobie sprawę z ryzyka, jakie niesie wykorzystywana technologia,
    4. środki planowane w celu zaradzenia ryzyku oraz wykazania zgodności operacji przetwarzania Danych Osobowych z obowiązującymi przepisami prawa.

 

 

  1. REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH

 

  • 1. Administrator Danych Osobowych prowadzi rejestr czynności przetwarzania Danych Osobowych w poszczególnych Bazach Danych Osobowych.
  • 2. Rejestr czynności przetwarzania Danych Osobowych zawiera informację dotyczące:
    1. Danych identyfikujących Administratora, w tym jego nazwy oraz danych kontaktowych,
    2. Celów, w jakich są przetwarzane Dane Osobowe,
    3. Opisu kategorii osób, których Dane dotyczą, oraz kategorii Danych Osobowych,
    4. Kategorii odbiorców, którym Dane zostały lub zostaną ujawnione,
    5. Odnotowanie faktu przekazania Danych Osobowych do państwa trzeciego,
    6. Planowane terminy usunięcia poszczególnych kategorii Danych Osobowych,
    7. Ogólnego opisu technicznego i organizacyjnego środków bezpieczeństwa.
  • 3. Rejestr czynności przetwarzania Danych Osobowych znajduje się w Załączniku nr 2 do niniejszej Polityki.

 

 

  1. ZAKRES ZADAŃ I ODPOWIEDZIALNOŚCI ADMINISTRATORA W ZAKRESIE ZARZĄDZANIA PRZETWRZANIEM DANYCH OSOBOWYCH ORAZ ICH BEZPIECZEŃSTWEM

6.1. Administrator realizuje całość zadań w zakresie ochrony Danych Osobowych, w tym także zadania                                         przypisywane zwyczajowo Inspektorowi Ochrony Danych. W szczególności Administrator:

  1. Informuje pracowników i współpracowników o obowiązkach wynikających z RODO oraz innych przepisów UE lub krajowych dotyczących ochrony danych,
  2. Udziela bieżących porad oraz wsparcia pracownikom i współpracownikom w zakresie stosowania przepisów o ochronie danych osobowych,
  3. Mmonitoruje przestrzeganie przepisów dotyczących ochrony Danych Osobowych oraz niniejszej Polityki, w tym:
    • nadzoruje podział obowiązków,
    • inicjuje działania zwiększające świadomość wśród personelu,
    • organizuje szkolenia w zakresie ochrony danych,
    • przeprowadza audyty wewnętrzne w zakresie bezpieczeństwa danych,
  4. Udziela zaleceń w zakresie oceny skutków dla ochrony danych oraz monitoruje ich realizację,
  5. Pełni funkcję punktu kontaktowego dla Prezesa Urzędu Ochrony Danych Osobowych (PUODO),
  6. Pełni funkcję punktu kontaktowego dla osób, których dane dotyczą – w zakresie spełniania obowiązku informacyjnego oraz zgłaszania naruszeń,
  7. Prowadzi rejestr osób upoważnionych do przetwarzania Danych Osobowych,
  8. Prowadzi rejestr czynności przetwarzania Danych Osobowych
  9. Prowadzi dokumentację naruszeń ochrony Danych Osobowych,
  10. Nadzoruje funkcjonowanie systemów informatycznych w zakresie mechanizmów uwierzytelniania i kontroli dostępu do Danych Osobowych,
  11. nadzoruje wykonywanie, przechowywanie oraz weryfikację kopii zapasowych pod kątem ich przydatności do odtworzenia danych,
  12. nadzoruje przeglądy, konserwację oraz aktualizację systemów informatycznych służących do przetwarzania danych,
  13. dba o przestrzeganie przez Administratora praw osób, których dane dotyczą,
  14. podejmuje działania zgodne z niniejszą Polityką w sytuacji naruszeń ochrony danych lub zagrożeń dla systemu informatycznego,
  15. dokonuje okresowego przeglądu Polityki Ochrony Danych i w razie potrzeby wprowadza zmiany, wydaje zalecenia i wytyczne.
    • W przypadku dłuższej nieobecności Administratora, zobowiązany jest on do wyznaczenia osoby odpowiedzialnej za tymczasowe przejęcie jego obowiązków.

 

 

 

  1. POZOSTAŁE SPOSOBY ZABEZPIECZENIA DANYCH OSOBOWYCH

 

  • 1. Administrator zobowiązany jest do współpracy z PUODO.
  • 2. Współpraca Administratora z PUODO może dotyczyć zgłaszania naruszeń, a także uprzednich konsultacji dotyczących właściwego przetwarzania Danych Osobowych.
  • 3. W przypadku wystąpienia naruszenia bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych Osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, Administrator Danych Osobowych zobowiązany jest do zawiadomienia PUODO w terminie 72 godzin po stwierdzeniu naruszenia.
  • 4. Zgłoszenie naruszenia powinno zawierać co najmniej:
    1. opis charakteru naruszenia ochrony Danych Osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których Dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów Danych Osobowych, których dotyczy naruszenie,
    2. zawierać imię i nazwisko oraz dane kontaktowe Administratora Danych Osobowych lub oznaczenie punktu kontaktowego, od którego można uzyskać więcej informacji na temat naruszenia,
    3. opisywać możliwe konsekwencje naruszenia ochrony Danych Osobowych,
    4. opisywać środki zastosowane lub proponowane przez Administratora Danych Osobowych w celu zaradzenia na przyszłość naruszaniu ochrony Danych Osobowych, w tym w stosownych przypadkach – planowane środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
  • 5. Administrator Danych Osobowych zobowiązany jest zawiadomić bez zbędnej zwłoki osobę, której Dane dotyczą, o każdym przypadku naruszenia ochrony Danych jej dotyczących, szczególnie jeżeli incydent ten może powodować wysokie ryzyko naruszenia praw lub wolności tej osoby.
  • 6. Zawiadomienie osoby, której Dane dotyczą, musi zawierać co najmniej:
    1. imię i nazwisko oraz dane kontaktowe Administratora Danych Osobowych lub oznaczenie punktu kontaktowego, który pozwoli uzyskać więcej informacji,
    2. opisywać możliwe konsekwencje naruszenia ochrony Danych Osobowych,
    3. opisywać środki zastosowane lub proponowane przez Administratora w celu zaradzenia naruszaniu ochrony Danych Osobowych, w tym w stosownych przypadkach – środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
  • 7. Zawiadomienie nie jest konieczne jeżeli:
    1. Administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do Danych Osobowych, których dotyczy naruszenie, stosowanie tych środków powoduje, że nawet naruszenie ochrony Danych nie spowoduje powstania dodatkowego obowiązku informacyjnego (zawiadomienia),
    2. Administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której Dane dotyczą,
    3. wymagałoby ono niewspółmiernie dużego wysiłku; w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których Dane dotyczą, zostają poinformowane w równie skuteczny sposób.
  • 8. Administrator w celu zabezpieczenia stosuje technikę pseudonimizacji Danych Osobowych, polegającą na odwracalnym procesie, po którego przeprowadzeniu w przyszłości nie będzie możliwe zidentyfikowanie określonej osoby bez użycia dodatkowych informacji, pod warunkiem osobnego przechowywania tych dodatkowych informacji oraz zabezpieczenia ich odpowiednimi środkami technicznymi i organizacyjnymi uniemożliwiającymi przypisanie Danych konkretnej osobie.
  • 9. Administrator Danych Osobowych w miarę możliwości stosuje technikę anonimizacji Danych Osobowych, polegającą na nieodwracalnym procesie po którego przeprowadzeniu w przyszłości nie będzie możliwe zidentyfikowanie określonej osoby na podstawie posiadanych przez Administratora informacji.

 

ROZDZIAŁ IV

TRANSFER DANYCH OSOBOWYCH

 

  1. POWIERZENIE DO PRZETWARZANIA DANYCH OSOBOWYCH

 

  • 2. Administrator Danych Osobowych dopuszcza możliwość przekazania Danych Osobowych do przetwarzania innym Podmiotom przetwarzającym. W takim przypadku, przetwarzanie Danych Osobowych odbywa się wyłącznie na podstawie umowy powierzenia przetwarzania Danych Osobowych zawartej pomiędzy Administratorem a Podmiotem przetwarzającym, zwaną dalej Umową. (załącznik nr 7)
  • 3. Umowa, o której mowa w punkcie poprzedzającym, musi być zawarta w formie pisemnej oraz zawierać ściśle określony zakres powierzonych do przetwarzania Danych.
  • 4. Przetwarzanie Danych Osobowych możliwe jest tylko w zakresie ustalonym przez Umowę.
  • 5. Powierzone Dane podlegają przetwarzaniu i ochronie na takich samych zasadach jakie stosuje Administrator Danych Osobowych, chyba że Umowa określi inne zasady ochrony Danych Osobowych, pod warunkiem, że będą one zgodne z RODO.
  • 6. Zmiana zasad związanych z ochroną Danych Osobowych oraz ich przetwarzaniem przez Podmiot przetwarzający, któremu Administrator powierzył Dane do przetwarzania nie może:
    1. naruszać praw osób, których Dane są przetwarzane,
    2. naruszać zasad związanych z ochroną Danych Osobowych przewidzianych w przepisach powszechnie obowiązujących,
    3. zmieniać celu przetwarzania Danych Osobowych,
    4. przetwarzać powierzonych Danych Osobowych w sposób inny niż w taki, do którego upoważnił go Administrator Danych Osobowych,
    5. udostępniać powierzonych Danych Osobowych osobom trzecim bez zgody Administratora.
  • 7. Podmiot przetwarzający zapewnia, by osoby upoważnione do przetwarzania Danych Osobowych zobowiązały się do zachowania tajemnicy w związku z przetwarzaniem powierzonych Danych Osobowych.
  • 8. Podmiot przetwarzający:
  1. zobowiązany jest zapewniać wszelkie środki wymagane do zapewnienia bezpieczeństwa przetwarzania Danych Osobowych,
  2. w przypadku korzystania z podwykonawców przestrzega warunków korzystania z usług innego podmiotu przetwarzającego (w takim przypadku mamy do czynienia z tzw. podpowierzeniem przetwarzania Danych Osobowych),
  3. pomaga Administratorowi Danych Osobowych poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której Dane dotyczą,
  4. po zakończeniu świadczenia usług związanych z przetwarzaniem – zależnie od decyzji Administratora – usuwa lub zwraca mu wszelkie Dane Osobowe oraz usuwa wszelkie ich istniejące kopie,
  5. udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z powszechnie obowiązujących przepisów prawa, w tym w szczególności z RODO.

 

 

  1. UDOSTĘPNIANIE DANYCH OSOBOWYCH

 

  • 1. Administrator Danych Osobowych nie udostępnia przetwarzanych przez siebie Danych Osobowych innym administratorom, chyba że uzyska on zgodę osoby, której Dane dotyczą lub możliwość udostępnienia Danych Osobowych będzie wynikała z decyzji sądu, organu administracji publicznej lub nastąpi w oparciu o przepisy szczególne.
  • 2. W przypadku udostępniania Danych Osobowych, poza odebraniem stosownych zgód od osób, których Dane dotyczą, Administrator Danych Osobowych zobowiązany jest do zawarcia umowy dotyczącej udostępniania Danych innym administratorom.
  • 3. W przypadku udostępniania Danych Osobowych do państwa trzeciego, Administrator Danych Osobowych zastosuje się do wymagań wynikających z przepisów powszechnie obowiązujących, a dotyczących udostępniania Danych Osobowych do państwa trzeciego.
  • 4. W związku z udostępnianiem Danych Osobowych, Administrator będzie zobowiązany do spełnienia obowiązku informacyjnego wobec osób, których Dane będą udostępnione, polegającego na przekazaniu informacji dotyczącej:
    1. tożsamości i danych kontaktowych Administratora Danych Osobowych oraz – jeżeli ma to zastosowanie – danych kontaktowych do IOD,
    2. celów przetwarzania Danych Osobowych,
    3. kategorii Danych Osobowych,
    4. odbiorców Danych Osobowych,
    5. ewentualnego przekazywania Danych do państwa trzeciego,
    6. okresu, przez który Dane będą przetwarzane,
    7. praw osoby, której Dane dotyczą,
    8. źródła Danych Osobowych,
    9. Profilowania (jeżeli ma to zastosowanie i zachodzi taka potrzeba).

 

 

  1. PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTWA TRZECIEGO LUB ORGANIZACJI MIĘDZYNARODOWEJ

 

  • Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony.
  • Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić wyłącznie, gdy Administrator danych osobowych oraz podmiot któremu dane przekazano zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Odpowiednie zabezpieczenia można zapewnić – bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego – za pomocą:
  1. wiążących reguł korporacyjnych zgodnie z art. 47 RODO;
  2. standardowych klauzul ochrony danych przyjętych przez Komisję Europejską zgodnie z procedurą sprawdzającą,
  3. standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję Europejską zgodnie z procedurą sprawdzającą,
  4. zatwierdzonego kodeksu postępowania zgodnie wraz z wiążącymi i egzekwowalnymi zobowiązaniami Administratora danych osobowych w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą;
  5. zatwierdzonego mechanizmu certyfikacji zgodnie wraz z wiążącymi i egzekwowalnymi zobowiązaniami Administratora danych osobowych w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.
    • Jeżeli nie zostaną spełnione przesłanki o których mowa w ust. 3.1 oraz 3.2. przekazywanie danych osobowych do państwa trzeciego może nastąpić pod warunkiem, że:
  6. osoba, której dane dotyczą, została poinformowana o ewentualnym ryzyku, z którymi – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;
  7. przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a Administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;
  8. przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między Administratorem a inną osobą fizyczną lub prawną;
  9. przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;
  10. przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;
  11. przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
  12. przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego.

 

 

 

ROZDZIAŁ V

OPIS ZDARZEŃ NARUSZAJĄCYCH OCHRONĘ DANYCH OSOBOWYCH

 

  1. MOŻLIWE ZAGROŻENIA DOTYCZĄCE NARUSZENIA OCHRONY DANYCH OSOBOWYCH

 

  • 2. Podział zagrożeń:
    1. zagrożenia losowe zewnętrzne – ich występowanie może prowadzić do utraty Integralności Danych, ich zniszczenia i uszkodzenia infrastruktury technicznej Systemu Informatycznego, a zatem ciągłość Systemu Informatycznego zostaje zakłócona, ale w przypadku takich zagrożeń nie dochodzi do naruszenia Poufności Danych np. klęski żywiołowe, przerwy w zasilaniu itp.
    2. zagrożenia losowe wewnętrzne – ich występowanie może prowadzić do zniszczenia Danych, zakłócenia ciągłości pracy Systemu Informatycznego oraz do naruszenia Poufności Danych np. niezamierzone pomyłki operatorów, Administratora, Podmiotu przetwarzającego, awarie sprzętowe, błędy oprogramowania, pogorszenie jakości sprzętu i oprogramowania.
    3. zagrożenia zamierzone – świadome i celowe działania powodujące naruszenie Poufności Danych, zazwyczaj nie skutkujące uszkodzeniem infrastruktury technicznej i zakłóceniem ciągłości pracy; zagrożenia te można podzielić na:
      • nieuprawniony dostęp do Systemu Informatycznego z zewnątrz (włamanie do wskazanych Systemów),
      • nieuprawniony dostęp do Systemu Informatycznego z jego wnętrza,
      • nieuprawnione przekazanie Danych,
      • bezpośrednie zagrożenie materialnych składników Systemu Informatycznego (np. kradzież sprzętu).
  • 3. Naruszenie lub podejrzenie naruszenia Systemu informatycznego, w którym przetwarzane są Dane Osobowe, następuje w sytuacji:
    1. losowego lub nieprzewidzianego oddziaływania czynników zewnętrznych na zasoby Systemu jak np. wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne itp.,
    2. niewłaściwych parametrów środowiska, jak np. nadmierna wilgotność lub wysoka temperatura, oddziaływanie pola elektromagnetycznego, wstrząsy lub wibracje pochodzące od urządzeń przemysłowych,
    3. awarii sprzętu lub oprogramowania, które wyraźnie wskazuje na umyślne działanie w kierunku naruszenia ochrony Danych,
    4. pojawienia się odpowiedniego komunikatu alarmowego,
    5. podejrzenia nieuprawnionej modyfikacji Danych w Systemie lub innego odstępstwa od stanu oczekiwanego,
    6. naruszenia lub próby naruszenia Integralności Systemu lub Bazy w tych Systemach,
    7. pracy w Systemie wykazującej odstępstwa uzasadniające podejrzenie przełamania lub zaniechania ochrony Danych Osobowych, jak np. praca osoby, która nie jest formalnie dopuszczona do obsługi Systemie,
    8. ujawnienia nieautoryzowanych kont dostępu do Systemu,
    9. naruszenia dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (np. nie wylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie Danych Osobowych w drukarce itp.).
  • 4. Za naruszenie ochrony Danych uważa się również stwierdzone nieprawidłowości w zakresie zabezpieczenia fizycznego miejsc przechowywania i przetwarzania Danych Osobowych, jak np.:
    1. niezabezpieczone pomieszczenia,
    2. niezabezpieczone urządzenia archiwizujące,
    3. pozostawianie Danych w nieodpowiednich miejscach (m.in. w koszach na śmieci czy w miejscach publicznie dostępnych),
    4. pozostawienie niezabezpieczonych dokumentów zawierających Dane Osobowe na stanowisku pracy w razie jego opuszczenia przez osobę przetwarzającą Dane w imieniu Administratora.

 

 

 

 

 

 

 

ROZDZIAŁ VI

SYSTEM INFORMATYCZNY I ZABEZPIECZENIE DANYCH OSOBOWYCH

 

  1. ŚRODKI FIZYCZNE

 

  • 2. Administrator Danych Osobowych jest zobowiązany do zastosowania środków technicznych i organizacyjnych zapewniających optymalną ochronę przetwarzanych Danych w Systemie Informatycznym, w tym w szczególności:
    1. zabezpieczenie Danych przed ich udostępnieniem osobom nieupoważnionym,
    2. zapobieganie przed pobraniem Danych przez osobę nieuprawnioną,
    3. zapobieganie zmianie, utracie, uszkodzeniu lub zniszczeniu Danych,
    4. zapewnianie przetwarzania Danych zgodnie z obowiązującymi przepisami prawa.
  • 3. Zabezpieczenia pomieszczeń, w których przetwarzane są Dane Osobowe:
    1. dostęp do pomieszczeń, w których przetwarzane są Dane Osobowe jest ograniczony wyłącznie do osób mających odpowiednie upoważnienie nadane przez Administratora Danych Osobowych,
    2. pomieszczenia, w których przetwarza się Dane Osobowe, zamykane są na klucz,
    3. w przypadku opuszczenia pomieszczenia przez ostatniego pracownika upoważnionego do przetwarzania Danych Osobowych – także w godzinach pracy – Dane Osobowe przechowywane w wersji tradycyjnej (papierowej) lub elektronicznej (na zewnętrznych nośnikach np. pendrive, płyta CD/DVD, dyskietka) po zakończeniu pracy są przechowywane w miejscach zabezpieczonych przed dostępem nieupoważnionych osób trzecich; dodatkowo pracownik w razie opuszczania swojego stanowiska pracy zobowiązany jest do wylogowania się ze swojego komputera stacjonarnego/laptopa lub innego urządzenia mającego dostęp do Systemu Informatycznego,
    4. nieaktualne lub błędne wydruki zawierające Dane Osobowe niszczone są w sposób uniemożliwiający odczyt danych np. w niszczarkach,
    5. budynek, w którym mieszczą się pomieszczenia służące do przetwarzania Danych Osobowych posiada system alarmowy, system przeciwpożarowy , ochronę fizyczną całodobową, kontrolę wejścia/wyjścia (karty magnetyczne spersonalizowane), monitoring zewnętrzny i wewnętrzny, drzwi główne do budynku zamykane na klucz,
    6. pomieszczenia, w których przetwarzane są Dane Osobowe, zawierają dodatkowo następujące zabezpieczenia niezależne od zabezpieczeń całego budynku, o których mowa w literze poprzedzającej: drzwi zamykane na klucz, drzwi do firmy na karty magnetyczne.

 

  1. ŚRODKI TECHNICZNE

 

  • 1. Zabezpieczenia przed nieautoryzowanym dostępem do Bazy Danych Osobowych następuje poprzez:
    1. podłączenie urządzenia końcowego (komputera, terminala, drukarki) do Sieci Telekomunikacyjnej dokonywane jest przez Administratora lub osobę przez niego upoważnioną,
    2. udostępnianie każdemu Użytkownikowi zasobów Sieci Telekomunikacyjnej (programów i Bazy Danych Osobowych), następuje na podstawie upoważnienia do przetwarzania Danych Osobowych,
    3. identyfikacja każdego Użytkownika w Systemie Informatycznym następuje poprzez zastosowanie podwójnego uwierzytelnienia (tj. działania, którego celem jest weryfikacja deklarowanej tożsamości podmiotu korzystającego z Systemu Informatycznego),
    4. każdemu Użytkownikowi przysługuje przydzielenie indywidualnego Identyfikatora do korzystania z Systemu Informatycznego,
    5. udostępnianie kluczy od centrum przetwarzania Danych tylko upoważnionym pracownikom,
    6. stosowanie programu antywirusowego z zaporą antywłamaniową na wszystkich urządzeniach, na których dochodzi do przetwarzania Danych Osobowych,
    7. zabezpieczenie Hasłami kont na urządzeniach wskazanych w literze poprzedzającej oraz używanie kont z ograniczonymi uprawnieniami do ciągłej pracy,
    8. ustawienie monitorów stanowisk przetwarzania Danych Osobowych w sposób uniemożliwiający wgląd w Dane osobom nieupoważnionym.
  • 2. Zabezpieczenia przed nieautoryzowanym dostępem do Bazy Danych Osobowych poprzez Sieć Telekomunikacyjną:
    1. logiczne oddzielenie sieci lokalnej uniemożliwiające uzyskanie połączenia z Bazą Danych Osobowych spoza Systemu Informatycznego, jak również uzyskanie dostępu z Systemu Informatycznego do Sieci Telekomunikacyjnej publicznej,
    2. zastosowanie dwustopniowego zabezpieczenia Sieci Telekomunikacyjnej lokalnej:
      • lokalna brama sieciowa z zainstalowanym systemem typu firewall z funkcją analizy charakteru ruchu sieciowego, uniemożliwiającym nawiązanie połączenia do chronionych urządzeń i blokującym ruch o charakterystyce niepożądanej lub mogącej zostać uznanej za szkodliwą.
  • 3. Zabezpieczenia przed utratą Danych Osobowych w wyniku awarii:
    1. ochrona sprzętu komputerowego przed zanikiem zasilania poprzez stosowanie listw przepięciowych,
    2. ochrona przed utratą zgromadzonych Danych poprzez cykliczne wykonywanie kopii zapasowych, z których w przypadku awarii odtwarzane są Dane i system operacyjny (tzw. backupy),
    3. zapewnienie właściwej temperatury i wilgotności powietrza dla pracy sprzętu komputerowego,
    4. zwiększenie niezawodności serwerów i urządzeń sieciowych poprzez ich logiczne rozmieszczenie.

 

 

  1. NADAWANIA I ZMIANY UPRAWNIEŃ DO PRZETWARZANIA DANYCH

 

  • 1. Każdy Użytkownik Systemu Informatycznego przed przystąpieniem do przetwarzania Danych Osobowych musi zapoznać się z niniejszą Polityką oraz zobowiązuje się ją bezwzględnie stosować.

 

  • 3. Administrator Danych Osobowych lub osoba przez niego upoważniona przyznaje uprawnienia w zakresie dostępu do Systemu Informatycznego określając zakres uprawnień Użytkownika.
  • 4. Ewidencja osób upoważnionych do przetwarzania Danych Osobowych, wskazująca konkretnych Użytkowników dopuszczonych do przetwarzania Danych Osobowych w określonych zbiorach znajduje się Załączniku nr 4 do niniejszej Polityki.
  • 5. Administrator danych osobowych lub osoba przez niego upoważniona  zakładają konto Użytkownika w Systemie Informatycznym o odpowiednim Identyfikatorze i zabezpieczone Hasłem.
  • 6. Hasło uprawniające do korzystania z Systemu Informatycznego Użytkownik wpisuje osobiście.
  • 7. Konto zostaje zablokowane lub usunięte przez Administratora Danych Osobowych lub osobę przez niego upoważnioną.
  • 8. Hasła dostępu Użytkownika do Systemu Informatycznego stanowią tajemnice służbową znaną wyłącznie temu Użytkownikowi.
  • 9. Hasła, w stosunku do których zaistniało podejrzenie o ich ujawnieniu osobie nieuprawnionej, podlegają bezzwłocznej zmianie.
  • W celu zabezpieczenia awaryjnego dostępu do Systemu Informatycznego przetwarzającego Dane Osobowe, aktualne hasło Administratora Systemu posiada Administrator Danych Osobowych.
  • Pełne prawa Administratora Systemu posiada tylko Administrator Danych Osobowych lub osoba przez niego upoważniona.
  • Podczas nieobecności w firmie osoby upoważnionej do wykonywania obowiązków Administratora Systemu jego obowiązki wykonuje Administrator Danych Osobowych lub osoba przez niego upoważniona.

 

 

  1. REJESTROWANIE I USUWANIE UŻYTKOWNIKÓW Z EWIDENCJI OSÓB DOPUSZCZONYCH DO PRZETWARZANIA DANYCH OSOBOWYCH W SYSTEMIE INFORMATYCZNYM

 

  • 1. Osoba upoważniona przez Administratora Danych Osobowych do wykonywania obowiązków Administratora Systemu prowadzi w imieniu Administratora ewidencję osób dopuszczonych do przetwarzania Danych Osobowych w oparciu o wnioski Administratora o przyznanie lub modyfikację uprawnień.
  • 2. W przypadku otrzymania przez Administratora Systemu lub inną osobę upoważnioną przez którykolwiek z tych podmiotów wniosku o zablokowanie lub usunięcie konta Użytkownika w Systemie Informatycznym, jest on zobowiązany w trybie natychmiastowym odznaczyć ten fakt w Ewidencji osób upoważnionych do przetwarzania Danych Osobowych stanowiącej Załącznik nr 4 do niniejszej Polityki.
  • 3. Konto Użytkownika usuwa Administrator Systemu zgodnie ze szczegółowymi instrukcjami operacyjnymi specyficznymi dla danego Systemu Informatycznego.
  • 4. Usunięcie konta z Systemu Informatycznego następuje na wniosek Administratora Danych Osobowych lub innej upoważnionej osoby.

 

 

  1. ZASADY POSŁUGIWANIA SIĘ HASŁAMI

 

  • 1. Bezpośredni dostęp do Systemu Informatycznego może mieć miejsce wyłącznie po podaniu Identyfikatora Użytkownika i właściwego Hasła.
  • 2. Zmiana Haseł Użytkowników w Systemie Informatycznym jest wymuszana przez wspomniany System w odpowiednich odstępach czasu, nie rzadziej niż co 30 dni.
  • 3. Hasło Użytkownika powinno być zmieniane, szczególnie w sytuacjach, kiedy zaistnieje podejrzenie, iż jest ono znane osobom nieupoważnionym.
  • 4. Identyfikator Użytkownika nie może być zmieniany bez wyraźnej przyczyny, a po wyrejestrowaniu Użytkownika z Systemu Informatycznego nie może on zostać przydzielony innej osobie.
  • 5. Użytkownicy, w tym w szczególności pracownicy, są odpowiedzialni za zachowanie Poufności swoich Identyfikatorów i Haseł.
  • 6. Hasła Użytkowników utrzymuje się w tajemnicy również po upływie ich ważności.
  • 7. Hasło należy wprowadzać w sposób, który uniemożliwia innym osobom jego poznanie. W sytuacji, kiedy zachodzi podejrzenie, że osoba nieupoważniona poznała Hasło w sposób nieuprawniony, Użytkownik zobowiązany jest do natychmiastowej zmiany Hasła i poinformowania o zaistniałym fakcie Administratora Systemu.
  • 8. Przy wyborze Hasła obowiązują następujące zasady:
    1. minimalna długość Hasła to 8 znaków;
    2. zakazuje się stosować:
      • Haseł, które Użytkownik stosował uprzednio,
      • swojego Identyfikatora w jakiejkolwiek formie,
      • swojego imienia, drugiego imienia, nazwiska, przezwiska, pseudonimu w jakiejkolwiek formie, imion (w szczególności imion osób z najbliższej rodziny),
      • ogólnie dostępnych informacji o Użytkowniku (numer telefonu, numer rejestracyjny samochodu, numer PESEL itp.),
    3. należy stosować:
      • Hasła zwierające kombinacje liter (małych i dużych) i cyfr arabskich,
      • Hasła zawierające znaki specjalne: (.,();’@, #, & itp.), o ile System Informatyczny i oprogramowanie na to pozwala;
    4. zmiany Hasła nie wolno zlecać innym osobom.

 

 

  1. PROCEDURY ROZPOCZĘCIA, ZAWIESZENIA I ZAKOŃCZENIA PRACY W SYSTEMIE INFORMATYCZNYM

 

  • 1. Rozpoczęcie pracy w Systemie Informatycznym na komputerach Użytkowników wymaga zalogowania przy użyciu indywidualnego Identyfikatora oraz Hasła.
  • 2. Przed opuszczeniem stanowiska pracy należy zablokować stację roboczą lub wylogować się z oprogramowania i Systemu Informatycznego.
  • 3. Przed wyłączeniem komputera należy bezwzględnie zakończyć prace uruchomionych programów, wylogować się z Systemu Informatycznego.
  • 4. Niedopuszczalne jest wyłączanie komputera przed zamknięciem oprogramowania.

 

 

  1. PROCEDURY TWORZENIA KOPII ZAPASOWYCH

 

  • 1. Za systematyczne przygotowanie kopii bezpieczeństwa odpowiada Administrator Systemu pod nadzorem Administratora Danych Osobowych.
  • 2. Kopie bezpieczeństwa wykonywane codziennie są przez administrację serwera, na którym gromadzone są Dane, jeżeli do gromadzenia Danych dochodzi na tym serwerze.
  • 3. W przypadku konieczności przechowywania wydruków zawierających Dane Osobowe należy je przechowywać w miejscu uniemożliwiającym bezpośredni dostęp osobom nieuprawnionym. Wydruki, które zawierają Dane Osobowe i są przeznaczone do usunięcia, ulegają zniszczeniu w stopniu uniemożliwiającym ich odczytanie, przede wszystkim poprzez używanie niszczarek.

 

 

  1. SPOSÓB ZABEZPIECZENIA SYSTEMU INFORMATYCZNEGO PRZED WIRUSAMI I SZKODLIWYM OPROGRAMOWANIEM

 

  • 1. Na każdym stanowisku komputerowym musi być zainstalowane oprogramowanie antywirusowe z włączoną ochroną antywirusową i anty-spyware.
  • 2. Każdy e-mail wpływający na konta pocztowe musi być sprawdzony pod kątem występowania wirusów przez oprogramowanie antywirusowe.
  • 3. Definicje wzorców wirusów aktualizowane są nie rzadziej niż raz w tygodniu.
  • 4. Bezwzględnie zabrania się używania nośników niewiadomego pochodzenia.
  • 5. Bezwzględnie zabrania się pobierania z Sieci Telekomunikacyjnej plików niewiadomego pochodzenia.
  • 6. Administrator Systemu przeprowadza cykliczne kontrole antywirusowe na wszystkich komputerach, na których przetwarzane są Dane Osobowe, w tym co najmniej raz na jeden miesiąc.
  • 7. Kontrola antywirusowa przeprowadzana jest również na wybranym komputerze w przypadku zgłoszenia nieprawidłowości w funkcjonowaniu sprzętu komputerowego lub oprogramowania. W przypadku wykrycia wirusów komputerowych sprawdzane jest stanowisko komputerowe, na którym wirusa wykryto oraz wszystkie posiadane przez Użytkownika nośniki.

 

 

  1. ZASADY I SPOSÓB ODNOTOWYWANIA W SYSTEMIE INFORMACJI O UDOSTĘPNIENIU DANYCH OSOBOWYCH

 

  • 1. Dane Osobowe przetwarzane z użyciem Systemów Informatycznych mogą być udostępniane wyłącznie osobom uprawnionym wpisanym do ewidencji osób dopuszczonych do przetwarzania Danych Osobowych w Systemie Informatycznym.
  • 2. Udostępnianie Danych Osobowych nie może być realizowane drogą telefoniczną.
  • 3. System Informatyczny oraz aplikacje wykorzystywane do obsługi Bazy Danych Osobowych zapewniają odnotowanie informacji o przekazanych odbiorcom Danych i informacji. Zakres informacji powinien obejmować co najmniej dane odbiorcy, datę przekazania oraz zakres udostępnionych Danych.

 

 

  1. PROCEDURY WYKONYWANIA PRZEGLĄDÓW I KONSERWACJI SYSTEMU INFORMATYCZNEGO

 

  • Przeglądy i konserwacja urządzeń:
    1. przeglądy i konserwacja urządzeń wchodzących w skład Systemu Informatycznego powinny być wykonywane w terminach określonych przez producenta sprzętu,
    2. nieprawidłowości ujawnione w trakcie tych działań powinny być niezwłocznie usunięte, a ich przyczyny przeanalizowane, a o fakcie ujawnienia nieprawidłowości Administrator Systemu jest obowiązany zawiadomić Administratora Danych Osobowych.
  • Przegląd programów i narzędzi programowych składających się na System Informatyczny w tym m.in. konserwacja Bazy Danych Osobowych przeprowadzana jest zgodnie z zaleceniami twórców poszczególnych programów.
  • W przypadku przekazania do naprawy nośników informatycznych zawierających Dane Osobowe lub sprzętu komputerowego, którego nośniki mogą zawierać Dane Osobowe, należy wcześniej wskazać sposób usuwania (tj. zniszczenia, usunięcia Danych Osobowych lub taką ich modyfikację (w tym pseudonimizację), która nie pozwoli na ustalenie tożsamości osoby, której Dane dotyczą) Danych Osobowych z tych nośników.

 

  1. POŁĄCZENIE DO SIECI TELEKOMUNIKACYJNEJ

 

  • Połączenie do Sieci Telekomunikacyjnej jest realizowane poprzez sieć przewodową lub bezprzewodową z zastosowaniem następujących zasad ochrony:
    1. dostęp do Sieci Telekomunikacyjnej wymaga podania klucza składającego się z liter i cyfr oraz zezwolenia na zalogowanie się do Sieci przez Administratora Systemu,
    2. każdy komputer posiadający dostęp do Sieci Telekomunikacyjnej posiada oprogramowanie antywirusowe chroniące przed złośliwym oprogramowaniem (anty-spyware) oraz zaporę sieciową (firewall),
    3. osobie korzystającej z Sieci Telekomunikacyjnej zabrania się wchodzenia na strony niezgodne z prawem lub rozsiewające wirusy oraz programy szpiegujące (trojan, spyware).
  • Połączenie z Siecią Telekomunikacyjną publiczną zabezpieczone jest przez moduł firewall działający na routerze sieciowym.
  • Na każdym komputerze w Systemie Informatycznym działa osobny firewall.
  • Zabronione jest połączenie z Siecią Telekomunikacyjną z niedziałającym programem antywirusowym i firewallem lub ich brakiem.

 

 

  1. KORZYSTANIE Z KOMPUTERÓW I URZĄDZEŃ PRZENOŚNYCH

 

  • Administrator Danych Osobowych dopuszcza korzystanie z komputerów i urządzeń przenośnych, w tym tabletów oraz smartfonów.
  • Komputery przenośne (laptopy), używane do przetwarzania Danych Osobowych, zabezpieczone są podczas transportu oraz przechowywania przed dostępem do tych Danych osób nieuprawnionych, w szczególności:
    1. dostęp do komputerów przenośnych zabezpieczony jest przez Identyfikator i Hasło,
    2. nie zezwala się na używanie komputera przenośnego osobom nieupoważnionym do dostępu do Danych Osobowych,
    3. pliki z Danymi Osobowymi dostępne na komputerze przenośnym są zaszyfrowane bądź chronione hasłem.
  • Postanowienia punktu poprzedzającego stosuje się odpowiednio do urządzeń przenośnych, w tym tabletów i smartfonów, o których mowa w VI.12.1., przy czym zasady o których mowa w pkt. VI.5.8. mają zastosowanie w zakresie możliwości technicznych urządzenia przenośnego.

 

 

 

 

ROZDZIAŁ VII

POSTĘPOWANIE W PRZYPADKU NARUSZENIA OCHRONY DANYCH OSOBOWYCH

 

  1. W przypadku stwierdzenia naruszenia:
  1. zabezpieczenia Systemu Informatycznego,
  2. technicznego stanu urządzeń,
  3. zawartości zbiorów Danych Osobowych,
  4. jakości transmisji danych w Sieci Telekomunikacyjnej mogącej wskazywać na naruszenie zabezpieczeń tych Danych,
  5. innych zdarzeń mogących mieć wpływ na naruszenie ochrony Danych Osobowych (np. zalanie, pożar, kradzież itp.)

każda osoba zatrudniona lub współpracująca z Administratorem Danych Osobowych zobowiązana jest do niezwłocznego powiadomienia o tym fakcie Administratora Danych Osobowych i swojego bezpośredniego przełożonego.

  1. Po wykryciu zdarzeń określonych w punkcie poprzedzającym należy:
  1. niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków zaistniałego naruszenia, o ile istnieje taka możliwość, a następnie uwzględnić w działaniu również ustalenie przyczyn lub sprawców,
  2. rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia,
  3. zaniechać – o ile to możliwe – dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić udokumentowanie i analizę zdarzenia,
  4. podjąć stosowne działania, jeśli zaistniały przypadek jest określony w dokumentacji Systemu Informatycznego, aplikacji użytkowej lub innym właściwym dokumencie,
  5. zastosować się do innych instrukcji i regulaminów, jeżeli odnoszą się one do zaistniałego przypadku,
  6. nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia Administratora Danych Osobowych, jego przedstawiciela lub innej osoby upoważnionej, .
  1. Po przybyciu na miejsce naruszenia lub ujawnienia ochrony Danych Osobowych, Administrator Danych Osobowych, jego przedstawiciel lub osoba przez niego upoważniona:
  1. zapoznaje się z zaistniałą sytuacją i dokonuje wyboru metody dalszego postępowania mając na uwadze ewentualne zagrożenia dla prawidłowości pracy,
  2. może żądać dokładnej relacji z zaistniałego naruszenia od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem,
  3. jeżeli zachodzi taka potrzeba zleca usuniecie występujących naruszeń,
  4. jeżeli zachodzi taka potrzeba w terminie 72 godzin powiadamia PUODO o zaistniałym naruszeniu,
  5. jeżeli zachodzi taka potrzeba i nie występują przesłanki, które wykluczają konieczność powiadomienia, bez zbędnej zwłoki powiadamia osoby, których Dane dotyczą o wystąpieniu naruszenia.
  1. Administrator Danych Osobowych  lub osoba upoważniona przez którykolwiek z tych podmiotów dokumentuje zaistniały przypadek naruszenia sporządzając stosową notatkę w oparciu o przeprowadzone bezpośrednio czynności lub w oparciu o uzyskane informacje.
  2. Zaistniałe naruszenie może stać się przedmiotem szczegółowej analizy prowadzonej przez Administratora Danych Osobowych.
  3. Analiza, o której mowa w pkt VII.4. powinna zawierać wszechstronną ocenę zaistniałego naruszenia, wskazanie odpowiedzialnych, wnioski co do ewentualnych przedsięwzięć proceduralnych, organizacyjnych, kadrowych i technicznych, które powinny zapobiec podobnym naruszeniom w przyszłości.
  4. Wobec osoby, która w przypadku naruszenia zabezpieczeń Systemu Informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszej Polityce, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, wszczyna się postępowanie dyscyplinarne.
  5. Administrator Danych Osobowych, prowadzi Dokumentację naruszeń ochrony danych osobowych, zgodnie z Załącznikiem nr 5 do niniejszej Polityki Ochrony Danych Osobowych.

 

ROZDZIAŁ VIII

POSTANOWIENIA KOŃCOWE

 

Niniejsza Polityka Ochrony Danych Osobowych obowiązuje od dnia xxxxxxxxxxxxxxxxx Wszelkie zmiany procedur wynikających z niniejszej wymagają zatwierdzenia przez Administratora Danych Osobowych.

 

 

Spis Załączników:

 

  • Załącznik nr 1. Wykaz pomieszczeń, w których dopuszczalne jest przetwarzanie Danych Osobowych
  • Załącznik nr 2. Rejestr czynności przetwarzania Danych Osobowych.
  • Załącznik nr 3. Obowiązki pracownicze osób zatrudnionych przy przetwarzaniu Danych Osobowych
  • Załącznik nr 4. Ewidencja osób upoważnionych do przetwarzania Danych Osobowych
  • Załącznik nr 5. Dokumentacja naruszenia ochrony danych osobowych.
  • Załącznik nr 6. Obowiązek informacyjny RODO
  • Załącznik nr 7. Umowa Przetwarzania Danych Osobowych

 

 

 

Dodatkowe dokumenty:

  • Oświadczenie pracownika
  • Upoważnienie do przetwarzania danych osobowych

 

 

 

 

 

 

 

 

 

 

 

 

pl_PLPolish
en_GBEnglish pl_PLPolish