Twój dom
Projekty
FAQ
O nas
Blog
Galeria
Kontakt
Polityka prywatności
§ 1
1. Polityka reguluje zasady ochrony i przetwarzania danych osobowych w Budownictwie Stalowym Sp. z o.o.
2. Polityka służy zapewnieniu realizacji wymagań nakładanych przez:
1) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO).
2) a także innych przepisów prawa dotyczących przetwarzania danych osobowych.
3. Polityka obejmuje wszystkich pracowników, których obowiązki dotyczą przetwarzania danych osobowych.
4. Polityka obejmuje zasady ochrony danych osobowych przetwarzanych:
1) w postaci elektronicznej jak i na nośnikach papierowych.
2) w sposób zautomatyzowany lub manualnie.
3) jako część zbiorów danych, a także celem włączenia do zbioru danych.
§ 2
W treści Polityki stosowane są następujące definicje i pojęcia:
1) Administrator – podmiot, który ustala cele i sposoby przetwarzania danych osobowych, w tym przypadku Budownictwo Stalowe Sp. z o.o., w którego imieniu działa Prezes Zarządu.
2) Współadministrowanie – przypadek, w którym więcej niż jeden podmiot ustala cele i sposoby przetwarzania danych osobowych. W ramach tej współpracy współadministrowanie może być realizowane poprzez współpracę różnych podmiotów.
3) Podmiot przetwarzający – osoba fizyczna lub prawna, która przetwarza dane osobowe w imieniu administratora na podstawie umowy zawartej na piśmie lub w formie elektronicznej.
4) Powierzenie przetwarzania danych – zlecenie przetwarzania danych osobowych podmiotowi przetwarzającemu w drodze umowy zawartej na piśmie.
5) przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany: takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
6) dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”);
7) możliwa do zidentyfikowania osoba fizyczna – osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
8) zbiór danych – uporządkowany zestaw danych osobowych, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest scentralizowany czy rozproszony funkcjonalnie lub geograficznie;
9) odbiorca danych – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są uznawane za odbiorców;
10) strona trzecia – oznacza osobę fizyczną lub prawną, organ publiczny, podmiot przetwarzający, stronę, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe (np. pracownicy tych podmiotów);
11) ryzyko – pojęcie odnoszące się do oceny prawdopodobieństwa wystąpienia i wagi skutków wystąpienia zagrożenia naruszenia praw lub wolności osób fizycznych w danym kontekście przetwarzania;
12) poufność – rozumiana jako zapewnienie, że dane osobowe nie są ujawniane nieupoważnionym podmiotom lub osobom.
13) system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
14) ograniczenie przetwarzania – oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;
15) profilowanie – dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
16) pseudonimizacja – przetworzenie danych osobowych w taki sposób, by nie można ich już było przypisać konkretnej osobie, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje przechowywane są osobno i objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie;
17) zgoda osoby, której dane dotyczą – dobrowolne, konkretne, świadome i jednoznaczne wyrażenie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego przyzwala na przetwarzanie dotyczących jej danych osobowych; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie;
18) naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
OGÓLNE ZASADY PRZETWARZANIA DANYCH OSOBOWYCH
§ 3
1. Administrator podejmuje wszelkie niezbędne działania, aby przetwarzanie danych osobowych odbywało się z poszanowaniem praw i wolności osób, których dane dotyczą.
2. Obejmuje to w szczególności wprowadzenie zasad przetwarzania danych osobowych dotyczących:
1) pracowników;
2) klientów, lub potencjalnych klientów niebędących przedsiębiorcami (konsumentów);
3) pracowników klientów lub partnerów biznesowych, będących przedsiębiorcami;
4) osób odwiedzających stronę internetową Administratora;
5) innych osób, których dane osobowe może przetwarzać Administrator.
§ 4
Przetwarzanie danych osobowych musi odbywać się zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”), oznacza to odpowiednie zapewnienie (np. poprzez formalne regulowanie czynności przetwarzania, szkolenia pracowników, nadzór nad właściwą realizacją zadań, reagowanie na występujące nieprawidłowości), aby w toku przetwarzania danych:
1) zachowywać legalność przetwarzania regulowaną przez RODO, a także zgodność z pozostałymi przepisami regulującymi działalność Administratora w zakresie przetwarzania danych;
2) dokonywać przetwarzania danych w dobrej wierze, uczciwie, a także biorąc pod uwagę interesy i uzasadnione oczekiwania osób, której dane dotyczą;
3) realizować obowiązki dotyczące informowania osób, których dane dotyczą, a także umożliwienie realizacji ich uprawnień płynących z RODO. Wszelkie informacje i komunikaty związane z przetwarzaniem danych osobowych powinny być łatwo dostępne i zrozumiałe.
§ 5
1. Organizacja przetwarzania danych (dokonywana zarówno w postaci elektronicznej jak i dokumentów papierowych) powinna zapewniać:
1) zbieranie danych w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);
2) adekwatność, stosowny zakres danych oraz ograniczenie do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
3) prawidłowość i w razie potrzeby uaktualnianie; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
4) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
2. Pracownicy Administratora przetwarzający dane osobowe, odpowiednio do swoich zadań (np. komórka kadrowa za czynności przetwarzania związane ze sprawami kadrowymi, komórka sprzedaży za czynności dotyczące obsługi klientów, itp.) są zobowiązani na bieżąco przeglądać zbiory danych osobowych w celu uniknięcia przechowywania danych przez okres dłuższy niż jest to niezbędne.
§ 6
1. Przetwarzanie danych powinno się odbywać w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
2. W tym celu Administrator uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób, których dane dotyczą – odpowiednio do prawdopodobieństwa wystąpienia i ocenianej wagi zagrożenia – planuje i wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, a także wymaga gwarancji ich stosowania przez podmioty przetwarzające.
§ 7
Administrator stosuje mechanizmy umożliwiające wykazanie przestrzegania zasad („rozliczalność”), oznacza to:
1) wdrożenie środków (w tym Polityki, wewnętrznych procedur, innych aktów wewnętrznych) gwarantujących przestrzeganie przepisów o ochronie danych w związku z operacjami ich przetwarzania oraz
2) sporządzenie dokumentacji, która wskazuje, jakie środki podjęto, aby zapewnić przestrzeganie przepisów o ochronie danych osobowych.
ZAPEWNIENIE LEGALNOŚCI PRZETWARZANIA
§ 8
1. Organizując daną czynność przetwarzania należy uwzględnić zasadę zgodności z prawem przetwarzania danych osobowych.
2. Zapewnienie odpowiedniej legalności przetwarzania realizuje pracownik, którego obowiązki obejmują odpowiedzialność za daną czynność przetwarzania, np. komórka kadrowa za czynności przetwarzania związane ze sprawami kadrowymi, komórka sprzedaży za czynności dotyczące obsługi klientów, itp.).
3. Przetwarzanie danych osobowych przez Administratora jest zgodne z prawem wyłącznie w poniższych przypadkach i takim zakresie, w jakim spełniony jest co najmniej jeden z poniższych warunków:
1) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
2) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
3) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze;
4) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
5) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
§ 9
1. W przypadkach, gdy przetwarzanie odbywa się na podstawie zgody, fakt wyrażenia zgody musi być udokumentowany tak, aby Administrator był w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
2. Wyrażenie zgody przez osobę powinno nastąpić przed faktycznym rozpoczęciem przetwarzania danych w tym celu/celach.
3. Zapytanie o zgodę musi być wyrażone w zrozumiałej, łatwo dostępnej formie, jasnym i prostym językiem, a także stanowić odrębną od innych oświadczeń deklarację.
4. Za wyrażenie zgody nie uznaje się m.in. milczenia osoby, braku sprzeciwu, niepodjęcia przez nią działań oraz zaznaczania domyślnie okienek wyboru w systemie informatycznym.
5. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
6. Uzależnianie wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy jest zabronione.
§ 10
1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
2. Wyłączenie zawarte w ust.1 nie dotyczy sytuacji, gdy:
1) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo przewiduje, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
2) przetwarzanie dokonywane jest w celu wypełnienia obowiązków i wykonywania szczególnych praw przez Administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej;
3) innych sytuacjach wymienionych w art. 9 ust. 2 RODO.
§ 11
1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji Administratora, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.
2. Prawo wymienione w ust. 1 nie ma zastosowania, jeżeli ta decyzja:
1) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a Administratorem;
2) jest dozwolona prawem, które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
3) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
3. Decyzje Administratora, o których mowa w ust. 2, nie mogą opierać się na danych wrażliwych (objętych art. 9 ust. 1 RODO), chyba że zastosowano na zgodą osoby, której dane dotyczą (art. 9 ust. 2 lit. a) RODO) i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.
4. W przypadkach, o których mowa w ust. 2 pkt 1) i 2), należy wdrażać właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony Administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.
REALIZACJA PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ
§ 12
1. Osobie, której dane dotyczą przysługuje prawo do informacji. Organizując daną czynność przetwarzania należy uwzględnić realizację obowiązków w zakresie przejrzystego informowania i przejrzystej komunikacji z osobą, której dane dotyczą.
2. Zapewnienie przejrzystości informowania i komunikacji realizuje pracownik, którego obowiązki obejmują odpowiedzialność za organizację danej czynności przetwarzania, np. komórka kadrowa za czynności przetwarzania związane ze sprawami kadrowymi, komórka sprzedaży za czynności dotyczące obsługi klientów, itp.).
3. Należy wdrożyć procedury i wzorce dokumentów tak, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem, udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 RODO (informacje podawane w przypadku zbierania danych), oraz prowadzić z nią wszelką komunikację w sprawie przetwarzania na mocy art. 15–22 (informacje przekazywane w ramach realizacji praw przysługujących osobie, której dane dotyczą) i art. 34 (zawiadamianie osoby, której dane dotyczą o naruszeniu ochrony danych).
4. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacje można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.
5. W przypadku uzasadnionych wątpliwości co do tożsamości osoby fizycznej składającej żądanie, o którym mowa w art. 15–21 RODO, Administrator może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.
6. Informacje podawane przez Administratora na mocy art. 13 i 14 RODO oraz komunikacja i działania podejmowane na mocy art. 15–22 i 34 RODO są wolne od opłat. Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, Administrator może:
1) pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; albo
2) odmówić podjęcia działań w związku z żądaniem.
§ 13
1. W przypadku zbierania danych od osoby, której dane dotyczą należy zapewnić podczas pozyskiwania danych podanie następujących informacji:
1) nazwę Administratora i dane kontaktowe (siedzibę, adres),
2) dane kontaktowe inspektora ochrony danych, o ile został wyznaczony,
3) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
4) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) RODO – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
5) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
6) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
7) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
8) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
9) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO (zgoda na przetwarzanie) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
10) informacje o prawie wniesienia skargi do organu nadzorczego;
11) informacje, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
12) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
2. W przypadkach, gdy Administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 1.
3. Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie wniesienia sprzeciwu, o którym mowa w § 13 ust. 9, oraz przedstawia się je jasno i odrębnie od wszelkich innych informacji.
4. Wymagania objęte zapisami ust. 1 i 2 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.
5. Informacje objęte ust. 1 przekazuje, stosując odpowiednie wzory pracownik, którego obowiązki obejmują realizację czynności przetwarzania, np. komórka kadrowa w zakresie przetwarzania związanego ze sprawami kadrowymi, komórka sprzedaży w zakresie czynności dotyczących obsługi klientów, itp.).
§ 14
1. W przypadku zbierania danych nie od osoby, której dane dotyczą należy zapewnić podanie osobie, której dane dotyczą informacji:
1) nazwę Administratora i dane kontaktowe (siedzibę, adres),
2) dane kontaktowe inspektora ochrony danych, o ile został wyznaczony,
3) cele przetwarzania, oraz podstawę prawną przetwarzania;
4) kategorie odnośnych danych osobowych;
5) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
6) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku...
7) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
8) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) (prawnie usprawiedliwiony cel)– prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
9) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
10) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) (zgoda na przetwarzanie) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
11) informacje o prawie wniesienia skargi do organu nadzorczego;
12) źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
13) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
2. Informacje zawarte w ust.1 Administrator podaje:
1) w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
2) jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
3) jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
3. Jeżeli Administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 1.
4. Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie wniesienia sprzeciwu, o którym mowa w § 9 ust. 5, oraz przedstawia się je jasno i odrębnie od wszelkich innych informacji.
5. Stosowanie ust. 1–3 nie ma zastosowania, gdy – i w zakresie, w jakim:
1) osoba, której dane dotyczą, dysponuje już tymi informacjami;
2) udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; pozyskiwanie lub ujawnianie jest wyraźnie uregulowane, lub
3) dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie, w tym ustawowym obowiązkiem zachowania tajemnicy.
6. Informacje objęte ust. 1 przekazuje, stosując odpowiednie wzory pracownik, którego obowiązki obejmują realizację czynności przetwarzania, np. komórka kadrowa w zakresie przetwarzania związanego ze sprawami kadrowymi, komórka sprzedaży w zakresie czynności dotyczących obsługi klientów, itp.).
§ 15
1. Osoba, której dane dotyczą, jest uprawniona do uzyskania od Administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji (prawo dostępu do danych lub otrzymania kopii danych):
1) cele przetwarzania;
2) kategorie odnośnych danych osobowych;
3) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
4) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
5) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
6) informacje o prawie wniesienia skargi do organu nadzorczego;
7) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
8) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
2. Jeżeli dane osobowe są przekazywane przez Administratora do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, o których mowa w art. 46 RODO, związanych z przekazaniem.
3. Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, Administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.
4. Prawo do uzyskania kopii, o której mowa w ust. 3, nie może niekorzystnie wpływać na prawa i wolności innych osób.
5. Informacje objęte ust. 1 i kopię danych przekazuje, pracownik, którego obowiązki obejmują realizację czynności przetwarzania, np. komórka kadrowa w zakresie przetwarzania związanego ze sprawami kadrowymi, komórka sprzedaży w zakresie czynności dotyczących obsługi klientów, itp.), po dokonaniu odpowiedniej identyfikacji osoby składającej wniosek, a także uzyskaniu zgody Administratora.
6. Decyzję o udzieleniu informacji w imieniu Administratora podejmuje Wspólnik.
§ 16
1. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. f) RODO (prawnie usprawiedliwiony interes Administratora), w tym profilowania na podstawie tych przepisów (prawo do sprzeciwu).
2. Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów.
3. Administrator ma prawo odmowy uwzględnienia sprzeciwu po dokonaniu analizy, czy szczególna sytuacja osoby, której dane dotyczą, ma charakter nadrzędny wobec prawnie uzasadnionych podstaw do przetwarzania. W takim przypadku Administrator wyjaśni przyczyny, dla których uważa, że interesy, prawa i wolności tej osoby, nie mają charakteru nadrzędnego.
4. W razie braku możliwości odmowy realizacji sprzeciwu Administrator nie może już przetwarzać tych danych osobowych.
5. Wniosek dotyczący sprzeciwu realizuje pracownik, którego obowiązki obejmują realizację czynności przetwarzania, np. komórka kadrowa w zakresie przetwarzania związanego ze sprawami kadrowymi, komórka sprzedaży w zakresie czynności dotyczących obsługi klientów, itp.), po dokonaniu odpowiedniej identyfikacji osoby składającej wniosek, a także uzyskaniu zgody Administratora.
6. Decyzję dotyczącą rozpatrzenia sprzeciwu podejmuje w imieniu Administratora Wspólnik.
§ 17
1. Osoba, której dane dotyczą, ma prawo żądania od Administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia (prawo do sprostowania).
2. Administrator informuje o sprostowaniu danych osobowych, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.
3. Wniosek dotyczący sprostowania danych realizuje pracownik, którego obowiązki obejmują realizację czynności przetwarzania, np. komórka kadrowa w zakresie przetwarzania związanego ze sprawami kadrowymi, komórka sprzedaży w zakresie czynności dotyczących obsługi klientów, itp.).
§ 18
1. Osoba, której dane dotyczą, ma prawo żądania od Administratora niezwłocznego usunięcia dotyczących jej danych osobowych (prawo do bycia zapomnianym), a Administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli:
1) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane lub
2) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO i nie ma innej podstawy prawnej przetwarzania,
3) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 (prawo do sprzeciwu) wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą,
4) wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania (prawo do sprzeciwu w związku z marketingiem bezpośrednim);
5) dane osobowe były przetwarzane niezgodnie z prawem;
6) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega Administrator;
7) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.
2. Obowiązek realizacji prawa do bycia zapomnianym nie obowiązuje Administratora w sytuacji, gdy dalsze przetwarzanie jest niezbędne do:
1) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega Administrator;
2) do ustalenia, dochodzenia lub obrony roszczeń;
3) innych wymienionych w art. 17 ust 3 RODO.
3. Po usunięciu danych Administrator jest uprawniony do zachowania informacji o tym, czyj i jaki wniosek wykonał. W tym celu może przetwarzać w szczególności imię i nazwisko, PESEL, adres wnioskodawcy, adres poczty elektronicznej, numer telefonu oraz informacje o zakresie usuniętych danych i terminie ich usunięcia.
4. Usunięcie danych następuje poprzez ich zniszczenie lub anonimizację.
5. Wniosek dotyczący prawa do bycia zapomnianym realizuje pracownik, którego obowiązki obejmują realizację czynności przetwarzania, np. komórka kadrowa w zakresie przetwarzania związanego ze sprawami kadrowymi, komórka sprzedaży w zakresie czynności dotyczących obsługi klientów, itp.), po dokonaniu odpowiedniej identyfikacji.
6. Administrator informuje o usunięciu danych osobowych, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.
7. Decyzję dotyczącą rozpatrzenia usunięcia danych zgodnie z prawem do bycia zapomnianym podejmuje w imieniu Administratora Wspólnik.
§ 19
1. Osoba, której dane dotyczą, ma prawo żądania od Administratora ograniczenia przetwarzania w przypadkach:
1) kwestionowania prawidłowości danych osobowych – na okres pozwalający Administratorowi sprawdzić prawidłowość tych danych;
2) przetwarzania niezgodnego z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
3) Administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
4) osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
2. Jeżeli na mocy ust. 1 przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.
3. Przed uchyleniem ograniczenia przetwarzania Administrator informuje o tym osobę, której dane dotyczą, która żądała ograniczenia na mocy ust. 1.
4. Wniosek dotyczący prawa ograniczenia przetwarzania realizuje pracownik, którego obowiązki obejmują realizację czynności przetwarzania, np. komórka kadrowa w zakresie przetwarzania związanego ze sprawami kadrowymi, komórka sprzedaży w zakresie czynności dotyczących obsługi klientów, itp.), po dokonaniu odpowiedniej identyfikacji.
5. Administrator informuje o ograniczeniu przetwarzania danych osobowych, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.
6. Decyzję dotyczącą rozpatrzenia ograniczenia przetwarzania podejmuje w imieniu Administratora Wspólnik.
§ 20
1. Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła Administratorowi oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony Administratora, któremu dostarczono te dane osobowe (prawo do przenoszenia danych), jeżeli:
1) przetwarzanie odbywa się na podstawie zgody w myśl art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO lub na podstawie umowy w myśl art. 6 ust. 1 lit. b) RODO (zgoda osoby); oraz
2) przetwarzanie odbywa się w sposób zautomatyzowany.
2. Wykonując prawo do przenoszenia danych na mocy ust. 1, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.
3. Wykonanie prawa, o którym mowa w ust. 1 pozostaje bez uszczerbku dla art. 17 RODO.
4. Prawo, o którym mowa w ust. 1, nie może niekorzystnie wpływać na prawa i wolności innych.
5. Wniosek dotyczący prawa do przenoszenia danych realizuje pracownik, którego obowiązki obejmują realizację czynności przetwarzania, np. komórka kadrowa w zakresie przetwarzania związanego ze sprawami kadrowymi, komórka sprzedaży w zakresie czynności dotyczących obsługi klientów, itp.), po dokonaniu odpowiedniej identyfikacji osoby składającej wniosek, rozpatrzeniu zasadności, a także uzyskaniu zgody Administratora.
6. Decyzję dotyczącą rozpatrzenia wniosku o przeniesienie danych podejmuje w imieniu Administratora Wspólnik.
OBOWIĄZKI PRACOWNIKÓW
§ 21
Każdy pracownik przetwarzający dane osobowe jest zobowiązany do:
1) przestrzegania zasad określonych w Polityce, pozostałych procedurach oraz aktach wewnętrznych dotyczących przetwarzania danych osobowych,
2) zgłoszenia do Wspólnika każdego przypadku naruszenia ochrony danych osobowych lub uzasadnionym podejrzeniu takiego naruszenia,
3) otrzymania wniosku o udzielenie informacji, żądania zaprzestania przetwarzania danych osobowych lub ograniczenia przetwarzania danych osobowych, sprzeciwu wobec przetwarzania danych osobowych, wniosku o przeniesienie danych osobowych,
4) uczestniczenia w szkoleniach organizowanych przez Administratora, dotyczących przetwarzania danych osobowych (nie rzadziej niż raz na dwa lata lub w przypadku istotnych zmian w tym zakresie),
5) zachowania w tajemnicy, również po ustaniu zatrudnienia, wszelkich danych osobowych oraz sposobie ich zabezpieczenia.
§ 22
Za organizację i zapewnienie odpowiedniego bezpieczeństwa przetwarzania danych osobowych odpowiada pracownik, którego obowiązki obejmują odpowiedzialność za organizację danej czynności przetwarzania, np. komórka kadrowa odpowiada za bezpieczeństwo czynności przetwarzania związane ze sprawami kadrowymi, komórka sprzedaży za bezpieczeństwo czynności dotyczących obsługi klientów, itp.).
REJESTROWANIE CZYNNOŚCI I KATEGORII CZYNNOŚCI PRZETWARZANIA
§ 23
1. Administrator prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiada.
2. W rejestrze tym zamieszcza się co najmniej następujące informacje:
1) nazwę oraz dane kontaktowe Administratora oraz wszelkich współadministrowanych, a także tam, gdzie ma to zastosowanie, przedstawiciela Administratora i inspektora ochrony danych, o ile został wyznaczony;
2) cele przetwarzania;
3) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
4) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
5) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń;
6) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
7) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
8) Rejestr, o którym mowa w ust. 2, ma formę pisemną, w tym formę elektroniczną.
3. Rejestr jest prowadzony pisemnie.
4. Administrator udostępnia rejestr na żądanie organu nadzorczego.
§ 24
1. Administrator prowadzi rejestr kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu innych administratorów (czynności przetwarzania powierzonych Administratorowi na podstawie umów).
2. W rejestrze tym zamieszcza się co najmniej następujące informacje:
a) dane kontaktowe Administratora jako podmiotu przetwarzającego, inspektora ochrony danych w razie jego wyznaczenia;
b) dane kontaktowe każdego administratora, w imieniu którego działa Administrator jako podmiot przetwarzający, oraz inspektora ochrony danych administratora w razie jego wyznaczenia;
c) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
d) gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
e) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
3. Rejestr jest prowadzony pisemnie.
4. Administrator udostępnia rejestr na żądanie organu nadzorczego.
BEZPIECZEŃSTWO PRZETWARZANIA
§ 25
1. Administrator realizuje swoje obowiązki związane z zabezpieczeniem danych osobowych stosując podejście oparte o ryzyko.
2. Dokonując oceny, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
3. Wynik oceny ryzyka służy zaprojektowaniu, wdrożeniu oraz aktualizacji środków organizacyjnych i technicznych służących zapewnieniu bezpieczeństwa danych osobowych.
4. Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.
5. Jeżeli ocena skutków dla ochrony danych, o której mowa w ust 3 wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby Administrator nie zastosował środków w celu zminimalizowania tego ryzyka, przed rozpoczęciem przetwarzania Administrator konsultuje się z organem nadzorczym, na zasadach określonych w art. 36 RODO.
§ 26
1. Środki organizacyjne i techniczne, o których mowa w § 25 ust. 3, obejmują:
1) wdrożenie Polityki ochrony danych osobowych, procedur i innych aktów wewnętrznych dotyczących organizacji i sposobu przetwarzania danych;
2) tam gdzie to zasadne pseudonimizację i szyfrowanie danych osobowych;
3) wdrożenie środków dla uzyskania zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania;
4) wdrożenie środków niezbędnych do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
5) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
2. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
§ 27
1. Administrator ponadto wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane (szczególnie w systemach informatycznych) były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.
2. Obowiązek ten odnosi się do:
1) ilości zbieranych danych osobowych,
2) zakresu ich przetwarzania,
3) okresu ich przechowywania oraz
4) ich dostępności.
3. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.
§ 28
1. Administrator podejmuje działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia Administratora, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie Administratora.
2. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie pracownicy posiadający upoważnienie nadane przez Administratora. Nadania upoważnienia do przetwarzania danych dokonuje w imieniu Administratora Wspólnik, może to następować na wniosek przełożonego pracownika lub na podstawie obowiązków służbowych pracownika.
3. Prowadzona jest ewidencja pracowników upoważnionych do przetwarzania danych, zawierająca:
1) imię i nazwisko osoby upoważnionej,
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych.
4. Wzór ewidencji znajduje się w Załączniku nr 5.
PRZETWARZANIE DANYCH PRZEZ PODMIOTY PRZETWARZAJĄCE
§ 29
1. Jeżeli przetwarzanie ma być dokonywane w imieniu Administratora przez podmioty przetwarzające, muszą one zapewniać wystarczającą gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO, innych przepisów prawa i chroniło prawa osób, których dane dotyczą.
2. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora (podzlecanie, podpowierzenie).
3. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
§ 30
Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy wiążącej podmiot przetwarzający i Administratora, określającej przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorię osób, których dane dotyczą, obowiązki i prawa Administratora. Umowa i sposób przetwarzania w szczególności spełnić musi wymogi zawarte art. 28 RODO.
ZGŁASZANIE NARUSZEŃ OCHRONY DANYCH OSOBOWYCH
§ 31
1. Za naruszenie ochrony danych uznaje się każdą sytuację wywołującą prawdopodobieństwo naruszenia praw lub wolności osób fizycznych. W szczególności do naruszenia mogą prowadzić w szczególności następujące sytuacje:
1) utrata poufności danych osobowych będących następstwem:
a) wycieku danych (bez udziału osób postronnych) z powodu błędnego działania systemu informatycznego, zdarzeń losowych / środowiskowych, błędu ludzkiego, niezasadnego ujawnienia danych,
b) kradzieży danych.
2) utrata lub brak dostępności danych osobowych uniemożliwiająca wykonanie zobowiązania Administratora wobec osób fizycznych,
3) naruszenia integralności danych osobowych niosącego ryzyko błędnego wykonania zobowiązania Administratora wobec osób fizycznych.
2. Pracownicy Administratora są zobowiązani do zgłaszania naruszeń ochrony danych do Wspólnika.
3. W przypadku naruszenia ochrony danych osobowych, gdy występuje większe niż małe prawdopodobieństwo, że naruszenie to skutkowałoby ryzykiem naruszenia praw lub wolności osób fizycznych Administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu w trybie wymienionym w Ustawie o ochronie danych osobowych.
4. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Jeżeli – i w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki.
5. Zgłoszenie, o którym mowa w ust. 3, musi co najmniej:
1) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
2) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych, w razie jego wyznaczenia lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
3) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
4) opisywać środki zastosowane lub proponowane przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
6. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu na weryfikację przestrzegania RODO – w tym celu prowadzony jest rejestr naruszeń (incydentów).
7. Zgłoszenie w imieniu Administratora dokonuje Wspólnik.
§ 31
1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
2. Zawiadomienie, o którym mowa w ust. 1, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej:
1) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych, w razie jego wyznaczenia lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
2) opisuje możliwe konsekwencje naruszenia ochrony danych osobowych;
3) opisuje środki zastosowane lub proponowane przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
3. Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach:
1) Administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
2) Administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;
3) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
4. Jeżeli Administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 2.
1. Polityka reguluje zasady ochrony i przetwarzania danych osobowych w Budownictwie Stalowym Sp. z o.o.
2. Polityka służy zapewnieniu realizacji wymagań nakładanych przez:
1) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO).
2) a także innych przepisów prawa dotyczących przetwarzania danych osobowych.
3. Polityka obejmuje wszystkich pracowników, których obowiązki dotyczą przetwarzania danych osobowych.
4. Polityka obejmuje zasady ochrony danych osobowych przetwarzanych:
1) w postaci elektronicznej jak i na nośnikach papierowych.
2) w sposób zautomatyzowany lub manualnie.
3) jako część zbiorów danych, a także celem włączenia do zbioru danych.
§ 2
W treści Polityki stosowane są następujące definicje i pojęcia:
1) Administrator – podmiot, który ustala cele i sposoby przetwarzania danych osobowych, w tym przypadku Budownictwo Stalowe Sp. z o.o., w którego imieniu działa Prezes Zarządu.
2) Współadministrowanie – przypadek, w którym więcej niż jeden podmiot ustala cele i sposoby przetwarzania danych osobowych. W ramach tej współpracy współadministrowanie może być realizowane poprzez współpracę różnych podmiotów.
3) Podmiot przetwarzający – osoba fizyczna lub prawna, która przetwarza dane osobowe w imieniu administratora na podstawie umowy zawartej na piśmie lub w formie elektronicznej.
4) Powierzenie przetwarzania danych – zlecenie przetwarzania danych osobowych podmiotowi przetwarzającemu w drodze umowy zawartej na piśmie.
5) przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany: takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
6) dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”);
7) możliwa do zidentyfikowania osoba fizyczna – osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
8) zbiór danych – uporządkowany zestaw danych osobowych, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest scentralizowany czy rozproszony funkcjonalnie lub geograficznie;
9) odbiorca danych – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są uznawane za odbiorców;
10) strona trzecia – oznacza osobę fizyczną lub prawną, organ publiczny, podmiot przetwarzający, stronę, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe (np. pracownicy tych podmiotów);
11) ryzyko – pojęcie odnoszące się do oceny prawdopodobieństwa wystąpienia i wagi skutków wystąpienia zagrożenia naruszenia praw lub wolności osób fizycznych w danym kontekście przetwarzania;
12) poufność – rozumiana jako zapewnienie, że dane osobowe nie są ujawniane nieupoważnionym podmiotom lub osobom.
13) system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
14) ograniczenie przetwarzania – oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;
15) profilowanie – dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
16) pseudonimizacja – przetworzenie danych osobowych w taki sposób, by nie można ich już było przypisać konkretnej osobie, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje przechowywane są osobno i objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie;
17) zgoda osoby, której dane dotyczą – dobrowolne, konkretne, świadome i jednoznaczne wyrażenie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego przyzwala na przetwarzanie dotyczących jej danych osobowych; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie;
18) naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
OGÓLNE ZASADY PRZETWARZANIA DANYCH OSOBOWYCH
§ 3
1. Administrator podejmuje wszelkie niezbędne działania, aby przetwarzanie danych osobowych odbywało się z poszanowaniem praw i wolności osób, których dane dotyczą.
2. Obejmuje to w szczególności wprowadzenie zasad przetwarzania danych osobowych dotyczących:
1) pracowników;
2) klientów, lub potencjalnych klientów niebędących przedsiębiorcami (konsumentów);
3) pracowników klientów lub partnerów biznesowych, będących przedsiębiorcami;
4) osób odwiedzających stronę internetową Administratora;
5) innych osób, których dane osobowe może przetwarzać Administrator.
§ 4
Przetwarzanie danych osobowych musi odbywać się zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”), oznacza to odpowiednie zapewnienie (np. poprzez formalne regulowanie czynności przetwarzania, szkolenia pracowników, nadzór nad właściwą realizacją zadań, reagowanie na występujące nieprawidłowości), aby w toku przetwarzania danych:
1) zachowywać legalność przetwarzania regulowaną przez RODO, a także zgodność z pozostałymi przepisami regulującymi działalność Administratora w zakresie przetwarzania danych;
2) dokonywać przetwarzania danych w dobrej wierze, uczciwie, a także biorąc pod uwagę interesy i uzasadnione oczekiwania osób, której dane dotyczą;
3) realizować obowiązki dotyczące informowania osób, których dane dotyczą, a także umożliwienie realizacji ich uprawnień płynących z RODO. Wszelkie informacje i komunikaty związane z przetwarzaniem danych osobowych powinny być łatwo dostępne i zrozumiałe.
§ 5
1. Organizacja przetwarzania danych (dokonywana zarówno w postaci elektronicznej jak i dokumentów papierowych) powinna zapewniać:
1) zbieranie danych w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);
2) adekwatność, stosowny zakres danych oraz ograniczenie do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
3) prawidłowość i w razie potrzeby uaktualnianie; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
4) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
2. Pracownicy Administratora przetwarzający dane osobowe, odpowiednio do swoich zadań (np. komórka kadrowa za czynności przetwarzania związane ze sprawami kadrowymi, komórka sprzedaży za czynności dotyczące obsługi klientów, itp.) są zobowiązani na bieżąco przeglądać zbiory danych osobowych w celu uniknięcia przechowywania danych przez okres dłuższy niż jest to niezbędne.
§ 6
1. Przetwarzanie danych powinno się odbywać w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
2. W tym celu Administrator uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób, których dane dotyczą – odpowiednio do prawdopodobieństwa wystąpienia i ocenianej wagi zagrożenia – planuje i wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, a także wymaga gwarancji ich stosowania przez podmioty przetwarzające.
§ 7
Administrator stosuje mechanizmy umożliwiające wykazanie przestrzegania zasad („rozliczalność”), oznacza to:
1) wdrożenie środków (w tym Polityki, wewnętrznych procedur, innych aktów wewnętrznych) gwarantujących przestrzeganie przepisów o ochronie danych w związku z operacjami ich przetwarzania oraz
2) sporządzenie dokumentacji, która wskazuje, jakie środki podjęto, aby zapewnić przestrzeganie przepisów o ochronie danych osobowych.
ZAPEWNIENIE LEGALNOŚCI PRZETWARZANIA
§ 8
1. Organizując daną czynność przetwarzania należy uwzględnić zasadę zgodności z prawem przetwarzania danych osobowych.
2. Zapewnienie odpowiedniej legalności przetwarzania realizuje pracownik, którego obowiązki obejmują odpowiedzialność za daną czynność przetwarzania, np. komórka kadrowa za czynności przetwarzania związane ze sprawami kadrowymi, komórka sprzedaży za czynności dotyczące obsługi klientów, itp.).
3. Przetwarzanie danych osobowych przez Administratora jest zgodne z prawem wyłącznie w poniższych przypadkach i takim zakresie, w jakim spełniony jest co najmniej jeden z poniższych warunków:
1) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
2) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
3) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze;
4) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
5) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
§ 9
1. W przypadkach, gdy przetwarzanie odbywa się na podstawie zgody, fakt wyrażenia zgody musi być udokumentowany tak, aby Administrator był w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
2. Wyrażenie zgody przez osobę powinno nastąpić przed faktycznym rozpoczęciem przetwarzania danych w tym celu/celach.
3. Zapytanie o zgodę musi być wyrażone w zrozumiałej, łatwo dostępnej formie, jasnym i prostym językiem, a także stanowić odrębną od innych oświadczeń deklarację.
4. Za wyrażenie zgody nie uznaje się m.in. milczenia osoby, braku sprzeciwu, niepodjęcia przez nią działań oraz zaznaczania domyślnie okienek wyboru w systemie informatycznym.
5. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
6. Uzależnianie wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy jest zabronione.
§ 10
1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
2. Wyłączenie zawarte w ust.1 nie dotyczy sytuacji, gdy:
1) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo przewiduje, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
2) przetwarzanie dokonywane jest w celu wypełnienia obowiązków i wykonywania szczególnych praw przez Administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej;
3) innych sytuacjach wymienionych w art. 9 ust. 2 RODO.
§ 11
1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji Administratora, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.
2. Prawo wymienione w ust. 1 nie ma zastosowania, jeżeli ta decyzja:
1) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a Administratorem;
2) jest dozwolona prawem, które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
3) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
3. Decyzje Administratora, o których mowa w ust. 2, nie mogą opierać się na danych wrażliwych (objętych art. 9 ust. 1 RODO), chyba że zastosowano na zgodą osoby, której dane dotyczą (art. 9 ust. 2 lit. a) RODO) i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.
4. W przypadkach, o których mowa w ust. 2 pkt 1) i 2), należy wdrażać właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony Administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.
REALIZACJA PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ
§ 12
1. Osobie, której dane dotyczą przysługuje prawo do informacji. Organizując daną czynność przetwarzania należy uwzględnić realizację obowiązków w zakresie przejrzystego informowania i przejrzystej komunikacji z osobą, której dane dotyczą.
2. Zapewnienie przejrzystości informowania i komunikacji realizuje pracownik, którego obowiązki obejmują odpowiedzialność za organizację danej czynności przetwarzania, np. komórka kadrowa za czynności przetwarzania związane ze sprawami kadrowymi, komórka sprzedaży za czynności dotyczące obsługi klientów, itp.).
3. Należy wdrożyć procedury i wzorce dokumentów tak, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem, udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 RODO (informacje podawane w przypadku zbierania danych), oraz prowadzić z nią wszelką komunikację w sprawie przetwarzania na mocy art. 15–22 (informacje przekazywane w ramach realizacji praw przysługujących osobie, której dane dotyczą) i art. 34 (zawiadamianie osoby, której dane dotyczą o naruszeniu ochrony danych).
4. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacje można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.
5. W przypadku uzasadnionych wątpliwości co do tożsamości osoby fizycznej składającej żądanie, o którym mowa w art. 15–21 RODO, Administrator może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.
6. Informacje podawane przez Administratora na mocy art. 13 i 14 RODO oraz komunikacja i działania podejmowane na mocy art. 15–22 i 34 RODO są wolne od opłat. Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, Administrator może:
1) pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; albo
2) odmówić podjęcia działań w związku z żądaniem.
§ 13
1. W przypadku zbierania danych od osoby, której dane dotyczą należy zapewnić podczas pozyskiwania danych podanie następujących informacji:
1) nazwę Administratora i dane kontaktowe (siedzibę, adres),
2) dane kontaktowe inspektora ochrony danych, o ile został wyznaczony,
3) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
4) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) RODO – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
5) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
6) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
7) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
8) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
9) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO (zgoda na przetwarzanie) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
10) informacje o prawie wniesienia skargi do organu nadzorczego;
11) informacje, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
12) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
2. W przypadkach, gdy Administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 1.
3. Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie wniesienia sprzeciwu, o którym mowa w § 13 ust. 9, oraz przedstawia się je jasno i odrębnie od wszelkich innych informacji.
4. Wymagania objęte zapisami ust. 1 i 2 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.
5. Informacje objęte ust. 1 przekazuje, stosując odpowiednie wzory pracownik, którego obowiązki obejmują realizację czynności przetwarzania, np. komórka kadrowa w zakresie przetwarzania związanego ze sprawami kadrowymi, komórka sprzedaży w zakresie czynności dotyczących obsługi klientów, itp.).
§ 14
1. W przypadku zbierania danych nie od osoby, której dane dotyczą należy zapewnić podanie osobie, której dane dotyczą informacji:
1) nazwę Administratora i dane kontaktowe (siedzibę, adres),
2) dane kontaktowe inspektora ochrony danych, o ile został wyznaczony,
3) cele przetwarzania, oraz podstawę prawną przetwarzania;
4) kategorie odnośnych danych osobowych;
5) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
6) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku...
7) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
8) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) (prawnie usprawiedliwiony cel)– prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
9) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
10) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) (zgoda na przetwarzanie) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
11) informacje o prawie wniesienia skargi do organu nadzorczego;
12) źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
13) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
2. Informacje zawarte w ust.1 Administrator podaje:
1) w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
2) jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
3) jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
3. Jeżeli Administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 1.
4. Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie wniesienia sprzeciwu, o którym mowa w § 9 ust. 5, oraz przedstawia się je jasno i odrębnie od wszelkich innych informacji.
5. Stosowanie ust. 1–3 nie ma zastosowania, gdy – i w zakresie, w jakim:
1) osoba, której dane dotyczą, dysponuje już tymi informacjami;
2) udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; pozyskiwanie lub ujawnianie jest wyraźnie uregulowane, lub
3) dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie, w tym ustawowym obowiązkiem zachowania tajemnicy.
6. Informacje objęte ust. 1 przekazuje, stosując odpowiednie wzory pracownik, którego obowiązki obejmują realizację czynności przetwarzania, np. komórka kadrowa w zakresie przetwarzania związanego ze sprawami kadrowymi, komórka sprzedaży w zakresie czynności dotyczących obsługi klientów, itp.).
§ 15
1. Osoba, której dane dotyczą, jest uprawniona do uzyskania od Administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji (prawo dostępu do danych lub otrzymania kopii danych):
1) cele przetwarzania;
2) kategorie odnośnych danych osobowych;
3) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
4) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
5) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
6) informacje o prawie wniesienia skargi do organu nadzorczego;
7) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
8) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
2. Jeżeli dane osobowe są przekazywane przez Administratora do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, o których mowa w art. 46 RODO, związanych z przekazaniem.
3. Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, Administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.
4. Prawo do uzyskania kopii, o której mowa w ust. 3, nie może niekorzystnie wpływać na prawa i wolności innych osób.
5. Informacje objęte ust. 1 i kopię danych przekazuje, pracownik, którego obowiązki obejmują realizację czynności przetwarzania, np. komórka kadrowa w zakresie przetwarzania związanego ze sprawami kadrowymi, komórka sprzedaży w zakresie czynności dotyczących obsługi klientów, itp.), po dokonaniu odpowiedniej identyfikacji osoby składającej wniosek, a także uzyskaniu zgody Administratora.
6. Decyzję o udzieleniu informacji w imieniu Administratora podejmuje Wspólnik.
§ 16
1. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. f) RODO (prawnie usprawiedliwiony interes Administratora), w tym profilowania na podstawie tych przepisów (prawo do sprzeciwu).
2. Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów.
3. Administrator ma prawo odmowy uwzględnienia sprzeciwu po dokonaniu analizy, czy szczególna sytuacja osoby, której dane dotyczą, ma charakter nadrzędny wobec prawnie uzasadnionych podstaw do przetwarzania. W takim przypadku Administrator wyjaśni przyczyny, dla których uważa, że interesy, prawa i wolności tej osoby, nie mają charakteru nadrzędnego.
4. W razie braku możliwości odmowy realizacji sprzeciwu Administrator nie może już przetwarzać tych danych osobowych.
5. Wniosek dotyczący sprzeciwu realizuje pracownik, którego obowiązki obejmują realizację czynności przetwarzania, np. komórka kadrowa w zakresie przetwarzania związanego ze sprawami kadrowymi, komórka sprzedaży w zakresie czynności dotyczących obsługi klientów, itp.), po dokonaniu odpowiedniej identyfikacji osoby składającej wniosek, a także uzyskaniu zgody Administratora.
6. Decyzję dotyczącą rozpatrzenia sprzeciwu podejmuje w imieniu Administratora Wspólnik.
§ 17
1. Osoba, której dane dotyczą, ma prawo żądania od Administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia (prawo do sprostowania).
2. Administrator informuje o sprostowaniu danych osobowych, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.
3. Wniosek dotyczący sprostowania danych realizuje pracownik, którego obowiązki obejmują realizację czynności przetwarzania, np. komórka kadrowa w zakresie przetwarzania związanego ze sprawami kadrowymi, komórka sprzedaży w zakresie czynności dotyczących obsługi klientów, itp.).
§ 18
1. Osoba, której dane dotyczą, ma prawo żądania od Administratora niezwłocznego usunięcia dotyczących jej danych osobowych (prawo do bycia zapomnianym), a Administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli:
1) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane lub
2) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO i nie ma innej podstawy prawnej przetwarzania,
3) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 (prawo do sprzeciwu) wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą,
4) wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania (prawo do sprzeciwu w związku z marketingiem bezpośrednim);
5) dane osobowe były przetwarzane niezgodnie z prawem;
6) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega Administrator;
7) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.
2. Obowiązek realizacji prawa do bycia zapomnianym nie obowiązuje Administratora w sytuacji, gdy dalsze przetwarzanie jest niezbędne do:
1) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega Administrator;
2) do ustalenia, dochodzenia lub obrony roszczeń;
3) innych wymienionych w art. 17 ust 3 RODO.
3. Po usunięciu danych Administrator jest uprawniony do zachowania informacji o tym, czyj i jaki wniosek wykonał. W tym celu może przetwarzać w szczególności imię i nazwisko, PESEL, adres wnioskodawcy, adres poczty elektronicznej, numer telefonu oraz informacje o zakresie usuniętych danych i terminie ich usunięcia.
4. Usunięcie danych następuje poprzez ich zniszczenie lub anonimizację.
5. Wniosek dotyczący prawa do bycia zapomnianym realizuje pracownik, którego obowiązki obejmują realizację czynności przetwarzania, np. komórka kadrowa w zakresie przetwarzania związanego ze sprawami kadrowymi, komórka sprzedaży w zakresie czynności dotyczących obsługi klientów, itp.), po dokonaniu odpowiedniej identyfikacji.
6. Administrator informuje o usunięciu danych osobowych, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.
7. Decyzję dotyczącą rozpatrzenia usunięcia danych zgodnie z prawem do bycia zapomnianym podejmuje w imieniu Administratora Wspólnik.
§ 19
1. Osoba, której dane dotyczą, ma prawo żądania od Administratora ograniczenia przetwarzania w przypadkach:
1) kwestionowania prawidłowości danych osobowych – na okres pozwalający Administratorowi sprawdzić prawidłowość tych danych;
2) przetwarzania niezgodnego z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
3) Administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
4) osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
2. Jeżeli na mocy ust. 1 przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.
3. Przed uchyleniem ograniczenia przetwarzania Administrator informuje o tym osobę, której dane dotyczą, która żądała ograniczenia na mocy ust. 1.
4. Wniosek dotyczący prawa ograniczenia przetwarzania realizuje pracownik, którego obowiązki obejmują realizację czynności przetwarzania, np. komórka kadrowa w zakresie przetwarzania związanego ze sprawami kadrowymi, komórka sprzedaży w zakresie czynności dotyczących obsługi klientów, itp.), po dokonaniu odpowiedniej identyfikacji.
5. Administrator informuje o ograniczeniu przetwarzania danych osobowych, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.
6. Decyzję dotyczącą rozpatrzenia ograniczenia przetwarzania podejmuje w imieniu Administratora Wspólnik.
§ 20
1. Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła Administratorowi oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony Administratora, któremu dostarczono te dane osobowe (prawo do przenoszenia danych), jeżeli:
1) przetwarzanie odbywa się na podstawie zgody w myśl art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO lub na podstawie umowy w myśl art. 6 ust. 1 lit. b) RODO (zgoda osoby); oraz
2) przetwarzanie odbywa się w sposób zautomatyzowany.
2. Wykonując prawo do przenoszenia danych na mocy ust. 1, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.
3. Wykonanie prawa, o którym mowa w ust. 1 pozostaje bez uszczerbku dla art. 17 RODO.
4. Prawo, o którym mowa w ust. 1, nie może niekorzystnie wpływać na prawa i wolności innych.
5. Wniosek dotyczący prawa do przenoszenia danych realizuje pracownik, którego obowiązki obejmują realizację czynności przetwarzania, np. komórka kadrowa w zakresie przetwarzania związanego ze sprawami kadrowymi, komórka sprzedaży w zakresie czynności dotyczących obsługi klientów, itp.), po dokonaniu odpowiedniej identyfikacji osoby składającej wniosek, rozpatrzeniu zasadności, a także uzyskaniu zgody Administratora.
6. Decyzję dotyczącą rozpatrzenia wniosku o przeniesienie danych podejmuje w imieniu Administratora Wspólnik.
OBOWIĄZKI PRACOWNIKÓW
§ 21
Każdy pracownik przetwarzający dane osobowe jest zobowiązany do:
1) przestrzegania zasad określonych w Polityce, pozostałych procedurach oraz aktach wewnętrznych dotyczących przetwarzania danych osobowych,
2) zgłoszenia do Wspólnika każdego przypadku naruszenia ochrony danych osobowych lub uzasadnionym podejrzeniu takiego naruszenia,
3) otrzymania wniosku o udzielenie informacji, żądania zaprzestania przetwarzania danych osobowych lub ograniczenia przetwarzania danych osobowych, sprzeciwu wobec przetwarzania danych osobowych, wniosku o przeniesienie danych osobowych,
4) uczestniczenia w szkoleniach organizowanych przez Administratora, dotyczących przetwarzania danych osobowych (nie rzadziej niż raz na dwa lata lub w przypadku istotnych zmian w tym zakresie),
5) zachowania w tajemnicy, również po ustaniu zatrudnienia, wszelkich danych osobowych oraz sposobie ich zabezpieczenia.
§ 22
Za organizację i zapewnienie odpowiedniego bezpieczeństwa przetwarzania danych osobowych odpowiada pracownik, którego obowiązki obejmują odpowiedzialność za organizację danej czynności przetwarzania, np. komórka kadrowa odpowiada za bezpieczeństwo czynności przetwarzania związane ze sprawami kadrowymi, komórka sprzedaży za bezpieczeństwo czynności dotyczących obsługi klientów, itp.).
REJESTROWANIE CZYNNOŚCI I KATEGORII CZYNNOŚCI PRZETWARZANIA
§ 23
1. Administrator prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiada.
2. W rejestrze tym zamieszcza się co najmniej następujące informacje:
1) nazwę oraz dane kontaktowe Administratora oraz wszelkich współadministrowanych, a także tam, gdzie ma to zastosowanie, przedstawiciela Administratora i inspektora ochrony danych, o ile został wyznaczony;
2) cele przetwarzania;
3) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
4) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
5) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń;
6) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
7) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
8) Rejestr, o którym mowa w ust. 2, ma formę pisemną, w tym formę elektroniczną.
3. Rejestr jest prowadzony pisemnie.
4. Administrator udostępnia rejestr na żądanie organu nadzorczego.
§ 24
1. Administrator prowadzi rejestr kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu innych administratorów (czynności przetwarzania powierzonych Administratorowi na podstawie umów).
2. W rejestrze tym zamieszcza się co najmniej następujące informacje:
a) dane kontaktowe Administratora jako podmiotu przetwarzającego, inspektora ochrony danych w razie jego wyznaczenia;
b) dane kontaktowe każdego administratora, w imieniu którego działa Administrator jako podmiot przetwarzający, oraz inspektora ochrony danych administratora w razie jego wyznaczenia;
c) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
d) gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
e) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
3. Rejestr jest prowadzony pisemnie.
4. Administrator udostępnia rejestr na żądanie organu nadzorczego.
BEZPIECZEŃSTWO PRZETWARZANIA
§ 25
1. Administrator realizuje swoje obowiązki związane z zabezpieczeniem danych osobowych stosując podejście oparte o ryzyko.
2. Dokonując oceny, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
3. Wynik oceny ryzyka służy zaprojektowaniu, wdrożeniu oraz aktualizacji środków organizacyjnych i technicznych służących zapewnieniu bezpieczeństwa danych osobowych.
4. Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.
5. Jeżeli ocena skutków dla ochrony danych, o której mowa w ust 3 wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby Administrator nie zastosował środków w celu zminimalizowania tego ryzyka, przed rozpoczęciem przetwarzania Administrator konsultuje się z organem nadzorczym, na zasadach określonych w art. 36 RODO.
§ 26
1. Środki organizacyjne i techniczne, o których mowa w § 25 ust. 3, obejmują:
1) wdrożenie Polityki ochrony danych osobowych, procedur i innych aktów wewnętrznych dotyczących organizacji i sposobu przetwarzania danych;
2) tam gdzie to zasadne pseudonimizację i szyfrowanie danych osobowych;
3) wdrożenie środków dla uzyskania zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania;
4) wdrożenie środków niezbędnych do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
5) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
2. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
§ 27
1. Administrator ponadto wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane (szczególnie w systemach informatycznych) były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.
2. Obowiązek ten odnosi się do:
1) ilości zbieranych danych osobowych,
2) zakresu ich przetwarzania,
3) okresu ich przechowywania oraz
4) ich dostępności.
3. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.
§ 28
1. Administrator podejmuje działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia Administratora, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie Administratora.
2. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie pracownicy posiadający upoważnienie nadane przez Administratora. Nadania upoważnienia do przetwarzania danych dokonuje w imieniu Administratora Wspólnik, może to następować na wniosek przełożonego pracownika lub na podstawie obowiązków służbowych pracownika.
3. Prowadzona jest ewidencja pracowników upoważnionych do przetwarzania danych, zawierająca:
1) imię i nazwisko osoby upoważnionej,
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych.
4. Wzór ewidencji znajduje się w Załączniku nr 5.
PRZETWARZANIE DANYCH PRZEZ PODMIOTY PRZETWARZAJĄCE
§ 29
1. Jeżeli przetwarzanie ma być dokonywane w imieniu Administratora przez podmioty przetwarzające, muszą one zapewniać wystarczającą gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO, innych przepisów prawa i chroniło prawa osób, których dane dotyczą.
2. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora (podzlecanie, podpowierzenie).
3. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
§ 30
Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy wiążącej podmiot przetwarzający i Administratora, określającej przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorię osób, których dane dotyczą, obowiązki i prawa Administratora. Umowa i sposób przetwarzania w szczególności spełnić musi wymogi zawarte art. 28 RODO.
ZGŁASZANIE NARUSZEŃ OCHRONY DANYCH OSOBOWYCH
§ 31
1. Za naruszenie ochrony danych uznaje się każdą sytuację wywołującą prawdopodobieństwo naruszenia praw lub wolności osób fizycznych. W szczególności do naruszenia mogą prowadzić w szczególności następujące sytuacje:
1) utrata poufności danych osobowych będących następstwem:
a) wycieku danych (bez udziału osób postronnych) z powodu błędnego działania systemu informatycznego, zdarzeń losowych / środowiskowych, błędu ludzkiego, niezasadnego ujawnienia danych,
b) kradzieży danych.
2) utrata lub brak dostępności danych osobowych uniemożliwiająca wykonanie zobowiązania Administratora wobec osób fizycznych,
3) naruszenia integralności danych osobowych niosącego ryzyko błędnego wykonania zobowiązania Administratora wobec osób fizycznych.
2. Pracownicy Administratora są zobowiązani do zgłaszania naruszeń ochrony danych do Wspólnika.
3. W przypadku naruszenia ochrony danych osobowych, gdy występuje większe niż małe prawdopodobieństwo, że naruszenie to skutkowałoby ryzykiem naruszenia praw lub wolności osób fizycznych Administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu w trybie wymienionym w Ustawie o ochronie danych osobowych.
4. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Jeżeli – i w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki.
5. Zgłoszenie, o którym mowa w ust. 3, musi co najmniej:
1) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
2) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych, w razie jego wyznaczenia lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
3) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
4) opisywać środki zastosowane lub proponowane przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
6. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu na weryfikację przestrzegania RODO – w tym celu prowadzony jest rejestr naruszeń (incydentów).
7. Zgłoszenie w imieniu Administratora dokonuje Wspólnik.
§ 31
1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
2. Zawiadomienie, o którym mowa w ust. 1, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej:
1) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych, w razie jego wyznaczenia lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
2) opisuje możliwe konsekwencje naruszenia ochrony danych osobowych;
3) opisuje środki zastosowane lub proponowane przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
3. Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach:
1) Administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
2) Administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;
3) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
4. Jeżeli Administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 2.