Polityka Ochrony Danych Osobowych oraz Bezpiecze艅stwa System贸w Informacji

馃搫 Polityka Ochrony Danych

Niniejszy dokument zosta艂 stworzony dla MarketingExpert Kamil Dzia艂o

z siedzib膮 w Le偶ajsk przy ul. Borki 19a

zarejestrowan膮 pod numerem NIP:聽 8161711472 (zwan膮 dalej: Administratorem).

Spis tre艣ci

1. Terminologia 聽 4

1.1. Wst臋p聽 4

1.2. Podstawy stworzenia dokumentu聽 4

1.3. Systemy Informacyjne jako wyznacznik poziomu bezpiecze艅stwa biznesu聽 5

1.4. Zagro偶enia w zakresie bezpiecze艅stwa IT聽 5

1.5. G艂贸wne cele bezpiecze艅stwa system贸w IT聽 5

2. Prezentacja polityki bezpiecze艅stwa 聽 7

2.1. Cel聽 7

2.2. Zasady bezpiecze艅stwa przy podej艣ciu globalnym 聽 7

2.3. Projektowanie bezpiecze艅stwa danych przez Administratora聽 7

2.4. Schemat zastosowania聽 8

2.5. Przegl膮d polityki bezpiecze艅stwa system贸w informacji 8

3. Podstawowe cele BEZPIECZE艃STWA 聽 8

3.1. Kultura bezpiecze艅stwa聽 8

3.2. Rozporz膮dzenie dotycz膮ce danych Klienta聽 9

3.3. Kontrola dost臋pu i zezwolenia聽 9

3.4. Umo偶liwienie 艣ledzenia operacji 9

4. Polityka Ochrony danych osobowych 聽 10

4.1. Ochrona danych osobowych u Administratora 鈥 procedury ochrony. 10

4.1.1. Podstawy ochrony danych osobowych: 10

4.1.2. Zasady ochrony danych聽 11

4.1.3. Stosowane systemy ochrony danych聽 11

4.2. INWENTARYZACJA 聽 13

4.2.1. Dane szczeg贸lnych kategorii i dane karne聽 13

4.2.2. Dane niezidentyfikowane聽 13

4.2.3. Profilowanie聽 14

4.2.4. Wsp贸艂administrowanie聽 14

4.3. REJESTR CZYNNO艢CI PRZETWARZANIA DANYCH (DALEJ: 鈥濺CPD鈥) 14

4.4. PODSTAWY PRAWNE PRZETWARZANIA 聽 15

4.5. PROCEDURY OBS艁UGI PRAW JEDNOSTKI I OBOWI膭ZK脫W INFORMACYJNYCH 聽 15

4.6. OBOWI膭ZKI INFORMACYJNE聽 16

4.7. 呕膭DANIA OS脫B FIZYCZNYCH, KT脫RYCH DANE PRZETWARZA ADMINISTRATOR 聽 17

4.8. MINIMALIZACJA PRZETWARZANIA DANYCH 聽 20

4.8.1. Minimalizacja dost臋pu do danych osobowych聽 20

4.8.2. Minimalizacja czasu przetwarzania danych聽 20

4.8.3. Minimalizacja zakresu przetwarzania danych聽 20

4.9. BEZPIECZE艃STWO PRZETWARZANIA DANYCH PRZEZ ADMINISTRATORA 聽 21

4.9.1. Analizy ryzyka聽 21

4.9.1. Oceny skutk贸w dla ochrony danych聽 22

4.9.2. 艢rodki bezpiecze艅stwa podejmowane przez Administratora聽 22

4.9.3. Raportowanie narusze艅聽 22

4.10. PODMIOTY PRZETWARZAJ膭CE DANE OSOBOWE (TZW. 鈥濸ROCESORY鈥 LUB 鈥濸ODMIOTY PRZETWARZAJ膭CE鈥) 22

4.11. PRZESY艁ANIE DANYCH DO PA艃STW TRZECICH 聽 23

4.12. PROJEKTOWANIE PRYWATNO艢CI 23

5. Klasyfikacja dokument贸w 23

5.1. W艂asno艣膰, aktualizacja i przegl膮d聽 23

聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽

1.Terminologia

1.1. 聽 聽 聽 聽 Wst臋p

Niniejszy dokument, zatytu艂owany 鈥濸olityka ochrony danych osobowych oraz Bezpiecze艅stwa System贸w Informacji鈥 (dalej: 鈥濸olityka鈥) stanowi map臋 wymog贸w, zasad i regulacji ochrony danych osobowych jak te偶 bezpiecze艅stwa informacji w systemach u偶ywanych przez Administratora. Polityka stanowi opis zabezpieczania system贸w informacji Administratora, jak r贸wnie偶 polityk臋 ochrony danych osobowych w rozumieniu rozporz膮dzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os贸b fizycznych w zwi膮zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep艂ywu takich danych oraz uchylenia dyrektywy 95/46/WE (og贸lne rozporz膮dzenie o ochronie danych, dalej: 鈥濺ODO鈥).

1.2. Podstawy stworzenia dokumentu 聽 聽 聽 聽 聽 聽 聽 聽 聽 聽 聽 聽 聽 聽 聽 聽 聽 聽 聽 聽 聽 聽 聽 聽 聽

Administrator, wype艂niaj膮cy we wskazany w niniejszym dokumencie spos贸b swoje obowi膮zki na艂o偶one na niego przez聽 RODO jak r贸wnie偶 przepisy wprowadzaj膮ce RODO do polskiego porz膮dku prawnego, to w rozumieniu wy偶ej wskazanych akt贸w prawnych r贸wnie偶:

聽 聽 聽 聽 wsp贸艂pracownicy Administratora,

聽 聽 聽 聽 procesy biznesowe i metody pracy Administratora,

聽 聽 聽 聽 wiedza o Klientach Administratora,

聽 聽 聽 聽 partnerzy biznesowi Administratora i jego relacje z nimi.

Zaufanie pomi臋dzy Klientami a nasz膮 firm膮 i wsp贸艂pracownikami oraz nasze dziedzictwo to elementy, kt贸re sprawiaj膮, 偶e warto艣膰 Administratora wyr贸偶nia nas i tworzy nasz膮 to偶samo艣膰, odzwierciedla nasz膮 kultur臋. Naszym obowi膮zkiem jest ich ochrona.

1.3. Systemy Informacyjne jako wyznacznik poziomu bezpiecze艅stwa biznesu

Systemy informatyczne rozwijaj膮 si臋 coraz bardziej ka偶dego dnia, u艂atwiaj膮 wymian臋 informacji. Z tych powod贸w Systemy Informatyczne Administratora sta艂y si臋 g艂贸wnym narz臋dziem w:

– rozwoju i dzieleniu si臋 naszym dziedzictwem, co pozwala nam by膰 bardziej dynamicznymi i skutecznymi;

– tworzeniu i utrzymaniu z naszymi Klientami i pracownikami relacji trwa艂ych i godnych zaufania, umo偶liwia to zapewnienie wysokiej wydajno艣ci oraz zapewnienie us艂ug dostosowanych do potrzeb i zwyczaj贸w ka偶dego cz艂owieka.

Nasz system IT聽 jest kluczowym czynnikiem w rozwoju naszego dziedzictwa i rozwoju pe艂nego zaufania Klient贸w.

Jednak jeste艣my 艣wiadomi, 偶e w dzisiejszych czasach nasze systemy IT podlegaj膮 wszelkiego rodzaju zagro偶eniom, kt贸re w razie wyst膮pienia incydentu mog膮 mie膰 negatywne konsekwencje dla naszej dzia艂alno艣ci, w zwi膮zku z czym dochowujemy nale偶ytej staranno艣ci by chroni膰 je w odpowiedni spos贸b i codziennie stawia膰 czo艂a nowym wyzwaniom w tym zakresie jak r贸wnie偶 d膮偶y膰 do nieustannego zwi臋kszania bezpiecze艅stwa u偶ywanych przez nas system贸w informatycznych.

1.4. Zagro偶enia w zakresie bezpiecze艅stwa IT

Poziom ryzyka zwi膮zanego z bezpiecze艅stwem IT jest ustalany na podstawie globalnej strategicznej mapy ryzyka. G艂贸wnymi zagro偶eniami bezpiecze艅stwa IT s膮:

– niezdolno艣膰 Systemu Informacji w momencie krytycznym dla biznesu;

– niezdolno艣膰 do wykrywania nadu偶y膰 wewn臋trznych w systemach informatycznych;

– b艂臋dy decyzyjne z powodu b艂臋dnych danych finansowych;

– utrata danych lub ujawnienie zapis贸w danych Klienta;

– utrata przewagi konkurencyjnej w wyniku wycieku danych;

Nasze dziedzictwo i systemy informacji, kt贸re wspieraj膮 nasze krytyczne procesy biznesowe s膮 uwzgl臋dnione w zagro偶eniach bezpiecze艅stwa.

1.5. G艂贸wne cele bezpiecze艅stwa system贸w IT

Tak, aby unikn膮膰 ryzyka, musimy chroni膰 nasze wra偶liwe systemy informacyjne w praktyce. Strategia ta jest zawarta w Polityce Bezpiecze艅stwa System贸w Informacji i odnosi si臋 do g艂贸wnych cel贸w bezpiecze艅stwa, kt贸re maj膮 na celu zmniejszenie ryzyka na akceptowalnym poziomie.

G艂贸wne cele bezpiecze艅stwa s膮 opisane szczeg贸艂owo w rozdziale 4 niniejszego dokumentu.

Polityka Ochrony Danych Osobowych i Bezpiecze艅stwa System贸w Informacji jest podstawowym dokumentem bezpiecze艅stwa korporacyjnego Administratora, dostosowanym do strategicznych zagro偶e艅 i dokumentem sp贸jnym z RODO.

2. Prezentacja polityki bezpiecze艅stwa

2.1. Cel

Polityka Ochrony Danych Osobowych i Bezpiecze艅stwa System贸w Informacji Administratora ma na celu聽 inspirowanie, zach臋canie i zwi臋kszanie zaufania w艣r贸d u偶ytkownik贸w (wsp贸艂pracownik贸w, Klient贸w, partner贸w) w systemach informacji i 艣wiadczonych us艂ugach.

2.2. Zasady bezpiecze艅stwa przy podej艣ciu globalnym

Maj膮c na my艣li globalne bezpiecze艅stwo system贸w informacyjnych Administratora, wyr贸偶niamy nast臋puj膮ce zasady motywowania:

– realizm: polityka bezpiecze艅stwa IT zbudowana jest krok po kroku, dostosowana do poziomu wielko艣ci Administratora, d膮偶膮c przy tym do stopniowej poprawy (podej艣cie dynamiczne),

– pragmatyzm: rozwi膮zania (zasady, 艣rodki, procedury) s膮 stosowane w taki spos贸b, aby znale藕膰 odpowiedni kompromis pomi臋dzy efektywno艣ci膮, prostot膮 i kontrol膮 koszt贸w, koncentruj膮c si臋 na obs艂udze klienta,

– odpowiedzialno艣膰: organizacja systemu zarz膮dzania bezpiecze艅stwem jest dostosowana do Administratora, autonomiczna i odpowiedzialna, dzia艂aj膮ca w synergii wsp贸lnego interesu,

– sp贸jno艣膰: dzia艂ania os贸b wsp贸艂pracuj膮cych z Administratorem s膮 zgodne z bezpiecze艅stwem, obowi膮zuj膮cym na terenie dzia艂alno艣ci Administratora z uwzgl臋dnieniem poprawy wsp贸艂pracy i wsp贸lnej wizji (globalne podej艣cie),

– przewidywanie: wi臋ksze bezpiecze艅stwo przewidywania (w projektach IT, definicjach us艂ug, tworzeniu nowych projekt贸w lub ich ewolucji), bardziej okre艣lone dzia艂ania i aplikacje mog膮 by膰 dostosowane skutecznie i trwale,

2.3. Projektowanie bezpiecze艅stwa danych przez Administratora

Architektura bezpiecze艅stwa Administratora jest oparta na wzorcowym dokumencie odniesienia. Wzorzec ten sk艂ada si臋 z:

– niniejszego dokumentu, kt贸ry okre艣la strategiczne punkty powi膮zane z bezpiecze艅stwem u Administratora i prze艂o偶enie ich na fundamentalne cele: stanowi podstawy we wszystkich聽 kwestiach bezpiecze艅stwa Administratora;

– standard贸w bezpiecze艅stwa definiuj膮cych stopnie bezpiecze艅stwa, kt贸re b臋d膮 osi膮gane przez realizacj臋 podstawowych cel贸w bezpiecze艅stwa okre艣lonych przez Administratora i to na r贸偶ne sposoby, w tym przy u偶yciu narz臋dzi i najlepszych praktyk znanych Administratorowi;

– procedur i tryb贸w operacyjnych opisuj膮cych technicznie sposoby wdro偶enia 艣rodk贸w bezpiecze艅stwa.

Ta architektura bezpiecze艅stwa jest wdro偶ona u Administratora i przyjmuje ona form臋 Polityki Ochrony Danych Osobowych i Bezpiecze艅stwa System贸w Informacji tak, aby umo偶liwi膰 realizacj臋 konkretnych cel贸w.

2.4. Schemat zastosowania

Niniejszy dokument odnosi si臋 do wszystkich system贸w informacyjnych, u偶ywanych przez Administratora, w tym w szczeg贸lno艣ci do:

– wszystkich wsp贸艂pracownik贸w Administratora;

– wszystkich partner贸w (przedsi臋biorcy, w tym sp贸艂ki handlowe, us艂ugodawcy, podwykonawcy);

– wszystkich proces贸w i aplikacji;

– wszystkich komponent贸w system贸w informatycznych (komputery biurowe, laptopy, smartfony, tablety, itp).

2.5. Przegl膮d polityki bezpiecze艅stwa system贸w informacji

W celu zapewnienia jej sta艂ej przydatno艣ci, adekwatno艣ci i skuteczno艣ci, Polityka Ochrony Danych Osobowych i Bezpiecze艅stwa System贸w Informacji Administratora jest uaktualniana co dwa lata, lub w przypadku istotnych zmian przy procesie ponownej oceny jej zasadno艣ci i w procesie okre艣lenia ryzyk strategicznych.

3. Podstawowe cele BEZPIECZE艃STWA

3.1. Kultura bezpiecze艅stwa

Osoby wsp贸艂pracuj膮ce z Administratorem s膮 g艂贸wnymi elementami w systemach bezpiecze艅stwa informacji. To oni stanowi膮 trzon w strategii bezpiecze艅stwa. Jednak ich dzia艂ania mog膮 r贸wnie偶 prowadzi膰 do powa偶nych wypadk贸w z powodu nieznajomo艣ci ryzyka i nieprzestrzegania najlepszych praktyk.

W konsekwencji tego, powinien by膰 realizowany program informacyjny i szkoleniowy tak, aby szerzy膰 kultur臋 bezpiecze艅stwa u wszystkich pracownik贸w Administratora z uwzgl臋dnieniem os贸b trzecich (partner贸w, podwykonawc贸w, itd.) przez ca艂y okres sp臋dzony u Administratora i na wyje藕dzie.

3.2. Regulacje prawne dotycz膮ce danych Klienta

Systemy informatyczne s膮 przedmiotem licznych regulacji prawnych (o ochronie danych osobowych, ochrony informacji finansowej) lub przepis贸w o ochronie informacji (p艂atno艣膰 kart膮 kredytow膮).

Regulacje prawne nie s膮 opcj膮, lecz obowi膮zkiem. W zwi膮zku z tym, monitorowanie regulacyjne odnosz膮ce si臋 do bezpiecze艅stwa IT musi by膰 zgodne z lokalnymi przepisami prawnymi. Doradztwa w zakresie wymog贸w prawnych nale偶y szuka膰 u radc贸w prawnych.

Co wi臋cej, w systemach informacji musz膮 by膰 stosowane wszystkie niezb臋dne 艣rodki bezpiecze艅stwa uwzgl臋dniaj膮ce wymogi regulacyjne.

3.3. Kontrola dost臋pu i zezwolenia

System Informacji przechowuje wi臋kszo艣膰 danych, co wi臋cej, niekt贸re informacje s膮 w wi臋kszym stopniu ni偶 inne nara偶one na wyciek ze wzgl臋du na swoj膮 tre艣膰, ale r贸wnie偶 ze wzgl臋du na nieustannie zmieniaj膮ce si臋 zagro偶enia informatyczne. Niekt贸re spo艣r贸d tych danych podlegaj膮 regulacji lub zobowi膮zaniom prawnym (dane Klienta itd.). Dost臋p do informacji poufnych musi by膰 w naturalny spos贸b 艣ci艣le ograniczony.

W zwi膮zku z tym, procedury oraz dzia艂ania operacyjne s膮 wprowadzone w celu kontrolowania dost臋pu do systemu Informacji, tam, gdzie jest to konieczne. S膮 to nast臋puj膮ce zasady:

– jednoznaczna identyfikacja u偶ytkownik贸w,

– bezpieczne uwierzytelnianie u偶ytkownik贸w, co oznacza, 偶e 艣rodki do autentyfikacji s膮 osobiste i poziom bezpiecze艅stwa jest zapewniony,

– ni偶sze przywileje, co oznacza, 偶e u偶ytkownicy posiadaj膮 uprawnienia dostosowane do ich stanowiska, nie mniej i nie wi臋cej,

– potrzeba wiedzy – to oznacza, 偶e u偶ytkownicy maj膮 dost臋p tylko do tych us艂ug niezb臋dnych do wykonywania swojej pracy, nie wi臋cej i nie mniej.

3.4. Umo偶liwienie 艣ledzenia operacji

Liczne wra偶liwe operacje przechodz膮 przez system informacyjny. Warto wymieni膰 tutaj operacje finansowe, operacje na Kliencie lub zarz膮dzanie pracownikami. Operacje te maj膮 by膰 monitorowane zgodnie z zaadaptowanym procesem przep艂ywno艣ci.

W konsekwencji, mo偶liwo艣膰 艣ledzenia operacji wra偶liwych jest zapewniana przez:

– definicj臋 polityki zapisu log贸w dostosowanym do wagi operacji monitorowania i zgodno艣ci z obowi膮zuj膮cymi wymogami prawnymi,

– definiowanie i wdra偶anie automatycznych rozwi膮za艅 do bezpiecznego zarz膮dzania wszystkimi aspektami procesu zarz膮dzania dziennikami (generowanie, gromadzenie, przechowywania, archiwizacji, czas przechowywania),

4. Polityka Ochrony danych osobowych

Polityka w swojej tre艣ci przedstawia:

a) 聽 聽 聽 opis zasad ochrony danych obowi膮zuj膮cych u Administratora,

b) 聽 聽 聽 je艣li jest to niezb臋dne 鈥 r贸wnie偶 odwo艂ania do za艂膮cznik贸w uszczeg贸艂owiaj膮cych (wzorcowe procedury lub instrukcje dotycz膮ce poszczeg贸lnych obszar贸w z zakresu ochrony danych osobowych wymagaj膮cych doprecyzowania w odr臋bnych dokumentach).

Odpowiedzialny za wdro偶enie i utrzymanie niniejszej Polityki jest zarz膮d Administratora, a w ramach zarz膮du:

a) 聽 聽 聽 cz艂onek zarz膮du lub cz艂onkowie zarz膮du, kt贸rym powierzono nadz贸r nad obszarem ochrony danych osobowych,

b) 聽 聽 聽 osoba wyznaczona przez zarz膮d do zapewnienia zgodno艣ci z ochron膮 danych osobowych.

Za stosowanie niniejszej Polityki odpowiedzialni s膮:

a) 聽 聽 聽 Administrator,

b) 聽 聽 聽 wszyscy cz艂onkowie personelu Administratora.

Administrator powinien te偶 zapewni膰 zgodno艣膰 post臋powania kontrahent贸w z niniejsz膮 Polityk膮 w odpowiednim zakresie, szczeg贸lnie w przypadkach gdy mamy do czynienia z przekazaniem im danych osobowych przez Administratora. W tym celu Administrator zawiera z kontrahentami, kt贸rzy uzyskuj膮 dost臋p do danych osobowych klient贸w Administratora umowy o powierzenie przetwarzania danych osobowych.

4.1. Ochrona danych osobowych u Administratora 鈥 procedury ochrony.

4.1.1. Podstawy ochrony danych osobowych:

1. 聽 聽 聽 Legalno艣膰 鈥 Administrator dba o ochron臋 prywatno艣ci i przetwarza dane zgodnie z prawem i jedynie na podstawie obowi膮zuj膮cych przepis贸w prawa.

2. 聽 聽 聽 Bezpiecze艅stwo 鈥 Administrator zapewnia poziom bezpiecze艅stwa danych odpowiadaj膮cy sektorowi jego dzia艂alno艣ci, podejmuj膮c stale dzia艂ania w tym zakresie (Administrator korzysta w tym zakresie z us艂ug oferowanych przez podmioty zawodowo trudni膮ce si臋 problematyk膮 ochrony danych, takich jak kancelarie prawne).

3. 聽 聽 聽 Prawa os贸b fizycznych 鈥 Administrator umo偶liwia osobom fizycznym, kt贸rych dane przetwarza, wykonywanie swoich praw przyznanych przez przepisy RODO i realizuje te prawa, stosuj膮c si臋 do wszystkich, opisanych w niniejszej Polityce stadi贸w ochrony danych.

4. 聽 聽 聽 Rozliczalno艣膰 鈥 Administrator dokumentuje to, w jaki spos贸b spe艂nia obowi膮zki, aby w ka偶dej chwili m贸c wykaza膰 zgodno艣膰. Dokumentacja przechowywana jest w miejscach odpowiednio chronionych, przy zachowaniu zasad bezpiecze艅stwa przed wyciekiem danych.

4.1.2. Zasady ochrony danych

Administrator przetwarza dane osobowe maj膮c na uwadze przede wszystkim, by przetwarzanie danych nast臋powa艂o:

1. 聽 聽 聽 w oparciu o podstaw臋 prawn膮 i zgodnie z prawem (legalizm),

2. 聽 聽 聽 rzetelnie i z poszanowaniem praw jednostki (rzetelno艣膰),

3. 聽 聽 聽 w spos贸b przejrzysty dla osoby, kt贸rej dane dotycz膮, maj膮c na uwadze, 偶e osoby fizyczne maj膮 ograniczony czas na zaznajomienie si臋 ze sposobami przetwarzania danych, stosowanymi przez Administratora (transparentno艣膰),

4. 聽 聽 聽 w konkretnych celach i nie w celu bli偶ej niesprecyzowanych cel贸w 鈥 przetwarzanie danych 鈥瀗a przysz艂o艣膰鈥 (minimalizacja),

5. 聽 聽 聽 jedynie w takim zakresie, jaki jest niezb臋dny (adekwatno艣膰),

6. 聽 聽 聽 z dba艂o艣ci膮 o to, by przetwarzane przez Administratora dane by艂y zgodne z rzeczywisto艣ci膮 (prawid艂owo艣膰),

7. 聽 聽 聽 nie d艂u偶ej ni偶 jest to niezb臋dne do wykonania obowi膮zk贸w wynikaj膮cych ze stosunku prawnego lub faktycznego 艂膮cz膮cego Administratora z drug膮 stron膮 i jedynie w takim zakresie, w jakim Administrator powiadomi艂 osob臋 fizyczn膮 o czasie, w jakim dane b臋d膮 przetwarzane (czasowo艣膰),

8. 聽 聽 聽 zapewniaj膮c odpowiednie bezpiecze艅stwo danych z uwagi na potencjalne ryzyka i zagro偶enia zwi膮zane z operacjami, dokonywanymi na danych osobowych (bezpiecze艅stwo).

4.1.3. Stosowane systemy ochrony danych

System ochrony danych osobowych u Administratora sk艂ada si臋 przede wszystkim takich sk艂adnik贸w, jak:

1. 聽 聽 聽 Inwentaryzacja danych. Administrator dokonuje identyfikacji zasob贸w danych osobowych, klas danych, zale偶no艣ci mi臋dzy zasobami danych, identyfikacji sposob贸w wykorzystania danych (inwentaryzacja), w tym:

a. 聽 聽 聽 przypadk贸w przetwarzania danych os贸b niezidentyfikowanych przez Administratora (dane niezidentyfikowane),

b. 聽 聽 聽 przypadk贸w przetwarzania danych dzieci,

c. 聽 聽 聽 profilowania,

2. 聽 聽 聽 Rejestr Przetwarzania Danych Osobowych. Administrator opracowuje, prowadzi i utrzymuje rejestr czynno艣ci dokonywanych na danych osobowych u Administratora (dalej: 鈥濺ejestr鈥 lub 鈥濺CPD鈥). Rejestr jest narz臋dziem rozliczania zgodno艣ci przetwarzania danych osobowych u Administratora z powszechnie obowi膮zuj膮cymi przepisami prawa.

3. 聽 聽 聽 Podstawy prawne. Administrator zapewnia, identyfikuje oraz weryfikuje podstawy prawne przetwarzania danych i rejestruje je w Rejestrze, w tym:

a. 聽 聽 聽 utrzymuje system zarz膮dzania zgodami na przetwarzanie danych i komunikacj臋 na odleg艂o艣膰, by w prosty spos贸b zdeterminowa膰 mo偶liwo艣膰 komunikacji z osobami fizycznymi w okre艣lonych celach;

b. 聽 聽 聽 uzasadnia przypadki, gdy Administrator przetwarza dane na podstawie prawnie uzasadnionego interesu Administratora.

4. 聽 聽 聽 Obs艂uga praw jednostki. Administrator spe艂nia obowi膮zki informacyjne wzgl臋dem os贸b, kt贸rych dane przetwarza oraz zapewnia obs艂ug臋 ich praw (art. 12 ust. 3 RODO), realizuj膮c otrzymane w tym zakresie 偶膮dania, w tym:

a. 聽 聽 聽 obowi膮zek informacyjny. Administrator przekazuje osobom wymagane informacje przy zbieraniu danych i w innych sytuacjach (na pocz膮tkowym etapie wdra偶ania przepis贸w RODO, Administrator legalizuje istniej膮c膮 baz臋 danych w zakresie w jakim chodzi o powiadomienie o nowych uprawnieniach przyznanych osobom fizycznym przez RODO) oraz organizuje i zapewnia udokumentowanie realizacji tych obowi膮zk贸w, tak by m贸c wykaza膰 ich wype艂nienie w przypadku ewentualnej kontroli Urz臋du Ochrony Danych Osobowych,

b. 聽 聽 聽 Wykonanie 偶膮da艅 os贸b fizycznych. Administrator zapewnia mo偶liwo艣膰 wykonania 偶膮da艅 kierowanych do niej przez osoby fizyczne, kt贸rych dane osobowe przetwarza zar贸wno przez siebie i swoich przetwarzaj膮cych (obowi膮zki procesor贸w na艂o偶one w drodze um贸w o powierzenie przetwarzania danych osobowych),

c. 聽 聽 聽 obs艂uga 偶膮da艅 os贸b fizycznych. Administrator zapewnia odpowiednie nak艂ady finansowe i personelowi, jak r贸wnie偶 procedury, aby 偶膮dania os贸b by艂y realizowane w terminach i w spos贸b wymagany RODO, jak r贸wnie偶 by ich wykonanie zosta艂o ka偶dorazowo udokumentowane we w艂a艣ciwy spos贸b,

d. 聽 聽 聽 zawiadamianie o naruszeniach. Administrator stosuje procedury, kt贸re pozwalaj膮 ustali膰 konieczno艣膰 zawiadomienia os贸b dotkni臋tych zidentyfikowanym naruszeniem ochrony danych. W tym celu cz艂onek zarz膮du w osobie do tego wyznaczonej, nadzoruje procesy przetwarzania danych w ten spos贸b, by zawiadomienie o naruszeniach mog艂o nast膮pi膰 niezw艂ocznie, jednak zawsze w terminach nie p贸藕niejszych ni偶 okre艣lone w powszechnie obowi膮zuj膮cych przepisach prawa.

5. 聽 聽 聽 Minimalizacja. Administrator wdro偶y艂 zasady i metody kompatybilne z okre艣lon膮 przepisami RODO zasad膮 minimalizacji, w ten spos贸b by nie przetwarza膰 danych osobowych zb臋dnych i nadmiarowych. Administrator poprzez zasad臋 minimalizacji d膮偶y, by w jego bazie danych nie znajdowa艂y si臋 dane, kt贸re nie s膮 absolutnie niezb臋dne do poprawnego wykonywania stosunk贸w prawnych i聽 faktycznych 艂膮cz膮cych Administratora z jej klientami i kontrahentami (privacy by default), a w tym:

a. zasady pomagaj膮ce efektywnie zarz膮dza膰 adekwatno艣ci膮 danych ju偶 na etapie zbierania danych (formularze przystosowane do niepobierania danych nadmiarowych),

b. zasady zarz膮dzania dost臋pem do danych os贸b fizycznych, kt贸re o taki dost臋p wnioskuj膮, poprzez odpowiednie przeszkolenie os贸b odpowiedzialnych za te kwestie na terenie dzia艂alno艣ci Administratora jak r贸wnie偶 przygotowanie odpowiedniej procedury dzia艂ania,

c. zasady zarz膮dzania okresem przechowywania danych i weryfikacji dalszej przydatno艣ci, a w efekcie niezw艂ocznego usuwania danych osobowych os贸b fizycznych, gdy wyga艣nie podstawa prawna do takiego dzia艂ania.

6. 聽 聽 聽 Bezpiecze艅stwo. Administrator zapewnia odpowiedni poziom bezpiecze艅stwa danych, w tym:

a. przeprowadza niezb臋dne聽 analizy ryzyka dla czynno艣ci przetwarzania danych lub ich kategorii, stosuj膮c przy tym odpowiedni膮 skal臋 ryzyk, stanowi膮c膮 za艂膮cznik do Rejestru Czynno艣ci Przetwarzania Danych,

b. przeprowadza oceny skutk贸w dla ochrony danych tam, gdzie ryzyko naruszenia praw i wolno艣ci os贸b jest wysokie ze wzgl臋du na ich charakter lub miejsce przechowywania,

c. dostosowuje 艣rodki ochrony danych do ustalonego ryzyka,

d. posiada wewn臋trzne procedury zarz膮dzania bezpiecze艅stwem informacji,

e. stosuje procedury pozwalaj膮ce na identyfikacj臋, ocen臋 i zg艂oszenie zidentyfikowanego naruszenia ochrony danych Urz臋dowi Ochrony Danych 鈥 zarz膮dza incydentami.

7. 聽 聽 聽 Podmioty Przetwarzaj膮ce. Administrator posiada zasady weryfikacji podmiot贸w przetwarzaj膮cych dane na rzecz Administratora, wymog贸w co do warunk贸w przetwarzania (w tym celu z ka偶dym podmiotem przetwarzaj膮cym dane osobowe powierzone przez Administratora zawierana jest umowa o powierzenie przetwarzania danych osobowych), zasad weryfikacji wykonywania um贸w powierzenia, przede wszystkim poprzez stosowanie wymog贸w przedstawienia przez podmioty przetwarzaj膮ce stosowanych przez Administratora procedur zabezpieczenia, b臋d膮cych za艂膮cznikami do um贸w powierzenia przetwarzania danych w imieniu Administratora.

8. 聽 聽 聽 Przekazywanie danych do pa艅stw trzecich. Administrator weryfikuje czy dane osobowe os贸b fizycznych nie s膮 przekazywane do pa艅stw trzecich (tj. poza teren Unii Europejskiej, Norwegii, Lichtensteinu i Islandii) lub do organizacji mi臋dzynarodowych oraz zapewnia zgodne z prawem warunki takiego przekazywania, je艣li ma ono miejsce.

9. 聽 聽 聽 Privacy by design. Administrator zarz膮dza zmianami wp艂ywaj膮cymi na prywatno艣膰 i kontroluje je w odpowiedni ze wzgl臋du na przepisy o ochronie danych osobowych spos贸b. W tym celu procedury uruchamiania nowych projekt贸w i inwestycji przez Administratora uwzgl臋dniaj膮 konieczno艣膰 oceny wp艂ywu zmiany na ochron臋 danych, analiz臋 ryzyka, zapewnienie prywatno艣ci (a w tym zgodno艣ci cel贸w przetwarzania, bezpiecze艅stwa danych i minimalizacji) ju偶 w fazie projektowania zmiany, inwestycji czy na pocz膮tku nowego projektu.

10.Przetwarzanie transgraniczne. Administrator ka偶dorazowo weryfikuje czy nie zachodzi przypadek transgranicznego przetwarzania danych osobowych, by w tym celu wype艂ni膰 wszystkie prawne obowi膮zki nak艂adane w zwi膮zku z tym na administratora.

4.2.INWENTARYZACJA

4.2.1. Dane szczeg贸lnych kategorii i dane karne

Administrator nie identyfikuje przypadk贸w, w kt贸rych przetwarza lub mo偶e przetwarza膰 dane szczeg贸lnych kategorii lub dane karne w zwi膮zku z czym nie jest niezb臋dne utrzymywanie mechanizm贸w dedykowanych zapewnieniu zgodno艣ci przetwarzania tych kategorii danych osobowych z prawem.

4.2.2. Dane niezidentyfikowane

Administrator rozpoznaje przypadki, w kt贸rych przetwarza lub mo偶e przetwarza膰 dane niezidentyfikowane, w zwi膮zku z czym gdy zachodzi taka konieczno艣膰, podejmuje wszystkie niezb臋dne czynno艣ci u艂atwiaj膮ce realizacj臋 praw os贸b, kt贸rych dotycz膮 dane niezidentyfikowane.

4.2.3. Profilowanie

Administrator identyfikuje przypadki, w kt贸rych dokonuje profilowania przetwarzanych danych w zwi膮zku z czym podejmuje wszelkie 艣rodki i starania, by ten proces odbywa艂 si臋 zgodnie z prawem i poszanowaniem praw os贸b fizycznych, kt贸rych dane s膮 przetwarzane.

4.2.4. Wsp贸艂administrowanie

Administrator nie identyfikuje przypadk贸w wsp贸艂administrowania danymi osobowymi.

4.3.REJESTR CZYNNO艢CI PRZETWARZANIA DANYCH (DALEJ: 鈥濺CPD鈥)

1. 聽 聽 聽 聽RCPD Stanowi聽 form臋 dokumentowania czynno艣ci przetwarzania danych, pe艂ni rol臋 mapy przetwarzania danych i jest jednym z podstawowych element贸w umo偶liwiaj膮cych realizacj臋 fundamentalnej zasady, na kt贸rej opiera si臋 ca艂y system ochrony danych osobowych, czyli zasady rozliczalno艣ci tak, by nie tylko podmioty kontroluj膮ce przetwarzanie danych mog艂y w czytelny spos贸b okre艣li膰 spos贸b wykonywania obowi膮zk贸w na艂o偶onych na administratora danych, ale r贸wnie偶 administrator m贸g艂 zidentyfikowa膰 wewn臋trzne naruszenia i reagowa艂 na nie.

2. 聽 聽 聽 Administrator prowadzi RCPD, w kt贸rym inwentaryzuje i nadzoruje sposoby, w jakie wykorzystuje dane osobowe.

3. 聽 聽 聽 RCPD jest, obok niniejszego dokumentu, kt贸ry Administrator przekazuje wsp贸艂pracownikom w celach edukacyjnych i informacyjnych, jednym z podstawowych narz臋dzi umo偶liwiaj膮cych Administratorowi rozliczanie wi臋kszo艣ci obowi膮zk贸w ochrony danych.

4. 聽 聽 聽 W RCPD dla ka偶dej czynno艣ci przetwarzania danych, kt贸r膮 Administrator uzna艂 za odr臋bn膮 dla potrzeb RCPD, Administrator odnotowuje co najmniej:

a. 聽 聽 聽 nazw臋 czynno艣ci,

b. 聽 聽 聽 jednostk臋 organizacyjn膮

c. 聽 聽 聽 cel przetwarzania,

d. 聽 聽 聽 kategorie os贸b,

e. 聽 聽 聽 kategorie danych,

f.聽 聽 聽 聽 podstaw臋 prawn膮 przetwarzania,

g. 聽 聽 聽 藕r贸d艂o danych,

h. 聽 聽 聽 planowany termin usuni臋cia kategorii danych,

i. 聽 聽 聽 聽 nazw臋 wsp贸艂administratora i jego dane kontaktowe (je艣li dotyczy),

j. 聽 聽 聽 聽 nazw臋 podmiotu przetwarzaj膮cego i jego dane kontaktowe (je艣li dotyczy)

k. 聽 聽 聽 kategorie odbiorc贸w (je艣li dotyczy),

l. 聽 聽 聽 聽 nazw臋 systemu lub oprogramowania, u偶ywanego przy przetwarzaniu danych osobowych,

m. 聽 聽 Og贸lny opis technicznych i organizacyjnych 艣rodk贸w bezpiecze艅stwa zgodnie z art. 32 ust. 1 RODO,

n. 聽 聽 聽 Transfer do kraju trzeciego lub organizacji mi臋dzynarodowej (nazwa kraju i podmiotu),

o. 聽 聽 聽 Je艣li transfer i art. 49 ust. 1 akapit drugi RODO – dokumentacja odpowiednich zabezpiecze艅.

5. 聽 聽 聽 Wz贸r RCPD stanowi Za艂膮cznik nr 1 do Polityki 鈥 鈥濿z贸r Rejestru Czynno艣ci Przetwarzania Danych鈥, Wz贸r RCPD zawiera tak偶e kolumny niewymagane prawem. W kolumnach nieobowi膮zkowych Administrator rejestruje informacje w miar臋 potrzeb i mo偶liwo艣ci, z uwzgl臋dnieniem tego, 偶e pe艂niejsza tre艣膰 RCPD u艂atwia zarz膮dzanie zgodno艣ci膮 ochrony danych i rozliczenia z niej.聽 Do rejestru Administrator do艂膮cza skal臋 ryzyk, kt贸ra w pe艂niejszy spos贸b pozwala okre艣li膰 zagro偶enia zwi膮zane z przetwarzaniem konkretnych kategorii danych, by w najlepszy mo偶liwy spos贸b dopasowa膰 艣rodki ochrony do kategorii przetwarzanych danych.

4.4.PODSTAWY PRAWNE PRZETWARZANIA

1. 聽 聽 聽 Administrator dokumentuje w RCPD podstawy prawne przetwarzania danych dla poszczeg贸lnych czynno艣ci przetwarzania, by m贸c dostosowywa膰 rejestr do nowelizacji akt贸w prawnych, z kt贸rych wynikaj膮 obowi膮zki.

2. 聽 聽 聽 Poprzez wskazanie w dokumentach og贸lnej podstawy prawnej (zgoda, umowa, obowi膮zek prawny, 偶ywotne interesy, uzasadniony cel Administratora), Administrator dookre艣la podstaw臋 w precyzyjny spos贸b, gdy jest to potrzebne i niezb臋dne ze wzgl臋du na kategori臋 danych i zasad臋 przejrzysto艣ci. W ten spos贸b Administrator wskazuje np. zakres uzyskiwanej zgody, przedstawiaj膮c jednocze艣nie cel, w jakim jest ona uzyskiwana, a gdy podstaw膮 jest prawo 鈥 wskazuj膮c konkretny przepis i inne dokumenty, np. umow臋, porozumienie administracyjne itp. 鈥 wskazuj膮c kategorie zdarze艅, w kt贸rych si臋 zmaterializuj膮, uzasadniony cel 鈥 wskazuj膮c konkretny cel, np. marketing bezpo艣redni, obron臋 przed roszczeniami jak r贸wnie偶 mo偶liwo艣膰 ich dochodzenia.

3. 聽 聽 聽 Administrator wdra偶a metody zarz膮dzania zgodami, umo偶liwiaj膮ce rejestracj臋 i weryfikacj臋 posiadania zgody osoby na przetwarzanie jej konkretnych danych w konkretnym celu na ka偶dym etapie przetwarzania danych, zgody na komunikacj臋 na odleg艂o艣膰 zgodnie z przepisami ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. 2004 Nr 171 poz. 1800) oraz ustawy z dnia 18 lipca 2002 r. o 艣wiadczeniu us艂ug drog膮 elektroniczn膮 (Dz.U. 2002 Nr 144 poz. 1204) jak r贸wnie偶 rejestracj膮 odmowy zgody, cofni臋cia zgody i podobnych czynno艣ci (sprzeciw, 偶膮danie usuni臋cia danych itp.).

4.5.PROCEDURY OBS艁UGI PRAW JEDNOSTKI I OBOWI膭ZK脫W INFORMACYJNYCH

1. 聽 聽 聽 Administrator dba o czytelno艣膰 przekazywanych informacji i komunikacji z osobami, kt贸rych dane przetwarza, tak by mie膰 pewno艣膰, 偶e osoba zapozna艂a si臋 z przekazywanymi informacjami oraz 偶e w pe艂ni zrozumia艂a ich tre艣膰. W tym celu Administrator wsp贸艂pracuje z podmiotami zewn臋trznymi (radcy prawni) w celu stworzenia obowi膮zk贸w informacyjnych o tre艣ci mo偶liwie najbardziej przejrzystej i zgodnej z przepisami powszechnie obowi膮zuj膮cego prawa.

2. 聽 聽 聽 Administrator u艂atwia osobom korzystanie z ich praw poprzez dzia艂ania takie jak: umieszczanie na stronie internetowej Administratora link贸w do informacji o prawach os贸b, sposobie korzystania z nich na terenie dzia艂alno艣ci Administratora, jak r贸wnie偶 metodach kontaktu z Administratorem w tym celu.

3. 聽 聽 聽 Administrator dba o dotrzymywanie prawnych termin贸w realizacji obowi膮zk贸w wzgl臋dem os贸b fizycznych, kt贸rych dane osobowe przetwarza poprzez stosowanie odpowiednich procedur i formularzy, za pomoc膮 kt贸rych udziela odpowiedzi na 偶膮dania i pytania kierowane do Administratora w przedmiocie ochrony danych osobowych os贸b fizycznych, kt贸rych dane s膮 przetwarzane.

4. 聽 聽 聽 Administrator wprowadza adekwatne metody identyfikacji os贸b dla potrzeb realizacji praw jednostki i obowi膮zk贸w informacyjnych w ten spos贸b, by osoby nieuprawnione nie uzyska艂y dost臋pu do danych osobowych, kt贸re ich nie dotycz膮.

5. 聽 聽 聽 W celu realizacji praw jednostki, Administrator zapewnia procedury i mechanizmy pozwalaj膮ce zidentyfikowa膰 dane konkretnych os贸b, przetwarzane przez Administratora, w celu skutecznej odpowiedzi na 偶膮dania os贸b fizycznych, udost臋pniaj膮c im dane osobowe ich dotycz膮ce jak r贸wnie偶 daj膮c im mo偶liwo艣膰 skorzystania z takich uprawnie艅 jak sprostowanie danych, ich usuni臋cie czy przeniesienie (w takim zakresie, w jakim to mo偶liwe).

6. 聽 聽 聽 Administrator dokumentuje obs艂ug臋 obowi膮zk贸w informacyjnych, zawiadomie艅 i 偶膮da艅 os贸b fizycznych w celu zachowania transparentno艣ci dzia艂ania Administratora w dziedzinie ochrony danych osobowych.

4.6.OBOWI膭ZKI INFORMACYJNE

1. 聽 聽 聽 Administrator, w porozumieniu z podmiotami zewn臋trznymi (radcy prawni) okre艣la zgodne z prawem i skuteczne sposoby wykonywania obowi膮zk贸w informacyjnych.

2. 聽 聽 聽 Administrator informuje osob臋 o przed艂u偶eniu ponad jeden miesi膮c terminu na rozpatrzenie 偶膮dania tej osoby (art. 12 ust. 3 RODO) w przypadku, gdy rozpatrzenie jej 偶膮dania przed up艂ywem tego terminu jest niemo偶liwe.

3. 聽 聽 聽 Administrator informuje osob臋 o przetwarzaniu jej danych, w sytuacji gdy dane osobowe pozyskane s膮 bezpo艣rednio od tej osoby.

4. 聽 聽 聽 Administrator informuje osob臋 o przetwarzaniu danych osobowych, r贸wnie偶 w sytuacji gdy dane osobowe pozyskane s膮 niebezpo艣rednio od tej osoby.

5. 聽 聽 聽 Administrator okre艣la spos贸b informowania os贸b o przetwarzaniu danych niezidentyfikowanych, je艣li tylko jest to mo偶liwe (np. informacja przy wej艣ciu do budynku o obj臋ciu obszaru monitoringiem wizyjnym).

6. 聽 聽 聽 Administrator informuje osob臋 o planowanej zmianie celu przetwarzania danych, je艣li zachodzi taka sytuacja.

7. 聽 聽 聽 Administrator informuje odbiorc贸w danych o sprostowaniu, usuni臋ciu lub ograniczeniu przetwarzania danych osobowych (chyba, 偶e wymaga艂oby to niewsp贸艂miernie du偶ego wysi艂ku lub by艂oby niemo偶liwe).

8. 聽 聽 聽 Administrator informuje osob臋 o prawie sprzeciwu jak r贸wnie偶 wszystkich przys艂uguj膮cych jej prawach, kt贸rych 藕r贸d艂em jest art. 13 lub 14 RODO, wzgl臋dem przetwarzania jej danych osobowych najp贸藕niej przy pierwszym kontakcie z t膮 osob膮.

9. 聽 聽 聽 Administrator bez zb臋dnej zw艂oki zawiadamia osob臋 o naruszeniu ochrony danych osobowych, je偶eli mo偶e ono powodowa膰 wysokie ryzyko naruszenia praw lub wolno艣ci tej osoby.

4.7.呕膭DANIA OS脫B FIZYCZNYCH, KT脫RYCH DANE PRZETWARZA ADMINISTRATOR

1. 聽 聽 聽 Prawa os贸b trzecich. Realizuj膮c prawa os贸b, kt贸rych dane dotycz膮, Administrator wprowadza gwarancje ochrony praw os贸b trzecich w przedmiocie ochrony ich danych osobowych. W sytuacji gdy np. wykonanie 偶膮dania osoby o wydanie kopii danych lub prawa do przeniesienia danych mog艂oby wp艂yn膮膰 niekorzystnie na prawa i wolno艣ci innych os贸b lub w spos贸b istotny naruszy膰 ich interesy prawne (np. prawa zwi膮zane z ochron膮 danych innych os贸b gdy Administrator musia艂by udost臋pni膰 dokumenty zawieraj膮ce dane osobowe zainteresowanego, kt贸re zawieraj膮 r贸wnie偶 dane osobowe innych os贸b, kt贸re nie mog膮 by膰 z r贸偶nych wzgl臋d贸w zanonimizowane, prawa w艂asno艣ci intelektualnej, tajemnic臋 handlow膮 lub dobra osobiste), Administrator mo偶e si臋 zwr贸ci膰 do osoby w celu wyja艣nienia w膮tpliwo艣ci lub odm贸wi膰 zado艣膰uczynienia 偶膮daniu.

2. 聽 聽 聽 Odmowa zado艣膰uczynienia 偶膮daniu. Administrator, w drodze przes艂ania odpowiedniego formularza, informuje osob臋, w ci膮gu miesi膮ca od otrzymania 偶膮dania, o odmowie rozpatrzenia 偶膮dania i o prawach osoby z tym zwi膮zanych w przypadku gdy z r贸偶nych wzgl臋d贸w, o kt贸rych mowa w niniejszym dokumencie lub wynikaj膮cych bezpo艣rednio z powszechnie obowi膮zuj膮cych przepis贸w prawa (np. obowi膮zki podatkowe) spe艂nienie 偶膮dania osoby jest niemo偶liwe.

3. 聽 聽 聽 Dost臋p do danych osobowych. Na 偶膮danie osoby dotycz膮ce dost臋pu do jej danych, Administrator informuje osob臋, czy przetwarza jej dane oraz informuje osob臋 o szczeg贸艂ach przetwarzania, zgodnie z art. 15 RODO (zakres przetwarzania odpowiada obowi膮zkowi informacyjnemu przy zbieraniu danych). Administrator umo偶liwia dost臋p do danych osobowych osobie, kt贸ra o to wnioskuje, jednak tylko w przypadku gdy nie zagra偶a to naruszeniem danych osobowych innych os贸b (brak mo偶liwo艣ci zanonimizowania danych osobowych niedotycz膮cych bezpo艣rednio osoby kieruj膮cej 偶膮danie lub ryzyko udost臋pnienia tajemnicy handlowej itp.). Dost臋p do danych mo偶e by膰 zrealizowany przez wydanie kopii danych, z zastrze偶eniem, 偶e ka偶da kolejna (po pierwszej) kopia danych osobowych jest kopi膮, za kt贸r膮 Administrator mo偶e pobra膰 odpowiednie op艂aty, uzasadnione nak艂adem pracy zwi膮zanym z jej uzyskaniem i wydaniem osobie zainteresowanej.

4. 聽 聽 聽 Zaprzestanie przetwarzania. Administrator informuje osob臋 o tym, 偶e nie przetwarza danych jej dotycz膮cych, je艣li taka osoba zg艂osi艂a 偶膮danie dotycz膮ce jej praw.

5. 聽 聽 聽 Sprostowanie danych. Administrator dokonuje sprostowania nieprawid艂owych danych na 偶膮danie osoby fizycznej, kt贸rej dane osobowe przetwarzane przez Administratora dotycz膮. Administrator ma prawo odm贸wi膰 sprostowania danych, chyba 偶e osoba w rozs膮dny spos贸b wyka偶e nieprawid艂owo艣膰 danych, kt贸rych sprostowania si臋 domaga.

6. 聽 聽 聽 Uzupe艂nienie danych. Administrator uzupe艂nia i aktualizuje dane na 偶膮danie osoby. Administrator ma prawo odm贸wi膰 uzupe艂nienia danych, je偶eli uzupe艂nienie by艂oby niezgodne z celami przetwarzania danych w zwi膮zku z faktem przekazanych ju偶 osobie fizycznej dokument贸w informuj膮cym j膮 o celach przetwarzania (np. Administrator nie powinien zgodnie z niniejszym dokumentem przetwarza膰 danych, kt贸re s膮 zb臋dne lub nadmiarowe). Administrator mo偶e polega膰 na o艣wiadczeniu osoby co do uzupe艂nianych danych, chyba 偶e b臋dzie to niewystarczaj膮ce w 艣wietle przyj臋tych przez Administratora procedur (np. co do pozyskiwania takich danych), prawa lub zaistniej膮 okoliczno艣ci faktyczne uzasadniaj膮ce obawy, 偶e o艣wiadczenie osoby, kt贸ra kieruje 偶膮danie jest niewiarygodne.

7. 聽 聽 聽 Kopie danych. Na 偶膮danie, Administrator wydaje osobie kopi臋 danych jej dotycz膮cych i odnotowuje fakt wydania pierwszej kopii danych, z zastrze偶eniem sytuacji zawartych w niniejszym dokumencie, zwi膮zanych z mo偶liwo艣ci膮 naruszenia danych osobowych os贸b trzecich.

8. 聽 聽 聽 Przenoszenie danych. Na 偶膮danie osoby, Administrator wydaje w powszechnie u偶ywanym formacie nadaj膮cym si臋 do odczytu komputerowego lub przekazuje innemu podmiotowi, je艣li jest to mo偶liwe, dane dotycz膮ce tej osoby, kt贸re dostarczy艂a ona Administratorowi, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z ni膮 zawartej w systemach informatycznych Administratora.

9. 聽 聽 聽 Prawo do odwo艂ania przy przetwarzaniu danych osobowych. Je偶eli Administrator przetwarza dane w spos贸b automatyczny, w tym w szczeg贸lno艣ci profiluje osoby, Administrator zapewnia jednocze艣nie mo偶liwo艣膰 odwo艂ania si臋 do decyzji wsp贸艂pracownika lub cz艂onka zarz膮du, upowa偶nionego do tego typu dzia艂ania po stronie Administratora, chyba 偶e taka automatyczna decyzja

a. 聽 聽 聽 jest niezb臋dna do zawarcia lub wykonania umowy mi臋dzy odwo艂uj膮c膮 si臋 osob膮 a Administratorem,

b. 聽 聽 聽 jest wprost dozwolona przepisami prawa,

c. 聽 聽 聽 opiera si臋 na wyra藕nej zgodzie odwo艂uj膮cej osoby.

10.Usuni臋cie danych. Na 偶膮danie osoby, Administrator usuwa dane, gdy:

a. 聽 聽 聽 dane nie s膮 niezb臋dne do cel贸w, w kt贸rych zosta艂y zebranie, ani przetwarzane w innych zgodnych z prawem celach lub celach wymaganych przepisami prawa,

b. 聽 聽 聽 zgoda na ich przetwarzanie zosta艂a cofni臋ta, a Administrator nie dysponuje inn膮 podstaw膮 prawn膮 przetwarzania,

c. 聽 聽 聽 osoba fizyczna, kt贸rej dane osobowe s膮 przetwarzane wnios艂a skuteczny sprzeciw wzgl臋dem przetwarzania tych danych,

d. 聽 聽 聽 dane by艂y przetwarzane niezgodnie z prawem,

e. 聽 聽 聽 konieczno艣膰 usuni臋cia wynika z obowi膮zku prawnego,

f.聽 聽 聽 聽 偶膮danie dotyczy danych dziecka zebranych na podstawie zgody w celu 艣wiadczenia us艂ug oferowanych bezpo艣rednio dziecku.

Administrator okre艣la spos贸b realizacji prawa do usuni臋cia danych maj膮c przy tym na uwadze obowi膮zek zapewnienia efektywnej realizacji tego prawa. Mowa przede wszystkim o zasadzie bezpiecze艅stwa, a tak偶e poszanowaniu obowi膮zku weryfikacji, czy nie zachodz膮 wyj膮tki, o kt贸rych mowa w art. 17 ust. 3 RODO.

Je偶eli dane podlegaj膮ce usuni臋ciu zosta艂y upublicznione przez Administratora na stronie internetowej lub w celu marketingowym wydarzenia organizowanego przez Administratora lub takiego, w kt贸rym Administrator bierze czynny udzia艂, przy jednoczesnym za艂o偶eniu otrzymania niezb臋dnych zg贸d os贸b, kt贸rych dane osobowe s膮 przetwarzane w ten spos贸b, Administrator podejmuje rozs膮dne dzia艂ania, w tym 艣rodki techniczne, by poinformowa膰 innych administrator贸w przetwarzaj膮cych te dane osobowe o potrzebie usuni臋cia danych i dost臋pu do nich.

W przypadku usuni臋cia danych, Administrator informuje osob臋 o odbiorcach danych, na 偶膮danie tej osoby.

11.Ograniczenie przetwarzania. Administrator dokonuje ograniczenia przetwarzania danych na 偶膮danie osoby, gdy:

a. 聽 聽 聽 dane osobowe przetwarzane przez Administratora s膮 kwestionowane przez osob臋 fizyczn膮, kt贸rej dane dotycz膮 鈥 na okres niezb臋dny z punktu widzenia weryfikacji ich prawid艂owo艣ci,

b. 聽 聽 聽 przetwarzanie jest niezgodne z prawem, jednak osoba, kt贸rej dane dotycz膮, sprzeciwia si臋 usuni臋ciu danych osobowych, chc膮c jedynie by ich przetwarzanie zosta艂o ograniczone ze wzgl臋du na wskazane przez ni膮 cele,

c. 聽 聽 聽 Administrator nie potrzebuje ju偶 danych osobowych, ale s膮 one potrzebne osobie, kt贸rej dane dotycz膮, do ustalenia, dochodzenia lub obrony roszcze艅,

d. 聽 聽 聽 osoba wnios艂a sprzeciw wzgl臋dem przetwarzania jej danych osobowych 鈥 do czasu stwierdzenia, czy po stronie Administratora zachodz膮 prawnie uzasadnione podstawy prawne nadrz臋dne wobec podstaw sprzeciwu (np. przepisy podatkowe i inne).

W trakcie ograniczenia przetwarzania Administrator przechowuje dane, natomiast nie wykorzystuje ich oraz nie przekazuje osobom trzecim, ani innym podmiotom odr臋bnym od Administratora i jego pracownik贸w, uprawnionych do dost臋pu do przedmiotowych danych. Wyj膮tkiem jest wyra藕na zgoda osoby, kt贸rej dane dotycz膮 jak r贸wnie偶 ustalenie, dochodzenie lub obrona roszcze艅.

W przypadku ograniczenia przetwarzania danych, Administrator na 偶膮danie osoby, kt贸rej przetwarzane dane osobowe dotycz膮, informuje t臋 osob臋 o odbiorcach danych.

12.Sprzeciw przeciwko przetwarzaniu danych osobowych. Je偶eli osoba zg艂osi umotywowany sprzeciw wzgl臋dem przetwarzania jej danych, a dane przetwarzane s膮 przez Administratora w oparciu o uzasadniony interes Administratora lub o powierzone Administratorowi zadanie w interesie publicznym, Administrator uwzgl臋dni sprzeciw. Wyj膮tkiem od tego jest sytuacja, gdy po stronie Administratora zachodz膮 wa偶ne, prawnie uzasadnione podstawy do przetwarzania, kt贸re ze wzgl臋du na ca艂okszta艂t okoliczno艣ci i powszechnie obowi膮zuj膮ce przepisy prawa nale偶y uzna膰 za nadrz臋dne wobec interes贸w i praw osoby zg艂aszaj膮cej sprzeciw.

13.Sprzeciw wzgl臋dem marketingu bezpo艣redniego. Je偶eli osoba fizyczna, kt贸rej dane osobowe s膮 przetwarzane przez Administratora zg艂osi sprzeciw wzgl臋dem przetwarzania jej danych przez Administratora na potrzeby marketingu bezpo艣redniego, Administrator uwzgl臋dni sprzeciw i zaprzestanie takiego przetwarzania, bez wyj膮tk贸w motywowanych sytuacj膮 faktyczn膮 lub przepisami prawa.

4.8.MINIMALIZACJA PRZETWARZANIA DANYCH

Administrator dba o minimalizacj臋 przetwarzania danych z punktu widzenia zasad, takich jak:

1. 聽 聽 聽 adekwatno艣ci przetwarzanych danych osobowych do cel贸w, dla kt贸rych s膮 one przetwarzane,

2. 聽 聽 聽 dost臋pu do danych osobowych przetwarzanych przez Administratora,

3. 聽 聽 聽 czasu przechowywania danych osobowych.

4.8.1. Minimalizacja dost臋pu do danych osobowych

Administrator stosuje ograniczenia dost臋pu do danych osobowych, kt贸re maj膮 charakter prawny (zobowi膮zania wsp贸艂pracownik贸w do poufno艣ci, upowa偶nienia wsp贸艂pracownik贸w posiadaj膮cych dost臋p do danych osobowych), fizyczny (dost臋p do plik贸w z danymi osobowymi tylko dla os贸b upowa偶nionych w spos贸b by mo偶liwie zminimalizowa膰 ryzyko wycieku danych, zamykanie pomieszcze艅) i logistyczny (przydzielenie odpowiednich hase艂 dost臋pu do danych osobowych w ten spos贸b, by zminimalizowa膰 ryzyko dost臋pu do danych os贸b nieupowa偶nionych).

Administrator stosuje r贸wnie偶 kontrol臋 dost臋pu fizycznego poprzez niedopuszczanie do miejsc pracy klient贸w i os贸b, kt贸re nie podpisa艂y z Administratorem umowy wsp贸艂pracy i odpowiednich aneks贸w upowa偶niaj膮cych ich do dost臋pu do danych jak r贸wnie偶 o艣wiadcze艅 w zakresie zachowania poufno艣ci.

Administrator dokonuje aktualizacji uprawnie艅 dost臋powych przy zmianach w sk艂adzie personelu i zmianach r贸l os贸b oraz zmianach podmiot贸w przetwarzaj膮cych.

Administrator dokonuje okresowego przegl膮du ustanowionych u偶ytkownik贸w system贸w i aktualizuje ich nie rzadziej ni偶 raz na rok.

4.8.2. 聽 聽 Minimalizacja czasu przetwarzania danych

Administrator wdra偶a mechanizmy kontroli przetwarzania danych osobowych na wszystkich etapach przetwarzania, w tym weryfikacji dalszej przydatno艣ci danych wzgl臋dem termin贸w i punkt贸w kontrolnych wskazanych w RCPD jak r贸wnie偶 w obowi膮zkach informacyjnych, przekazywanych osobom, kt贸rych dane osobowe s膮 przetwarzane.

Dane, kt贸rych zakres przydatno艣ci ulega ograniczeniu wraz z up艂ywem czasu s膮 usuwane z system贸w informatycznych Administratora jak te偶 z miejsc przechowywania dokument贸w, zawieraj膮cych dane osobowe.

Dane, o kt贸rych mowa powy偶ej mog膮 by膰 archiwizowane w uzasadnionych przypadkach oraz znajdowa膰 si臋 na kopiach zapasowych system贸w i informacji przetwarzanych przez Administratora.

4.8.3. 聽 聽 Minimalizacja zakresu przetwarzania danych

Przy wdra偶aniu do funkcjonowania Administratora RODO, Administrator zweryfikowa艂 zakres pozyskiwanych danych, zakres w jakim przedmiotowe dane s膮 przetwarzane jak r贸wnie偶 ilo艣膰 przetwarzanych danych pod k膮tem adekwatno艣ci do cel贸w przetwarzania.

Administrator zobowi膮zuje si臋 dokonywa膰 okresowego przegl膮du tre艣ci przetwarzanych danych osobowych, ich ilo艣ci i zakresu ich przetwarzania nie rzadziej ni偶 raz na rok.

Administrator przeprowadza weryfikacj臋 zmian co do ilo艣ci i zakresu przetwarzania danych osobowych, w spos贸b o kt贸rym mowa powy偶ej, w ramach procedur zarz膮dzania przedmiotow膮 zmian膮 (privacy by design).

4.9.BEZPIECZE艃STWO PRZETWARZANIA DANYCH PRZEZ ADMINISTRATORA

Administrator zapewnia stopie艅 bezpiecze艅stwa odpowiadaj膮cy ryzyku naruszenia praw os贸b fizycznych w zwi膮zku z charakterem danych osobowych, kt贸re s膮 przetwarzane jak r贸wnie偶 miejsc, w kt贸rych dane s膮 przechowywane.

4.9.1. Analizy ryzyka

Administrator przeprowadza i dokumentuje analizy adekwatno艣ci 艣rodk贸w bezpiecze艅stwa danych osobowych. W tym celu:

1. Administrator zapewnia odpowiedni stan wiedzy o bezpiecze艅stwie informacji i cyberbezpiecze艅stwie 鈥 wewn臋trznie oraz ze wsparciem podmiot贸w wyspecjalizowanych (kancelarie prawne wyspecjalizowane w zakresie ochrony danych osobowych na terenie przedsi臋biorstw).

2. Administrator kategoryzuje dane oraz czynno艣ci przetwarzania pod k膮tem ryzyka, kt贸re przedstawiaj膮 tworz膮c przy tym odpowiedni rejestr przetwarzania danych, na kt贸rym opiera si臋 Administrator przy doborze procedur ochrony danych.

3. Administrator przeprowadza analizy ryzyka naruszenia praw os贸b fizycznych dla czynno艣ci przetwarzania danych lub ich kategorii. Administrator analizuje mo偶liwe sytuacje i scenariusze naruszenia ochrony danych osobowych, uwzgl臋dniaj膮c charakter i zakres jak r贸wnie偶 cele przetwarzania, ryzyko naruszenia praw os贸b fizycznych o r贸偶nym prawdopodobie艅stwie wyst膮pienia i wadze zagro偶enia, w szczeg贸lno艣ci ze wzgl臋du na rodzaj i charakter przetwarzanych danych.

4. Administrator ustala mo偶liwe do zastosowania organizacyjne i techniczne 艣rodki bezpiecze艅stwa i ocenia koszt ich wdra偶ania. W tym celu Administrator ustala przydatno艣膰 i stosuje takie 艣rodki i podej艣cie, jak:

a. 聽 聽 聽 pseudonimizacja,

b. 聽 聽 聽 szyfrowanie danych osobowych,

c. 聽 聽 聽 inne 艣rodki, sk艂adaj膮ce si臋 na zdolno艣膰 do ci膮g艂ego zapewniania poufno艣ci, integralno艣ci, dost臋pno艣ci i adekwatno艣ci dzia艂alno艣ci system贸w i us艂ug przetwarzania, w tym przede wszystkich system贸w informatycznych,

d. 聽 聽 聽 艣rodki zapewnienia ci膮g艂o艣ci dzia艂ania i zapobiegania skutkom awarii systemowych, czyli zdolno艣ci do szybkiego przywr贸cenia dost臋pno艣ci danych osobowych i dost臋pu do nich w razie incydentu fizycznego lub technicznego, tak aby Administrator m贸g艂 zapewni膰:

聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽i.聽 聽 聽 zabezpieczenie przed wyciekiem danych osobowych przetwarzanych przez Administratora,

聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽ii.聽 聽 聽 mo偶liwo艣膰 efektywnego korzystania z praw przyznawanych osobom fizycznym przez RODO (art. 15-22 RODO).

4.9.1. 聽 聽 Oceny skutk贸w dla ochrony danych

Administrator dokonuje oceny skutk贸w planowanych operacji przetwarzania dla ochrony danych osobowych tam, gdzie zgodnie z analiz膮 ryzyka (stanowi膮c膮 za艂膮cznik do RCPD), ryzyko naruszenia praw i wolno艣ci os贸b jest wysokie.

4.9.2. 聽 聽 艢rodki bezpiecze艅stwa podejmowane przez Administratora

Administrator stosuje 艣rodki bezpiecze艅stwa ustalone w ramach analiz ryzyka, w艂a艣ciwych dla poszczeg贸lnych kategorii przetwarzania danych jak r贸wnie偶 adekwatno艣ci podejmowanych 艣rodk贸w bezpiecze艅stwa oraz ocen skutk贸w dla ochrony danych.

艢rodki bezpiecze艅stwa danych osobowych stanowi膮 element 艣rodk贸w bezpiecze艅stwa informacji i zapewnienia cyberbezpiecze艅stwa przez Administratora.

4.9.3. 聽 聽 Raportowanie narusze艅

Administrator stosuje procedury pozwalaj膮ce na identyfikacj臋, ocen臋 i zg艂oszenie zidentyfikowanego naruszenia ochrony danych Urz臋dowi Ochrony Danych w terminie 72 godzin od ustalenia naruszenia jak r贸wnie偶 zawiadomienie osoby, kt贸rej dane osobowe przetwarzane przez Administratora zosta艂y naruszone, tak by zainteresowana osoba mog艂a podj膮膰 niezb臋dne kroki w celu ochrony swoich praw.

4.10. 聽 聽 聽 聽 聽 聽 聽 聽 聽 聽 PODMIOTY PRZETWARZAJ膭CE DANE OSOBOWE (TZW. 鈥濸ROCESORY鈥 LUB 鈥濸ODMIOTY PRZETWARZAJ膭CE鈥)

Administrator posiada zasady doboru i weryfikacji podmiot贸w przetwarzaj膮cych dane osobowe na rzecz i w imieniu Administratora. Przedmiotowe zasady i procedury zosta艂y opracowane w celu zapewnienia, aby przetwarzaj膮cy zapewniali gwarancje wdro偶enia odpowiednich 艣rodk贸w organizacyjnych i technicznych dla zapewnienia bezpiecze艅stwa, realizacji praw jednostki i innych obowi膮zk贸w ochrony danych spoczywaj膮cych na Administratorze, w spos贸b o kt贸rym stanowi膮 postanowienia RODO, dostosowany jednocze艣nie do specyfiki Administratora tak, by jak najskuteczniej chroni膰 przetwarzane dane osobowe.

Administrator przyj膮艂 odpowiednie wymagania co do umowy powierzenia przetwarzania danych, kt贸ra stanowi Za艂膮cznik nr 2 do Polityki 鈥 鈥濿z贸r umowy powierzenia przetwarzania danych鈥.

Administrator rozlicza przetwarzaj膮cych z聽 wykorzystania podwykonawc贸w przetwarzania danych osobowych, jak te偶 z innych wymaga艅 wynikaj膮cych z zasad powierzenia danych osobowych. W tym celu Administrator nak艂ada na podmioty przetwarzaj膮ce obowi膮zki przestrzegania regu艂 bezpiecze艅stwa u podwykonawc贸w przetwarzania w zakresie w jakim mowa o na艂o偶eniu na te podmioty dok艂adnie takich samych wymaga艅 faktycznych i prawnych jak na podmioty przetwarzaj膮ce dane osobowe w imieniu administratora.

4.11. 聽 聽 聽 聽 聽 聽 聽 聽 聽 聽 PRZESY艁ANIE DANYCH DO PA艃STW TRZECICH

Administrator rejestruje w RCPD przypadki eksportu danych, czyli przekazywania danych poza Europejski Obszar Gospodarczy (EOG w 2018 r. = Unia Europejska, Islandia, Lichtenstein i Norwegia).

Aby unikn膮膰 sytuacji nieautoryzowanego eksportu danych do pa艅stw trzecich, w szczeg贸lno艣ci w zwi膮zku z wykorzystaniem publicznie dost臋pnych us艂ug chmurowych, Administrator okresowo weryfikuje zachowania u偶ytkownik贸w.

4.12. 聽 聽 聽 聽 聽 聽 聽 聽 聽 聽 PROJEKTOWANIE PRYWATNO艢CI

Administrator w spos贸b aktywny reaguje na zmiany w zakresie przetwarzania danych osobowych, kt贸re maj膮 lub mog膮 mie膰 wp艂yw na prywatno艣膰 w taki spos贸b, aby umo偶liwi膰 zapewnienie odpowiedniego bezpiecze艅stwa danych osobowych oraz minimalizacji ich przetwarzania.

W tym celu zasady prowadzenia projekt贸w i przedsi臋wzi臋膰 przez Administrator odwo艂uj膮 si臋 do zasad bezpiecze艅stwa danych osobowych i minimalizacji, wymagaj膮c oceny wp艂ywu na prywatno艣膰 i ochron臋 danych. Administrator planuj膮c nowe projekty, uwzgl臋dnia bezpiecze艅stwo i minimalizacj臋 przetwarzania danych od pocz膮tku projektu.

5. Klasyfikacja dokument贸w

Ten dokument jest sklasyfikowany jako „dokument wewn臋trzny Administratora” i nie powinien by膰 ujawniany na zewn膮trz firmy bez formalnej zgody zarz膮du Administratora.

5.1. W艂asno艣膰, aktualizacja i przegl膮d

Niniejsza Polityka Ochrony Danych Osobowych i Bezpiecze艅stwa Systemu Informacji jest w艂asno艣ci膮 Administratora.聽 Aktualizacja tego dokumentu jest wykonywana przez zarz膮d Administratora lub osoby do tego upowa偶nione.

close

Odbierz darmowy Ebook w kt贸rym poka偶臋 ci jak mo偶esz zacz膮膰 zarabia膰 w dropshippingu.

Nie wysy艂amy spamu! Przeczytaj nasz膮 polityk臋 prywatno艣ci