Polityka prywatności








Polityka Ochrony Danych Osobowych oraz Bezpieczeństwa Systemów Informacji



§ 1.WSTĘP

**Niniejsza Polityka Ochrony Danych Osobowych oraz Bezpieczeństwa Systemów Informacji odnosi się do strony internetowej, której Administratorem jest EMPRO Marcin Masny z siedzibą w Garwolinie przy ul. Targowej 60.

    •    Niniejszy dokument –  „Polityka ochrony danych osobowych oraz Bezpieczeństwa Systemów Informacji” (dalej: „Polityka”) – przedstawia wymogi, zasady oraz regulacje ochrony danych osobowych i bezpieczeństwa informacji w systemach używanych przez Administratora. Polityka stanowi opis zabezpieczania systemów informacji Administratora, jak również politykę ochrony danych osobowych w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej: „RODO”).

    •    Administrator, wypełniając we wskazany w niniejszym dokumencie sposób swoje obowiązki nałożone na niego przez RODO, jak również przepisy wprowadzające RODO do polskiego porządku prawnego, to w rozumieniu wyżej wskazanych aktów prawnych również:
    •    współpracownicy Administratora,
    •    procesy biznesowe i metody pracy Administratora,
    •    wiedza o Klientach Administratora,
    •    partnerzy biznesowi Administratora i jego relacje z nimi.

3.  Poziom ryzyka związanego z bezpieczeństwem IT jest ustalany na podstawie globalnej strategicznej mapy ryzyka. Głównymi zagrożeniami bezpieczeństwa IT są:
    •    niezdolność Systemu Informacji w momencie krytycznym dla biznesu;
    •    niezdolność do wykrywania nadużyć wewnętrznych w systemach informatycznych;
    •    błędy decyzyjne z powodu błędnych danych finansowych;
    •    utrata danych lub ujawnienie zapisów danych osoby, której dane dotyczą;
    •    utrata przewagi konkurencyjnej w wyniku wycieku danych.

    •    W celu minimalizacji ryzyka konieczna jest ochrona wrażliwych systemów informacyjnych w praktyce. Strategia ta jest zawarta w Polityce Bezpieczeństwa Systemów Informacji i odnosi się do głównych celów bezpieczeństwa, które mają na celu zmniejszenie ryzyka do akceptowalnego poziomu. Główne cele bezpieczeństwa są opisane szczegółowo dalszych częściach niniejszego dokumentu.
    •    Niniejszy dokument jest sklasyfikowany jako “dokument wewnętrzny Administratora”.

§ 2. POLITYKA BEZPIECZEŃSTWA

    •    Celem Polityki Ochrony Danych Osobowych i Bezpieczeństwa Systemów Informacji Administratora jest zachęcanie i zwiększanie zaufania wśród użytkowników (współpracowników, Klientów, partnerów) w systemach informacji i świadczonych usługach oraz promocja świadomości dotyczącej  ochrony danych osobowych i bezpieczeństwa systemów informacji.

    •    Administrator przetwarza dane osobowe z poszanowaniem następujących zasad:
    •    w oparciu o podstawę prawną i zgodnie z prawem (legalizm),
    •    rzetelnie i uczciwie (rzetelność),
    •    w sposób przejrzysty dla osoby, której dane dotyczą (transparentność),
    •    w konkretnych celach i nie „na zapas” (minimalizacja),
    •    nie więcej niż potrzeba (adekwatność),
    •    z dbałością o prawidłowość danych (prawidłowość),
    •    nie dłużej niż potrzeba (czasowość),
    •    zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo).

    •    Architektura bezpieczeństwa Administratora jest oparta na:
    •    treści niniejszego dokumentu, który określa strategiczne punkty powiązane z bezpieczeństwem u Administratora i przełożenie ich na fundamentalne cele: stanowi podstawy we wszystkich  kwestiach bezpieczeństwa Administratora;
    •    standardach bezpieczeństwa definiujących stopnie bezpieczeństwa, które będą osiągane przez realizację podstawowych celów bezpieczeństwa określonych przez Administratora i to na różne sposoby, w tym przy użyciu narzędzi i najlepszych praktyk znanych Administratorowi;
    •    procedurach i trybach operacyjnych opisujących technicznie sposoby wdrożenia środków bezpieczeństwa.

    •    Niniejszy dokument odnosi się do wszystkich systemów informacyjnych używanych przez Administratora, w tym w szczególności do:
    •    wszystkich współpracowników Administratora;
    •    wszystkich partnerów (przedsiębiorcy, w tym spółki handlowe, usługodawcy, podwykonawcy);
    •     wszystkich procesów, projektów i aplikacji;
    •    wszystkich komponentów systemów informatycznych (komputery biurowe, laptopy, smartfony, tablety, itp).


    •    System Informacji przechowuje większość danych, a niektóre informacje są w większym stopniu niż inne narażone na wyciek ze względu na swoją treść oraz nieustannie zmieniające się zagrożenia informatyczne. Niektóre spośród tych danych podlegają regulacji lub zobowiązaniom prawnym. Dostęp do informacji poufnych jest w ograniczony poprzez następujące sposoby:
    •    jednoznaczną identyfikację użytkowników,
    •    bezpieczne uwierzytelnianie użytkowników,
    •    niższe przywileje (użytkownicy posiadają uprawnienia wprost dostosowane do ich stanowiska),
    •    potrzebę wiedzy (użytkownicy mają dostęp tylko do tych usług niezbędnych do wykonywania swojej pracy) .
§ 4. POLITYKA OCHRONY DANYCH OSOBOWYCH

    •    Polityka w swojej treści przedstawia:
    •    opis zasad ochrony danych obowiązujących u Administratora,
    •    jeśli jest to niezbędne – również odwołania do załączników uszczegółowiających (wzorcowe procedury lub instrukcje dotyczące poszczególnych obszarów z zakresu ochrony danych osobowych wymagających doprecyzowania w odrębnych dokumentach).

    •    Odpowiedzialny za wdrożenie i utrzymanie niniejszej Polityki jest Administrator.

    •    Za stosowanie niniejszej Polityki odpowiedzialny jest Administrator oraz wszyscy członkowie jego personelu.

    •    Administrator powinien zapewnić zgodność postępowania kontrahentów z niniejszą Polityką w odpowiednim zakresie, szczególnie w przypadkach przekazania im danych osobowych przez Administratora. W tym celu Administrator zawiera z kontrahentami, którzy uzyskują dostęp do danych osobowych klientów Administratora, umowy o powierzenie przetwarzania danych osobowych.

§ 5 OCHRONA DANYCH OSOBOWYCH U ADMINISTRATORA – PROCEDURY OCHRONY.

1.  Podstawami ochrony danych osobowych są:
    •    Legalność – Administrator dba o ochronę prywatności i przetwarza dane zgodnie z prawem i jedynie na podstawie obowiązujących przepisów prawa.
    •    Bezpieczeństwo – Administrator zapewnia poziom bezpieczeństwa danych odpowiadający sektorowi jego działalności, podejmując stale działania w tym zakresie.
    •    Prawa osób fizycznych – Administrator umożliwia osobom fizycznym, których dane przetwarza, wykonywanie swoich praw przyznanych przez przepisy RODO i realizuje te prawa, stosując się do wszystkich, opisanych w niniejszej Polityce stadiów ochrony danych.
    •    Rozliczalność – Administrator dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej chwili móc wykazać rzetelność obchodzenia się z bezpieczeństwem danych osobowych. Dokumentacja przechowywana jest w miejscach odpowiednio chronionych, przy zachowaniu zasad bezpieczeństwa.

    •    Administrator przetwarza dane osobowe mając na uwadze przede wszystkim, by przetwarzanie danych następowało:
    •    w oparciu o podstawę prawną i zgodnie z prawem (legalizm),
    •    rzetelnie i z poszanowaniem praw jednostki (rzetelność),
    •    w sposób przejrzysty dla osoby, której dane dotyczą, mając na uwadze, że osoby fizyczne mają ograniczony czas na zaznajomienie się ze sposobami przetwarzania danych, stosowanymi przez Administratora (transparentność),
    •    jedynie w konkretnie określonych celach (minimalizacja),
    •    jedynie w niezbędnym zakresie (adekwatność),
    •    z dbałością o to zgodność przetwarzanych danych z rzeczywistością (prawidłowość),
    •    nie dłużej niż jest to niezbędne do wykonania obowiązków wynikających ze stosunku prawnego lub faktycznego wiążącego Administratora i jedynie w takim zakresie i czasie, w jakim Administrator powiadomił osobę , której dane dotyczą (czasowość),
    •    zapewniając odpowiednie bezpieczeństwo danych z uwagi na potencjalne ryzyka i zagrożenia związane z operacjami dokonywanymi na danych osobowych (bezpieczeństwo).

§ 6. SYSTEMY OCHRONY DANYCH

    •    System ochrony danych osobowych u Administratora składa się przede wszystkim z następujących  elementów:
    •    Inwentaryzacja danych. Administrator dokonuje identyfikacji zasobów danych osobowych, klas danych, zależności między zasobami danych, identyfikacji sposobów wykorzystania danych (inwentaryzacja), w tym:
    •    przypadków przetwarzania danych osób niezidentyfikowanych przez Administratora (dane niezidentyfikowane),
    •    przypadków przetwarzania danych dzieci,
    •    profilowania.
    •    Rejestr Czynności Przetwarzania Danych Osobowych. Administrator opracowuje, prowadzi i utrzymuje rejestr czynności dokonywanych na danych osobowych u Administratora (dalej: „Rejestr” lub „RCPD”). Rejestr jest narzędziem rozliczania zgodności przetwarzania danych osobowych u Administratora z powszechnie obowiązującymi przepisami prawa.
    •    Podstawy prawne. Administrator zapewnia, identyfikuje oraz weryfikuje podstawy prawne przetwarzania danych i rejestruje je w Rejestrze, w tym:
    •    utrzymuje system zarządzania zgodami na przetwarzanie danych i komunikację na odległość, by w prosty sposób zdeterminować możliwość komunikacji z osobami fizycznymi w określonych celach;
    •    uzasadnia przypadki, gdy Administrator przetwarza dane na podstawie prawnie uzasadnionego interesu Administratora.
    •    Obsługa praw jednostki. Administrator spełnia obowiązki informacyjne względem osób, których dane przetwarza oraz zapewnia obsługę ich praw (art. 12 ust. 3 RODO), realizując otrzymane w tym zakresie żądania, w tym:
    •    obowiązek informacyjny. Administrator przekazuje osobom wymagane informacje przy zbieraniu danych oraz organizuje i zapewnia udokumentowanie realizacji tych obowiązków, tak by móc wykazać ich wypełnienie w przypadku ewentualnej kontroli odpowiednich organów
    •    wykonanie żądań osób fizycznych. Administrator zapewnia możliwość wykonania żądań kierowanych do niej przez osoby fizyczne, których dane osobowe przetwarza,
    •    obsługa żądań osób fizycznych. Administrator zapewnia personelowi odpowiednie nakłady finansowe, procedury oraz infrastrukturę, aby żądania osób były realizowane w terminach i w sposób wymagany przepisami prawa oraz dobrą praktyką, jak również by ich wykonanie zostało każdorazowo udokumentowane we właściwy sposób,
    •    zawiadamianie o naruszeniach. Administrator stosuje procedury, które pozwalają ustalić konieczność zawiadomienia osób dotkniętych zidentyfikowanym naruszeniem ochrony danych. W tym celu członek zarządu w osobie do tego wyznaczonej nadzoruje procesy przetwarzania danych w ten sposób, by zawiadomienie o naruszeniach mogło nastąpić niezwłocznie, jednak zawsze w terminach nie późniejszych niż określone w powszechnie obowiązujących przepisach prawa.

    •    Minimalizacja. Administrator wdrożył zasady i metody kompatybilne z określoną przepisami RODO zasadą minimalizacji, w ten sposób by nie przetwarzać danych osobowych zbędnych i nadmiarowych. Administrator poprzez zasadę minimalizacji dąży, by w jego bazie danych nie znajdowały się dane, które nie są niezbędne do poprawnego wykonywania stosunków prawnych i  faktycznych łączących Administratora z jej klientami i kontrahentami (privacy by default), a w tym:
    •    zasady pomagające efektywnie zarządzać adekwatnością danych już na etapie zbierania danych,
    •    zasady zarządzania dostępem do danych osób fizycznych, które o taki dostęp wnioskują, poprzez odpowiednie przeszkolenie osób odpowiedzialnych za te kwestie na terenie działalności Administratora jak również przygotowanie odpowiedniej procedury działania,
    •    zasady zarządzania danymi podczas okresu ich przechowywania oraz weryfikacji dalszej przydatności, a w efekcie niezwłocznego usuwania danych osobowych osób , których dane osobowe są przetwarzane, gdy wygaśnie podstawa prawna do takiego działania.

    •    Bezpieczeństwo. Administrator zapewnia odpowiedni poziom bezpieczeństwa danych, w tym:
    •    przeprowadza niezbędne analizy ryzyka dla czynności przetwarzania danych lub ich kategorii,
    •    przeprowadza oceny skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw i wolności osób jest wysokie ze względu na ich charakter lub miejsce przechowywania,
    •    dostosowuje środki ochrony danych do ustalonego ryzyka,
    •    posiada wewnętrzne procedury zarządzania bezpieczeństwem informacji,
    •    stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych – zarządza incydentami.

    •    Podmioty Przetwarzające. Administrator posiada zasady weryfikacji podmiotów przetwarzających dane na rzecz Administratora, wymogów co do warunków przetwarzania (w tym celu z każdym podmiotem przetwarzającym dane osobowe powierzone przez Administratora zawierana jest umowa o powierzenie przetwarzania danych osobowych), zasad weryfikacji wykonywania umów powierzenia, przede wszystkim poprzez stosowanie wymogów przedstawienia przez podmioty przetwarzające stosowanych przez Administratora procedur zabezpieczenia.
    •    Przekazywanie danych do państw trzecich. Administrator weryfikuje czy dane osobowe osób fizycznych nie są przekazywane do państw trzecich (tj. poza teren Unii Europejskiej, Norwegii, Lichtensteinu i Islandii) lub do organizacji międzynarodowych oraz zapewnia zgodne z prawem warunki takiego przekazywania, jeśli ma ono miejsce.

    •    Privacy by design. Administrator zarządza zmianami wpływającymi na prywatność i kontroluje je w odpowiedni sposób ze względu na przepisy o ochronie danych osobowych. W tym celu procedury uruchamiania nowych projektów i inwestycji przez Administratora uwzględniają konieczność oceny wpływu zmiany na ochronę danych, analizę ryzyka, zapewnienie prywatności (a w tym zgodności celów przetwarzania, bezpieczeństwa danych i minimalizacji) już w fazie projektowania zmiany, inwestycji czy na początku nowego projektu.

    •    Przetwarzanie transgraniczne. Administrator każdorazowo weryfikuje czy nie zachodzi przypadek transgranicznego przetwarzania danych osobowych, by w tym celu wypełnić wszystkie prawne obowiązki nakładane w związku z tym na administratora.

    •    Inwentaryzacja:
    •    Administrator nie identyfikuje przypadków, w których przetwarza lub może przetwarzać dane szczególnych kategorii lub dane karne, zatem nie jest niezbędne utrzymywanie mechanizmów dedykowanych zapewnieniu zgodności przetwarzania tych kategorii danych osobowych z prawem.
    •    Administrator rozpoznaje przypadki, w których przetwarza lub może przetwarzać dane niezidentyfikowane, w związku z czym gdy zachodzi taka konieczność, podejmuje wszystkie niezbędne czynności ułatwiające realizację praw osób, których dotyczą dane niezidentyfikowane.
    •    Administrator identyfikuje przypadki, w których dokonuje profilowania przetwarzanych danych w związku z czym podejmuje wszelkie środki i starania, by ten proces odbywał się zgodnie z prawem i poszanowaniem praw osób fizycznych, których dane są przetwarzane.
    •    Administrator nie identyfikuje przypadków współadministrowania danymi osobowymi.

§ 7. REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH (DALEJ: „RCPD”)

    •     Rejestr Czynności Przetwarzania Danych (Dalej: „RCPD”) stanowi  formę dokumentowania czynności przetwarzania danych i jest jednym z podstawowych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności tak, by nie tylko podmioty kontrolujące przetwarzanie danych mogły w czytelny sposób określić sposób wykonywania obowiązków nałożonych na administratora danych, ale również administrator mógł zidentyfikować wewnętrzne naruszenia i reagował na nie.
    •    Administrator prowadzi RCPD, w którym inwentaryzuje i nadzoruje sposoby, w jakie wykorzystuje dane osobowe.
    •    RCPD jest, obok niniejszego dokumentu, który Administrator przekazuje współpracownikom w celach edukacyjnych i informacyjnych, jednym z podstawowych narzędzi umożliwiających Administratorowi rozliczanie większości obowiązków ochrony danych.
    •    W RCPD dla każdej czynności przetwarzania danych, którą Administrator uznał za odrębną dla potrzeb RCPD, Administrator odnotowuje co najmniej:
    •    nazwę czynności,
    •    jednostkę organizacyjną
    •    cel przetwarzania,
    •    kategorie osób,
    •    kategorie danych,
    •    podstawę prawną przetwarzania,
    •    źródło danych,
    •    planowany termin usunięcia kategorii danych,
    •    nazwę podmiotu przetwarzającego i jego dane kontaktowe (jeśli dotyczy),
    •    kategorie odbiorców (jeśli dotyczy),
    •    nazwę systemu lub oprogramowania, używanego przy przetwarzaniu danych osobowych,
    •    ogólny opis technicznych i organizacyjnych środków bezpieczeństwa zgodnie z art. 32 ust. 1 RODO,
    •    transfer do kraju trzeciego lub organizacji międzynarodowej (nazwa kraju i podmiotu),
    •    jeśli transfer i art. 49 ust. 1 akapit drugi RODO – dokumentacja odpowiednich zabezpieczeń.
    •    Wzór RCPD stanowi Załącznik nr 1 do Polityki – „Wzór Rejestru Czynności Przetwarzania Danych”, Wzór RCPD zawiera także kolumny niewymagane prawem. W kolumnach nieobowiązkowych Administrator rejestruje informacje w miarę potrzeb i możliwości, z uwzględnieniem tego, że pełniejsza treść RCPD ułatwia zarządzanie zgodnością ochrony danych i rozliczenia z niej.

§ 8. PODSTAWY PRAWNE PRZETWARZANIA

    •    Administrator dokumentuje w RCPD podstawy prawne przetwarzania danych dla poszczególnych czynności przetwarzania, by móc dostosowywać rejestr do nowelizacji aktów prawnych, z których wynikają obowiązki.

    •    Poprzez wskazanie w dokumentach ogólnej podstawy prawnej (zgoda, umowa, obowiązek prawny, żywotne interesy, uzasadniony cel Administratora), Administrator dookreśla podstawę w precyzyjny sposób, gdy jest to potrzebne i niezbędne ze względu na kategorię danych i zasadę przejrzystości. W ten sposób Administrator wskazuje np. zakres uzyskiwanej zgody, przedstawiając jednocześnie cel, w jakim jest ona uzyskiwana, a gdy podstawą jest prawo – wskazując konkretny przepis i inne dokumenty, np. umowę, porozumienie administracyjne itp. oraz uzasadniony cel – wskazując konkretny cel, np. marketing bezpośredni, obronę przed roszczeniami jak również możliwość ich dochodzenia.

    •    Administrator wdraża metody zarządzania zgodami, umożliwiające rejestrację i weryfikację posiadania zgody osoby na przetwarzanie jej konkretnych danych w konkretnym celu na każdym etapie przetwarzania danych, zgody na komunikację na odległość zgodnie z przepisami ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. 2004 Nr 171 poz. 1800) oraz ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2002 Nr 144 poz. 1204) jak również rejestracją odmowy zgody, cofnięcia zgody i podobnych czynności (sprzeciw, żądanie usunięcia danych itp.).


§ 9. PROCEDURY OBSŁUGI PRAW JEDNOSTKI I OBOWIĄZKÓW INFORMACYJNYCH

    •    Administrator dba o czytelność przekazywanych informacji i komunikacji z osobami, których dane przetwarza.

    •    Administrator ułatwia osobom korzystanie z ich praw poprzez działania takie jak umieszczanie na stronie internetowej Administratora linków do informacji o prawach osób, których przetwarzane dane dotyczą oraz metodach kontaktu z Administratorem w tym celu.

    •    Administrator dba o dotrzymywanie prawnych terminów realizacji obowiązków względem osób fizycznych, których dane osobowe przetwarza, poprzez stosowanie odpowiednich procedur i formularzy, za pomocą których udziela odpowiedzi na żądania i pytania kierowane do Administratora w przedmiocie ochrony danych osobowych osób fizycznych, których dane są przetwarzane.

    •    Administrator wprowadza adekwatne metody identyfikacji osób dla potrzeb realizacji praw jednostki i obowiązków informacyjnych w ten sposób, by osoby nieuprawnione nie uzyskały dostępu do danych osobowych, które ich nie dotyczą.

    •    W celu realizacji praw jednostki, Administrator zapewnia procedury i mechanizmy pozwalające zidentyfikować dane konkretnych osób, przetwarzane przez Administratora, w celu skutecznej odpowiedzi na żądania osób fizycznych, udostępniając im dane osobowe ich dotyczące jak również dając im możliwość skorzystania z takich uprawnień jak sprostowanie danych, ich usunięcie czy przeniesienie (w możliwym zakresie).

    •    Administrator dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań osób fizycznych.

§ 10. OBOWIĄZKI INFORMACYJNE

    •    Administrator określa zgodne z prawem i skuteczne sposoby wykonywania obowiązków informacyjnych.

    •    Administrator informuje osobę o przedłużeniu ponad jeden miesiąc terminu na rozpatrzenie żądania tej osoby (art. 12 ust. 3 RODO) w przypadku, gdy rozpatrzenie jej żądania przed upływem tego terminu jest niemożliwe.

    •    Administrator informuje osobę o przetwarzaniu jej danych, w sytuacji gdy dane osobowe pozyskane są bezpośrednio od tej osoby.

    •    Administrator określa sposób informowania osób o przetwarzaniu danych niezidentyfikowanych, jeśli tylko jest to możliwe.

    •    Administrator, w razie potrzeby, informuje osobę o planowanej zmianie celu przetwarzania danych.

    •    Administrator informuje odbiorców danych o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych osobowych (chyba, że wymagałoby to niewspółmiernie dużego wysiłku lub byłoby niemożliwe).

    •    Administrator informuje osobę o prawie sprzeciwu jak również wszystkich przysługujących jej prawach, których źródłem jest art. 13 lub 14 RODO, względem przetwarzania jej danych osobowych najpóźniej przy pierwszym kontakcie z tą osobą.

    •    Administrator bez zbędnej zwłoki zawiadamia osobę o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby.

§ 11. ŻĄDANIA OSÓB FIZYCZNYCH, KTÓRYCH DANE PRZETWARZA ADMINISTRATOR

    •    Realizując prawa osób, których dane dotyczą, Administrator wprowadza gwarancje ochrony praw osób trzecich w przedmiocie ochrony ich danych osobowych. W sytuacji gdy np. wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych mogłoby wpłynąć niekorzystnie na prawa i wolności innych osób lub w sposób istotny naruszyć ich interesy prawne (np. prawa związane z ochroną danych innych osób, które nie mogą być z różnych względów zanonimizowane, prawa własności intelektualnej, tajemnicę handlową lub dobra osobiste), Administrator może się zwrócić do osoby w celu wyjaśnienia wątpliwości lub odmówić zadośćuczynienia żądaniu.

    •    Administrator, w drodze przesłania odpowiedniego formularza, informuje osobę, w ciągu miesiąca od otrzymania żądania, o odmowie rozpatrzenia żądania i o prawach osoby z tym związanych w przypadku spełnienie żądania osoby jest niemożliwe.

    •    Na żądanie osoby dotyczące dostępu do jej danych, Administrator informuje osobę, czy przetwarza jej dane oraz informuje osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO (zakres przetwarzania odpowiada obowiązkowi informacyjnemu przy zbieraniu danych). Administrator umożliwia dostęp do danych osobowych osobie, która o to wnioskuje, jednak tylko w przypadku gdy nie zagraża to naruszeniem danych osobowych innych osób (brak możliwości zanonimizowania danych osobowych niedotyczących bezpośrednio osoby kierującej żądanie lub ryzyko udostępnienia tajemnicy handlowej itp.). Dostęp do danych może być zrealizowany przez wydanie kopii danych, z zastrzeżeniem, że każda kolejna (po pierwszej) kopia danych osobowych jest kopią, za którą Administrator może pobrać odpowiednie opłaty, uzasadnione nakładem pracy związanym z jej wytworzeniem i wydaniem osobie zainteresowanej.

    •    Administrator informuje osobę o nieprzetwarzaniu danych jej dotyczących, jeśli taka osoba zgłosiła żądanie dotyczące jej praw.

    •    Administrator dokonuje sprostowania nieprawidłowych danych na żądanie osoby fizycznej, której dane osobowe przetwarzane przez Administratora dotyczą. Administrator ma prawo odmówić sprostowania danych, chyba że osoba w rozsądny sposób wykaże nieprawidłowość danych, których sprostowania się domaga.

    •    Administrator uzupełnia i aktualizuje dane na żądanie osoby, której dane dotyczą. Administrator ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych w związku z faktem przekazanych już osobie fizycznej dokumentów informującym ją o celach przetwarzania. Administrator może polegać na oświadczeniu osoby co do uzupełnianych danych, chyba że będzie to niewystarczające w świetle przyjętych przez Administratora procedur, przepisów prawa lub zaistnieją okoliczności faktyczne uzasadniające obawy, że oświadczenie osoby, która kieruje żądanie jest niewiarygodne.

    •    Na żądanie osoby, której dane dotyczą, Administrator wydaje osobie kopię danych jej dotyczących i odnotowuje fakt wydania pierwszej kopii danych, z zastrzeżeniem sytuacji zawartych w niniejszym dokumencie, związanych z możliwością naruszenia danych osobowych osób trzecich.

    •    Na żądanie osoby, której dane dotyczą, Administrator wydaje w powszechnie używanym formacie nadającym się do odczytu komputerowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła Administratorowi, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z nią zawartej w systemach informatycznych Administratora.

    •    Jeżeli Administrator przetwarza dane w sposób automatyczny, w tym w szczególności profiluje osoby, Administrator zapewnia jednocześnie możliwość odwołania się do decyzji współpracownika upoważnionego do tego typu działania po stronie Administratora, chyba że taka automatyczna decyzja:
    •    jest niezbędna do zawarcia lub wykonania umowy między odwołującą się osobą a Administratorem,
    •    jest wprost dozwolona przepisami prawa,
    •    opiera się na wyraźnej zgodzie osoby, której dane są przetwarzane w sposób automatyczny.

    •     Na żądanie osoby, której dane dotyczą, Administrator usuwa dane, gdy:
    •    dane nie są niezbędne do celów, w których zostały zebrane, ani przetwarzane w innych zgodnych z prawem celach lub celach wymaganych przepisami prawa oraz okolicznościami,
    •    zgoda na ich przetwarzanie została cofnięta, a Administrator nie dysponuje inną podstawą prawną przetwarzania,
    •    osoba fizyczna, której dane osobowe są przetwarzane, wniosła skuteczny sprzeciw względem przetwarzania tych danych,
    •    dane były przetwarzane niezgodnie z prawem,
    •    konieczność usunięcia wynika z obowiązku prawnego,
    •    żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług oferowanych bezpośrednio dziecku.

11. Administrator określa sposób realizacji prawa do usunięcia danych mając przy tym na uwadze obowiązek zapewnienia efektywnej realizacji tego prawa – w szczególności przestrzegając zasad bezpieczeństwa, a także poszanowaniu obowiązku weryfikacji, czy nie zachodzą wyjątki, o których mowa w art. 17 ust. 3 RODO.

12. Jeżeli dane podlegające usunięciu zostały upublicznione przez Administratora na stronie internetowej lub w celu marketingowym wydarzenia organizowanego przez Administratora lub takiego, w którym Administrator bierze czynny udział, przy jednoczesnym założeniu otrzymania niezbędnych zgód osób, których dane osobowe są przetwarzane w ten sposób, Administrator podejmuje rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe o potrzebie usunięcia danych i dostępu do nich.

13. W przypadku usunięcia danych, Administrator na żądanie tej osoby informuje ją o odbiorcach danych jej dotyczących.

14. Administrator dokonuje ograniczenia przetwarzania danych na żądanie osoby, gdy:
    •    dane osobowe przetwarzane przez Administratora są kwestionowane przez osobę fizyczną, której dotyczą – na okres niezbędny z punktu widzenia weryfikacji ich prawidłowości,
    •    przetwarzanie jest niezgodne z prawem, jednak osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, chcąc jedynie by ich przetwarzanie zostało ograniczone ze względu na wskazane przez nią cele,
    •    Administrator nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
    •    osoba wniosła sprzeciw względem przetwarzania jej danych osobowych – do czasu stwierdzenia, czy po stronie Administratora zachodzą prawnie uzasadnione podstawy prawne nadrzędne wobec podstaw sprzeciwu (np. przepisy podatkowe i inne).

15. W trakcie ograniczenia przetwarzania Administrator przechowuje dane, natomiast nie wykorzystuje ich oraz nie przekazuje osobom trzecim, ani innym podmiotom odrębnym od Administratora i jego pracowników, uprawnionych do dostępu do przedmiotowych danych. Wyjątkiem jest wyraźna zgoda osoby, której dane dotyczą oraz ustalenie, dochodzenie roszczeń lub obrona przed nimi.

16. W przypadku ograniczenia przetwarzania danych, Administrator na żądanie osoby, której przetwarzane dane osobowe dotyczą, informuje tę osobę o odbiorcach danych.

    •     Jeżeli osoba zgłosi umotywowany sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez Administratora w oparciu o uzasadniony interes Administratora lub o powierzone Administratorowi zadanie w interesie publicznym, Administrator uwzględni sprzeciw. Wyjątkiem od tego jest sytuacja, gdy po stronie Administratora zachodzą ważne, prawnie uzasadnione podstawy do przetwarzania, które ze względu na całokształt okoliczności i powszechnie obowiązujące przepisy prawa należy uznać za nadrzędne wobec interesów i praw osoby zgłaszającej sprzeciw.

    •     Jeżeli osoba fizyczna, której dane osobowe są przetwarzane przez Administratora, zgłosi sprzeciw względem przetwarzania jej danych przez Administratora na potrzeby marketingu bezpośredniego, Administrator uwzględni sprzeciw i zaprzestanie takiego przetwarzania, bez wyjątków motywowanych sytuacją faktyczną lub przepisami prawa.


§ 12. MINIMALIZACJA PRZETWARZANIA DANYCH

    •    Administrator dba o minimalizację przetwarzania danych, biorąc pod uwagę:
    •    adekwatność przetwarzanych danych osobowych do celów, dla których są one przetwarzane,
    •    dostęp do danych osobowych przetwarzanych przez Administratora,
    •    czas przechowywania danych osobowych.
    •    Administrator stosuje ograniczenia dostępu do danych osobowych, które mają charakter prawny (np. zobowiązania współpracowników do poufności, upoważnienia współpracowników posiadających dostęp do danych osobowych), fizyczny (np. dostęp do plików z danymi osobowymi tylko dla osób upoważnionych w sposób by możliwie zminimalizować ryzyko wycieku danych, zamykanie pomieszczeń z dokumentacją) i logistyczny (np. przydzielenie odpowiednich haseł dostępu do danych osobowych w sposób minimalizujący ryzyko dostępu do danych osób nieupoważnionych).
    •    Administrator stosuje również kontrolę dostępu fizycznego poprzez niedopuszczanie do stanowisk pracy klientów i osób, które nie podpisały z Administratorem umowy współpracy i odpowiednich aneksów upoważniających ich do dostępu do danych oraz oświadczeń w zakresie zachowania poufności.
    •    Administrator dokonuje aktualizacji uprawnień dostępowych przy zmianach w składzie personelu i zmianach ról osób oraz zmianach podmiotów przetwarzających.
    •    Administrator dokonuje okresowego przeglądu ustanowionych użytkowników systemów i dokonuje aktualizacji przynajmniej raz w roku.
    •    Administrator wdraża mechanizmy kontroli przetwarzania danych osobowych na wszystkich etapach przetwarzania, w tym weryfikacji dalszej przydatności danych względem terminów i punktów kontrolnych wskazanych w RCPD jak również w obowiązkach informacyjnych, przekazywanych osobom, których dane osobowe są przetwarzane. Dane, których zakres przydatności ulega ograniczeniu wraz z upływem czasu są usuwane z systemów informatycznych Administratora.Dane, o których mowa powyżej mogą być archiwizowane w uzasadnionych przypadkach oraz znajdować się na kopiach zapasowych systemów i informacji przetwarzanych przez Administratora.
    •    Administrator zobowiązuje się dokonywać okresowego przeglądu treści przetwarzanych danych osobowych, ich ilości i zakresu ich przetwarzania nie rzadziej niż raz na rok.
    •    Administrator przeprowadza weryfikację zmian co do ilości i zakresu przetwarzania danych osobowych, w sposób o którym mowa powyżej, w ramach procedur zarządzania przedmiotową zmianą (privacy by design).


§ 13. BEZPIECZEŃSTWO PRZETWARZANIA DANYCH PRZEZ ADMINISTRATORA

    •    Administrator zapewnia stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw osób fizycznych w związku z charakterem danych osobowych, które są przetwarzane jak również miejsc, w których dane są przechowywane.
    •    Administrator zapewnia odpowiedni stan wiedzy i świadomości personelu w zakresie bezpieczeństwa informacji i cyberbezpieczeństwa.
    •    Administrator kategoryzuje dane oraz czynności przetwarzania pod kątem ryzyka, które przedstawiają, tworząc przy tym odpowiedni rejestr przetwarzania danych, na którym opiera się Administrator przy doborze procedur ochrony danych.
    •    Administrator przeprowadza analizy ryzyka naruszenia praw osób fizycznych dla czynności przetwarzania danych lub ich kategorii. Administrator analizuje możliwe sytuacje i scenariusze naruszenia ochrony danych osobowych, uwzględniając charakter i zakres jak również cele przetwarzania, ryzyko naruszenia praw osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, w szczególności ze względu na rodzaj i charakter przetwarzanych danych.
    •    Administrator ustala możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa i ocenia koszt ich wdrażania. W tym celu Administrator ustala przydatność i stosuje takie środki i podejście, jak:
    •    pseudonimizacja,
    •    szyfrowanie danych osobowych,
    •    inne środki, składające się na zdolność do ciągłego zapewniania poufności, integralności, dostępności i adekwatności działalności systemów i usług przetwarzania, w tym przede wszystkich systemów informatycznych,
    •    środki zapewnienia ciągłości działania i zapobiegania skutkom awarii systemowych, czyli zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, tak aby Administrator mógł zapewnić:
    •    zabezpieczenie przed wyciekiem danych osobowych przetwarzanych przez Administratora,
    •    możliwość efektywnego korzystania z praw przyznawanych osobom fizycznym przez RODO (art. 15-22 RODO).

    •    Administrator dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych tam, gdzie zgodnie z analizą ryzyka (stanowiącą załącznik do RCPD), ryzyko naruszenia praw i wolności osób jest wysokie.
    •    Administrator stosuje środki bezpieczeństwa ustalone w ramach analiz ryzyka, właściwych dla poszczególnych kategorii przetwarzania danych jak również adekwatności podejmowanych środków bezpieczeństwa oraz ocen skutków dla ochrony danych. Środki bezpieczeństwa danych osobowych stanowią element środków bezpieczeństwa informacji i zapewnienia cyberbezpieczeństwa przez Administratora.
    •    Administrator stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Prezesowi Urzędu Ochrony Danych Osobowych w terminie 72 godzin od ustalenia naruszenia jak również zawiadomienie osoby, której dane osobowe przetwarzane przez Administratora zostały naruszone, by umożliwić zainteresowanej osobie podjęcie niezbędnych kroków w celu ochrony swoich praw.
9. Administrator okresowo weryfikuje zachowania użytkowników w celu uniknięcia sytuacji nieautoryzowanego eksportu danych do państw trzecich, w szczególności w związku z wykorzystaniem publicznie dostępnych usług chmurowych.
    •     Administrator planując nowe projekty, uwzględnia bezpieczeństwo i minimalizację przetwarzania danych od początku projektu.
    •     Administrator w sposób aktywny reaguje na zmiany w zakresie przetwarzania danych osobowych, które mają lub mogą mieć wpływ na prywatność w taki sposób, aby umożliwić zapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz minimalizacji ich przetwarzania.