POLITYKA OCHRONY DANYCH OSOBOWYCH

 

SPIS TREŚCI

1. WPROWADZENIE
2. SŁOWNICZEK
3. ADMINISTRATOR
4. ZASADY PRZETWARZANIA DANYCH

1. ZASADA ZGODNOŚCI Z PRAWEM, RZETELNOŚCI I PRZEJRZYSTOŚCI

2. ZASADA MINIMALIZACJI DANYCH

3. ZASADA PRAWIDŁOWOŚCI

4. ZASADA OGRANICZENIA PRZECHOWYWANIA

5. ZASADA INTEGRALNOŚCI I POUFNOŚCI

6. ZASADA ROZLICZALNOŚCI

5. PODSTAWY PRAWNE PRZETWARZANIA DANYCH
6. PRAWA OSÓB, KTÓRYCH DANE SĄ PRZETWARZANE

1. ZASADY OGÓLNE
2. OBOWIAZEK INFORMACYJNY I PRAWO DOSTĘPU DO DANYCH OSOBY, KTÓREJ DANE DOTYCZĄ
3. PRAWO DO SPROSTOWANIA DANYCH
4. PRAWO DO USUNIĘCIA DANYCH (PRAWO DO BYCIA ZAPOMNIANYM)
5. PRAWO DO OGRANICZENIA PRZETWARZANIA DANYCH OSOBOWYCH
6. OBOWIĄZEK POWIADOMIENIA O SPROSTOWANI LUB USUNIĘCIU DANYCH OSOBOWYCH LUB OGRANICZENIU PRZETWARZANIA
7. PRAWO DO PRZENOSZENIA DANYCH
8. PRAWO SPRZECIWU

 

7. OBOWIĄZUJACE PROCEDURY

1. PROCEDURA NADAWANIA UPRAWNIEŃ, DO PRZETWARZANIA DANYCH I REJESTROWANIA UPRAWNIEŃ, UWIERZYTELNIANIA

2. PROCEDURA ROZPOCZĘCIA, ZAWIESZENIA, ZAKOŃCZENIA PRACY

3. KOPIE NOŚNIKÓW DANYCH

4. ZABEZPIECZENIA POMIESZCEŃ I SYSTEMU INFORMATYCZNEGO

8. PRZECHOWYWANIE I USUWANIE DANYCH OSOBOWYCH

9. POWIERZENIE PRZETWARZANIA – KLAUZULE UMÓW Z DOSTAWCAMI

10. POWIADOMIENIA O NARUSZENIU OCHRONY DANYCH OSOBOWYCH

11. POSTANOWIENIA KOŃCOWE

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

WPROWADZENIE

Dla wdrożenia zasad przetwarzania i ochrony danych osobowych określonych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych), ustanawia się „Politykę Ochrony Danych Osobowych”.

 

SŁOWNICZEK

1. Rozporządzenie lub RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

2. Inne przepisy – oznaczają inne obowiązujące przepisy prawa, które dotyczą danych osobowych, w szczególności ich ochrony.

3. Administrator – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony Administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

4. Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Zbiór danych– oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie. Odbiorca – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania. Podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora. Strona trzecia – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, Administrator, podmiot przetwarzający czy osoby, które – z upoważnienia Administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe. Naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

11. Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej.

12. Pseudonimizacja – oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

13. Zgoda – oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

14. Organ nadzorczy – oznacza niezależny organ publiczny na terytorium Rzeczpospolitej Polskiej właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z Rozporządzeniem.

15. Grupa – oznacza osobę prawną lub jednostkę organizacyjną nieposiadającą osobowości prawnej powiązaną organizacyjnie lub ekonomicznie z Administratorem.

16. Obszar przetwarzania – wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe (zwany dalej „obszarem przetwarzania”) stanowi załącznik nr 1 do niniejszej Polityki Ochrony Danych Osobowych.

17. Użytkownik – należy przez to rozumieć osobę upoważnioną do przetwarzania danych osobowych na podstawie upoważnienia wskazanego w załączniku nr 2 Polityki Ochrony Danych Osobowych.

18. System informatyczny – należy przez to rozumieć zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych w jednostce organizacyjnej.

19. Kopia pełna – należy przez to rozumieć kopię zapasową całości danych osobowych przetwarzanych w systemie informatycznym.

20. Zabezpieczeniu danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.

Inne pojęcia użyte w niniejszej Polityce Ochrony Danych Osobowych bez nadania im odrębnej definicji, mają znaczenie jakie zostało im nadane w przepisach Rozporządzenia lub innych przepisach prawa.

ADMINISTARTOR DANYCH OSOBOWYCH

1. ADMINISTRATOREM jest PRZYSTAŃ ODNOWA MAŁGORZATA MARASEK, UL. BRZOZOWA 1, 05-806 NOWA WIEŚ NIP 5342163185.

2. Administrator zapewnia odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania administracyjne, a także zapewnia kontrolę i monitoring stosowanych środków ochrony.

3. Administrator :

1. zbiera dane zgodnie z przepisami prawa, w konkretnych wyraźnych prawnie uzasadnionych celach i nie przetwarza ich w sposób z nimi niezgodny oraz w razie potrzeby uaktualnia.

2. przetwarza dane w sposób rzetelny i przejrzysty i jedynie w zakresie jaki jest niezbędny dla osiągnięcia celu przetwarzania danych.

3. przechowuje dane osobowe przez okres ich przydatności do celów, do których zostały zebrane, a po tym okresie są one anonimizowane bądź usuwane.

4. wykonuje w stosunku do osoby, której dane dotyczą obowiązek informacyjny zgodnie z treścią art. 13 i 14 RODO.

5. sprawuje pieczę nad przetwarzaniem danych osobowych przez pracowników i współpracowników, w szczególności nad przestrzeganiem niniejszej Polityki Ochrony Danych Osobowych, a także aby każdy pracownik, współpracownik przestrzegał zakresu udzielonego upoważnienia do przetwarzania danych, zachował w poufności/tajemnicy dane osobowe oraz sposoby ich zabezpieczenia, zgłaszał incydenty związane z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu.

6. przetwarza dane osobowe zgodnie z zasadami określonymi w pkt. 4.

 

4. ZASADY PRZETWARZANIA DANYCH OSOBOWYCH

A. Zasada zgodności z prawem, rzetelności i przejrzystości

Administrator zapewnia realizację zasady o której mowa w art. 5 ust. 1 lit a) Rozporządzenia, dotyczącej przetwarzania danych zgodnie z prawem, rzetelnie i w sposób przejrzysty, poprzez zapewnienie podstaw prawnych przetwarzania oraz realizację praw Osoby, której dane dotyczą obejmujących w szczególności informowanie Osoby, której dane dotyczą o przetwarzaniu ich danych zgodnie z wymogami Rozporządzenia.

B. Zasada ograniczenia celu przetwarzania

Administrator zapewnia realizację zasady zbierania danych wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzanie ich dalej w sposób niezgodny z tymi celami, tj. zasady, o której mowa w art. 5 ust. 1 lit b) Rozporządzenia. W tym celu Administrator w ramach swoich wewnętrznych procesów zapewnia realizację tych zasad, w szczególności w oparciu o odpowiedni nadzór w tym zakresie.

C. Zasada minimalizacji danych

Administrator zapewnia realizację zasady minimalizacji danych, o której mowa w art. 5 ust. 1 lit c) Rozporządzenia, poprzez przetwarzanie danych adekwatnych, stosownych oraz ograniczonych do celów przetwarzania. W tym celu Administrator realizuje wewnętrzne procesy zapewniające realizację tej zasady, w tym w szczególności zapewnia, że wymagania w zakresie minimalizacji danych uwzględniane są w procesach tworzenia nowych i modyfikacji już istniejących produktów, procesów i systemów w ramach dokonywania identyfikacji zagrożeń związanych z ryzykiem operacyjnym.

D. Zasada prawidłowości

Administrator zapewnia realizację zasady, o której mowa w art. 5 ust. 1 lit. d) Rozporządzenia, zgodnie z którą dane powinny być prawidłowe i w razie potrzeby uaktualniane. Administrator będzie podejmować wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. W tym celu Administrator w ramach swoich wewnętrznych procedur zapewnia realizację tej zasady, w tym w szczególności zasady zarządzania danymi wykorzystywanymi w ramach prowadzonej działalności, obejmujące, w szczególności zarządzanie jakością danych, uwzględniających okresowe dokonywanie oceny jakości danych, dokonywanie czyszczenia danych, identyfikację przyczyn błędów występujących w danych i bieżące monitorowanie jakości danych.

E. Zasada ograniczenia przechowywania

Administrator zapewnia realizację zasady, o której mowa w art. 5 ust. 1 lit. e) Rozporządzenia, zgodnie z którą dane powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. W tym celu Administrator w ramach swoich wewnętrznych procesów zapewnia realizację tej zasady oraz zapewnia, aby efektywność i poprawność działania mechanizmów kontrolnych.

F. Zasada integralności i poufności

Administrator zapewnia integralność i poufność danych określoną w art. 5 ust. 1 lit. f) Rozporządzenia poprzez odpowiednie zapewnienie bezpieczeństwa danych osobowych, w tym zapewnienie ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem za pomocą odpowiednich środków technicznych i organizacyjnych.

G. Zasada rozliczalności

Administrator zapewnia realizację zasady rozliczalności, o której mowa w art. 5 ust. 2 Rozporządzenia, poprzez wdrożenie odpowiednich procedur i zasad, pozwalających Administratorowi na wykazanie przestrzegania przepisów Rozporządzenia, ze szczególnym uwzględnieniem udziału w tych działaniach inspektora ochrony danych.

5. PODSTAWY PRAWNE PRZETWARZANIA DANYCH

Administrator przetwarza dane osobowe, jeśli spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi.

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.

6. PRAWA OSOBY, KTÓREJ DANE DOTYCZĄ

1. ZASADY OGÓLNE

1. Administrator realizuje prawa osób, których dane dotyczą, w tym:

prawo do informacji (obowiązek informacyjny);

prawo dostępu do danych lub otrzymania kopii danych;

prawo do sprostowania danych;

prawo do usunięcia danych;

prawo do ograniczenia przetwarzania;

prawo do przenoszenia danych;

prawo do sprzeciwu.

2. OBOWIĄZEK INFORMACYJNY I PRAWO DOSTĘPU DO DANYCH OSOBY, KTÓREJ DANE DOTYCZĄ

1. Osoba, której dane dotyczą jest uprawniona do uzyskania Administratora potwierdzenia, czy Administrator przetwarza jego dane osobowe, a jeżeli ma to miejsce, osoba ta jest uprawniona do uzyskania dostępu do danych oraz następujących informacji o:

1. 1. celu przetwarzania, który powinien być konkretny, wyraźnie określony i prawnie uzasadniony;

   2. kategorii odnośnych danych osobowych;

   3. odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub mogą zostać ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;

   4. w miarę możliwości planowany okres przetwarzania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu, przy założeniu, iż zapewnione zostanie ograniczenie okresu przechowywania danych do ścisłego minimum;

   5. informacje o prawie do żądania od Administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

   6. informacje o prawie wniesienia skargi do Organu nadzorczego, jeżeli Osoba, której dane dotyczą uważa, że przetwarzanie jej danych osobowych narusza jej prawa;

   7. jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;

   8. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania.

2. Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana przez Administratora o odpowiednich zabezpieczeniach, o których mowa w art. 46 RODO, związanych z przekazaniem.

3. Administrator dostarcza Osobie, której dane dotyczą kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się Osoba, której dane dotyczą, Administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów Administratora.

3. PRAWO DO SPROSTOWANIA DANYCH

1. Osoba, której dane dotyczą, ma prawo żądania od Administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe.

2. Osoba, której dane dotyczą ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

4. PRAWO DO USUNIĘCIA DANYCH (PRAWO DO BYCIA ZAPOMNIANYM)

1. W przypadku, gdy osoba, której dane dotyczą, chce zrealizować wobec Administratora uprawnienie do żądania usunięcia danych osobowych jej dotyczących, żądanie takie powinno być wyrażone w formie wyraźnego oświadczenia wskazującego przedmiotowy zakres żądania.

2. Administrator ustali okresy przechowywania danych, uwzględniając okres nie dłuższy, niż jest to niezbędne dla celów, w których dane są przetwarzane oraz okres dla przechowywania danych w celach archiwalnych lub statystycznych. Ustalenie to może mieć charakter opisowy, wskazujący na kryteria ustalania tego okresu.

3. Administrator może nie uwzględnić żądania usunięcia danych wynikającego z cofnięcia zgody przez osobę, której dane dotyczą na przetwarzanie jej danych, w przypadku gdy zgoda osoby, której dane dotyczą nie była jedyną przesłanką przetwarzania jej danych przez Administratora, w szczególności, gdy celem przetwarzania danych Osoby, której dane dotyczą jest nadal realizacja umowy wiążącej osobę, której dane dotyczą i Administratora albo gdy przetwarzanie danych osoby, której dane dotyczą jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze.

4. Administrator ma obowiązek uwzględnienia sprzeciwu osoby, której dane dotyczą, wobec przetwarzania jej danych przez Administrator wniesionego zgodnie z art. 21 ust. 1 RODO, gdy w ocenie Administratora nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub wobec wniesienia prawa sprzeciwu w zakresie marketingu bezpośredniego.

5. Przetwarzanie pomimo żądania usunięcia danych, jest zgodne z prawem, jeżeli jest niezbędne w szczególności do wywiązania się przez Administratora z obowiązku prawnego, do wykonania przez Administratora zadania realizowanego w interesie publicznym, do celów statystycznych lub do ustalenia, dochodzenia lub obrony roszczeń.

6. Po usunięciu danych zgodnie z żądaniem osoby, której dane dotyczą, Administrator jest uprawniony do zachowania informacji o tym, czyj i jaki wniosek wykonał (w tym celu Administrator może przetwarzać w szczególności imię i nazwisko, PESEL, adres wnioskującego, adres poczty elektronicznej, numer telefonu oraz informację o zakresie usuniętych danych i terminie ich usunięcia).

5. PRAWO DO OGRANICZENIA PRZETWARZANIA DANYCH OSOBOWYCH

1. Żądanie ograniczenia przetwarzania danych powinno być złożone w formie wyraźnego oświadczenia Osoby, której dane dotyczą wskazującego przedmiotowy zakres swojego żądania.

2. Ograniczenie przetwarzania danych może realizować, w szczególności poprzez oznaczenie w systemie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania, przy czym w przypadku Osoby, której dane dotyczą Administrator realizuje ograniczenie przetwarzania na wniosek Administratora.

3. Administrator może dodatkowo, w celu ograniczenia przetwarzania danych osobowych, w szczególności:

1. czasowo przenieść wybrane dane osobowe do innego systemu przetwarzania,

2. uniemożliwić użytkownikom dostęp do wybranych danych,

3. czasowo usunąć ze strony internetowej opublikowane dane,

4. ograniczyć środkami technicznymi przetwarzanie w zautomatyzowanych zbiorach danych w taki sposób, by dane osobowe nie podlegały dalszemu przetwarzaniu ani nie mogły być zmieniane.

4. Administrator dokłada należytej staranności w celu wykonania ciążących na nim obowiązków związanych z ograniczeniem przetwarzania danych osobowych osoby, której dane dotyczą, a w szczególności dokonuje niezwłocznej weryfikacji prawidłowości przetwarzania danych w przypadku, złożenia żądania, o którym mowa w ust. 1.

5. Administrator może przechowywać dane osobowe, co do których zostało zgłoszone żądanie ograniczenia przetwarzania.

6. Realizacja żądania ograniczenia przetwarzania danych nie powoduje zaprzestania przez Administratora przetwarzania, które jest niezbędne do wykonania przez Administratora obowiązków wynikających z przepisów prawa, zaleceń lub rekomendacji Organu nadzorczego oraz innych organów nadzorujących Administratora.

6. OBOWIĄZEK POWIADOMIENIA O SPROSTOWANIU LUB USUNIĘCIU DANYCH OSOBOWYCH LUB O OGRANICZENIU PRZETWARZANIA

1. Administrator poinformuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania każdego odbiorcę, któremu ujawnił dane osobowe Osoby, której dane dotyczą.

2. Obowiązek o którym mowa w ust. 1 jest wyłączony, gdy zawiadomienie okaże się niemożliwe lub wymagać będzie niewspółmiernie dużego wysiłku, w szczególności gdy:

a) zmiana, sprostowanie, ograniczenie lub usunięcie nie jest widoczne dla odbiorcy, w tym podmiotów przetwarzających, lecz wymaga ustanowienia odrębnego kanału komunikacji;

b) odbiorca dalej nie funkcjonuje, został zlikwidowany lub wykreślony z rejestru (zakończył działalność);

c) z okoliczności wynika, że dane nie będą dalej przetwarzane.

3. Administrator na żądanie osoby, której dane dotyczą, przekazuje informacje o odbiorcach, którym przekazano jego dane.

4. Jeśli obowiązek, o którym mowa w ust. 3, okaże się niewykonalny lub wymaga niewspółmiernie dużego wysiłku, Administrator powinien udokumentować podjęcie racjonalnych działań, z uwzględnieniem dostępnych mu technologii i dostępnych mu środków, w tym technicznych, w celu wypełnienia tego obowiązku.

7. PRAWO DO PRZENOSZENIA DANYCH

1. Osobie, której dane dotyczą przysługuje prawo do otrzymania w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego danych osobowych go dotyczących oraz prawo do żądania przesłania tych danych innemu Administratorowi („prawo do przenoszenia danych”).

2. Na wniosek Osoby, której dane dotyczą, Administrator będzie przesyłał bezpośrednio innemu Administratorowi pełniącemu rolę Administratora dane osobowe wskazane we wniosku Osoby, której dane dotyczą. Administrator „otrzymujący” dane osobowe zobowiązany jest do stosowania zasad określonych w RODO. Dane mogą być przenoszone, o ile jest to technicznie możliwe i za zgoda Osoby, której dane dotyczą.

3. Prawo do przenoszenia danych nie może negatywnie wpływać na prawa i wolności innych osób. Ma to na celu uniknięcie uzyskiwania i przesyłania danych obejmujących dane osobowe innych osób, których dane dotyczą (tych, które nie wyraziły zgody) do nowego Administratora w przypadkach, gdy istnieje prawdopodobieństwo, że dane te będą przetwarzane w sposób, który negatywnie wpłynie na prawa i wolności innych osób, których dane dotyczą.

4. W zakresie, w jakim Administrator realizuje wniosek osoby, której dane dotyczą, o przeniesienie danych, Administrator nie jest zobowiązany do poinformowania osób trzecich, których dane mogą być zawarte w przenoszonych danych, o wykonaniu takiego żądania i jego treści.

5. Administrator przesyłający dane podejmie należyte starania w celu zapewnienia aby dane osobowe zostały bezpiecznie przesłane (np. z zastosowaniem szyfrowania) do właściwego miejsca przeznaczenia (np. przy użyciu informacji uwierzytelniających).

8. PRAWO SPRZECIWU

1. 1. W przypadku wniesienia przez Osobę, której dane dotyczą sprzeciwu, Osoba, której dane dotyczą powinna wskazać, wobec jakiego konkretnego celu przetwarzania wnosi sprzeciw i wykazać, na czym polega jego szczególna sytuacja.

   2. Administrator uwzględnia sprzeciw bądź odmawia jego uwzględnienia, po dokonaniu analizy, czy szczególna sytuacja osoby, której dane dotyczą, ma charakter nadrzędny wobec prawnie uzasadnionych podstaw do przetwarzania dokonywanego przez Administratora. Na czas dokonania analizy, Administrator na wyraźne żądanie osoby, której dane dotyczą, stosują ograniczenie przetwarzania na podstawie art. 18 ust. 1 RODO.

   3. Odmawiając uwzględnienia sprzeciwu, Administrator w przystępny sposób wyjaśnia osobie, której dane dotyczą przyczyny, dla których uważa, że interesy, prawa i wolności tej osoby, nie mają charakteru nadrzędnego.

   4. Administrator może przetwarzać dane na potrzeby marketingu bezpośredniego (w tym profilowania) w oparciu o podstawę prawną określoną w art. 6 lit. f). W przypadku złożenia przez osobę, której dane dotyczą, sprzeciwu wobec takiego rodzaju przetwarzania, Administrator nie przetwarza dłużej danych w tym celu.

   5. Administrator może przetwarzać dane osobowe dla celów statystycznych. W przypadku złożenia przez osobę sprzeciwu wobec przetwarzania danych osobowych w tym celu, osoba, której dane dotyczą powinna wykazać, na czym polega szczególny charakter jej sytuacji i jakie prawa osoby są zagrożone.

6. OBOWIĄZUJACE PROCEDURY

PROCEDURA NADAWANIA UPRAWNIEŃ, DO PRZETWARZANIA DANYCH I REJESTROWANIA UPRAWNIEŃ, UWIERZYTELNIANIA

Administrator udziela Użytkownikowi w zakresie przez siebie ustalonym upoważnienia wskazanego w załączniku nr 2 do przetwarzania danych osobowych znajdujących się i) w pomieszczeniach wskazanych w załączniku nr 1, zwanymi dalej pomieszczeniami oraz ii) w systemie informatycznym przy użyciu identyfikatora i hasła. Podanie użytkownikowi hasła nie może nastąpić w sposób umożliwiający zapoznanie się z nim osobom trzecim.

W przypadku wygaśnięcia przesłanek uprawniających użytkownika do przetwarzania danych osobowych, w szczególności cofnięcia upoważnienia, stanowiącego załącznik nr 2 do Polityki Ochrony Danych Osobowych, Administrator zobowiązany jest do dopełnienia czynności uniemożliwiających ponowne wykorzystanie identyfikatora użytkownika, którego uprawnienia wygasły.

W przypadku konieczności dostępu do obszaru przetwarzania osób, nieposiadających upoważnienia wskazanego w załączniku nr 2, które muszą dokonać doraźnych prac o charakterze serwisowym lub innym, podpisują oni oświadczenie
o zachowaniu poufności (załącznik nr 3 do niniejszego dokumentu).

Dokumenty zawierające dane osobowe przechowywane w formie papierowej, upoważnione osoby przechowują w obszarze przetwarzania danych w szafach zamykanych na klucz oraz w wersji elektronicznej w poszczególnych folderach tworzonych przez użytkowników zgodnie z dostępem przyznanym przez Administratora.

W przypadku konieczności zniszczenia papierowych dokumentów zawierających dane osobowe, ich zniszczenie dokonuje się poprzez pocięcie w niszczarce.

Osoby upoważnione do przetwarzania danych mają obowiązek, w szczególności:

1. przetwarzać je zgodnie z obowiązującymi przepisami, w szczególności z ustawą, rozporządzeniem RODO, niniejszą Polityka Ochrony Danych Osobowych,

2. nie udostępniać ich oraz uniemożliwiać dostęp do nich osobom nieupoważnionym,

3. zabezpieczać je przed zniszczeniem,

4. zachować wzmożoną ostrożność przy połączeniach z internetem,

5. nie wykorzystywać poczty służbowej w celach prywatnych oraz poczty prywatnej w celach służbowych.

Ze względów bezpieczeństwa między innymi pracowników, mienia, tajemnicy informacji:

a) pomieszczenia wskazane w załączniku nr 1 podlegają monitoringowi wizyjnemu. Kamery mogą być zamontowane przed wejściem do obiektów lub w pomieszczeniach, z wyłączeniem pomieszczeń sanitarnych oraz socjalnych. Nagrania przechowywane są w sposób uniemożliwiający dostęp osób trzecich i trwale niszczone po okresie 7 dni.;

b) służbowa poczta elektroniczna może podlegać monitoringowi, w szczególności w celu zabezpieczenia przed złośliwym oprogramowaniem, w szczególności w celu utrwalania kontaktów z Osobą, której dane dotyczą;

c) pojazdy będące w posiadaniu Administratora mogą być wyposażone w system GPS, w szczególności w celu zabezpieczenia przed kradzieżą.

b) PROCEDURA ROZPOCZĘCIA, ZAWIESZENIA, ZAKOŃCZENIA PRACY

1. Stosuje się następujące procedury rozpoczęcia, zawieszenia i zakończenia pracy:

W pomieszczeniach:

1. Przyznanie dostępu do pomieszczeń następuje tylko osobom, których zakres czynności uzasadnia wstęp do takich pomieszczeń i inne osoby powinny przebywać w pomieszczeniach jedynie w towarzystwie osób upoważnionych.

2. Użytkownik otrzymuje klucz/kartę wejścia/kod dostępu.

3. Każde opuszczenie pomieszczeń wymaga zamknięcia drzwi, okien, pozostawienie pustych biurek bez dokumentów, zamknięcia szafek, w których znajdują się dokumenty zawierające dane osobowe na klucz przy każdym opuszczaniu stanowiska pracy praz zabezpieczanie kluczy.

4. Użytkownik korzysta z dokumentów zawierających dane osobowe w sposób uniemożliwiający dostęp osób trzecich.

5. Przechowywanie dokumentów zawierających dane osobowe następuje jedynie w zamkniętych szafkach lub sejfach.

6. Niszczenie dokumentów następuje tylko w niszczarkach.

7. Przy niepotrzebnych kopiach wydruków lub innego rodzaju powielaniu dokumenty powinny być niszczone na bieżąco w niszczarce sposób uniemożliwiający wgląd osób trzecich.

W systemie informatycznym:

w celu zalogowania do systemu informatycznego, użytkownik sprawdza czy nie zostały podłączone do komputera żadne niezidentyfikowane urządzenia użytkownik podaje swój identyfikator oraz hasło. Hasło składa się, z co najmniej 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne i nadawane jest przez Administratora. Użytkownik, po pierwszym zalogowaniu się do systemu jest zobowiązany do zmiany hasła, jest również zobowiązany do zmiany hasła, co każde 14 dni, użytkownik jest zobowiązany do zabezpieczenia swojego hasła przed nieuprawnionym dostępem osób trzecich.

system jest skonfigurowany w taki sposób, aby po okresie 5 minut bezczynności uruchamiany był wygaszacz ekranu. Do ponownego wznowienia pracy konieczne jest ponowne zalogowanie się przy użyciu identyfikatora i hasła. Użytkownik każdorazowo odchodząc od komputera powinien sprawdzać, czy nie wyświetlają się żadne dane osobowe.

po zakończeniu pracy użytkownik jest zobowiązany do wylogowania się, a następnie do wyłączenia komputera i sprawdzenia, czy nie zostały podłączone żadne niepożądane urządzenia.

1. 2. Poczta elektroniczna

1. Nie można korzystać z poczty służbowej w celach prywatnych.

2. Nie można otwierać poczty pochodzącej z nieznanego źródła lub w inny sposób budzącej podejrzenie. W takim przypadku należy natychmiast zawiadamiać Administratora.

3. Nie można pobierać linków lub plików z sieci od nieznanego nadawcy.

C) KOPIE NOŚNIKÓW DANYCH

1. Stosuje się następujące procedury tworzenia oraz przechowywania kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania:

1. raz pół roku Administrator wykonuje kopię przyrostową,

2. raz na rok Administrator wykonuje kopię pełną,

3. wykonane kopie zapasowe przechowuje się na pamięci przenośnej (pendrive) lub na nośnikach CD\DVD, nośniki zawierające kopie zapasowe są przechowywane w szafie zamykanej na klucz, do której dostęp posiada wyłącznie osoba upoważniona przez Administratora. Kopie zapasowe przechowywane są w pomieszczeniu zamkniętym na klucz i dostęp do niego ma upoważniona osoba.

2. Elektroniczne nośniki informacji zawierające dane osobowe przechowywane są w szafach zamykanych na klucz, do których dostęp ma jedynie Administrator, dane są przechowywane przez okres, w którym istnieją przesłanki do ich przetwarzania, po ustaniu przesłanek do przetwarzania, dane muszą zostać usunięte w sposób uniemożliwiający ich odtworzenie. Dane przechowywane są w pomieszczeniu zamkniętym na klucz i dostęp do niego ma upoważniona osoba.

3. Sprzęt komputerowy, na którego dyskach twardych zawarte są dane osobowe, przechowywany jest w obszarze przetwarzania danych osobowych w zabezpieczonych pomieszczeniach.

D, ZABEZPIECZENIA POMIESZCzEŃ I SYSTEMU INFORMATYCZNEGO

Pomieszczenia zabezpieczone są przez zamknięcie na klucz/alarm.

System informatyczny (stacje robocze)/sieć wewnętrzna/poczta e-mail) zabezpiecza się przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do tego systemu poprzez stosowanie specjalistycznego oprogramowania, o jakim mowa w lit. a) niniejszego paragrafu:

oprogramowaniem antywirusowym stosowanym w jednostce organizacyjnej jest: Microsoft Security Essentials;

poczta e-mail jest szyfrowana;

użytkownikom nie wolno otwierać na komputerach, na których odbywa się przetwarzanie danych osobowych, plików pochodzących z niewiadomego źródła, jak i instalować żadnego oprogramowania bez zgody Administratora;

za wdrożenie i korzystanie z oprogramowania antywirusowego, określonego w lit. a oraz oprogramowania firewall w postaci Windows Firewall.

4. Stosuje się następujące procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych:

Administrator raz na 6 miesięcy wykonuje generalny przegląd systemu informatycznego, polegający na ustaleniu poprawności działania tych jego elementów, które są niezbędne do zapewnienia realizacji funkcji wynikających z niniejszej Polityki.

w przypadku stwierdzenia przez Administratora nieprawidłowości w działaniu elementów systemu opisanych w lit. a) niniejszego paragrafu podejmuje on niezwłocznie czynności zmierzające do przywrócenia ich prawidłowego działania.

jeżeli do przywrócenia prawidłowego działania systemu niezbędna jest pomoc podmiotu zewnętrznego, wszelkie czynności na sprzęcie komputerowym dokonywane w obszarze przetwarzania danych osobowych, powinny odbywać się w obecności osoby przez wyznaczonej przez Administratora.

5. System informatyczny służący do przetwarzania danych osobowych jest zabezpieczony przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej poprzez stosowanie (alternatywnie a lub b, lub oba na raz)

1. listew przepięciowych, połączonych pomiędzy siecią zasilającą a komputerami

6. Osoba użytkująca komputer przenośny, telefon komórkowy zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem przetwarzania danych osobowych, w tym dodatkowo zabezpiecza hasłem pliki lub foldery zawierające dane osobowe.

7. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:

likwidacji – pozbawia się wcześniej zapisu tych danych, a w przypadku, gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie.

1. przekazania podmiotowi nieuprawnionemu do przetwarzania danych – pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie.

2. naprawy – pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby wskazanej przez Administratora.

6. PRZECHOWYWANIE I USUWANIE DANYCH OSOBOWYCH

1. Dane osobowe Osób, których dane dotyczą nie mogą być przechowywane w formie umożliwiającej ich identyfikację przez okres dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.

2. Po osiągnięciu zamierzonych (pierwotnych) celów przetwarzania, o których mowa w ust. 1, osobowe osób, których dane dotyczą, powinny zostać usunięte, chyba, że ich dalsze przechowywanie znajduje podstawę prawną.

3. Dalsze przetwarzanie danych osobowych jest dopuszczalne w przypadku ich przetwarzania dla prawnie uzasadnionego interesu, o którym mowa w art. 6 lit. f), tj. m.in. w celu:

i) archiwizacyjnym (dowodowym) dla zabezpieczenia się przed różnymi rodzajami twierdzeń i roszczeń (zarzutów) w wersji papierowej jest archiwizowana i zabezpieczana w zamkniętych pomieszczeniach, w wersji elektronicznej dokumentacja zostanie zabezpieczona w plikach z oznaczeniem archiwum;

ii) wypełnienia zaleceń i rekomendacji Organu nadzorczego, jak również innych nadzorców,;

iii) analityki biznesowej, celów naukowych lub do celów wewnętrznych analiz statystycznych;

iv) marketingu bezpośredniego (motyw 47 RODO).

4. Usunięcie danych osobowych osób, których dane dotyczą następuje np. poprzez ich zniszczenie lub anonimizację tj.

1. Usuwanie danych osobowych utrwalonych na nośnikach elektronicznych następuje poprzez powierzenie tych nośników w celu usunięcia zapisanych na nich danych wyspecjalizowanej w tej dziedzinie firmie informatycznej, lub poprzez nadpisanie usuwanych informacji przez Administratora w taki sposób, by nie istniała możliwość ich ponownego odczytania. W celu usunięcia danych zapisanych na elektronicznych nośnikach Administrator może dokonać ich fizycznego uszkodzenia w taki sposób, by nie istniała możliwość odtworzenia zapisanych na nich danych.

2. Usuwanie danych osobowych utrwalonych w wersji papierowej w niszczarce.

6. POWIERZENIE PRZETWARZANIA – KLAUZULE UMÓW Z DOSTAWCAMI

1. Administrator dokonując powierzenia przetwarzania danych osobowych obowiązany jest zawierać umowy o powierzeniu przetwarzania danych osobowych. W przypadku wydania przez Komisję Europejską lub Organ nadzoru standardowych klauzul umownych będą one miały pierwszeństwo zastosowania przed wzorami stosowanymi przez Administratora.

2. Umowy o powierzanie przetwarzania danych zawierane są z podmiotami, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymogi Rozporządzenia i chroniło prawa osób, których dotyczą. Administratorzy wybierając podmiot przetwarzający dane zwracają uwagę na standardy bezpieczeństwa przez niego stosowane lub też wyznaczają wymagany przez siebie standard (np. za pomocą audytów czy innych form sprawdzenia).

3. Powierzenie przetwarzania odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii Europejskiej lub prawu państwa członkowskiego, a zasady, na których podstawie następuje powierzenie wyczerpują wymagania zawarte w art. 28 RODO.

6. POWIADOMIENIA O NARUSZENIU OCHRONY DANYCH OSOBOWYCH

1. Naruszenie ochrony danych osobowych rozpatrywane jest jako zdarzenie występujące w ramach ryzyka operacyjnego, które należy rozumieć jako możliwość wystąpienia straty wynikającej z niedostosowania lub zawodności procesów wewnętrznych, ludzi i systemów lub ze zdarzeń zewnętrznych.

2. Naruszeniem ochrony danych osobowych jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych w ramach prowadzonej przez Administratora danych działalności.

3. Za naruszenie ochrony danych osobowych podlegające obowiązkowi zgłoszenia:

1. organowi nadzorczemu – uznać należy sytuację, w której prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych zostało oszacowane przez Administratora.

2. osobie, której dane dotyczą – uznać należy sytuację, w której Administrator oszacował ryzyko naruszenia praw i wolności tej osoby jako wysokie.

4. W szczególności do naruszenia mogą prowadzić następujące sytuacje:

1. utraty danych osobowych uniemożliwiającej wykonanie zobowiązania;

2. naruszenia integralności danych osobowych niosącego ryzyko błędnego wykonania zobowiązania;

3. utraty poufności danych osobowych:

   • będące następstwem:

     1. błędnego działania systemu informatycznego;

     2. zdarzeń losowych/środowiskowych;

     3. niepożądanych (sabotażowych/dezorganizacyjnych) działań osób, w tym osób trzecich (kradzież, zniszczenie, uniemożliwienie dostępu, modyfikacja, ujawnienie danych);

     4. błędu ludzkiego, w tym w ramach niewłaściwego postępowania personelu w zakresie zabezpieczenia danych osobowych.

5. W przypadku stwierdzenia lub podejrzenia stwierdzenia przez Użytkownika naruszenia zabezpieczeń przez osoby nieuprawnione jest on zobowiązany niezwłocznie poinformować o tym fakcie Administratora, a Administrator jest zobowiązany niezwłocznie podjąć czynności zmierzające do ustalenia przyczyn naruszeń zasad bezpieczeństwa i zastosować środki uniemożliwiające ich naruszanie w przyszłości, w szczególności należy podjąć działania w celu powstrzymania dostępu do danych przez osoby do tego niepowołane poprzez w szczególności:

1. zapisanie informacji związanych ze zdarzeniem;

2. fizyczne odłączenie urządzeń oraz segmentów sieci które mogły umożliwić dostęp do bazy osobie nieuprawnionej;

3. wylogowanie użytkowania podejrzanego o naruszenie bezpieczeństwa ochrony danych;

4. zmiany haseł;

5. podjęcie innych działań adekwatnych do zagrożeń i naruszeń;

6. sporządzić raport ze zdarzenia z oznaczeniem przyczyny zdarzenia, opisu zdarzenia, skutków zdarzenia, podjętych działań, podjętych działań.

6. Z zastrzeżeniem dokonania oceny ryzyka naruszenia, za naruszenie ochrony danych osobowych podlegające zgłoszeniu do osoby, której dane dotyczą, może być uznany w szczególności:

1. wyciek (tj. niekontrolowane ujawnienie) informacji z bazy danych;

2. wyciek bazy zawierającej tylko pojedynczą daną, ale pozwalającą jednocześnie nawiązać kontakt z osobą fizyczną np. numer telefonu, adres email (naruszeniem podlegającym zgłoszeniu nie będzie zatem wyciek pliku zawierającego same nazwy ulic wraz z numerami, same kody pocztowe bądź nazwy miast),

3. wysłanie pocztą elektroniczną/tradycyjną dokumentów zawierającą dane osobowe do osoby nieupoważnionej;

4. przechwycenie oraz wyciek danych/narzędzi służących do logowania i identyfikacji Osoby, której dane dotyczą;

5. zagubienie/kradzież dokumentów z danymi Osoby, której dane dotyczą;

6. zerwanie plomb założonych na pojemnikach służących do archiwizacji dokumentów;

7. wygenerowanie i użycie błędnej bazy danych do wysyłki Osobom, których dane dotyczą informacji marketingowych/chronionych;

8. wysłanie maili do odkrytych odbiorców;

9. informacja uzyskana w trybie dostępu do danych osobowych przez osobę nieuprawnioną.

7. Obowiązek notyfikacji powinien zostać wykonany bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Przez stwierdzenie naruszenia uznaje się moment, w którym Administrator po zakończeniu postępowania wyjaśniającego w ramach swoich wewnętrznych procedur uzna, że prawdopodobieństwo wystąpienia ryzyka naruszenia prawa i wolności osoby fizycznej zostało ocenione jako wyższe niż niskie. To, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności konieczności ustalenia przyczyn i skutków naruszenia oraz minimalizacji tych skutków, charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą.

W przypadku niedotrzymania powyższego terminu do zgłoszenia należy dołączyć wyjaśnienie przyczyny opóźnienia.

8. W sytuacji, w której naruszenie ochrony danych osobowych powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych, o naruszeniu tym należy bezzwłocznie powiadomić osoby, których dane dotyczą, a jeśli powiadomienie takie wymagałoby niewspółmiernie dużego wysiłku należy wydać publiczny komunikat o naruszeniu.

9. W przypadku obowiązku zawiadomienia osoby fizycznej, takie zawiadomienie powinno uwzględniać również zalecenia dla takiej osoby co do minimalizacji potencjalnie niekorzystnych skutków naruszenia ochrony jej danych osobowych. Administrator przekazuje takie zawiadomienie uwzględniając wskazówki Organu nadzorczego lub innych uprawnionych organów udzielone w tym zakresie.

10. Zawiadomienie osoby fizycznej nie jest konieczne, jeśli wdrożono adekwatne środki ochrony obejmując nimi dane osobowe, których dotyczy naruszenie oraz zastosowano środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osób, których dane dotyczą.

11. Z każdego naruszenia ochrony danych osobowych sporządza się dokumentację opisującą w szczególności:

1. okoliczności naruszenia, tj. przykładowo:

– datę i godzinę stwierdzenia naruszenia ochrony danych osobowych,

– opis charakteru naruszenia,

– przyczynę naruszenia;

2. zaistniałe oraz prawdopodobne skutki naruszenia;

3. podjęte działania zaradcze.

 

6. POSTANOWIENIA KOŃCOWE

 

Niniejsza Polityka Ochrony Danych Osobowych wchodzi w życie z dniem 25 maja 2018 roku

 

 

 

Małgorzata Marasek

podpis Administratora Danych Osobowych

Załączniki dostępne na życzenie:

• Załącznik nr 1 – Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe,

• Załącznik nr 2 – Upoważnienie do przetwarzania danych osobowych,

• Załącznik nr 3 – Oświadczenie o zachowaniu poufności,

• Załącznik nr 4 – Wzór powiadomienia o naruszeniu ochrony danych osobowych – zawiadomienie organu nadzorczego,

• Załącznik nr 5 – Wzór powiadomienia o naruszeniu ochrony danych osobowych – zawiadomienie osoby, której dane dotyczą,

• Załącznik nr 6 – Rejestr naruszeń.

• Załącznik nr 7 – Rejestr czynności przetwarzania z instrukcją.