1. Postanowienia ogólne

Niniejsza Polityka reguluje zasady i środki przyjęte w ramach organizacji i działalności Administratora w celu zapewnienia bezpieczeństwa przetwarzanych przez niego danych osobowych, przeciwdziałania ewentualnym naruszeniom ochrony danych osobowych, realizacji uprawnień osób, których dane te dotyczą, a ponadto realizacji oraz wykazania spełnienia wymogów w zakresie ochrony danych osobowych przewidzianych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych).

Na potrzeby niniejszej Polityki, użyte w niej pojęcia oznaczają:

Polityka – niniejszy dokument, tj. Polityka Bezpieczeństwa – Ochrony Danych Osobowych wprowadzona przez Administratora do stosowania w ramach jego jednostki organizacyjnej.

RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych).

Administrator – jednostka organizacyjna wskazana na wstępie Polityki.

dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”).

przetwarzanie – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

podmiot przetwarzający – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora, w szczególności np. biuro rachunkowe, kancelaria adwokacka, itp.

odbiorca – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią.

naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

zbiór danych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw jest scentralizowany, zdecentralizowany, czy rozproszony funkcjonalnie lub geograficznie.

zgoda – dobrowolne, konkretne, świadome i jednoznaczne okazanie woli osoby, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

pracownik – każda osoba świadcząca pracę lub usługi na rzecz Administratora, niezależnie od podstawy prawnej zatrudnienia, jeżeli w jego ramach podlega zwierzchnictwu Administratora i nie stanowi podmiotu przetwarzającego.

podstawa przetwarzania – zgoda osoby, której dane dotyczą lub przepis obowiązującego prawa, uprawniające Administratora do przetwarzania danych osobowych danej osoby.

Niniejsza Polityka wchodzi z dniem jej przyjęcia, wskazanym na wstępie, i od tej daty ma zastosowanie do wszystkich operacji lub działań w ramach jednostki Administratora, wiążących się z przetwarzaniem danych osobowych.

2. Zasady przetwarzania danych

W ramach organizacji i działalności Administratora, w odniesieniu do działań lub zaniechań mających związek z danymi osobowymi, stosuje się następujące zasady:

uwzględniania ochrony danych osobowych w fazie projektowania, przez co należy rozumieć obowiązek uprzedniej oceny ryzyka oraz planowania sposobu zabezpieczenia danych osobowych, poprzedzającej każde przedsięwzięcie, czy też działanie w ramach działalności Administratora, w tym również uwzględnianie aspektu ochrony danych osobowych we wszelkich dokumentach strategicznych, projektach, procedurach, itp.

ograniczenia zakresu przetwarzanych danych osobowych, przez co należy rozumieć przetwarzanie, w tym gromadzenie, tylko tych danych, które są niezbędne dla wykonania czynności lub operacji w ramach działalności Administratora i tylko wówczas, gdy nie jest możliwe osiągnięcie celu takich czynności bez posłużenia się danymi osobowymi.

ograniczenia grona osób posiadających dostęp do danych osobowych, przez co należy rozumieć upoważnienie do takiego dostępu tylko tych osób, których czynności nie mogą się bez niego obejść, a ponadto które są właściwie przeszkolone w tym zakresie i umocowane przez Administratora.

ograniczenia czasu przetwarzania danych osobowych, przez co należy rozumieć przetwarzanie danych osobowych tylko w niezbędnym okresie, uzasadnionym podejmowanymi czynnościami lub operacjami oraz obowiązkami przewidzianymi przepisami prawa, ograniczonymi wymogiem istnienia podstawy przetwarzania w postaci zgody osoby, której dotyczą lub przepisu prawa.

istnienia podstawy przetwarzania, co oznacza, że każde gromadzenie danych osobowych, a także następujące później czynności ich przetwarzania musi posiadać podstawę prawną w postaci zgody osoby, której dotyczą lub przepisu prawa nakładającego wymóg lub uprawnienie do przetwarzania danych osobowych.

przetwarzania danych jedynie w konkretnych i opartych na podstawie przetwarzania celach.

przejrzystości i porządku przy przetwarzaniu danych osobowych, co oznacza przetwarzanie ich w sposób rzetelny, uporządkowany w miejscach do tego wyznaczonych.

Zasady bezpieczeństwa i ochrony danych osobowych przewidziane w Polityce oraz wynikające z załączonych do niej dokumentów obowiązują wszystkie osoby zatrudnione u Administratora, niezależnie od posiadania przez niego upoważnienia do dostępu i przetwarzania danych osobowych.

W ramach działalności Administratora nie są podejmowane działania mogące powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a w przypadku podejmowania takich działań dokonuje się odrębnej, pisemnej oceny skutków planowanych operacji, na podstawie której wdraża się dodatkowe środki ochrony, ujmowane w dodatkowej procedurze.

Administrator zapewnia środki techniczne oraz informatyczne niezbędne do zabezpieczenia przetwarzanych danych osobowych przez utratą, zaborem lub dostępem osób nieuprawnionych, jak również zapewnienia integralności, rozliczalności i ciągłości przetwarzania danych osobowych.

Administrator prowadzi ewidencję przechowywanych danych osobowych, wskazująca w szczególności kategorii osób, których dane osobowe dotyczą, zakres przechowywanych danych, podstawę prawną ich przetwarzania oraz nominalny okres przechowywania, której wzór stanowi załącznik nr 1 do niniejszej Polityki.

3. Osoby upoważnione do przetwarzania danych osobowych

W ramach jednostki Administratora, do przetwarzania w jego imieniu danych osobowych, uprawnieni pozostają, poza nim samym, wyłącznie wyznaczeni pracownicy upoważnieni przez Administratora na podstawie porozumienia dodatkowego do umowy regulującej podstawowy stosunek prawny między nim oraz Administratorem (np. umowy o pracę lub umowy cywilnoprawnej). Przed udostępnieniem wyznaczonym pracownikom danych osobowych oraz rozpoczęciem przez nich operacji w zakresie ich przetwarzania, przechodzą oni szkolenie prowadzone lub zorganizowane przez Administratora w temacie ochrony danych osobowych.

Administrator może w każdym czasie cofnąć pracownikowi upoważnienie do przetwarzania danych osobowych. Upoważnienie to wygasa w szczególności w przypadku rozwiązania lub ustania stosunku prawnego stanowiącego podstawę zatrudnienia pracownika.

Administrator prowadzi ewidencję osób uprawnionych do dostępu i przetwarzania danych osobowych, według wzoru stanowiącej załącznik nr 2 do niniejszej Polityki.

4. Miejsce przechowywania danych osobowych

Wszelkie nośniki zawierające dane osobowe, zarówno mające formę papierową, jak i elektroniczną, przechowywane są w miejscach wyznaczonych przez Administratora, wskazanych w Ewidencji miejsc przechowywania danych osobowych, stanowiącej załącznik nr 3 do niniejszej Polityki.

Przemieszczanie nośników, o których mowa w ust. 1, poza miejsce ich przechowywania, pozostaje ogólnie zabronione. Przemieszczenie takie jest dopuszczalne wyłącznie na podstawie polecenia Administratora, pod warunkiem istnienia możliwości ich zabezpieczenia przed utratą lub nieuprawnionym dostępem podczas przemieszczenia oraz z obowiązkiem zachowania wszelkich możliwych i adekwatnych środków zabezpieczenia.

W miejscach przechowywania danych osobowych przebywać mogą wyłącznie pracownicy upoważnieni do dostępu i przetwarzania danych osobowych przechowywanych w tym miejscu. Pozostałe osoby mogą w tych miejscach przebywać wyłącznie w towarzystwie upoważnionych pracowników i pod warunkiem, że nie jest możliwe zapoznanie się przez nich, choćby przypadkowe, z danymi osobowymi.

Niedozwolone jest pozostawienie nośników zawierających dane osobowe oraz miejsc przechowywania danych osobowych bez zabezpieczenia i bez nadzoru. W przypadku konieczności opuszczenia takiego miejsca, także w razie zakończenia pracy, miejsce to powinno zostać zabezpieczone przed nieuprawnionym dostępem osób trzecich przy użyciu wszystkich istniejących środków, w szczególności takich, jak zamknięcie na zamek, czy też aktywowanie alarmu z fotokomórką reagującą na ruch. W przypadku nośników zawierających dane osobowe, po zakończeniu ich wykorzystania powinny być one złożone w zamknięciu i zabezpieczone przed utratą lub zaborem.

5. Czas przechowywania danych osobowych

Okres przechowywania danych osobowych limituje zgoda udzielona przez osobę, której dane dotyczą, lub też treść przepisu nakładającego obowiązek lub uprawnienie do przetwarzania danych osobowych.

W ramach działalności jednostki Administratora oraz realizacji czynności polegających na przetwarzaniu danych osobowych, prowadzona jest bieżąca aktualizacja danych osobowych oraz ocena ich przydatności.

W przypadku wygaśnięcia podstawy przetwarzania danych osobowych, ich dalsze przetwarzanie, za wyjątkiem usunięcia lub zniszczenia, jest niedopuszczalne.

6. Procedura gromadzenia danych osobowych

Przed rozpoczęciem gromadzenia danych osobowych należy przygotować stosowną informację, według jednego ze wzorów stanowiących załączniki do Polityki:

nr 4 – Informacja dla osoby, której dotyczą dane – Klient, lub

nr 5 – Informacja dla osoby, której dotyczą dane – Pracownik.

Podczas uzyskiwania danych osobowych od osoby, której dotyczą, należy przekazać jej w sposób konkretny, jasny i zrozumiały informacje zawarty w stosownym załączniku, o którym mowa w ust. 1.

Dane osobowe powinny być gromadzone w sposób uporządkowany, umożliwiający wyodrębnienie danych jednej osoby fizycznych od danych innych osób, a ponadto realizację uprawnień osoby, której dotyczą, w szczególności do dostępu do danych osobowych, ograniczenia ich przetwarzania, usunięcia, czy też przeniesienia danych osobowych.

W przypadku pozyskania danych osobowych od innego podmiotu lub osoby innej, niż ta której dane dotyczą, należy niezwłocznie przedstawić osobie, której dane dotyczą informacje według wzoru – Informacja dla osoby, której dano uzyskano z innego źródła, stanowiącego załącznik nr 6 do Polityki. Przedstawienie tych informacji powinno nastąpić:

w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej jednak w ciągu miesiąca.

najpóźniej przy pierwszej komunikacji z osobą, której pozyskane dane dotyczą, jeśli dane osobowe mają być stosowane do komunikacji z nią.

najpóźniej przy pierwszym ujawnieniu – jeżeli planuje się przekazać dane innemu odbiorcy.

Uzyskanie zgody na przetwarzanie danych osobowych lub też udzielenie informacji, o której mowa w ust. 4, powinno zostać udokumentowane, celem umożliwienia późniejszego wykazywania takiego faktu, w szczególności poprzez uzyskanie od osoby, której dane dotyczą, pisemnego oświadczenia, oświadczenia w formie elektronicznej lub ustnego oświadczenia, o ile takie ustne oświadczenie za zgodą tej osoby zostało zarejestrowane. Zgody osób, których dane dotyczą, powinny być przechowywane odrębnie, w przeznaczonym do tego miejscu lub na nośniku zabezpieczonym przed utratą, zaborem lub nieuprawnionym dostępem osób trzecich do jego treści.

7. Procedura przetwarzania

Przetwarzanie danych osobowych może odbywać się wyłącznie w celach objętych podstawą przetwarzania oraz w niezbędnym zakresie.

Przetwarzać dane osobowe może wyłącznie osoba zapoznana z niniejszą Polityką oraz jej załącznikami, posiadająca ważne upoważnienie do dostępu i przetwarzania danych osobowych (Administrator lub upoważniony pracownik). W przypadku uzyskania dostępu do danych osobowych przez inną osobę zatrudnioną u Administratora, aniżeli wymieniona w poprzednim zdaniu, jest ona zobowiązana niezwłocznie zabezpieczyć nośnik zawierający dane, bez zapoznawania się z jego treścią, oraz zawiadomić Administratora o wynikłej sytuacji.

Każda osoba przetwarzająca dane w ramach jednostki Administratora jest zobowiązana do najdalej idącej ostrożności przy przetwarzaniu danych osobowych oraz zachowania wszelkich wymogów bezpieczeństwa, zabezpieczających przed ujawnieniem danych osobowych lub naruszeniem zasad ich ochrony.

Przekazanie danych osobowych podmiotowi przetwarzającemu odbywa się wyłącznie na polecenie Administratora, wskazanemu przez niego podmiotowi, z zachowaniem następujących zasad:

przekazywane są tylko dane osobowe niezbędne do wykonania czynności zleconych podmiotowi przetwarzającemu,

sposób przekazania danych musi zapewniać ich bezpieczeństwo,

sposób przekazania danych musi zapewniać późniejsze ustalenie jakie, komu i kiedy zostały przekazane dane osobowe.

Zasady określone w ust. 4 powyżej stosuje się odpowiednio do przekazywanie danych odbiorcom.

Każda osoba podlegająca pod zasady określone w Polityce jest zobowiązana i uprawniona do wskazywania ewentualnych nieprawidłowości w zakresie ochrony danych osobowych w jednostce organizacyjnej Administratora oraz zgłaszania propozycji lub wniosków mających na celu usunięcie takich nieprawidłowości lub też podniesienie poziomu ochrony.

8. Przetwarzanie danych osobowych przy pomocy środków

lub narzędzi informatycznych

Przetwarzanie danych osobowych przy posługiwaniu się środkami lub narzędziami informatycznymi, w ramach działalności jednostki Administratora jest dopuszczalne wyłącznie przy zachowaniu następujących wymogów:

komputery służące do przetwarzania danych osobowych muszą być zabezpieczone przed utratą, zaborem lub dostępem osoby nieuprawnionej poprzez:

– umieszczenie w pomieszczeniach niedostępnych dla osób postronnych pod nieobecność osoby posiadającej upoważnienie do dostępu i przetwarzania danych osobowych,

– ograniczenie dostępu do systemu informatycznego komputera w drodze wprowadzenia indywidualnych loginów i haseł,

– wprowadzanie loginu i hasła użytkownika przy każdym uruchomieniu lub wznowieniu działania systemu informatycznego,

– wyłączanie lub usypianie systemu informatycznego przez użytkownika przy każdej przerwie w używaniu komputera lub odejściu od niego,

– zabezpieczenie systemu informatycznego regularnie aktualizowanym oprogramowaniem antywirusowym oraz zaporą (tzw. firewall).

zasady wskazane w punkcie 1 powyżej stosuje się odpowiednio do urządzeń elektronicznych umożliwiających przetwarzanie danych, takich jak telefony komórkowe, tablety, itp.

routery, zdalne drukarki oraz inne systemy lub urządzenia łączące komputery w sieć powinny być zabezpieczenie oprogramowaniem uniemożliwiającym dostęp do nich przez osoby nieuprawnione.

przekazywanie danych w drodze przesłania wiadomości elektronicznej powinno następować przy użyciu aktualnych i rekomendowanych protokołów szyfrowania.

Hasło dostępu do baz danych przekazuje się wyłącznie osobom uprawnionym. Zakazuje się zapisywanie (notowania) haseł na jakichkolwiek nośnikach, w szczególności na piśmie, czy też w pamięci komputera.

W pozostałym zakresie, w ramach jednostki Administratora stosuje się obowiązki i wymogi określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, ew. innych aktów wykonawczych zastępujących lub zmieniających to rozporządzenie, jak również regulujących tę samą materię.

Wszelkie dyski przenośne (pendrive, pamięci masowe, dyski zewnętrzne) powinny być zabezpieczone hasłem przed wglądem w ich zawartość. Administrator powinien w maksymalnie możliwym stopniu ograniczyć ilość wykorzystywanych w ramach jednostki nośników oraz osób mających do nich dostęp. W zakresie przechowywania lub przekazywania dysków zewnętrznych traktuje się je na równi z innymi nośnikami danych osobowych, o których mowa w Polityce.

9. Procedura usuwania danych osobowych.

Nośniki zawierające dane osobowe, stanowiące kopie całości lub fragmentów właściwych, nie są archiwizowane i podlegają niezwłocznemu zniszczeniu po zakończeniu ich wykorzystania.

Administrator usuwa dane osobowe po ustaleniu ich zbędności dla jego działalności lub wygaśnięciu podstawy przetwarzania.

Nośniki danych osobowych, po stwierdzeniu konieczności ich usunięcia, powinny zostać zniszczone trwale oraz w sposób uniemożliwiający ich odtworzenie, w szczególności w drodze użycia niszczarki dokumentów lub płyt CD/DVD.

10. Procedura realizacji uprawnień osób, których dane dotyczą.

Osobom, których dotyczą przetwarzane przez Administratora dane osobowe, przysługują uprawnienia określone w RODO, w szczególności:

prawo dostępu (art. 15 RODO),

prawo do sprostowania danych (art. 16 RODO),

prawo do usunięcia danych (art. 17 RODO),

prawo do ograniczenia przetwarzania (art. 18 RODO),

prawo do przenoszenia danych (art. 20 RODO),

prawo do sprzeciwu (art. 21 RODO).

Administrator zapewnia realizację określonych w RODO uprawnień osób, których dotyczą przetwarzane przez niego dane osobowe, w sposób i w zakresie określony przepisami RODO, z uwzględnieniem przewidzianych w RODO sytuacji uprawniających do uchylenia się od ich wykonania.

W przypadku skorzystania przez osobę, której dane dotyczą, z prawa dostępu, Administrator przekazuje jej informację sporządzoną według wzoru stanowiącego załącznik nr 7 do niniejszej Polityki.

W przypadku sprostowania lub usunięcia danych osobowych lub ograniczenia przetwarzania, dokonanego w wykonaniu żądania osoby, której dotyczą te dane, Administrator zawiadamia o tym każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.

Obowiązki Administratora związane z realizacją przewidzianych w RODO uprawnień osób, których dotyczą przetwarzane dane osobowe, wykonują osoby upoważnione do dostępu i przetwarzania danych osobowych, na polecenie i pod nadzorem Administratora.

Każda osoba zatrudniona przez Administratora, w przypadku uzyskania informacji o zgłoszeniu przez osobę, której dane osobowe są przetwarzane przez Administratora, żądania zmierzającego do realizacji uprawnień przewidzianych przez RODO, jest obowiązana do niezwłocznego poinformowania o tym zgłoszeniu Administratora lub wyznaczonych przez niego osób.

11. Ewidencjonowanie zdarzeń związanych z ochroną danych osobowych

i naruszenia ochrony danych osobowych

Administrator oświadcza, że zatrudnia mniej niż 250 osób, a przetwarzanie danych osobowych przez niego nie może powodować ryzyka naruszenia praw lub wolności osób, których dane dotyczą, ponadto przetwarzanie to ma charakter sporadyczny i nie obejmuje szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO.

Administrator prowadzi ewidencję zdarzeń związanych z ochroną danych osobowych, w której uwzględnia każde zdarzenie istotne z uwagi na tę ochronę, w szczególności takie jak: naruszenie ochrony danych osobowych, wydanie oraz cofnięcie (wygaśnięcie) uprawnień do dostępu i przetwarzania danych osobowych, zmiana miejsca przechowywania danych osobowych, itp. Ewidencja jest prowadzona według wzoru stanowiącego załącznik nr 8 do niniejszej Polityki.

Administrator niezwłocznie zgłasza właściwemu organowi nadzorczemu naruszenie ochrony danych osobowych, nie później jednak, niż w ciągu 72 godzin po stwierdzeniu naruszenia. Zgłoszenie następuje przy posłużeniu się wzorem stanowiącym załącznik nr 9 do niniejszej Polityki. Osoby, których dane dotyczą, zawiadamia się o naruszeniu ochrony danych osobowych na zasadach określonych w art. 34 RODO.

Każda osoba zatrudniona przez Administratora jest zobowiązana do niezwłocznego powiadomienia go o podejrzeniach lub stwierdzonych przypadkach naruszenia ochrony danych osobowych.

12. Postanowienia końcowe

Jeżeli w niniejszej Polityce jest mowa o poleceniach, wyznaczeniu osób lub innych zarządzeniach lub oświadczeniach Administratora wobec osób zatrudnionych, oświadczenia takie składane są w formie i w sposób zwyczajowo przyjęty w ramach jednostki Administratora, a w przypadku istnienia określonych przepisami prawa wymogów w tym zakresie – we wskazanej w tych przepisach formie lub w ustalony w nich sposób.

Niniejsza Polityka wraz z załącznikami zostaje opublikowana w sposób przyjęty w jednostce Administratora i umożliwiający zapoznanie się z jej treścią przez każdą osobę, na której prawa i obowiązki może oddziaływać.

Wgląd w Politykę wraz z załącznikami przysługuje każdej osobie zatrudnionej przez Administratora, jak również osobom, których dotyczą przetwarzane przez Administratora dane osobowe lub reprezentującemu ją podmiotowi – jeżeli zgłoszą oparty na podstawie prawnej wniosek, a Administratorowi nie przysługuje uprawnienie do nieujawnienia Polityki.

Administrator jest uprawniony do zmiany Polityki i jej załączników. W takim przypadku nowa treść Polityki i załączników będzie publikowana w sposób przewidziany w ust. 1.

Polityka posiada następujące załączniki:

– nr 1 – ewidencja przechowywanych danych osobowych,

– nr 2 – ewidencja osób uprawnionych do dostępu i przetwarzania danych osobowych,

– nr 3 – ewidencja miejsca przechowywania danych osobowych,

– nr 4 – formularz informacji dla osoby, której dane dotyczą – Klient,

– nr 5 – formularz informacji dla osoby, której dane dotyczą – Pracownik,

– nr 6 – formularz informacji dla osoby, której dane uzyskano z innego źródła,

– nr 7 – formularz informacji dla osoby, która skorzystała z prawa dostępu,

– nr 8 – ewidencja zdarzeń związanych z danymi osobowymi,

– nr 9 – wzór zgłoszenia naruszenia ochrony danych osobowych.