POLITYKA PRYWATNOŚCI I OCHRONA DANYCH OSOBOWYCH

Niniejsza polityka przetwarzania Danych Osobowych zatwierdzona została przez Zarząd spółki BAKALLAND S.A. z siedzibą w Warszawie, przy ulicy Fabrycznej 5, 00-446 Warszawa, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000253890, posiadającą numer NIP 5211501724, numer REGON 01227209000000 („Spółka”, „Administrator” lub „Administrator Danych Osobowych”) i obowiązuje we wszystkich jednostkach organizacyjnych (działach) Administratora.

Polityka określa podejście Spółki do zasad przetwarzania danych osobowych zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) („RODO”), ustawą o ochronie danych osobowych uzupełniającą RODO („Ustawa”), mając na uwadze obowiązek spełnienia zasady rozliczalności.

Za przetwarzanie danych osobowych, zapewnienie im stopnia bezpieczeństwa zgodnie z RODO oraz za stosowanie niniejszej Polityki odpowiada zarząd Administratora, osoby wyznaczone przez zarząd, odpowiedzialne za organizację i nadzór nad procesami, w których ma miejsce przetwarzanie danych osobowych oraz osoby upoważnione do przetwarzania danych osobowych.

Niniejsza Polityka obowiązuje w Spółce.

Spółka ma prawo ustanawiać i egzekwować wewnętrzne zasady, w tym przepisy i procedury, zgodne z niniejszą Polityką.

Niniejsza Polityka określa podstawowe zasady ochrony danych oraz standardy ochrony danych w Spółce, stosowane w celu zachowania zgodności z krajowymi i unijnymi przepisami o ochronie danych.

Niniejsza Polityka ma zastosowanie do każdego przypadku przetwarzania danych osobowych przez Spółkę. Dane zanonimizowane nie podlegają przepisom niniejszej Polityki.

Celem Polityki jest zapewnienie oraz wykazanie, że Dane Osobowe w Spółce przetwarzane są zgodnie z zasadami dotyczącymi przetwarzania, na które składają się:

a) zgodność z prawem, rzetelność, przejrzystość,

b) ograniczenie celu,

c) minimalizacja danych,

d) prawidłowość,

e) ograniczenie przechowywania,

f) integralność i poufność.

Rozliczalność

Administrator zgodnie z zasadą rozliczalności odpowiedzialny jest za przestrzeganie zasad przetwarzania Danych Osobowych wskazanych powyżej i zobowiązany jest wykazać ich przestrzeganie, co czyni m.in. poprzez niniejszą Politykę. Wszystkie działania dotyczące przetwarzania danych będą należycie dokumentowane przez Spółkę. Spółka ponosi odpowiedzialność za przestrzeganie przepisów dotyczących ochrony danych osobowych, w tym przepisów RODO i jest w stanie to wykazać.

Pozostałe Zasady Ogólne

a) Zgodność z przepisami. Dane osobowe są przetwarzane przez Administratora zgodnie z wymaganiami RODO oraz Ustawy i innych przepisów mogących mieć zastosowanie. Decyzje o celach i sposobach przetwarzania danych osobowych podejmuje Administrator.

b) Prawa Osób, których dane dotyczą. Spółka respektuje prawa podmiotów danych, z uwzględnieniem praw dostępu do ich danych, prawa do ograniczenia ich przetwarzania, prawa do przenoszenia danych, prawa do usunięcia danych, wniesienia sprzeciwu wobec przetwarzania lub cofnięcia w dowolnym momencie zgody na przetwarzanie danych.

c) Udostępnienie danych. Udostępnianie danych osobowych podmiotom zewnętrznym ma miejsce wyłącznie, gdy jest ono konieczne ze względu na spełnienie zobowiązań kontraktowych lub obowiązujących przepisów prawnych regulujących działalność Administratora.

d) Bezpieczeństwo danych. Przetwarzanie danych osobowych przez Administratora realizowane jest w sposób zapewniający ich bezpieczeństwo. Stosownie do rodzaju ryzyka, w celu zapobiegnięcia nieuprawnionemu przetwarzaniu lub zmianie oraz utracie, zniszczeniu lub nieuprawnionemu ujawnianiu lub udostępnianiu przekazywanych, przechowywanych lub przetwarzanych w inny sposób danych osobowych, zostaną podjęte odpowiednie środki techniczne lub organizacyjne.

e) Uwzględnienie ochrony danych w fazie projektowania. Spółka wdroży odpowiednie środki techniczne i organizacyjne, w celu skutecznej realizacji zasad ochrony danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą. Zasada ochrony danych w fazie projektowania będzie stosowana podczas opracowywania i zakupu nowych usług/produktów/systemów.

f) Domyślna ochrona danych. Spółka wdroży odpowiednie środki techniczne i organizacyjne w celu zagwarantowania, że domyślnie przetwarzane będą tylko te dane osobowe, których przetwarzanie jest niezbędne dla określonych celów. Zasada domyślnej ochrony danych będzie stosowana podczas opracowywania i zakupu nowych usług/produktów/systemów.

g) Inspektor Ochrony Danych. Spółka wyznaczy inspektora ochrony danych, który będzie posiadał odpowiednie kwalifikacje zawodowe, a w szczególności wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań określonych w RODO i przepisach je uzupełniających.

Definicje

Administrator – podmiot ustalający samodzielnie lub wspólnie z innymi cele i sposoby przetwarzania danych osobowych, określony w nagłówku Polityki („ADO”);

ASI - Administrator Systemu Informatycznego – osoba odpowiadająca w ramach ADO w szczególności za infrastrukturę informatyczną oraz teleinformatyczne środki zabezpieczeń stosowane przez ADO;

Dane Osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

IOD – Inspektor Ochrony Danych w rozumieniu RODO;

Klauzula Informacyjna – oznacza politykę prywatności bądź klauzulę obejmującą informacje, których przekazanie Osobie, której dane dotyczą, jest wymagane zgodnie z obowiązującymi przepisami (art. 13 / art. 14 RODO);

Naruszenie ochrony danych - oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

Osoba, której dane dotyczą – oznacza zidentyfikowaną lub możliwą do zidentyfikowania osobę fizyczną, której Dane Osobowe przetwarza Spółka, jako administrator lub podmiot przetwarzający;

Państwo trzecie – państwo nie będące członkiem Unii Europejskiej, położone poza Europejskim Obszarem Gospodarczym;

Personel – osoby zatrudnione w Spółce w oparciu o umowę o pracę lub współpracownicy Spółki działający w oparciu o umowę cywilnoprawną z Spółką;

Polityka – oznacza niniejszą politykę przetwarzania Danych Osobowych;

Przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

RODO – przyjmuje znaczenie określone w nagłówku Polityki;

Spółka – przyjmuje znaczenie określone w nagłówku Polityki;

Szczególne kategorie danych osobowych – dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Umowa Powierzenia – przyjmuje znaczenie określone w § 11 ust. 1 Polityki;

Ustawa – przyjmuje znaczenie określone w nagłówku Polityki.

Zakres Polityki

Polityka znajduje zastosowanie do wszelkich kategorii osób i ich Danych Osobowych, wobec których Spółka jest ADO i we wszystkich komórkach organizacyjnych Spółka, we wszystkich lokalizacjach (budynkach, pomieszczeniach) Spółka, w których przetwarzane są Dane Osobowe. Wykaz tych lokalizacji stanowi Załącznik nr 1 do Polityki.

Politykę stosuje się do:

a) Danych Osobowych przetwarzanych w systemach informatycznych, w tradycyjnej formie papierowej oraz znajdujących się na wszelkich nośnikach danych, w szczególności dyskach zewnętrznych, pamięci masowej flash, płytach CD/DVD,

b) Danych Osobowych przetwarzanych zarówno w zbiorach danych, jak i pojedynczych informacji osobowych; do wszelkich procesów przetwarzania Danych Osobowych jak i czynności przetwarzania danych,

c) informacji dotyczących zabezpieczenia Danych Osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych, rejestru osób upoważnionych do przetwarzania Danych Osobowych, dokumentacji przygotowanej w celu realizacji zasady rozliczalności, jeśli zawiera ona Dane Osobowe.

Do stosowania zasad określonych w Polityce oraz pozostałej dokumentacji związanej z przetwarzaniem Danych Osobowych zobowiązany jest ADO, Personel mający dostęp do Danych Osobowych.

ZGODNOŚĆ Z PRAWEM, RZETELNOŚĆ I PRZEJRZYSTOŚĆ

Zgodność z prawem

Administrator zapewnia, że Dane Osobowe przetwarzane są zgodnie z prawem. Przetwarzanie danych osobowych wymaga każdorazowo posiadania odpowiedniej podstawy prawnej. Administrator zobowiązany jest przetwarzać Dane Osobowe na podstawie prawnej wynikającej z art. 6 RODO, a Szczególne kategorie danych osobowych na podstawie prawnej wynikającej z art. 9 RODO.

Ilekroć Przetwarzanie opiera się na zgodzie Osoby, której dane dotyczą, Administrator zapewnia aby:

a) zgoda została wyrażona dobrowolnie, w szczególności by nie warunkowała wykonania umowy z Osobą, której dane dotyczą, chyba że przetwarzanie jej Danych Osobowych jest niezbędne do wykonania takiej umowy;

b) zgoda była konkretna, jednoznaczna, poinformowana i wyrażona świadomie, w szczególności, aby zapytanie o zgodę było przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem; każdorazowo z możliwością cofnięcia zgody;

c) proces zbierania zgód był w pełni udokumentowany (w formie pisemnej lub elektronicznej), tak by możliwe było wykazanie przez Administratora, że zgoda została uzyskana.

Rzetelność i przejrzystość

Administrator zapewnia, że Dane Osobowe przetwarzane są w sposób rzetelny i przejrzysty. W tym celu stosuje w szczególności stosowne Klauzule Informacyjne. Administrator dba o to by wszelkie informacje komunikowane osobom, których dane dotyczą spełniały zasadę przejrzystości i były sformułowane jasnym klarownym językiem, co dotyczy w szczególności a) Klauzul Informacyjnych (polityk prywatności), b) realizacji praw osób, których dane dotyczą, c) zawiadomień Osób, których dane dotyczą o naruszeniu ochrony danych na podstawie art. 34 RODO, o ile będzie miało to zastosowanie.

Zasady przygotowania Klauzul Informacyjnych, a także procedury związane z realizacją praw Osób, których dane dotyczą określa odrębny dokument – Polityka realizacji praw osób, których dane dotyczą, stanowiąca Załącznik A do Polityki.

OGRANICZENIE CELU, MINIMALIZACJA DANYCH ORAZ PRAWIDŁOWOŚĆ

Ograniczenie celu

Administrator zapewnia, aby cele Przetwarzania Danych Osobowych były uzasadnione i wyraźnie określone w momencie ich zbierania. Administrator nie przetwarza Danych Osobowych, jeśli cele dla których są one zbierane, możliwe są do osiągnięcia w inny sposób.

Przetwarzanie Danych Osobowych do celów innych niż cele, w których dane te zostały pierwotnie zebrane możliwe jest tylko wtedy gdy Przetwarzanie takie jest zgodne z pierwotnymi celami. W innym wypadku wymagane jest zapewnienie odrębnej podstawy prawnej.

Minimalizacja danych

Administrator nie zbiera i nie Przetwarza Danych Osobowych w zakresie szerszym niż jest to niezbędne do realizacji celów, dla których Przetwarzanie następuje.

Prawidłowość danych

Administrator zapewnia, że przetwarzane rzez niego Dane Osobowe są prawidłowe i w razie konieczności aktualizowane.

W celu realizacji zasady prawidłowości danych, Administrator realizuje przede wszystkim prawo Osoby, której dane dotyczą do sprostowania danych oraz ograniczenia ich przetwarzania. Procedury w tym zakresie określa odrębny dokument – Polityka realizacji praw osób, których dane dotyczą, stanowiąca Załącznik A do Polityki.

OGRANICZENIE PRZECHOWYWANIA

Gromadzenie i przechowywanie danych (zasady retencji danych)

Dane Osobowe należy zachować w formie możliwej do zidentyfikowania danej osoby, wyłącznie przez okres niezbędny dla celów, dla których zostały pierwotnie zgromadzone i w formie odpowiednio zabezpieczonej przed dostępem osób nieupoważnionych.

Dane Osobowe w formie umożliwiającej identyfikację Osoby, której dane dotyczą przechowywane są każdorazowo przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są Przetwarzane chyba że inny okres przetwarzania będzie wynikał z przepisów prawa, np. okres przedawnienia roszczeń lub szczególne okresy retencji wyznaczone przez przepisy sektorowe, takie jakie np. prawo pracy.

Dane Osobowe zawarte w dokumentacji przygotowanej w celi realizacji zasady rozliczalności, przechowywane będą nie dłużej niż jest to niezbędne do realizacji celu jakim jest wykazanie przez Administratora, że przepisy o ochronie danych osobowych są przestrzegane.

Okresy przechowywania bądź kryteria ich ustalania określone są każdorazowo w stosownej Klauzuli Informacyjnej dla danej kategorii osób.

Należy pozbyć się (lub zachować wyłącznie w formie anonimowej lub pozbawionej elementów pozwalających na identyfikację w możliwie najszerszym zakresie) Danych Osobowych, które nie są już wymagane, w bezpieczny sposób i zgodnie z obowiązującymi przepisami prawa.

Administrator będzie dokonywał okresowych przeglądów w zakresie przestrzegania zasady ograniczenia przechowywania Danych Osobowych, w tym specyficznych okresów retencji wynikających ze szczególnych przepisów prawa.

Usuwanie danych

Dane Osobowe, których Przetwarzanie nie jest już konieczne dla realizacji celów, dla których zostały zebrane lub okres ich przechowywania nie wynika z przepisów prawa, zostają w bezpieczny sposób usunięte. Nadzór nad usunięciem danych sprawuje Administrator lub IOD.

Poprzez usuwanie Danych Osobowych rozumie się zniszczenie Danych Osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości Osoby, której dane dotyczą.

Usuwanie Danych Osobowych może polegać na:

a) trwałym, fizycznym ich zniszczeniu wraz z ich nośnikami w stopniu uniemożliwiającym ich odtworzenie przez osoby niepowołane przy zastosowaniu powszechnie dostępnych metod,

b) anonimizacji Danych Osobowych, polegającej na pozbawieniu ich cech umożliwiających identyfikację osób fizycznych, których dane dotyczą.

Administrator może usuwać Dane Osobowe samodzielnie, w ramach własnej organizacji lub poprzez zlecenie ich usunięcia wyspecjalizowanym podmiotom zewnętrznym, gwarantującym bezpieczeństwo procesu niszczenia danych odpowiednie do rodzaju nośnika tych danych, pod warunkiem zawarcia z takim podmiotem stosownej Umowy Powierzenia.

BEZPIECZEŃSTWO I POUFNOŚĆ

Dane Osobowe w Spółce przetwarzane są w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu.

REJESTR CZYNNOŚCI PRZETWARZANIA

Administrator sprawuje kontrolę nad procesami przetwarzania danych w tym prowadzi rejestr czynności przetwarzania i /lub rejestr kategorii czynności przetwarzania w odniesieniu do procesów wobec których działa jako podmiot przetwarzający (PO), stanowiący Załącznik nr 2 do Polityki.

UDOSTĘPNIANIE I POWIERZENIE DANYCH PODMIOTOM TRZECIM

Powierzenie przetwarzania danych

Powierzenie przetwarzania Danych Osobowych przez Administratora osobie trzeciej, innej niż Personel, która ma przetwarzać Dane Osobowe według instrukcji ADO, wymaga zawarcia stosownej umowy powierzenia przetwarzania danych. Umowa powierzenia przetwarzania danych może mieć formę odrębnego dokumentu, bądź dodatkowej klauzuli w umowie regulującej zasady współpracy między Administratorem a taką osobą trzecią („Umowa Powierzenia”). Wzór umowy powierzenia stanowi Załącznik nr 3 do Polityki.

Powierzenie przetwarzania Danych Osobowych możliwe jest wyłącznie w celu i zakresie ustalonym w Umowie Powierzenia.

Powierzenie przez osobę trzecią Spółce Danych Osobowych do przetwarzania, również wymaga zawarcia stosownej Umowy Powierzenia ze Spółką jako podmiotem przetwarzającym.

Umowa Powierzenia zawierana jest w formie pisemnej pod rygorem nieważności, zgodnie z zasadami reprezentacji w Spółce, w tym przez pełnomocnika.

W przypadku gdyby powierzenie danych Spółki następowało do podmiotu położonego w państwie trzecim lub gdyby podpowierzający znajdował się w Państwie trzecim, Spółka, o ile będzie to niezbędne, zastosuje odpowiednie zabezpieczenia takiego transferu danych do Państwa trzeciego, zgodnie z Rozdziałem V RODO. Kwestie te zostaną skonsultowane z działem prawnym lub z IOD.

Udostępnienie Danych Osobowych

Dane Osobowe mogą zostać udostępnione przez Administratora osobie trzeciej w przypadku gdy:

a) uprawnienie lub obowiązek udostępnienia wynika z obowiązujących przepisów prawa; lub

b) Administrator zawrze z osobą trzecią stosowną umowę obejmująca udostępnienie danych, pod warunkiem istnienia odpowiedniej podstawy prawnej do udostępnienia, w tym jeżeli będzie to miało zastosowanie, z uwzględnieniem wymogów transferu danych do odbiorcy położonego w państwie trzecim zgodnie z rozdziałem V RODO. Kwestie te zostaną skonsultowane z działem prawnym lub z IOD.

Administrator posiada procedurę dotyczącą udostępnień na wezwanie organu oraz prowadzi rejestr udostępnień na żądanie organu, stanowiące odpowiednio Załącznik nr C oraz Załącznik nr 1 do Załącznika C do Polityki.

BEZPIECZEŃSTWO DANYCH OSOBOWYCH

Kategorie środków zabezpieczeń

W obiektach Spółki, w których przetwarzane są Dane Osobowe, należy stosować następujące kategorie środków zabezpieczeń danych osobowych:

a) zabezpieczenia fizyczne:

• cyfrowa blokada wejścia do budynku oraz wejścia do biura Spółki, umożliwiająca identyfikację osób wchodzących;

• pomieszczenia zamykane na klucz;

• szafy z zamkami;

b) zabezpieczenia procesów Przetwarzania danych w dokumentacji papierowej:

• wyznaczone miejsca do Przetwarzania Danych Osobowych;

• nadawanie upoważnień;

• niezwłoczne niszczenie lub anonimizacja dokumentów, które zawierają Dane Osobowe, a które nie podlegają archiwizacji i nie są niezbędne z perspektywy celów, dla jakich dane te zostały zebrane;

c) zabezpieczenia informatyczne:

• szyfrowanie Danych Osobowych;

• zabezpieczenie łącz;

• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

• zdolność do szybkiego przywrócenia dostępności Danych Osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania;

d) zabezpieczenia organizacyjne:

• struktura organizacyjna w zakresie ochrony Danych Osobowych.

Środki zabezpieczeń

Ochronę danych osobowych w Spółce należy realizować z wykorzystaniem następujących minimalnych zabezpieczeń:

a) przyznawania indywidualnych identyfikatorów;

b) zapewnienie stopniowania uprawnień;

c) zapewnienia wymuszania zmiany haseł;

d) odnotowania daty pierwszego wprowadzenia danych w systemie;

e) odnotowania identyfikatora użytkownika wprowadzającego dane;

f) odnotowania informacji o odbiorcach, którym dane zostały udostępnione, dacie i zakresie tego udostępnienia.

Dostęp Personelu do Danych Osobowych – upoważnienia

1. Personel, który ze względu na rodzaj wykonywanych zadań, będzie posiadać dostęp do Danych Osobowych, przed przystąpieniem do wykonywania tych zadań, zostanie przeszkolony w zakresie obowiązujących przepisów prawa ochrony danych osobowych oraz zasad ochrony danych osobowych obowiązujących w Spółce.

2. Osoba, która uzyskała upoważnienie do przetwarzania danych osobowych (ADO) zobowiązana jest do i odpowiedzialna za:

a) ochronę danych osobowych zgodnie z postanowieniami RODO oraz niniejszej Polityki;

b) zachowanie w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia również po ustaniu zatrudnienia;

c) odbycie szkolenia w zakresie ochrony Danych Osobowych.

3. Dostęp do Danych Osobowych możliwy jest wyłącznie po otrzymaniu od Administratora stosownego upoważnienia do przetwarzania danych, którego wzór stanowi Załącznik nr 4 do Polityki. Zakres upoważnienia ustalany jest indywidualnie dla danej osoby z Personelu, z uwzględnieniem wykonywanych przez nią zadań. Osoba, której wydawane jest upoważnienie potwierdza własnoręcznym podpisem jego otrzymanie.

4. Administrator cofa lub zmienia upoważnienie niezwłocznie po wystąpieniu okoliczności, które uzasadniają zmianę lub cofnięcie upoważnienia, w szczególności:

a) zmiana zakresu obowiązków Personelu, w szczególności gdy wiąże się to z koniecznością posiadania dostępu do szerszego lub węższego zakresu Danych Osobowych niż określony w aktualnie obowiązującym upoważnieniu,

b) rozwiązanie umowy o pracę/współpracę ze Spółką,

c) uznanie przez Administratora, że dana osoba z Personelu przetwarza Dane Osobowe niezgodnie z upoważnieniem, przepisami prawa bądź zasadami przetwarzania Danych Osobowych, obowiązującymi w Spółce.

5. Administrator prowadzi ewidencję osób upoważnionych, której wzór stanowi Załącznik nr 5 do Polityki.

6. Administrator zobowiąże Personel do zachowania w poufności Danych Osobowych, do których Personel ten uzyskał dostęp.

7. ADO ma prawo odmowy przyznania upoważnienia do przetwarzania danych osobowych, jeżeli uzna, że osoba, której dotyczy wniosek nie będzie przetwarzać danych osobowych. W takim przypadku konsultuje to z IOD.

8. Oryginał podpisanego upoważnienia przekazywany jest do działu Kadr Administratora celem włączenia do akt osobowych lub dołączenia do umowy cywilnoprawnej. Kopia upoważnienia umieszczana jest w dokumentacji przetwarzania danych osobowych wraz z ewidencją osób upoważnionych do przetwarzania danych osobowych. Na podstawie wydanego upoważnienia dział kadr Administratora przekazuje osobie odpowiedzialnej za systemy informatyczne informację niezbędną do nadania uprawnień do systemu informatycznego.

ZARZĄDZANIE SYSTEMAMI INFORMATYCZNYMI SŁUŻĄCYMI DO PRZETWARZANIA DANYCH OSOBOWYCH

Administrator w zakresie zarządzania systemami informatycznymi dba o bezpieczeństwo danych poprzez:

1. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,

2. Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem,

3. Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu na wszystkich poziomach zabezpieczeń,

4. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,

5. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych (awaryjnych),

6. Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,

7. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Dodatkowe Zasady Bezpieczeństwa

1. Personel mający dostęp do danych zobowiązany jest do ochrony danych osobowych na swoim stanowisku pracy i ponosi odpowiedzialność za swoje działania.

2. Personel przechowujący dane osobowe zobowiązany jest do i odpowiedzialny jest za zabezpieczenie materiałów zawierających Dane Osobowe w sposób uniemożliwiający nieuprawnione ujawnienie danych, nieautoryzowany dostęp, niedozwolone: powielenie, modyfikację, zniszczenie, utratę, nieprawidłowe wykorzystanie lub kradzież.

3. Personel mający dostęp do Danych Osobowych nie może ich ujawniać zarówno w miejscu pracy jak i poza nim, w zakresie wykraczającym poza wykonywanie obowiązków służbowych.

4. Przekazywanie danych w ramach wewnętrznej struktury Administratora może następować wyłącznie pomiędzy osobami posiadającymi upoważnienie do przetwarzania danych osobowych w określonym zbiorze i zakresie.

5. W pomieszczeniach, w których przetwarzane są Dane Osobowe przebywać mogą osoby upoważnione do przetwarzania danych osobowych, a inne osoby w obecności osób upoważnionych.

6. Dokumenty zawierające Dane Osobowe winny być przechowywane w szafach zamykanych na klucz.

7. W miejscu przetwarzania danych osobowych utrwalonych w formie papierowej osoby przetwarzające Dane Osobowe zobowiązane są do i odpowiedzialne za nie pozostawianie materiałów zawierających dane osobowe w miejscu umożliwiającym fizyczny dostęp do nich osobom nieuprawnionym.

8. Osoby przetwarzające Dane Osobowe zobowiązane są do i odpowiedzialne za zamykanie i zabezpieczanie przed dostępem wszelkich pomieszczeń, w których przetwarzane są dane osobowe, w czasie ich chwilowej nieobecności w pomieszczeniu pracy jak i po jej zakończeniu.

9. Każdy dokument papierowy zawierający Dane Osobowe sporządzony jako dokument roboczy należy najpóźniej na koniec dnia pracy zniszczyć lub zamknąć w miejscu uniemożliwiającym dostęp osób nieuprawnionych.

10. Niszczenie brudnopisów, błędnych lub zbędnych kopii materiałów zawierających Dane Osobowe odbywać się musi w sposób uniemożliwiający odczytanie zawartej w nich treści.

11. Zakazane jest udzielanie informacji dotyczących Danych Osobowych na podstawie prośby o takie dane w formie zapytania telefonicznego za wyjątkiem spraw, związanych ze zwykłymi czynnościami dnia codziennego. Odstępstwa od tej zasady muszą być każdorazowo indywidualnie konsultowane z IOD. Udzielanie informacji telefonicznie może się odbywać tylko w ramach posiadanego upoważnienia.

12. Niedopuszczalnym jest wynoszenie materiałów zawierających Dane Osobowe poza obszar ich przetwarzania bez związku z wykonywaniem czynności służbowych. Za bezpieczeństwo i zwrot materiałów zawierających Dane Osobowe odpowiada w tym przypadku osoba dokonująca ich wyniesienia.

13. Kopiowanie Danych Osobowych może odbywać się wyłącznie przez osobę w ramach posiadanego przez nią upoważnienia do przetwarzania danych, w związku z realizacją czynności służbowych. Zabronione jest kopiowanie Danych Osobowych na przenośnych nośnikach pamięci oraz komputerach przenośnych w celu wyprowadzenia ich na zewnątrz. Kopia Danych Osobowych wykonana zgodnie z postanowieniami niniejszego punktu podlega zniszczeniu niezwłocznie po realizacji celu, dla którego została wykonana.

14. Każda osoba przetwarzająca Dane Osobowe w stosunku do Osób, których dane przetwarza, zobowiązana jest do realizacji obowiązku informacyjnego według Klauzuli Informacyjnej w formie wskazanej przez IOD. Obowiązek informacyjny realizowany jest jednorazowo. Nadzór nad realizacją obowiązku informacyjnego, sprawuje IOD.

15. Za realizację zasad bezpieczeństwa danych przetwarzanych w poszczególnych komórkach organizacyjnych odpowiedzialni są kierownicy tych komórek.

NARUSZENIE OCHRONY DANYCH OSOBOWYCH

Postanowienia ogólne – odesłanie do załączników

1. Zasady postępowania w sytuacji Naruszenia ochrony danych osobowych określa odrębny dokument – Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych, stanowiąca Załącznik B do Polityki.

2. Administrator prowadzi rejestr naruszeń ochrony danych, stanowiący Załącznik 3 do Załącznika B do Polityki. Załączniki nr 1 oraz 2 do Załącznika B do Polityki określają wzory zgłoszenia naruszenia ochrony danych organowi nadzorczemu oraz zawiadomienia osoby, której dane dotyczą.

STRUKTURA ORGANIZACYJNA

Podmioty odpowiedzialne

1. Za ochronę danych osobowych w Spółce odpowiada Zarząd Spółki oraz w ramach struktury organizacyjnej:

a) Inspektor Ochrony Danych;

b) Kierownicy działów pełniący rolę lokalnych inspektorów ochrony danych;

c) Administrator Systemów Informatycznych (ASI).

Struktura organizacyjna

Administrator powołuje i zgłasza organowi nadzorczemu Inspektora Ochrony Danych zgodnie z obowiązującymi zasadami RODO i Ustawy.

Zadania Inspektora Ochrony Danych:

a) informowanie Administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

b) monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;

d) współpraca z organem nadzorczym;

e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

1. Administrator Systemów Informatycznych odpowiedzialny jest za:

a) bieżącą współpracę z Administratorem oraz IOD w dziedzinie zapewnienia bezpieczeństwa przetwarzania danych osobowych;

b) zapewnienie ciągłości działania systemu informatycznego;

c) praktyczną realizację obowiązków, o których mowa w pkt. IX powyżej.

OCENA SKUTKÓW DLA OCHRONY DANYCH

Ocena skutków dla ochrony danych

1. Administrator przed rozpoczęciem przetwarzania danych, w przypadku gdy zostaną spełnione warunki wskazane w art. 35 RODO dokona sam lub za pośrednictwem IOD oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

2. Decyzję czy planowane operacje przetwarzania danych wymagają przeprowadzenia oceny skutków każdorazowo podejmie, przeprowadzi zgodnie z RODO i udokumentuje Administrator lub za pośrednictwem IOD.

I. WSPÓŁPRACA Z ORGANEM NADZORCZYM

Współpraca z organem nadzorczym

Administrator na żądanie współpracuje z organem nadzorczym w ramach wykonywania przez niego swoich zadań lub za pośrednictwem IOD, w tym dokonuje uprzednich konsultacji zgodnie z art. 36 RODO.