POLITYKA PRYWATNOŚCI I OCHRONY DANYCH OSOBOWYCH

POLITYKA PRYWATNOŚCI I OCHRONY DANYCH OSOBOWYCH W KOMARNICKI DRUŻBYCZ KANCELARIA PRAWNA

PRZEPISY OGÓLNE

§1

Niniejszą Politykę Prywatności i Ochrony Danych Osobowych (dalej: „Polityka”) przedsiębiorstwo KOMARNICKI DRUŻBYCZ KANCELARIA PRAWNA (dalej KDKP) wdraża w związku z wejściem w życie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”) oraz ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku.

§2

 W Polityce wskazano:

  1. Zasady ochrony danych obowiązujące w KDKP,
  2. Opis załączników – wzorów procedur postępowania w sprawach z zakresu ochrony danych osobowych

§3

Osobą odpowiedzialną za wdrożenie oraz nadzór nad przestrzeganiem Polityki jest właściciel firmy Jan Komarnicki – Drużbycz.

§4

Wszyscy pracownicy KDKP mają obowiązek zapoznać się z treścią Polityki i stosować się do zasad zawartych w Polityce.

§5

W Polityce zawarto następujące definicje:

  1. Polityka- Polityka Ochrony Danych Osobowych
  2. RODO- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
  3. Dane- dane osobowe w rozumieniu art. 4 ust. 1 RODO,
  4. Dane szczególnej kategorii- dane osobowe wskazane w art. 9 ust. 1 RODO,
  5. Osoba- osoba fizyczna, której dane są przetwarzane w przedsiębiorstwie KDKP,
  6. Podmiot Przetwarzający-osoba fizyczna lub prawna przetwarzająca dane osobowe w imieniu KDKP,
  7. RCPD- Rejestr Czynności Przetwarzania Danych Osobowych
  8. KDKP – KOMARNICKI DRUŻBYCZ KANCELARIA PRAWNA. 

§6

KDKP Dane przetwarzane są z zachowaniem następujących zasad:

  1. Zasada legalności – Dane przetwarzane są jedynie zgodnie z prawem i w oparciu o określoną podstawę prawną,
  2. Bezpieczeństwo- KDKP zapewnia odpowiednie środki bezpieczeństwa przetwarzanych danych osobowych,
  3. Zasada poszanowania praw jednostki – umożliwienie osobom, których dane są przetwarzane w KiM wykonywanie praw jednostki związanych z ochroną danych osobowych i realizacja tych praw,
  4. Zasada rozliczalności – KDKP prowadzi RCPD celem wykazania zgodności przetwarzania danych z RODO i ustawą o ochronie danych osobowych,
  5. Zasada transparentności- informacje o prawach osób są przekazywane w sposób jasny i zrozumiały,
  6. Zasada minimalizacji i czasowości – dane są przetwarzane jedynie w określonych celach, w niezbędnym zakresie i przez ograniczony czas.

SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE

§7

KDKP celem wprowadzenia prawidłowego systemu ochrony danych przeprowadza inwentaryzację przetwarzanych danych osobowych, klasyfikację danych z uwagi na ich kategorię (dane zwykłe, dane szczególnego rodzaju) oraz określa sposób wykorzystania tych danych.

§8

KDKP prowadzi RCPD, który pozwala na rozliczenie prawidłowości przetwarzania danych osobowych przez KDKP. W RCPD KDKP wprowadza podstawę prawną przetwarzania danych. Podstawy prawne przetwarzania są na bieżąco weryfikowane i uaktualniane.

§9

KDKP zapewnia realizację obowiązku informacyjnego względem Osób i realizuje następujące żądania tych Osób:

  1. Obowiązek informacyjny – KDKP przekazuje Osobom informacje dotyczące ich praw, wskazane w RODO oraz dokumentuje fakt udzielenia tych informacji,
  2. Spełnianie żądań Osób – KDKP zapewnia możliwość wykonania żądań osób, których dane przetwarza przez KDKP oraz inne Podmioty Przetwarzające, w terminach i w sposób wymagany przez RODO oraz odpowiednio dokumentuje fakt spełnienia tych żądań,
  3. W przypadku naruszenia danych KDKP weryfikuje, czy istnieje konieczność zawiadomienia Osób których dane zostały w sposób zidentyfikowany naruszone.

§10

Stosując zasadę minimalizacji, KDKP:

  1. Wprowadza szczegółowe upoważnienia dla pracowników KDKP, ograniczające możliwość przetwarzania przez pracowników Danych do celu wykonania obowiązków służbowych (minimalizacja dostępu),
  2. Przekazuje Dane Podmiotom Przetwarzającym jedynie w zakresie niezbędnym do realizacji przez te podmioty określonych świadczeń na rzecz KDKP (minimalizacja dostępu),
  3. Przetwarza Dane jedynie do niezbędnych celów, przez określony czas (minimalizacja zakresu, minimalizacja czasu),
  4. Kontroluje, czy przetwarzanie danych jest adekwatne i konieczne, a w razie ustalenia, że dalsze przetwarzanie Danych nie jest konieczne, dokonuje trwałego usunięcia tych danych (minimalizacja zakresu, minimalizacja czasu),
  5. Wprowadza fizyczne ograniczenie dostępu do danych osobowych: zamykane pomieszczenia, w których znajdują się dane osobowe, zamykane szafki na dokumenty, hasła do komputerów i wszelkich innych elektronicznych nośników danych, udostępnia te dane określonemu kręgowi osób upoważnionych i dokonuje aktualizacji uprawnień dostępowych w razie zmian w składzie personelu, zmian obowiązków służbowych personelu i zmian podmiotów przetwarzających (minimalizacja dostępu).

§11

 Stosując zasadę zapewnienia bezpieczeństwa danych osobowych, KDKP:

  1. Przeprowadza analizę ryzyka przetwarzania Danych w przedsiębiorstwie i wdraża odpowiednie środki bezpieczeństwa dla przetwarzania danych,
  2. Przeprowadza szkolenie dla pracowników KDKP zobowiązując pracowników do przestrzegania procedur bezpieczeństwa,
  3. Współpracuje z podmiotami wyspecjalizowanymi, w tym w bezpieczeństwie ochrony informacji i cyberbezpieczeństwie,
  4. Zapewnia bezpieczeństwo ochrony danych osobowych poprzez:

D1) ograniczenie dostępu fizycznego do danych osobowych – przekazanie kluczy do pomieszczeń i szafek ograniczonemu kręgowi upoważnionych osób,

D2) wprowadzenie haseł do : komputera, logowania do systemu operacyjnego, folderów, w których znajdują się dane osobowe, poczty elektronicznej, służbowych telefonów komórkowych, przenośnych nośników danych osobowych (pendrive, dyski zewnętrzne, płyty CD i DVD),

D3) dokonuje periodycznych zmian haseł o których mowa w pkt. D1) oraz weryfikuje, czy do haseł mają dostęp jedynie upoważnione osoby,

D4) w razie przesyłania do kontrahentów plików, w których znajdują się dane osobowe, KDKP zabezpiecza te pliki hasłem, do którego dostęp mają jedynie osoby upoważnione,

  1. w przeciągu 72 godzin od stwierdzenia zweryfikowanego naruszenia danych osobowych, zgłasza za pośrednictwem systemu teleinformatycznego, fakt takiego naruszenia danych osobowych do organu nadzorczego
  2. w razie stwierdzenia faktu naruszenia danych osobowych, przeprowadza analizę przyczyn powstania naruszenia i wdraża metody pozwalające na uniknięcie kolejnych przypadków naruszeń w przyszłości;
  3. prowadzi Rejestr Naruszeń Bezpieczeństwa Danych Osobowych.

§12

KDKP powierza podmiotom trzecim: zleceniobiorcom, podwykonawcom, kontrahentom,  podmiotom wykonującym dla KDKP usługi outsorcingowe; dane osobowe, jedynie na podstawie pisemnej umowy o powierzenie przetwarzania danych osobowych, w której to umowie zobowiązuje podmioty przetwarzające do postępowania zgodnie z RODO.

§13

KDKP stale weryfikuje, czy przetwarzane dane nie są przekazywane do państw trzecich poza EOG oraz czy ma miejsce przetwarzanie transgraniczne, a jeśli takie przypadki występują, zapewnia legalność takiego przetwarzania zgodnie z RODO.

§14

W przypadku ustalenia, że KDKP przetwarza dane szczególne, uzyskuje wyraźną zgodę od osoby, której dane dotyczą, na takie przetwarzanie.

§15

W przypadku ustalenia, że KDKP przetwarza dane niezidentyfikowane, KDKP wdraża odpowiednie mechanizmy pozwalające na realizację praw osób, których dotyczą dane niezidentyfikowane.

§16

KiM nie dokonuje profilowania przetwarzanych danych i/lub  zautomatyzowanego podejmowania decyzji w zakresie posiadanych danych.

§17

W przypadku współadministrowania danymi osobowymi przez KDKP oraz innego Administratora danych/ Administratorów danych, KDKP zawiera z takimi podmiotami pisemne umowy o współadministrowanie i w tych umowach zobowiązuje współadministratorów do przetwarzania danych osobowych zgodnie z RODO.

REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH

§18

KDKP w celu rozliczenia ciążących na przedsiębiorstwie obowiązków ochrony danych, prowadzi w formie elektronicznej Rejestr Czynności Przetwarzania Danych, w którym inwentaryzuje dane osobowe i monitoruje sposób ich wykorzystania.

§19

W Rejestrze  Czynności Przetwarzania Danych odnotowuje się:

  1. Dane Administratora, w tym jego dane kontaktowe
  2. Nazwę czynności
  3. Cel przetwarzania
  4. Opis kategorii osób
  5. Podstawę prawną przetwarzania
  6. Sposób, w jaki zbiera się dane
  7. Kategorię odbiorców danych
  8. W przypadku gdy znajdzie to zastosowanie, przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej
  9. Planowany termin usunięcia danych
  10. Opis technicznych i organizacyjnych środków bezpieczeństwa.

§20

KDKP wskazując w RCPD podstawę prawną przetwarzania danych, w miarę możliwości konkretyzuje tę podstawę prawną, podając konkretną umowę i inne dokumenty z których wynika podstawa prawna przetwarzania, opisuje zakres udzielonej zgody na przetwarzanie danych, opisuje uzasadniony cel przetwarzania lub wskazuje konkretne żywotne interesy, z których taka potrzeba przetwarzania zaistniała.

OBSŁUGA PRAW JEDNOSTKI I OBOWIĄZKÓW INFORMACYJNYCH

§21

KDKP udziela osobom, których dane przetwarza informacji o ich prawach związanych z ochroną danych osobowych : przesyła informacje w formie mailowej, umieszcza stosowne informacje na stronie internetowej KDKP.

§22

KDKP dotrzymuje prawnie uregulowanych terminów na realizację obowiązków względem osób, których dane przetwarza oraz zapewnia możliwość zidentyfikowania danych konkretnych osób, wprowadzenia do nich zmian i ich usunięcia.

§23

KDKP przy pozyskaniu danych osoby, informuje tę osobę o przetwarzaniu jej danych osobowych. Przy przetwarzaniu danych uniemożliwiających zidentyfikowanie osoby, KDKP w miarę możliwości  informuje takie osoby o przetwarzaniu ich danych. W przypadku uzyskania danych osobowych niebezpośrednio od danej osoby, KDKP informuje taką osobę o przetwarzaniu jej danych.

§24

W przypadku zmiany celu przetwarzania danych, KDKP informuje osobę, której takie dane dotyczą, o planowanej zmianie. KDKP informuje także właściwą osobę o uchyleniu ograniczenia przetwarzania jej danych.

§25

W razie gdy nie wymaga to niewspółmiernie dużego wysiłku lub gdy nie jest niemożliwe, KDKP informuje odbiorców danych osobowych o przypadku:

  1. Sprostowania danych
  2. Usunięcia danych
  3. Ograniczenia przetwarzania danych.

§26

KDKP, przy pierwszym kontakcie z osobą, której dane zamierza przetwarzać, informuje taką osobę o przysługującym jej prawie sprzeciwu względem przetwarzania danych.

§27

KDKP, w razie zaistnienia takiej potrzeby, przedłuża ponad jeden miesiąc termin na rozpatrzenie żądania osoby i wówczas informuje taką osobę o przedłużeniu terminu.

§28

Jeżeli osoba zgłosiła żądanie dotyczące jej praw, a KDKP nie przetwarza jej danych osobowych, informuje taką osobę o nieprzetwarzaniu jej danych.

§29

W razie zaistnienia podstaw do odmowy spełnienia żądania osoby, KDKP informuje taką osobę w ciągu miesiąca od otrzymania żądania o odmowie rozpatrzenia tego żądania i o prawach przysługujących takiej osobie w związku z odmową.

§30

W przypadku wyrażenia przez osobę żądania dostępu do jej danych, KDKP informuje taką osobę o tym, czy dane te przetwarza, a jeśli tak to informuje ją dodatkowo o:

  1. Celu przetwarzania danych,
  2. Kategorii przetwarzanych danych,
  3. Odbiorcach danych, w szczególności jeżeli odbiorca ma siedzibę w państwie trzecim lub jest organizacją międzynarodową,
  4. W miarę możliwości o planowanym okresie przetwarzania danych lub kryteriach ustalenia tego okresu,
  5. Prawie do żądania od KDKP sprostowania, usunięcia lub ograniczenia przetwarzania danych oraz do wniesienia sprzeciwu co do przetwarzania,
  6. Prawie wniesienia skargi do organu nadzorczego
  7. Fakcie, czy w przypadku tej osoby wykorzystywane jest zautomatyzowane podejmowanie decyzji w tym profilowanie,
  8. Prawie do uzyskania kopii danych.

§31

W przypadku wystąpienia stosownego żądania, KDKP wydaje osobie, której dane dotyczą, kopię przetwarzanych danych dotyczących tej osoby – bezpłatnie i odnotowuje fakt wydania kopii. W razie ponownego żądania wydania kopii danych tej samej osoby, KDKP pobiera opłatę za wydanie kopii. Wysokość opłaty jest oszacowana na podstawie kosztu jednostkowej obsługi takiego żądania.

§32

W przypadku otrzymania żądania sprostowania danych, KDKP niezwłocznie takiego sprostowania dokonuje. KDKP może odmówić sprostowania danych, chyba, że osoba, która z żądaniem sprostowania wystąpiła, w rozsądny sposób wykaże nieprawidłowość danych. W przypadku sprostowania danych na żądanie osoby, której dotyczą dane, informuje o sprostowaniu odbiorców danych.

§33

W przypadku otrzymania żądania uzupełnienia lub aktualizacji danych, KDKP wykonuje takie żądanie. KDKP ma prawo odmówić uzupełnienia danych, gdyby takie uzupełnienie było niezgodne z celami, w jakich dane przetwarza.

§34

W przypadku żądania usunięcia danych KDKP usuwa dane, jeżeli:

  1. Dane te nie są niezbędne do celów, w których zostały zebrane bądź nie są przetwarzane w innych zgodnych z przepisami celach,
  2. Cofnięto zgodę na przetwarzanie danych, a brak jest innych podstaw prawnych do ich przetwarzania,
  3. Sprzeciw osoby względem przetwarzania danych jest skuteczny,
  4. Dane były przetwarzane niezgodnie z przepisami obowiązującego prawa,
  5. Usunięcie danych podyktowane jest prawnym obowiązkiem,
  6. Dane dotyczą dziecka, a zostały zebrane na podstawie zgody Opiekuna Prawnego.

§35

 W przypadku usunięcia danych, KDKP na żądanie osoby, której dotyczą dane, przekazuje tej osobie informację o odbiorcach danych.

§36

W przypadku żądania ograniczenia przetwarzania danych, KDKP ogranicza przetwarzanie danych:

  1. w przypadku kwestionowania przez osobę prawidłowości danych – na czas niezbędny do sprawdzenia ich prawidłowości,
  2. Dane były przetwarzane niezgodnie z przepisami obowiązującego prawa, a osoba, której dane dotyczą, sprzeciwia się ich usunięciu i żąda ograniczenia ich przetwarzania,
  3. KDKP nie ma już potrzeby przetwarzania danych, lecz są one potrzebne osobie, której dane dotyczą, do ustalenia/dochodzenia/obrony roszczeń,
  4. W razie wniesienia sprzeciwu co do przetwarzania uzasadnionego szczególną sytuacją osoby- do czasu stwierdzenia, czy pomimo sprzeciwu KDKP ma nadrzędne wobec sprzeciwu prawnie uzasadnione podstawy przetwarzania danych.

§37

W przypadku zastosowania przez KDKP ograniczenia przetwarzania danych, KDKP przechowuje te dane, ale bez zgody osoby, której one dotyczą nie przetwarza tj. nie wykorzystuje i nie przekazuje tych danych. A jeśli dalsze przetwarzanie  byłoby niezbędne w celu ustalenia, dochodzenia lub obrony roszczeń, w celu ochrony praw innej osoby fizycznej lub prawnej, z uwagi na ważne względy interesu publicznego – informuje o tym Osobę z pytaniem o zgodę na dalsze wykorzystanie Danych.

§38

W przypadku ograniczenia przetwarzania danych, KDKP na żądanie osoby, której dotyczą dane, przekazuje tej osobie informację o odbiorcach danych. Przed uchyleniem ograniczenia przetwarzania KDKP informuje o tym  osobę, której dane dotyczą.

§39

W przypadku żądania przenoszenia danych, KDKP wydaje w ustrukturyzowanym, powszechnie używanym formacie lub, jeżeli jest to możliwe, przekazuje innemu podmiotowi, dane dotyczące osoby, która przeniesienia żądała, jeżeli osoba ta przekazała KDKP swoje dane na podstawie wyrażonej zgody na przetwarzanie lub w celu zawarcia lub wykonania umowy.

POSTANOWIENIA KOŃCOWE

 §40

KDKP oświadcza, że zapoznał pracowników z treścią Polityki i zobowiązał pracowników do przestrzegania Polityki.

§41

Aby usprawnić i ułatwić procedury bezpieczeństwa ochrony danych osobowych w KDKP i zapewnić zgodność przetwarzania danych z RODO i ustawą o ochronie danych osobowych, KDKP wprowadził następujące wzory dokumentów:

  1. Upoważnienie do przetwarzania danych przez pracownika KDKP,
  2. Umowa powierzenia danych osobowych
  3. Rejestr Przetwarzania Danych Osobowych
  4. Klauzula informacyjna
  5. Rejestr Naruszeń Bezpieczeństwa Danych Osobowych.I