Polityka Prywatności

1. INFORMACJE OGÓLNE

Polityka. Polityka ochrony danych osobowych u Renaty Skarbowskiej prowadzącej działalność gospodarczą pod nazwą Renata Skarbowska Fizjoterapia Dziecięca (dalej jako Polityka) jest polityką ochrony danych osobowych w rozumieniu RODO – rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1).

Cel Polityki. Celem Polityki jest zapewnienie zgodności przetwarzania danych osobowych z regulacjami RODO oraz krajowymi przepisami dotyczącymi ochrony danych osobowych.

Elementy Polityki. Polityka zawiera:

1. opis zasad ochrony danych osobowych;
2. odrębne dokumenty w formie załączników uszczegóławiające konkretne procedury lub instrukcje dotyczące poszczególnych obszarów z zakresu ochrony danych osobowych wymagających doprecyzowania;

które uznać należy za niezbędne dla zapewnienia zgodności z prawem, rzetelności, przejrzystości, prawidłowości, integralności i poufności oraz rozliczalności przetwarzania danych osobowych w obliczu zagrożeń, przed którymi dane osobowe muszą być chronione. Ponadto, Polityka określa podstawowe zasady zagwarantowania realizacji praw osób, których dane są przetwarzane, a w szczególności prawo do ochrony danych.

4. Przechowywanie. Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w siedzibie Administratora danych.
5. Udostępnianie. Polityka jest udostępniania do wglądu osobom posiadającym upoważnienie do przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma zostać nadane upoważnienie do przetwarzania danych osobowych, celem zapoznania się z jej treścią.

2. SKRÓTY I DEFINICJE

Przez użyte w Polityce oraz jej Załącznikach określenia należy rozumieć:

1. Administrator danych – Renata Skarbowska prowadzącą działalność gospodarczą pod nazwą Renata Skarbowska Fizjoterapia Dziecięca, określana dalej również jako Firma;
2. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
3. Organ nadzoru – Prezesa Urzędu Ochrony Danych Osobowych;
4. Podmiot przetwarzający – podmiot lub osobę, której Administrator danych powierzył przetwarzanie danych osobowych;
5. Pracownicy – osoby wykonujące pracę w oparciu o stosunek pracowniczy i niepracowniczy na rzecz Administratora danych w zakresie świadczenia usług z zakresu terapii, fizjoterapii, logopedii, integracji sensorycznej, praktykanci, stażyści, którzy uzyskali upoważnienie do przetwarzania danych osobowych;
6. Przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w odpowiednich systemach;
7. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
8. Rejestr czynności – Rejestr Czynności Przetwarzania Danych;
9. Rejestr kategorii – Rejestr Kategorii Czynności Przetwarzania Danych. 

3. ZAKRES OBOWIĄZYWANIA POLITYKI
   1. Celem niniejszej Polityki jest określenie zasad przetwarzania danych osobowych oraz ich bezpieczeństwa wewnątrz Firmy, jak i w kontaktach z otoczeniem, a w szczególności z klientami i kontrahentami. 
   2. Polityka opisuje zabezpieczenia techniczne i organizacyjne zastosowane celem ochrony danych osobowych w Firmie i stanowi podstawowy dokument dotyczący ochrony danych osobowych wewnątrz Firmy.
   3. Polityka obowiązuje w zakresie wszystkich operacji związanych z przetwarzaniem danych osobowych, niezależnie od formy i sposobu ich przetwarzania oraz kogo dane są przetwarzane. 
   4. Polityka znajduje zastosowanie na obszarze, w którym przetwarzane są dane osobowe, obejmującym pomieszczenia firmy znajdujące się przy ul. Krakowskiej 21/I, 47-100 Strzelce Opolskie. Dodatkowo obszar, w którym przetwarzane są dane osobowe, stanowią wszystkie urządzenia przenośne znajdujące się poza obszarem wskazanym powyżej.
   5. Polityka  dotyczy wszystkich danych osobowych przetwarzanych w Firmie, tj.:

1. danych osobowych przetwarzanych w systemach informatycznych oraz w systemie tradycyjnym – w papierowej formie,;
2. danych osobowych przetwarzanych w zbiorach danych, zestawach oraz pojedynczych informacjach osobowych;
3. informacji dotyczących bezpieczeństwa danych osobowych, w szczególności informacji służących do uwierzytelnienia się w systemach informatycznych, w których mogą występować dane osobowe. 
4. Zgodnie z art. 9 ustawy z o zawodzie fizjoterapeuty, informacje związane z pacjentem, przetwarzane w Firmie, a uzyskane w związku z wykonywaniem zawodu fizjoterapeuty objęte są tajemnicą. W zakresie przetwarzania danych osobowych pozyskanych w związku z wykonywaniem czynności objętych tajemnicą, Administrator danych stosuje się do wskazanych powyżej przepisów dotyczących zachowania tajemnicy zawodowej.

4. FILARY OCHRONY DANYCH OSOBOWYCH
   1. Filary ochrony danych osobowych w Firmie to:

1. Legalność – Administrator danych dba o ochronę prywatności i przetwarza dane zgodnie z prawem;
2. Bezpieczeństwo − Administrator danych zapewnia odpowiedni poziom bezpieczeństwa danych podejmując stale działania w tym zakresie;
3. Prawa Jednostki − Administrator danych umożliwia osobom, których dane przetwarza, wykonywanie swoich praw i prawa te realizuje;
4. Rozliczalność − Administrator danych dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej chwili móc wykazać zgodność.

5. OSOBY ODPOWIEDZIALNE
   1. Za bezpieczeństwo danych odpowiadają:
      1. Administrator danych;
      2. Pracownicy upoważnieni do przetwarzania danych.
   2. Odpowiedzialny za wdrożenie i utrzymanie niniejszej Polityki, nadzór i monitorowanie jej przestrzegania jest Administrator danych.

Administrator danych

3. Zadania Administratora danych obejmują:

1. określanie celów i środków przetwarzania danych osobowych;
2. ustalanie podstawowych zasad przetwarzania danych osobowych, w tym przyjęcie niniejszej Polityki;
3. wdrażanie metod ochrony przetwarzanych danych osobowych;
4. upoważnianie pracowników do przetwarzania danych osobowych, zgodnie z Załącznikiem nr 4 do Polityki „Wzór upoważnienia do przetwarzania danych osobowych”;
5. prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych, zgodnie z Załącznikiem nr 10 do Polityki – „Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych”;
6. zobowiązanie do poufności, osób, które nie przetwarzają danych osobowych, ale które mogą uzyskać do nich dostęp w związku z wykonywanymi na rzecz Firmy czynnościami, zgodnie ze wzorem stanowiącym Załącznik nr 3 do Polityki – „Wzór klauzuli poufności”;
7. zawieranie umów powierzenia przetwarzania danych osobowych, zgodnie ze wzorem określonym w Załączniku nr 2 do Polityki – „Wzór umowy powierzenia przetwarzania danych osobowych” w przypadku powierzenia przetwarzania danych osobom mającym wykonywać dla Firmy czynności związane z dostępem do danych osobowych;
8. prowadzenie wykazu podmiotów przetwarzających dane osobowe na podstawie umowy powierzenia przetwarzania danych osobowych, zgodnie z Załącznikiem nr 9 do Polityki – „Wzór wykazu podmiotów przetwarzających dane osobowe”;
9. zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez wdrożenie odpowiednich środków technicznych i organizacyjnych;
10. informowanie podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz na mocy innych przepisów prawa powszechnie obowiązującego w zakresie ochrony danych osobowych;
11. monitorowanie przestrzegania RODO oraz innych przepisów prawa powszechnie obowiązującego w zakresie ochrony danych osobowych oraz niniejszej Polityki, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
12. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
13. współpraca z organem nadzoru;
14. pełnienie funkcji punktu kontaktowego dla organu nadzoru w kwestiach związanych z przetwarzaniem;
15. wdrażanie, administrowanie i interpretowanie niniejszej Polityki, standardów, zaleceń oraz procedur, dotyczących przetwarzania danych osobowych w Firmie;
16. koordynowanie działań w zakresie ochrony danych osobowych w Firmie;
17. zapoznanie osób zatrudnionych przy przetwarzaniu danych osobowych z przepisami o ochronie danych osobowych poprzez przeprowadzenie okresowych szkoleń i udzielania odpowiedzi na bieżące pytania z zakresu ochrony danych osobowych;
18. prowadzenie rejestru czynności, zgodnie z Załącznikiem nr 1 do Polityki – „Wzór Rejestru Czynności Przetwarzania Danych Osobowych” oraz rejestru kategorii zgodnie z Załącznikiem nr 11 do Polityki – „Wzór Rejestru Kategorii Czynności Przetwarzania Danych”;
19. przeciwdziałanie dostępowi do danych osobowych osób niepowołanych do przetwarzania danych osobowych;
20. sprawowanie kontroli nad danymi osobowymi przetwarzanymi w Firmie;
21. kontrolowanie przebiegu udostępniania danych osobowych oraz prowadzenie rejestrów udostępnień danych osobowych innym podmiotom oraz rejestru wniosków, żądań i sprzeciwów, zgodnie z Załącznikiem nr 5 do Polityki – „Wzór rejestru udostępnień, wniosków, żądań, sprzeciwów”;
22. prowadzenie ewidencji naruszeń ochrony danych osobowych, zgodnie z Załącznikiem nr 7 do Polityki – „Wzór ewidencji naruszeń ochrony danych osobowych”;
23. podejmowanie odpowiednich działań w przypadku wykrycia naruszeń lub podejrzenia naruszenia danych osobowych;
24. podejmowanie decyzji w przedmiocie realizacji praw przez osoby, których dane dotyczą;
25. sprawowanie nadzoru nad naprawami, konserwacją oraz likwidacją urządzeń, na których zapisane są dane osobowe;
26. sprawowanie nadzoru nad obiegiem oraz przechowywaniem dokumentów zawierających dane osobowe;
27. sprawowanie nadzoru nad prawidłowością archiwizacji, oraz usuwania danych osobowych;
28. monitorowanie przestrzegania wdrożonych zabezpieczeń;
29. zarządzanie bezpieczeństwem przetwarzania danych osobowych w systemie informatycznym;
30. przeciwdziałanie nieautoryzowanemu dostępowi do systemu informatycznego, w którym przetwarzane są dane osobowe oraz zapewnienie integralności tych danych;
31. nadzór nad funkcjonowaniem informatycznych procedur uwierzytelniania użytkowników systemu informatycznego, w tym zapewnienie kontroli i ewidencji identyfikatorów dostępu do systemu informatycznego;
32. nadzorowanie prac związanych z rozwojem, modyfikacją, likwidacją, serwisowaniem i konserwacją systemu informatycznego lub jego elementów w zakresie ewentualnego udostępniania danych osobowych innym podmiotom lub osobom trzecim;
33. zapewnienie bezpiecznej wymiany danych w sieci oraz przesyłu danych za pośrednictwem urządzeń teletransmisji;
34. zapewnienie ciągłości zasilania kluczowych elementów systemu informatycznego zapewniającej integralność danych osobowych;
35. nadzorowanie przechowywania, poprawnej archiwizacji, wykonywania kopii zapasowych zbiorów danych osobowych na elektronicznych nośnikach danych oraz weryfikacja ich integralności w przypadkach awarii systemu informatycznego;
36. podejmowanie działań w sytuacjach naruszenia zabezpieczeń systemu informatycznego i przetwarzanych w nim danych osobowych, w tym prowadzenie szczegółowej dokumentacji tych zdarzeń.

Pracownicy upoważnieni do przetwarzania danych

4. Osoby wykonujące pracę bądź świadczące usługi cywilnoprawne na rzecz Administratora danych, którzy uzyskali upoważnienie do przetwarzania danych osobowych są obowiązani do zapoznania się  i przestrzegania  postanowień niniejszej Polityki. Pracownicy składają Administratorowi danych pisemne oświadczenie o zapoznaniu się z treścią Polityki i przepisami o ochronie danych osobowych wraz z oświadczeniem o zobowiązaniu się do zachowania poufności, którego wzór stanowi Załącznik nr 8 do Polityki – „Wzór oświadczenia o zapoznaniu się z Polityką ochrony danych osobowych”.
5. Pracownicy, niezależnie od stosunku prawnego łączącego ich z Administratorem danych zobowiązani są:

1. znać podstawy prawne, na jakich dokonują konkretnych czynności przetwarzania danych osobowych;
2. zachować w tajemnicy dane osobowe, do których mają dostęp, a także zabezpieczyć te dane, zarówno w trakcie jak i po ustaniu łączącego ich z Administratorem danych stosunku prawnego;
3. przestrzegać przepisów niniejszej Polityki oraz przetwarzać dane osobowe zgodnie z powszechnie obowiązującymi w tym zakresie przepisami prawa, szczególnie przy zachowaniu poufności przetwarzanych danych, w tym nie udostępniać lub nie ujawniać ich nieautoryzowanym osobom, podmiotom lub procesom;
4. niezwłocznie zgłaszać Administratorowi danych zauważone naruszenia w zakresie ochrony danych osobowych;
5. podjąć wszelkie niezbędne kroki, mające na celu ograniczenie skutków dostrzeżonego naruszenia w zakresie ochrony danych osobowych.

6. ZASADY PRZETWARZANIA DANYCH OSOBOWYCH
   1. Administrator danych działa:
      1. w oparciu o podstawę prawną i zgodnie z prawem (legalizm);
      2. rzetelnie i uczciwie (rzetelność);
      3. w sposób przejrzysty dla osoby, której dane dotyczą (transparentność);
      4. w konkretnych celach i nie „na zapas“ (minimalizacja);
      5. nie więcej niż potrzeba (adekwatność);
      6. z dbałością o prawidłowość danych (prawidłowość);
      7. nie dłużej niż potrzeba (czasowość);
      8. zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo).
   2. Administrator danych dokonuje identyfikacji zasobów danych osobowych w Firmie, klas danych, zależności między zasobami danych, identyfikacji sposobów wykorzystania danych, w tym:

1. przypadków przetwarzania danych specjalnych i danych „kryminalnych” (dane wrażliwe);
2. przypadków przetwarzania danych osób, których Firma nie identyfikuje (dane niezidentyfikowane/UFO);
3. przypadków przetwarzania danych dzieci;
4. profilowania;
5. współadministrowania danymi.

7. PROCESY PRZETWARZANIA DANYCH OSOBOWYCH
   1. Pozyskiwanie danych osobowych, niebezpośrednio oraz bezpośrednio od osób, których dane dotyczą (na podstawie wyrażonych zgód, przepisów prawa, zawartych lub zamierzonych umów itp.) zarówno w formie tradycyjnej jak elektronicznej  wymaga spełnienia obowiązku informacyjnego, o którym mowa w art. 13 i 14 RODO. Zmiana celu przetwarzania danych osobowych wymaga poinformowania o tym osoby, której dane dotyczą.
   2. Wprowadzanie danych osobowych dokonywane jest wyłącznie przez osoby uprawnione do wykonywania tych czynności. 
   3. Modyfikacja danych osobowych lub ich usuwanie może odbywać się ze względu na zmianę lub ustanie celu przetwarzania danych osobowych, brak podstawy prawnej do przetwarzania danych osobowych, jak również na wniosek osoby, której dane są przetwarzane. 
   4. Przechowywanie i archiwizacja danych osobowych odbywa się w systemie informatycznym lub tradycyjnym.
   5. Kontrola bezpieczeństwa przetwarzania danych osobowych polega na weryfikacji stosowania postanowień dokumentacji ochrony danych, w tym na nadzorze nad wykonywaniem procesów przetwarzania danych. Kontrola prowadzona jest poprzez wewnętrzne audyty.

8. MINIMALIZACJA
   1. Firma stosuje zasady i metody zarządzania minimalizacją (privacy by default), w tym:
9. zasady zarządzania adekwatnością danych;

Administrator danych zweryfikował zakres pozyskiwanych danych, zakres ich przetwarzania i ilość przetwarzanych danych pod kątem adekwatności do celów przetwarzania w ramach wdrożenia RODO. Administrator danych dokonuje okresowego przeglądu ilości przetwarzanych danych i zakresu ich przetwarzania. Administrator danych przeprowadza weryfikację zmian co do ilości i zakresu przetwarzania danych w ramach procedur zarządzania zmianą (privacy by design).

2. zasady reglamentacji i zarządzania dostępem do danych;

Administrator danych stosuje ograniczenia dostępu do danych osobowych: 

• prawne (zobowiązanie do poufności, którego wzór stanowi Załącznik nr 3 do Polityki – „Wzór klauzuli poufności” oraz upoważnienie do przetwarzania danych osobowych, którego wzór stanowi Załącznik nr 4 do Polityki – „Wzór upoważnienia do przetwarzania danych osobowych”, a także umowy powierzenia przetwarzania danych osobowych, o których mowa w Załączniku nr 2 do Polityki – „Wzór umowy powierzenia przetwarzania danych osobowych” i oświadczenie o zachowaniu poufności i zobowiązaniu do przestrzegania przepisów w zakresie ochrony danych osobowych, którego wzór stanowi Załącznik nr 8 do Polityki – „Wzór oświadczenia o zapoznaniu się z Polityką ochrony danych osobowych”;
• fizyczne (zamykanie pomieszczeń);
• logiczne (ograniczenia uprawnień do systemów przetwarzających dane osobowe i zasobów sieciowych, w których rezydują dane osobowe określone w Załączniku nr 6 do Polityki – „Instrukcja zarządzania systemem informatycznym”). 

3. zasady zarządzania okresem przechowywania danych i weryfikacji dalszej przydatności;

• Administrator danych przeprowadza kontrole cyklu życia danych osobowych, w tym weryfikację dalszej przydatności danych względem terminów i punktów kontrolnych wskazanych w rejestrze czynności oraz w rejestrze kategorii. Dane, których zakres przydatności ulega ograniczeniu wraz z upływem czasu są usuwane z systemów, jak też z akt podręcznych i głównych. Dane takie mogą być archiwizowane oraz znajdować się na kopiach zapasowych systemów i informacji przetwarzanych przez Administratora danych.

9. BEZPIECZEŃSTWO DANYCH OSOBOWYCH
   1. Administrator danych zapewnia stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania danych osobowych poprzez:
      1. analizy ryzyka i adekwatności środków bezpieczeństwa;

Administrator danych przeprowadza analizy adekwatności środków bezpieczeństwa danych osobowych. W tym celu, zapewnia odpowiedni stan wiedzy o bezpieczeństwie informacji, cyberbezpieczeństwie i ciągłości działania − wewnętrznie lub ze wsparciem podmiotów wyspecjalizowanych,  kategoryzuje dane oraz czynności przetwarzania pod kątem ryzyka, które przedstawiają, przeprowadza analizy ryzyka naruszenia praw lub wolności osób dla czynności przetwarzania danych lub ich kategorii oraz analizuje możliwe sytuacje i scenariusze naruszenia ochrony danych osobowych uwzględniając charakter, zakres, kontekst i cele przetwarzania, ryzyko naruszenia praw lub wolności osób, a także ustala możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa. Administrator danych ustala możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa i ocenia koszt ich wdrażania. W tym Administrator danych ustala przydatność i stosuje takie środki i podejście jak pseudonimizacja, szyfrowanie danych osobowych, inne środki cyberbezpieczeństwa składające się na zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, środki zapewnienia ciągłości działania i zapobiegania skutkom katastrof, czyli zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.

2. oceny skutków dla ochrony danych; 

Administrator danych nie podejmuje czynności przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator danych wykona czynności określone w art. 35 i nast. RODO. 

3. środki bezpieczeństwa;

Administrator danych stosuje środki bezpieczeństwa ustalone w ramach analiz ryzyka i adekwatności środków bezpieczeństwa oraz ocen skutków dla ochrony danych.

4. zgłaszanie naruszeń;

Administrator danych stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych organowi nadzoru w terminie 72 godzin od ustalenia naruszenia. Administrator danych dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze w ewidencji, której wzór stanowi Załącznik nr 7 do Polityki – „Wzór ewidencji naruszeń ochrony danych”.

10. REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH ORAZ REJESTR KATEGORII CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH
    1. Rejestr czynności stanowi formę dokumentowania czynności przetwarzania danych, pełni rolę mapy przetwarzania danych.
    2. Rejestr kategorii stanowi formę dokumentowania czynności przetwarzania dokonywanych w imieniu innego administratora danych niż Firma.
    3. Administrator danych prowadzi rejestr czynności oraz rejestr kategorii, w których inwentaryzuje i monitoruje sposób, w jaki wykorzystuje dane osobowe.
    4. Wzór rejestru czynności stanowi Załącznik nr 1 do Polityki – „Wzór Rejestru Czynności Przetwarzania Danych”. Wzór rejestru kategorii stanowi Załącznik nr 11 do Polityki – „Wzór Rejestru kategorii Czynności Przetwarzania Danych”. Wzór rejestru czynności oraz rejestru kategorii zawiera także kolumny nieobowiązkowe w myśl przepisów RODO. W kolumnach nieobowiązkowych Administrator danych rejestruje informacje w miarę potrzeb i możliwości, z uwzględnieniem tego, że pełniejsza treść rejestrów ułatwia zarządzanie zgodnością ochrony danych i rozliczenie się z niej.

11. UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH
    1. Upoważnianie do przetwarzania danych osobowych następuje w momencie zobowiązania osoby do wykonywania obowiązków na podstawie umowy o pracę,  stażu lub praktyki. 
    2. Upoważnienie do przetwarzania danych osobowych, zgodnie ze wzorem określonym w Załączniku nr 4 do Polityki – „Wzór upoważnienia do przetwarzania dany osobowych” oraz oświadczenie o zachowaniu poufności i zobowiązaniu do przestrzegania przepisów w zakresie ochrony danych osobowych, zgodne ze wzorem w Załączniku nr 8 do Polityki –„Wzór oświadczenia o zapoznaniu się z Polityką ochrony danych osobowych” przygotowuje pracownik/osoba zajmujący/a się administracją kadr.
    3. Upoważnienie do przetwarzania danych osobowych może podpisać osoba umocowana do dokonania tej czynności przez Administratora danych.
    4. Osoba upoważniana podpisuje oświadczenie o zachowaniu poufności i zobowiązaniu do przestrzegania przepisów w zakresie ochrony danych osobowych w momencie podpisywania upoważnienia do przetwarzania danych osobowych.
    5. Pracownik/osoba zajmujący/a się administracją kadr (jeżeli został upoważniony) wprowadza dane osoby upoważnianej do ewidencji osób upoważnionych do przetwarzania danych osobowych w Firmie, zgodnej ze wzorem w Załączniku nr 10 do Polityki – „Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych”.
    6. Dokumentacja z zakresu ochrony danych osobowych przedstawiana jest osobie upoważnionej do przetwarzania danych osobowych wraz z przedłożeniem do podpisu upoważnienia do przetwarzania danych osobowych oraz oświadczenia o zachowaniu poufności i zobowiązaniu do przestrzegania przepisów w zakresie ochrony danych osobowych.
    7. Po ustaniu okresu na jaki zostało wydane upoważnienie do przetwarzania danych osobowych, pracownik/osoba zajmujący/a się administracją kadr (jeżeli został upoważniony) wprowadza datę ustania upoważnienia do ewidencji osób upoważnionych, o której mowa w Załączniku nr 10 do Polityki – „Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych”.

12. POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
    1. Powierzenie danych osobowych podmiotowi, nieposiadającemu delegacji ustawowej do przetwarzania określonych danych osobowych, tj. z wyłączeniem podmiotów uprawnionych do otrzymania danych osobowych na mocy przepisów prawa, w celu przetwarzania tych danych w imieniu Administratora danych, wymaga zawarcia umowy powierzenia przetwarzania danych w formie pisemnej (w tym elektronicznej), określającej przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa Administratora danych. Administrator danych prowadzi wykaz Podmiotów przetwarzających zgodnie z wzorem określonym w Załączniku nr 9 do Polityki – „Wzór wykazu podmiotów przetwarzających dane osobowe”. 
    2. Administrator danych przyjął wymagania co do umowy powierzenia przetwarzania danych stanowiące  Załączniku nr 2  do Polityki – „Wzór umowy powierzenia przetwarzania danych osobowych”.
    3. Administrator danych dokonuje doboru i weryfikacji podmiotów przetwarzających tak, aby przetwarzający dawali wystarczające gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa, realizacji praw osób, których dane dotyczą i innych obowiązków ochrony danych spoczywających na Administratorze danych.
    4. Administrator danych zapewnia zgodność postępowania kontrahentów z niniejszą Polityką w odpowiednim zakresie, gdy dochodzi do przekazania im danych osobowych przez Administratora danych.

13. ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO
    1. Zabezpieczenia fizyczne obejmują w szczególności:

1. przetwarzanie danych osobowych w pomieszczeniach oddzielonych drzwiami;
2. zamykanie na klucz pomieszczeń, w których dokonuje się operacji związanych z przetwarzaniem danych podczas nieobecności osób uprawnionych. Klucze posiadają wyłącznie uprawnione osoby;
3. przechowywanie fizycznych zbiorów danych w szafkach lub szufladach zamykanych na klucz;
4. zamykanie przenośnego sprzętu oraz zewnętrznych nośników danych w szafkach lub szufladach zamykanych na klucz;
5. zabezpieczenie dostępu do urządzeń przenośnych w szczególności poprzez ustanowione hasła dostępu;
6. budynek zabezpieczony w system przeciwpożarowy lub/i gaśnice przeciwpożarowe;
7. system antywłamaniowy.
8. Bezpieczna organizacja pracy przy przetwarzaniu danych, polegająca na tym, że:

1. przetwarzanie danych przez pracowników odbywa się jedynie po zapoznaniu ich z wszelkimi dokumentami dotyczącymi ochrony danych osobowych obowiązującymi w Firmie oraz, jeżeli wymaga tego charakter przetwarzanych danych, po przyznaniu stosownego upoważnienia do przetwarzania tych danych;
2. osoba przetwarzająca dane osobowe, w czasie ich przetwarzania, jest odpowiedzialna za ich bezpieczeństwo i w tym celu powinna dokładać wszelkich starań celem uniemożliwienia wglądu, bądź zmiany przetwarzanych danych, przez osoby do tego nieupoważnione;
3. przy wykonywaniu czynności służbowych można korzystać wyłącznie ze sprzętu oraz urządzeń i materiałów zapewnionych przez Administratora danych, a z innych wyłącznie za zgodą Administratora danych i na zasadach określonych w niniejszej Polityce;
4. osoby upoważnione do przetwarzania danych osobowych, zobowiązane są do przestrzegania zasad, dotyczących wprowadzania osób trzecich do obszaru przetwarzania danych osobowych. Ruch osób z zewnątrz w wymienionym obszarze powinien odbywać się pod kontrolą osób upoważnionych;
5. pomieszczenia, w których przetwarzane są dane osobowe, powinny być zamykane na czas nieobecności w nich osób upoważnionych do przetwarzania danych osobowych;
6. każdorazowe wyniesienie dokumentów bądź nośników lub urządzeń zawierających dane osobowe poza siedzibę Firmy wymaga poinformowania Administratora danych i uzyskania jego zgody;
7. przetransportowanie dokumentów bądź nośników lub urządzeń poza siedzibę Firmy wymaga ich zabezpieczenia przed nieuprawnionym dostępem, zniszczeniem bądź zaginięciem;
8. w trakcie pracy na biurku pracownika mogą znajdować się wyłącznie dokumenty, które są niezbędne w danym momencie do wykonywania bieżących zadań;
9. po zakończeniu pracy, wszystkie dokumenty powinny być odkładane do segregatorów lub zamykanej na klucz szafy bądź szuflady.;
10. niepotrzebne dokumenty, notatki, zapiski zawierające dane osobowe powinny zostać zniszczone w taki sposób, aby nie było możliwe odtworzenie zawartych w nich informacji; 
11. obsługę korespondencji pocztowej zapewnia wyłącznie osoba upoważniona przez Administratora danych.

14. ZARZĄDZANIE SYSTEMEM INFORMATYCZNYM
    1. Dane osobowe w systemie informatycznym przechowywane są zarówno w zbiorach danych, jak i w strukturze rozproszonej.
    2. Dane osobowe mogą być wprowadzane do systemu informatycznego w sposób zautomatyzowany lub ręcznie.
    3. Zasady bezpiecznego użytkowania systemu informatycznego zawarte zostały w Załączniku nr 6 do Polityki – „Instrukcja zarządzania systemem informatycznym”.

15. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ

Prawo dostępu do danych osobowych i uzyskania ich kopii 

1. Każda osoba, od której zbierane są dane osobowe jest uprawniona do uzyskania od Administratora danych informacji, o których mowa w art. 13 RODO. Jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą, informacje, które należy przedstawić tej osobie określone zostały w art. 14 RODO. Administrator danych nie przekazuje osobom, których dane dotyczą, informacji w sytuacji, w której dane te muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej (art. 14 ust. 5 lit. d RODO).
2. Na żądanie osoby dotyczące dostępu do jej danych, Administrator danych informuje osobę, czy przetwarza jej dane oraz informuje osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO, a także udziela osobie dostępu do danych jej dotyczących. 
3. Na żądanie Administrator danych wydaje osobie kopię danych jej dotyczących i odnotowuje fakt wydania pierwszej kopii danych. Administrator danych może wprowadzić cennik kopii danych, zgodnie z którym pobiera opłaty za kolejne kopie danych. Cena kopii danych skalkulowana jest w oparciu o oszacowany jednostkowy koszt obsługi żądania wydania kopii danych.

Prawo do sprostowania danych

4. Osoba, której dane dotyczą, ma prawo żądania sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Administrator danych dokonuje sprostowania nieprawidłowych danych na żądanie osoby. Administrator danych ma prawo odmówić sprostowania danych, chyba że osoba w rozsądny sposób wykaże nieprawidłowości danych, których sprostowania się domaga. W przypadku sprostowania danych, Administrator danych informuje osobę o odbiorcach danych, na żądanie tej osoby.

Prawo do uzupełnienia danych

5. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych. Administrator danych uzupełnia i aktualizuje dane na żądanie osoby. Administrator danych ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych. Administrator danych może polegać na oświadczeniu osoby, co do uzupełnianych danych, chyba że będzie to niewystarczające w świetle przyjętych przez Administratora danych procedur, prawa lub zaistnieją podstawy, aby uznać oświadczenie za niewiarygodne. 

Prawo do usunięcia danych

6. Osoba, której dane dotyczą, ma prawo żądania od Administratora danych niezwłocznego usunięcia jej danych osobowych. Administrator danych usuwa dane, gdy:

1. dane nie są niezbędne do celów, w których zostały zebrane ani przetwarzane w innych celach;
2. zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania;
3. osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych;
4. dane były przetwarzane niezgodnie z prawem;
5. konieczność usunięcia wynika z obowiązku prawnego;
6. żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku.
7. Powyższe nie ma zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:

1. do korzystania z prawa do wolności wypowiedzi i informacji;
2. do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega Administrator danych lub do wykonania zadania realizowanego w interesie publicznym;
3. do ustalenia, dochodzenia lub obrony roszczeń.

8. Jeżeli dane podlegające usunięciu zostały upublicznione przez Administratora danych, Administrator danych podejmuje rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe, o potrzebie usunięcia danych i dostępu do nich. 
9. W przypadku usunięcia danych Administrator danych informuje osobę o odbiorcach danych, na żądanie tej osoby.

Prawo do ograniczenia przetwarzania danych osobowych

10. Osoba, której dane dotyczą, ma prawo żądania od Administratora danych ograniczenia przetwarzania w następujących przypadkach:

1. osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość;
2. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
3. Administrator danych nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
4. osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie Administratora danych zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.

11. W trakcie ograniczenia przetwarzania Administrator danych przechowuje dane, natomiast nie przetwarza ich (nie wykorzystuje, nie przekazuje), bez zgody osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego.
12. Administrator danych informuje osobę przed uchyleniem ograniczenia przetwarzania.
13. W przypadku ograniczenia przetwarzania danych Administrator danych  informuje osobę o odbiorcach danych, na żądanie tej osoby.

Prawo do przenoszenia danych

14. Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła Administratorowi danych oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony Administratora danych, któremu dostarczono te dane osobowe, jeżeli przetwarzanie odbywa się na podstawie zgody lub na podstawie umowy oraz przetwarzanie odbywa się w sposób zautomatyzowany.
15. Wykonując prawo do przenoszenia danych, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez Administratora danych bezpośrednio innemu administratorowi (nie Spółce), o ile jest to technicznie możliwe.

Prawo do sprzeciwu

16. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na następujących podstawach:

1. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi danych;
2. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora danych lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

17. Jeżeli osoba zgłosiła umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych osobowych, Administratorowi danych nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
18. W odniesieniu do przetwarza danych w celach statystycznych, osoba może wnieść umotywowany jej szczególną sytuacją sprzeciw względem takiego przetwarzania. Administrator danych uwzględni taki sprzeciw, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.
19. Jeżeli osoba zgłosi sprzeciw względem przetwarzania jej danych przez Firmę na potrzeby marketingu bezpośredniego (w tym ewentualnie profilowania), Administrator danych uwzględni sprzeciw i zaprzestanie takiego przetwarzania.

Prawo do ludzkiej interwencji przy automatycznym przetwarzaniu

20. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Powyższe nie ma zastosowania, jeżeli ta decyzja:

1. jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą a Administratorem danych;
2. jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega Administrator danych i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą lub;
3. opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

16. OBSŁUGA PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ
    1. Administrator danych spełnia obowiązki informacyjne względem osób, których dane przetwarza oraz zapewnia obsługę ich praw, realizując otrzymane w tym zakresie żądania, w tym:

1. Administrator danych przekazuje osobom prawem wymagane informacje przy zbieraniu danych i w innych sytuacjach prawem przewidzianych  oraz organizuje i zapewnia udokumentowanie realizacji tych obowiązków;
2. Administrator danych informuje o przetwarzaniu danych osoby niezidentyfikowane, tam gdzie to jest możliwe;
3. Administrator danych informuje osobę o planowanej zmianie celu przetwarzania danych;
4. Administrator danych informuje osobę przed uchyleniem ograniczenia przetwarzania;
5. Administrator danych informuje odbiorców danych o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych (chyba że będzie to wymagało niewspółmiernie dużego wysiłku lub będzie niemożliwe);
6. Administrator danych informuje osobę o prawie sprzeciwu względem przetwarzania danych najpóźniej przy pierwszym kontakcie z tą osobą;
7. Administrator danych stosuje procedury pozwalające na ustalenie konieczności zawiadomienia osób dotkniętych zidentyfikowanym naruszeniem ochrony danych i bez zbędnej zwłoki zawiadamia osobę o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby.

2. Administrator danych dba o czytelność i styl przekazywanych informacji i komunikacji z osobami, których dane przetwarza.
3. Administrator danych ułatwia osobom korzystanie z ich praw poprzez różne działania, w tym: zamieszczenie w widocznym miejscu w siedzibie Firmy informacji o prawach osób, sposobie skorzystania z nich w Firmie, w tym wymaganiach dotyczących identyfikacji, metodach kontaktu z Firmą w tym celu, ewentualnym cenniku żądań „dodatkowych” itp.
4. Administrator danych weryfikuje i zapewnia możliwość efektywnego wykonania każdego typu żądania przez siebie i podmioty przetwarzające;
   1. W sytuacji wniesienia przez osobę – wniosku o sprostowanie danych, wniosku o udzielenie informacji, co do przetwarzania jej danych osobowych, wniosku o wydanie kopii przetwarzanych danych, żądania skorzystania z prawa do bycia zapomnianym, żądania skorzystania z prawa do ograniczenia przetwarzania, żądania skorzystania z prawa do przeniesienia danych, złożenia sprzeciwu wobec przetwarzania danych, żądania skorzystania z prawa nie podlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, cofnięcia zgody na przetwarzanie danych osobowych – informacja o wniesieniu wniosku, sprzeciwu lub żądania przekazywana jest niezwłocznie Administratorowi danych, który ocenia zasadność otrzymanego wniosku, sprzeciwu lub żądania; 
   2. Przy dokonaniu oceny, czy dana osoba w istocie wnosi wniosek, sprzeciw lub żądanie, kluczowe znaczenie ma nie nazwa, lecz treść i wszelkie okoliczności przekazywanej wiadomości. W razie wątpliwości, Administrator danych powinien podjąć rozsądne działania w celu wyjaśnienia, czy osoba przekazująca informację dochodzi realizacji wniosku, sprzeciwu lub żądania;
   3. W przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób (np. prawa związane z ochroną danych innych osób, prawa własności intelektualnej, tajemnicę handlową, dobra osobiste itp.), Administrator danych może zwrócić się do osoby w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia żądaniu;
   4. Administrator danych prowadzi rejestr wniosków i udostępnień informacji o przetwarzanych danych osobowych oraz kopii danych osobom, których one dotyczą oraz rejestr sprzeciwów, żądań skorzystania z prawa oraz wniosków o realizację praw od osób, których one dotyczą zgodnie ze wzorem zawartym w Załączniku nr 5 do Polityki – „Wzór rejestru udostępnień, wniosków, żądań, sprzeciwów”. 
5. Administrator danych dba o dotrzymywanie prawnych terminów realizacji obowiązków względem osób, których dane dotyczą. Administrator danych zapewnia odpowiednie nakłady i procedury, aby żądania osób były realizowane w terminach i w sposób wymagany RODO i dokumentowane. Administrator danych informuje osobę o przedłużeniu ponad jeden miesiąc terminu na rozpatrzenie żądania tej osoby. Administrator danych informuje osobę, w ciągu miesiąca od otrzymania żądania, o odmowie rozpatrzenia żądania i o prawach osoby z tym związanych.
6. Administrator danych stosuje adekwatne metody identyfikacji i uwierzytelniania osób dla potrzeb realizacji praw jednostki i obowiązków informacyjnych. Jeżeli osoba przyjmująca zgłoszenie w zakresie realizacji praw osoby, której dane dotyczą, ma uzasadnione wątpliwości, co do tożsamości osoby fizycznej składającej wniosek, sprzeciw lub żądanie, może żądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości.
7. W celu realizacji praw osób, których dane dotyczą Administrator danych stosuje procedury i mechanizmy pozwalające zidentyfikować dane konkretnych osób przetwarzane przez Firmę, zintegrować te dane, wprowadzać do nich zmiany i usuwać w sposób zintegrowany.

17. OCHRONA DANYCH OSOBOWYCH W FAZIE PROJEKTOWANIA
    1. Administrator danych zarządza zmianą mającą wpływ na prywatność w taki sposób, aby umożliwić zapewnienie odpowiedniego bezpieczeństwa danych oraz minimalizacji ich przetwarzania.
    2. W celu osiągnięcia założeń, o których mowa powyżej, każdy pracownik Firmy niezależnie od podstawy zatrudnienia odpowiedzialny za daną zmianę lub wprowadzenie nowej usługi, wdrożenie nowej procedury, rozwiązania, rozpoczęcie projektu lub inwestycji już na etapie jego planowania dokonuje oceny, czy w celu realizacji nowego przedsięwzięcia konieczne i zasadne jest przetwarzanie danych osobowych. Jeżeli realizacja przedsięwzięcia nie wymaga przetwarzania danych osobowych rezygnuje się z takiego przetwarzania.
    3. Jeżeli realizacja nowego przedsięwzięcia wymaga przetwarzania danych osobowych należy podjąć wszelkie adekwatne środki, aby zapewnić odpowiedni poziom bezpieczeństwa przetwarzanych danych w związku z nowym przedsięwzięciem od początku jego realizacji oraz dokonać oceny zakresu danych, które mają być przetwarzane pod kątem osiągnięcia założeń minimalizacji ich przetwarzania tj. dążyć do nieprzetwarzania większej ilości i zakresu danych niż jest potrzebne dla osiągnięcia celu oraz nieprzetwarzania ich dłużej niż jest to potrzebne dla osiągnięcia celu. W szczególności przed rozpoczęciem nowego przedsięwzięcia należy:

1. dokonać oszacowania ryzyka naruszenia danych osobowych uwzględniając charakter, zakres, kontekst i cele planowanego przetwarzania oraz potencjalne ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia oraz podjąć decyzję o wdrożeniu odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się w sposób bezpieczny lub, jeżeli ryzyko naruszenia jest zbyt duże i nie można go minimalizować zrezygnować z nowego przedsięwzięcia;
2. zaleca się, aby osoba odpowiedzialna za nowe przedsięwzięcia przed jego rozpoczęciem skonsultowała się z Administratorem danych w celu ustalenia czy nowe przedsięwzięcie jest zgodne z przepisami o ochronie danych osobowych i określenia warunków i zasad przetwarzania danych w związku z nowym przedsięwzięciem.

18. NARUSZENIE OCHRONY DANYCH OSOBOWYCH
    1. Każdy pracownik Firmy, w przypadku stwierdzenia zagrożenia lub naruszenia danych osobowych w Firmie zobowiązany jest niezwłocznie poinformować o tym Administratora danych oraz podjąć wszelkie niezbędne kroki, mające na celu ograniczenie skutków naruszenia.
    2. Naruszeniem danych osobowych jest naruszenie ich poufności, integralności lub dostępności do danych, które w szczególności obejmuje: nieuprawniony dostęp do danych, udostępnianie danych osobom nieupoważnionym, nieodwracalną zmianę przetwarzanych danych, kradzież lub zgubienie nośnika zawierającego dane osobowe, przetwarzanie danych przez osoby nieuprawnione, utratę danych zapisanych na kopiach zapasowych.
    3. W przypadku stwierdzenia naruszenia lub zagrożenia naruszenia, Administrator danych niezwłocznie wszczyna postępowanie wyjaśniające w toku, którego ustala czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały, zabezpiecza ewentualne dowody, ustala osoby odpowiedzialne za naruszenie, podejmuje działania naprawcze, inicjuje działania dyscyplinarne, wyciąga wnioski i rekomenduje działania korygujące zmierzające do eliminacji podobnych incydentów w przyszłości, dokumentuje prowadzone postępowania.
    4. W przypadku naruszenia ochrony danych osobowych, Administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzoru, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzoru po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie musi zawierać przynajmniej informacje, o których mowa w art. 33 ust. 3 RODO.
    5. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator danych bez zbędnej zwłoki zawiadamia osobę/osoby, której dane dotyczą, o takim naruszeniu. Zawiadomienie opisuje jasnym i prostym językiem charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa art. 33 ust. 3 lit b), c) i d) RODO.
    6. Zawiadomienie, o którym mowa powyżej, nie jest wymagane, w następujących przypadkach:

1. Administrator danych wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
2. Administrator danych zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
3. wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
4. Administrator danych dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze w ewidencji, której wzór stanowi Załącznik nr 7 do Polityki –„Wzór ewidencji naruszeń ochrony danych osobowych“.

19. EKSPORT DANYCH
    1. Przekazywanie danych osobowych do państw trzecich i organizacji międzynarodowych należy odnotować w rejestrze czynności stanowiącym Załącznik nr 1 do Polityki – „Wzór Rejestru Czynności Przetwarzania Danych Osobowych”.
    2. Przekazywanie nie wymaga specjalnego zezwolenia Komisji, jeśli ta stwierdziła wcześniej, że państwo trzecie, terytorium czy organizacja międzynarodowa zapewnia odpowiedni stopień ochrony.
    3. Przekazanie bez zezwolenia jest możliwe również wtedy, gdy Administrator danych zapewni odpowiednie zabezpieczenia, a prawa osób i środki ochrony prawnej obowiązują i są egzekwowalne.
    4. Dopuszczalne jest przekazanie danych osobowych bez odpowiednich zabezpieczeń, ale tylko, gdy zostaną spełnione warunki z art. 49 ust. 1 RODO.

20. ODPOWIEDZIALNOŚĆ
    1. Naruszenie przepisów o ochronie danych osobowych jest zagrożone sankcjami karnymi.
    2. Niezależnie od odpowiedzialności karnej przewidzianej w przepisach prawa powszechnie obowiązującego, naruszenie zasad ochrony danych osobowych, obowiązujących w Firmie, może zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych i skutkować odpowiedzialnością dyscyplinarną. 
21. POSTANOWIENIA KOŃCOWE
    1. Postanowienia niniejszej Polityki obowiązują od dnia 3 października 2022 r.
    2. Załączniki stanowią integralną część niniejszej Polityki i obejmują:

Załącznik nr 11 do Polityki – „Wzór Rejestru Kategorii Czynności Przetwarzania Danych”.

Załącznik nr 1 do Polityki – „Wzór Rejestru Czynności Przetwarzania Danych Osobowych”;

Załącznik nr 2 do Polityki – „Wzór umowy powierzenia przetwarzania danych osobowych”;

Załącznik nr 3 do Polityki – „Wzór klauzuli poufności”;

Załącznik nr 4 do Polityki – „Wzór upoważnienia do przetwarzania danych osobowych”;

Załącznik nr 5 do Polityki – „Wzór rejestru udostępnień, wniosków, żądań, sprzeciwów”;

Załącznik nr 6 do Polityki – „Instrukcja zarządzania systemem informatycznym”;

Załącznik nr 7 do Polityki –  „Wzór ewidencji naruszeń ochrony danych osobowych”;

Załącznik nr 8 do Polityki – „Wzór oświadczenia o zapoznaniu się z Polityką Ochrony Danych Osobowych”;

Załącznik nr 9 do Polityki – „Wzór wykazu podmiotów przetwarzających dane osobowe”;

Załącznik nr 10 do Polityki – „Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych”;