POLITYKA OCHRONY DANYCH OSOBOWYCH
ATALIAN POLAND Sp. z o.o.
30-001 Kraków, ul. Bularnia 5 i jego Współadministratorów
SPIS TREŚCI
A. INFORMACJE OGÓLNE
1. Cel Polityki ochrony danych osobowych
2. Terminologia
3. Zakres informacji objętych Polityką ochrony danych osobowych oraz zakres zastosowania
B. OSOBY ODPOWIEDZIALNE ZA OCHRONĘ DANYCH OSOBOWYCH
1. Struktura organizacji ochrony danych osobowych
1.1. Administrator Danych
1.2. Inspektor Ochrony Danych
1.3. Osoby upoważnione do przetwarzania danych osobowych
C. ZASADY PRZETWARZANIA DANYCH OSOBOWYCH
1. Ogólne zasady przetwarzania danych osobowych
2. Zakres przetwarzanych danych osobowych
3. Dopuszczenie osób do przetwarzania danych osobowych
4. Powierzenie przetwarzania danych osobowych
5. Udostępnienie danych osobowych
6. Współadministrowanie danymi osobowymi
7. Procedura odbierania zgód oraz informowania osób
8. Realizacja praw osób, których dane dotyczą
D. OCHRONA DANYCH OSOBOWYCH
1. Ochrona danych osobowych w fazie projektowania oraz domyślna ochrona danych osobowych
2. Analizy ryzyka i adekwatności środków bezpieczeństwa
3. Ocena skutków dla ochrony danych osobowych DPIA (data protection impact assessment
4. Incydenty ochrony danych osobowych
5. Audyty zgodności przetwarzania danych osobowych
E. RETENCJA DANYCH OSOBOWYCH
F. PRZEGLĄDY I AKTUALIZACJA POLITYKI OCHRONY DANYCH
G. Załączniki
A. INFORMACJE OGÓLNE
1. CEL POLITYKI OCHRONY DANYCH OSOBOWYCH
Polityka ochrony danych osobowych została opracowana i wdrożona w strukturze Administratora Danych i jego Współadministratorów w celu zapewnienia zgodności przetwarzania danych osobowych z wymogami obowiązujących w tym zakresie polskich i europejskich aktów prawnych, w szczególności:
1. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej RODO
2. Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2018 r., poz. 1000 ze zm.).
3. Wytycznych Grupy Roboczej Art. 29 (obecnie Europejskiej Rady Ochrony Danych Osobowych)
4. Wytycznych Prezesa Urzędu Ochrony Danych Osobowych
5. Wytycznych Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA)
Polityka ochrony danych osobowych ma zastosowanie do wszystkich osób fizycznych, których dane są przetwarzane przez Administratora Danych i jego Współadministratorów.
2. TERMINOLOGIA
1. Administrator Danych (ADO)/Współadministratorzy – będą to następujące podmioty:
• Aspen sp. z o.o. z siedzibą w (31-222) Krakowie, przy ul. Bularnia 5, nr KRS: 0000020314, NIP: 945-15-51-764, REGON: 351084255
• Atalian Service sp. z o.o. siedzibą w (31-222) Krakowie przy ulicy Bularnia 5, nr KRS: 0000575705, NIP: 9452186752, REGON: 362480643
• Atalian Poland sp. z o. o. z siedzibą w Krakowie przy ulicy Bularnia 5, 31-222 KRS 0000145144, NIP 677-216-30-53, REGON: 357685926
• Atalian Energy sp. z o.o. z siedzibą w (31-222) Krakowie przy ulicy Bularnia 5, nr KRS 0000053650, NIP: 5211074707, REGON: 011824327
• Aspen Serwis sp. z o.o. z siedzibą w (31-222) Krakowie przy ulicy Bularnia 5, nr KRS: 0000502197; NIP: 945-21-78-362, REGON: 123064536
• Aspen Holding sp. z o.o. z siedzibą w (31-222) Krakowie przy ulicy Bularnia 5, nr KRS 0000589109, NIP 945-21-88-857; REGON: 363161986
• Atalian Cleaning sp. z o.o. z siedzibą w (31-222) Krakowie przy ulicy Bularnia 5, nr KRS 0000832312, NIP: 945-22-34-540, REGON: 385710000
• Atalian Management Services sp. z o.o. z siedzibą w (31-222) Krakowie przy ulicy Bularnia 5, nr KRS: 0000832732, NIP: 945-22-34-646, REGON: 385745569
2. dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”), gdzie poprzez możliwą do zidentyfikowania osobę fizyczną rozumie się osobę, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej,
3. DPIA – ocena skutków dla ochrony danych osobowych (data protection impact assessment),
4. Specjalista ds. ochrony danych osobowych – osoba wyznaczona przez Administratora Danych, koordynująca procesy związane z przestrzeganiem zasad ochrony danych osobowych w ramach procesów przetwarzania danych osobowych zachodzących w strukturze Administratora Danych,
5. organ nadzorczy – Urząd Ochrony Danych Osobowych z siedzibą w (00-193) Warszawie, przy ul. Stawki 2
6. państwo trzecie – państwo nienależące do Europejskiego Obszaru Gospodarczego.
7. podmiot przetwarzający – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora Danych,
8. Polityka – niniejsza Polityka ochrony danych osobowych,
9. pracownik – osoba współpracująca z Administratorem Danych na podstawie umowy o pracę lub umowy cywilnoprawnej,
10. przetwarzanie – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie,
11. ograniczenie przetwarzania – polega na oznaczeniu Przetwarzanych danych osobowych w celu ograniczenia ich przyszłego Przetwarzania.
12. Anonimizacja – zmiana danych osobowych, w wyniku której dane te tracą charakter Danych osobowych zgodnie z definicją Danych osobowych.
13. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),
14. Ustawa – Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2018 r., poz. 1000 ze zm.),
15. Zgoda osoby, której dane dotyczą – oznacza dowolne, dowolnie określone, konkretne, świadome i jednoznaczne wskazanie osoby, której dane dotyczą, za pomocą oświadczenia lub wyraźnego działania potwierdzającego, wyrażającego zgodę na przetwarzanie danych osobowych z nim związanych. Zgoda musi być udokumentowana we właściwy sposób, aby ją udowodnić.
16. Szczególne kategorie danych osobowych – to dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby.
17. Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania Danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
18. Naruszenie ochrony danych osobowych – jest to przypadkowy lub niezgodny z prawem incydent prowadzący do zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych osobowych.
19. Odbiorca – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania
20. Grupa przedsiębiorstw – oznacza przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane
21. Transgraniczne przetwarzanie – oznacza:
a) przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej, niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim; albo
b) przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim;
22. Organizacja międzynarodowa – oznacza organizację i organy jej podlegające działające na podstawie prawa międzynarodowego publicznego lub inny organ powołany w drodze umowy między co najmniej dwoma państwami lub na podstawie takiej umowy
3. ZAKRES INFORMACJI OBJĘTYCH POLITYKĄ OCHRONY DANYCH OSOBOWYCH ORAZ ZAKRES ZASTOSOWANIA
Polityka ochrony danych osobowych opisuje zasady i procedury przetwarzania danych osobowych. Jest to zestaw praw, reguł i praktycznych doświadczeń dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych wewnątrz w strukturze Współadministratorów. Polityka odnosi się całościowo do problemu zabezpieczenia danych osobowych, tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie, jak i danych przetwarzanych w systemach informatycznych.
Politykę ochrony danych osobowych stosuje się do wszelkich czynności, stanowiących w myśl RODO, przetwarzanie danych osobowych. Bez względu na źródło pochodzenia danych osobowych, ich zakres, cel zebrania, sposób przetwarzania lub czas przetwarzania, stosowane są zasady ujęte w Polityce.
Rygorowi Polityki podlegają także dane powierzone Administratorowi Danych/Współadministratorom do przetwarzania na podstawie umowy powierzenia przetwarzania danych osobowych lub innego instrumentu prawnego oraz dane osobowe, które zostały udostępnione.
B. OSOBY ODPOWIEDZIALNE ZA OCHRONĘ DANYCH OSOBOWYCH
1. STRUKTURA ORGANIZACJI OCHRONY DANYCH OSOBOWYCH
Za przetwarzanie danych osobowych oraz ich ochronę zgodnie z postanowieniami RODO, Ustawy, Polityki oraz procedur wewnętrznych z zakresu ochrony danych osobowych wdrożonych w strukturze Administratora Danych, odpowiadają:
1. Administrator Danych,
2. Inspektor Ochrony Danych,
3. Osoby upoważnione do przetwarzania danych osobowych, dokonujące przetwarzania na udokumentowane polecenie Administratora Danych
1.1. ADMINISTRATOR DANYCH
1. Administrator Danych wyznacza inspektora ochrony danych, którym jest Pan Grzegorz Florek, z którym można się kontaktować przesyłając e-maila na adres: iod.pl.atal@atalianworld.com w kwestii pytań lub żądań dotyczących realizacji praw osób fizycznych.
2. Administrator Danych jest odpowiedzialny za:
5.1. zapewnienie odpowiednich środków organizacyjnych i technicznych w celu zapewnienia i wykazania przetwarzania danych osobowych zgodnie z określonymi w RODO zasadami przetwarzania danych osobowych,
5.2. wdrożenie odpowiednich procedur ochrony danych osobowych,
5.3. jeśli uzna to za konieczne, stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji, jako element dla stwierdzenia przestrzegania przez Administratora Danych ciążących na nim obowiązków,
5.4. zapewnienie środków umożliwiających prawidłową realizację praw osób, których dane dotyczą,
5.5. prowadzenie rejestru czynności przetwarzania danych osobowych,
5.6. prowadzenie rejestru kategorii przetwarzania dokonywanych w imieniu innego administratora – pełniąc rolę podmiotu przetwarzającego dane osobowe
5.7. prowadzenia rejestru udostępnień danych osobowych, którymi administruje
5.8. prowadzenia rejestru zawartych umów powierzenia przetwarzania danych osobowych
5.9. prowadzenia rejestru naruszeń danych osobowych oraz dokonywania ich wagi zgodnie z Wytycznymi ENISA
5.10. prowadzenia rejestru wydanych poleceń i upoważnień do przetwarzania danych osobowych
5.11. prowadzenia rejestru osób upoważnionych do nadania i odwrócenie pseudonimizacji
5.12. współpracę z Urzędem Ochrony Danych Osobowych w ramach wykonywania przez niego swoich zadań,
5.13. wdrożenie odpowiednich środków organizacyjnych i technicznych, aby zapewnić stopień bezpieczeństwa odpowiadający istniejącemu ryzyku naruszenia praw lub wolności osób, których dane dotyczą,
5.14. zgłaszanie naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych, a w przypadku, gdy zajdą ku temu odpowiednie przesłanki, również osobie, której dane dotyczą,
5.15. dokumentowanie wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia, jego skutków oraz podjętych działań zaradczych,
5.16. zapewnienie odpowiednich środków w celu dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych w sytuacji, jeżeli dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w tym, jeżeli zajdą ku temu odpowiednie przesłanki, konsultację z organem nadzorczym,
5.17. zapewnienie legalności przekazywania danych osobowych do podmiotów trzecich,
5.18. w stosunku do specjalisty ds. ochrony danych:
5.18.1. zapewnienie, że jest on właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych,
5.18.2. wspieranie w wypełnianiu przez niego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej,
5.19. zapewnienie rozliczalności wszystkich procesów za które odpowiada
5.20. rzetelnego informowania w przejrzysty sposób podmioty danych osobowych w trakcie zbierania ich danych osobowych, w tym celu Administrator stosuje kilka obowiązków informacyjnych, które stanowią odpowiedni załączniki do niniejszej Polityki.
1.2. INSPEKTOR OCHRONY DANYCH
1. Do zadań inspektora ochrony danych osobowych należy:
1.1. informowanie o obowiązkach wynikających z RODO oraz innych właściwych przepisów Unii lub państw członkowskich o ochronie danych osobowych oraz doradzanie w tym zakresie,
1.2. monitorowanie przestrzegania RODO oraz innych właściwych przepisów Unii lub państw członkowskich o ochronie danych osobowych,
1.3. monitorowanie przestrzegania wdrożonych procedur ochrony danych osobowych,
1.4. doradztwo w zakresie podziału obowiązków (np. między Administratorem Danych a podmiotem przetwarzającym lub pomiędzy pracownikami Administratora Danych, itp.),
1.5. działania zwiększające świadomość pracowników Administratora Danych w zakresie obowiązków wynikających z RODO lub przyjętych procedur,
1.6. organizowanie szkoleń dla pracowników Administratora Danych uczestniczących w operacjach przetwarzania danych,
1.7. organizowanie audytów w zakresie przestrzegania RODO i wdrożonych procedur ochrony danych osobowych,
1.8. udzielanie na żądanie zaleceń, co do oceny skutków dla ochrony danych osobowych oraz monitorowanie jej wykonania,
1.9. współpraca z Urzędem Ochrony Danych Osobowych oraz pełnienie funkcji punktu kontaktowego dla Organu Nadzorczego w kwestiach związanych z przetwarzaniem danych,
1.10. pełnienie funkcji punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO.
2. Administrator mając na uwadze prawa i wolności osób fizycznych wyznaczył specjalistę ds. ochrony danych osobowych pomimo, iż zgodnie z art. 37 ust. 1 RODO nie był do tego zobowiązany.
1.3. OSOBY UPOWAŻNIONE DO PRZETWARZANIA DANYCH OSOBOWYCH
1. Każda osoba, która uzyskała polecenie i upoważnienie do przetwarzania danych, zobowiązana jest do ich ochrony w sposób zgodny z przepisami RODO, Ustawy oraz postanowieniami Polityki.
2. Osoba upoważniona zobowiązana jest do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. Obowiązek ten istnieje także bezterminowo po ustaniu zatrudnienia lub innej formy łączącej ją z Administratorem.
3. Naruszenie obowiązku ochrony danych osobowych, a w szczególności obowiązku zachowania danych osobowych w tajemnicy skutkuje poniesieniem odpowiedzialności karnej na podstawie art. 107 Ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku oraz stanowi ciężkie naruszenie obowiązków pracowniczych i może być podstawą rozwiązania stosunku pracy w trybie art. 52 Ustawy z dnia 26 czerwca 1974 r. Kodeks Pracy (tekst jedn. Dz.U. z 2018 r., poz. 108 ze zm.), bądź rozwiązania stosunku cywilnoprawnego.
C. ZASADY PRZETWARZANIA DANYCH OSOBOWYCH
1. OGÓLNE ZASADY PRZETWARZANIA DANYCH OSOBOWYCH
1. Przetwarzanie danych osobowych w strukturze Administratora Danych odbywa się zgodnie z ogólnymi zasadami przetwarzania danych osobowych określonymi w art. 5 RODO. Oznacza to, że dane osobowe przetwarza się:
1.1 zgodnie z prawem, w oparciu o co najmniej jedną przesłankę legalności przetwarzania danych osobowych wskazaną w art. 6 lub 9 RODO (zasada legalności),
1.2 w sposób rzetelny przy uwzględnieniu interesów i rozsądnych oczekiwań osób, których dane dotyczą (zasada rzetelności),
1.3 w sposób przejrzysty dla osób, których dane dotyczą (zasada przejrzystości),
1.4 w konkretnych, wyraźnych i prawnie uzasadnionych celach (zasada ograniczenia celu),
1.5 w zakresie adekwatnym, stosownym oraz niezbędnym dla celów, w których są przetwarzane (zasada minimalizacji danych),
1.6 przy uwzględnieniu ich prawidłowości i ewentualnego uaktualniania (zasada prawidłowości),
1.7 przez okres nie dłuższy, niż jest to niezbędne dla celów, w których są przetwarzane (zasada ograniczenia przechowywania),
1.8 w sposób zapewniający odpowiednie bezpieczeństwo (integralność i poufność).
2. Administrator Danych gwarantuje, że określone decyzje odnoszące się do procesów przetwarzania danych osobowych zostały przeanalizowane z punktu widzenia zgodności z ogólnymi zasadami przetwarzania danych, a przede wszystkim, że są z nimi zgodne.
3. Administrator Danych dokumentuje w Rejestrze czynności przetwarzania danych podstawy prawne przetwarzania danych dla poszczególnych czynności przetwarzania.
4. Wskazując w dokumentach ogólną podstawę prawną (zgoda, umowa, obowiązek prawny‚ żywotne interesy‚ zadanie publiczne / władza publiczna‚ uzasadniony cel ADO), Administrator dookreśla podstawę w precyzyjny i czytelny sposób‚ gdy jest to potrzebne. np. dla zgody – wskazując jej zakres, cel, czas trwania‚ gdy podstawą jest prawo – wskazując konkretny przepis i inne dokumenty‚ np. umowę, porozumienie administracyjne‚ żywotne interesy – wskazując kategorie zdarzeń, w których się zmaterializują‚ uzasadniony cel – wskazując konkretny cel‚ np. marketing własny‚ dochodzenie roszczeń.
5. W przypadku przetwarzania danych osobowych w oparciu o przesłankę zgody Administrator zawsze informuje o jej dobrowolności, a także na podstawie art. 7 ust. 3 RODO o prawie do wycofania zgody, przy czym wycofanie zgodny nie wpływa na zgodność z prawem przetwarzania, jakiego dokonano na podstawie tej zgody, przed jej wycofaniem.
6. Niedopuszczalne jest, by Administrator uzależniał wykonanie umowy od udzielenia zgody przez osobę fizyczną.
2. ZAKRES PRZETWARZANYCH DANYCH OSOBOWYCH
1. Polityka ma zastosowanie w stosunku do wszystkich danych osobowych przetwarzanych przez Administratora Danych, niezależnie od formy ich przetwarzania (elektroniczna lub papierowa).
2. Administrator Danych prowadzi:
2.1. rejestr czynności przetwarzania danych osobowych (RCPD), których jest administratorem,
2.2. rejestr kategorii czynności przetwarzania dokonywanych w imieniu administratorów, jeżeli zajdzie sytuacja powierzenia mu przetwarzania danych.
3. Administrator wdrożył procedurę prowadzenia rejestrów o których mowa w pkt 2.1. oraz 2.2.
3. DOPUSZCZENIE OSÓB DO PRZETWARZANIA DANYCH OSOBOWYCH
1. Administrator Danych realizując Politykę, w zakresie udostępniania danych osobowych w ramach własnej (wewnętrznej) struktury, zezwala na ich przetwarzanie w systemie informatycznym lub w wersji papierowej wyłącznie osobom, które uzyskały uprzednie, stosowne upoważnienie do przetwarzania danych osobowych. Upoważnienia nadawane są na wniosek przełożonych tych osób.
2. Upoważnienie do przetwarzania danych osobowych nadawane jest po przeprowadzeniu szkolenia lub zaznajomieniu w innej formie, osoby upoważnianej z zasadami ochrony danych osobowych obowiązującymi w strukturze Administratora Danych.
3. Upoważnienie do przetwarzania danych osobowych, nadawane jest indywidualnie, z wyraźnym wskazaniem jego zakresu z odniesieniem do poszczególnych pozycji rejestru czynności przetwarzania danych, prowadzonego przez Administratora Danych.
4. Administrator Danych prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych.
4. POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
1. Administrator Danych realizując Politykę dopuszcza, by dane osobowe, których jest administratorem były przetwarzane poza własnymi strukturami organizacyjnymi. Może się to odbywać wyłącznie na drodze powierzenia danych, w określonym celu i zakresie, podmiotowi przetwarzającemu na mocy umowy powierzenia przetwarzania danych osobowych lub innego instrumentu prawnego.
2. Podstawowym warunkiem dopuszczalności powierzenia przetwarzania danych w imieniu administratora jest poddanie planowanego outsourcingu analizie, która powinna zapewnić, że wybór podmiotu przetwarzającego został uzależniony od zapewnienia wystarczających gwarancji ochrony danych. W tym celu Administrator stosuje testy oceniające stopień wdrożenia zasad ogólnego rozporządzenia o ochronie danych osobowych.
3. Zawierana przez Administratora Danych umowa powierzenia przetwarzania danych osobowych musi być zgodna z postanowieniami art. 28 RODO, tj. w szczególności określać:
3.1. przedmiot powierzenia,
3.2. czas trwania powierzenia,
3.3. charakter i cel przetwarzania,
3.4. rodzaj powierzanych danych osobowych,
3.5. kategorie osób, których dane dotyczą,
3.6. warunki podpowierzenia przetwarzania danych
3.7. obowiązki i prawa Administratora Danych,
3.8. obowiązki podmiotu przetwarzającego
3.9. Zakres informacji dotyczących incydentu bezpieczeństwa, zezwalający Administratorowi w razie koniczności wywiązania się z obowiązków określonych w art. 33 i art. 34 RODO.
4. Umowa powierzenia powinna zostać zawarta w formie pisemnej.
5. W przypadku, gdy elementy powierzenia przetwarzania danych wskazane w pkt 3 znajdują się już w zawartej z danym podmiotem umowie głównej, nie ma konieczności sporządzania dodatkowej umowy powierzenia przetwarzania danych osobowych.
6. Umowa powierzenia przetwarzania danych osobowych podpisywana jest zgodnie z zasadami reprezentacji Administratora Danych lub udzielonymi pełnomocnictwami.
7. Każdorazowe dokonanie powierzenia danych osobowych musi zostać obligatoryjnie odnotowane w rejestrze zawartych umów powierzenia przetwarzania danych osobowych.
8. Administrator Danych ma prawo kontroli podmiotów przetwarzających, którym powierzył przetwarzanie danych osobowych. Zgodnie z przyjętą procedurą Administrator dokonuje inspekcji podmiotów przetwarzających.
9. Administrator Danych w zakresie prowadzonej przez siebie działalności może przetwarzać również dane osobowe powierzone przez podmioty, na rzecz których świadczy usługi. Przyjęcie danych w powierzenie przez Administratora Danych musi zostać obligatoryjnie odnotowane w rejestrze kategorii czynności przetwarzania danych osobowych.
10. W przypadku gdy Administrator na drodze zawartej umowy powierzenia przetwarzania danych osobowych pełni rolę podmiotu przetwarzającego, nadaje pisemne upoważnienia swoim pracownikom i współpracownikom do przetwarzania powierzonych danych osobowych w zakresie zawartej umowy.
11. W sytuacji, gdy podmiot przetwarzający zamierza podpowierzać dane osobowe, szczególnie poza obszar EOG jest zobowiązany do poinformowania administratora danych o planowanym podpowierzeniu i uzyskaniu zgody.
12. Lista podmiotów przetwarzających jest dostępna dla osób fizycznych, których dane zostały powierzone.
5. UDOSTĘPNIENIE DANYCH OSOBOWYCH
1. Administrator Danych realizując Politykę dopuszcza, by dane osobowe, których jest administratorem były przekazywane innym administratorom w formie udostępnienia danych.
2. Udostępnienie danych osobowych może nastąpić tylko w oparciu o co najmniej jedną przesłankę spośród wskazanych w art. 6 RODO i / lub art. 9 RODO.
3. Podmioty lub kategorie podmiotów, którym udostępnia się wskazane w prowadzonym rejestrze udostępnień
4. Lista podmiotów, którym dane osobowe zostały udostępnione, jest dostępna dla osób fizycznych.
6. WSPÓŁADMINISTROWANIE DANYMI OSOBOWYMI
1. Administrator Danych w zakresie przetwarzania danych osobowych przyjął model współadministracji na mocy art. 26 RODO, zgodnie z którym podmiotami współadministrującymi są:
• Aspen sp. z o.o. z siedzibą w (31-222) Krakowie, przy ul. Bularnia 5, nr KRS: 0000020314, NIP: 945-15-51-764, REGON: 351084255
• Atalian Service sp. z o.o. siedzibą w (31-222) Krakowie przy ulicy Bularnia 5, nr KRS: 0000575705, NIP: 9452186752, REGON: 362480643
• Atalian Poland sp. z o. o. z siedzibą w Krakowie przy ulicy Bularnia 5, 31-222 KRS 0000145144, NIP 677-216-30-53, REGON: 357685926
• Atalian Energy sp. z o.o. z siedzibą w (31-222) Krakowie przy ulicy Bularnia 5, nr KRS 0000053650, NIP: 5211074707, REGON: 011824327
• Aspen Serwis sp. z o.o. z siedzibą w (31-222) Krakowie przy ulicy Bularnia 5, nr KRS: 0000502197; NIP: 945-21-78-362, REGON: 123064536
• Aspen Holding sp. z o.o. z siedzibą w (31-222) Krakowie przy ulicy Bularnia 5, nr KRS 0000589109, NIP 945-21-88-857; REGON: 363161986
• Atalian Cleaning sp. z o.o. z siedzibą w (31-222) Krakowie przy ulicy Bularnia 5, nr KRS 0000832312, NIP: 945-22-34-540, REGON: 385710000
• Atalian Management Services sp. z o.o. z siedzibą w (31-222) Krakowie przy ulicy Bularnia 5, nr KRS: 0000832732, NIP: 945-22-34-646, REGON: 385745569
7. PROCEDURA ODBIERANIA ZGÓD ORAZ INFORMOWANIA OSÓB
1. W każdym przypadku pobierania danych bezpośrednio od osoby, której dane dotyczą, Administrator Danych realizuje obowiązki określone w art. 13 RODO, zaś w przypadku pobieranie danych osobowych niebezpośrednio od osoby fizycznej, której dane dotyczą, obowiązki określone w art. 14 RODO.
2. W każdym przypadku pobierania danych z innych źródeł niż osoba, której dane dotyczą, administrator danych informuje osobę, której dane dotyczą, niezwłocznie, jednak nie później niż przy pierwszym kontakcie z osobą, której dane dotyczą.
3. Ponadto ADO informuje osobę:
3.1. o przedłużeniu ponad jeden miesiąc terminu na rozpatrzenie żądania tej osoby.
3.2. o planowanej zmianie celu przetwarzania danych
3..3 przed uchyleniem ograniczenia przetwarzania
3.4. o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych (chyba że będzie to wymagało niewspółmiernie dużego wysiłku lub będzie niemożliwe)
3.5. o prawie sprzeciwu względem przetwarzania danych najpóźniej przy pierwszym kontakcie z tą osobą, na zasadach określonych w RODO.
4. W każdym przypadku odbierania zgody od osoby, której dane dotyczą, korzysta się z formularzy zgód, informując o prawie do wycofania zgody.
5. Administrator Danych dba o czytelność i styl przekazywanych informacji i komunikacji z osobami, których dane przetwarza.
6. Administrator Danych ułatwia osobom korzystanie z ich praw poprzez różne działania, w tym: zamieszczenie na stronie internetowej ADO informacji lub odwołań (linków) do informacji o prawach osób, sposobie skorzystania z nich w Spółce, w tym wymaganiach dotyczących identyfikacji, metodach kontaktu ze Spółką w tym celu, ewentualnym cenniku żądań „dodatkowych” itp.
7. Administrator dba o dotrzymywanie prawnych terminów realizacji obowiązków względem osób.
8. Administrator wprowadza adekwatne metody identyfikacji i uwierzytelniania osób dla potrzeb realizacji praw jednostki i obowiązków informacyjnych.
9. Administrator dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań osób.
10. Administrator prowadzi rejestr żądań osób fizycznych wraz z rejestrem obowiązków określonych w art. 19 RODO.
8. REALIZACJA PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ
1. Administrator Danych uwzględnia w zachodzących w jego strukturze procesach przetwarzania danych osobowych, procedury i zasady ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy przepisów RODO, w tym, w szczególności:
1.1. prawo do wycofania wyrażonej zgody (art. 7 ust. 3 RODO),
1.2. prawo dostępu przysługujące osobie, której dane dotyczą (art. 15 RODO).
1.2.1. Prawo dostępu do danych obejmuje:
a. prawo dostępu do danych;
b. prawo do informacji o:
• celu przetwarzania i kategorii przetwarzanych danych,
• okresie, przez który dane mają być przechowywane, a gdy podanie go nie będzie możliwe, kryteriach ustalania tego okresu,
• przysługujących podmiotowi danych uprawnieniach do żądania od Administratora sprostowania, usunięcia lub ograniczenia przetwarzania jej danych, wniesienia sprzeciwu wobec przetwarzania, a także wniesienia skargi do organu nadzorczego,
• źródle pozyskania danych osobowych danej osoby jeśli nie zostały zebrane od osoby, której dane dotyczą,
• prawo do informacji, czy Administrator podejmuje wobec podmiotu danych zautomatyzowane decyzje, w tym m.in. w oparciu o profilowanie, a jeśli tak, to również informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą,
• odbiorcach danych, w przypadku szczególnym, tj. gdy są one przekazywane do państwa trzeciego lub organizacji międzynarodowej, także o odpowiednich zabezpieczeniach związanych z ich przekazaniem,
• prawo do uzyskania kopii danych osobowych podlegających przetwarzaniu.
1.2.2. W przypadku osób fizycznych, których dane Administrator przetwarza – prawo dostępu do danych realizowane jest poprzez przekazanie żądanych informacji na piśmie lub drogą elektroniczną. W przypadku przekazywania informacji drogą elektroniczną Pracownicy zobowiązani są do zapewnienia, że przesyłane dane będą zabezpieczone w odpowiedni sposób zapewniający bezpieczeństwo.
1.3. prawo do sprostowania danych (art. 16 RODO).
ADO dokonuje sprostowania nieprawidłowych danych na żądanie osoby. ADO ma prawo odmówić sprostowania danych, chyba że osoba w rozsądny sposób wykaże nieprawidłowości danych, których sprostowania się domaga. W przypadku sprostowania danych ADO informuje osobę o odbiorcach danych, na żądanie tej osoby. Ponadto ADO uzupełnia i aktualizuje dane na żądanie osoby. ADO ma prawo odmówić uzupełnienia danych‚ jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych (np. ADO nie musi przetwarzać danych‚ które są Spółce zbędne). ADO może polegać na oświadczeniu osoby co do uzupełnianych danych‚ chyba że będzie to niewystarczające w świetle przyjętych przez Spółkę procedur (np. co do pozyskiwania takich danych)‚ prawa lub zaistnieją podstawy, aby uznać oświadczenie za niewiarygodne.
1.4. prawo do usunięcia danych (prawo do bycia zapomnianym) (art. 17 RODO), Na żądanie osoby ADO usuwa dane‚ gdy:
(1) dane nie są niezbędne do celów, w których zostały zebrane, ani przetwarzane w innych zgodnych z prawem celach,
(2) zgoda na ich przetwarzanie została cofnięta‚ a nie ma innej podstawy prawnej przetwarzania‚
(3) osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych‚
(4) dane były przetwarzane niezgodnie z prawem,
(5) konieczność usunięcia wynika z obowiązku prawnego,
(6) żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku (np. profil dziecka na portalu społecznościowym‚ udział w konkursie na stronie internetowej).
ADO określa sposób obsługi prawa do usunięcia danych w taki sposób‚ aby zapewnić efektywną realizację tego prawa przy poszanowaniu wszystkich zasad ochrony danych‚ w tym bezpieczeństwa‚ a także weryfikację, czy nie zachodzą wyjątki‚ o których mowa w art. 17. ust. 3 RODO.
Jeżeli dane podlegające usunięciu zostały upublicznione przez Spółkę, ADO podejmuje rozsądne działania, w tym środki techniczne‚ by poinformować innych administratorów przetwarzających te dane osobowe o potrzebie usunięcia danych i dostępu do nich.
W przypadku usunięcia danych ADO informuje osobę o odbiorcach danych‚ na żądanie tej osoby.
1.5. prawo do ograniczenia przetwarzania (art. 18 RODO),
ADO dokonuje ograniczenia przetwarzania danych na żądanie osoby‚ gdy:
(1) osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość,
(2) przetwarzanie jest niezgodne z prawem‚ a osoba‚ której dane dotyczą‚ sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania‚
(3) ADO nie potrzebuje już danych osobowych, ale są one potrzebne osobie‚ której dane dotyczą‚ do ustalenia‚ dochodzenia lub obrony roszczeń,
(4) osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia‚ czy po stronie ADO zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.
W trakcie ograniczenia przetwarzania ADO przechowuje dane‚ natomiast nie przetwarza ich (nie wykorzystuje‚ nie przekazuje)‚ bez zgody osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego.
ADO informuje osobę przed uchyleniem ograniczenia przetwarzania.
W przypadku ograniczenia przetwarzania danych ADO informuje osobę o odbiorcach danych, na żądanie tej osoby.
1.6. prawo do przenoszenia danych (art. 20 RODO),
Na żądanie osoby ADO wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła ona Spółce, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z nią zawartej w systemach informatycznych ADO.
1.7. prawo sprzeciwu (art. 21 RODO),
Jeżeli osoba zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez Spółkę w oparciu o uzasadniony interes ADO lub o powierzone Spółce zadanie w interesie publicznym, ADO uwzględni sprzeciw, o ile nie zachodzą po stronie ADO ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń. Jeżeli osoba zgłosi sprzeciw względem przetwarzania jej danych przez Spółkę na potrzeby marketingu bezpośredniego (w tym ewentualnie profilowania), ADO uwzględni sprzeciw i zaprzestanie takiego przetwarzania.
1.8. prawo do niepodlegania decyzjom opartym na zautomatyzowanym przetwarzaniu (art. 22 RODO).
Jeżeli ADO przetwarza dane w sposób automatyczny, w tym w szczególności profiluje osoby, i w konsekwencji podejmuje względem osoby decyzje wywołujące skutki prawne lub inaczej istotnie wpływające na osobę, ADO zapewnia możliwość odwołania się do interwencji i decyzji człowieka po stronie ADO, chyba że taka automatyczna decyzja: jest niezbędna do zawarcia lub wykonania umowy między odwołującą się osobą a Spółką, lub jest wprost dozwolona przepisami prawa, lub opiera się na wyraźnej zgodzie odwołującej osoby.
2. Każdy przypadek zgłoszenia przez osobę, której dane dotyczą, woli skorzystania z praw przewidzianych w rozporządzeniu Administrator danych rozpatruje indywidualnie.
3. W przypadku realizacji prawa do sprostowania, usunięcia i ograniczenia przetwarzania danych Administrator Danych niezwłocznie informuje odbiorców danych, którym udostępnił on przedmiotowe dane, chyba że jest to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.
4. Realizując prawa osób, których dane dotyczą, ADO uwzględnia gwarancje ochrony praw i wolności osób trzecich. W szczególności w przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób (np. prawa związane z ochroną danych innych osób, prawa własności intelektualnej, tajemnicę handlową, dobra osobiste), ADO może się zwrócić do osoby w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia żądaniu.
5. Administrator danych odmawia realizacji praw osób, których dane dotyczą, jeżeli możliwość taka wynika z przepisów rozporządzenia, jednak każda odmowa realizacji praw osób, których dane dotyczą, wymaga uzasadnienia z podaniem podstawy prawnej wynikającej z rozporządzenia.
6. Administrator danych każdorazowo (podczas zbierania danych, a także przy obsłudze wniosków o realizację należnych praw) informuje podmiot danych o prawie wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych z siedzibą w (00-193) Warszawie, przy ul. Stawki 2 na podstawie art. 77 RODO.
D. OCHRONA DANYCH OSOBOWYCH
Administrator Danych zapewnia odpowiedni poziom bezpieczeństwa danych, w tym:
1. do przetwarzania danych dopuszcza wyłącznie osoby upoważnione oraz podmioty, którym przetwarzanie powierzył na podstawie umów powierzenia
2. zobowiązuje osoby upoważnione do przestrzegania zasad bezpieczeństwa danych zgodnie z przyjętymi u siebie procedurami
3. przeprowadza analizy ryzyka dla czynności przetwarzania danych lub ich kategorii i dostosowuje środki ochrony danych do ustalonego ryzyka, które monitoruje zgodnie z przyjętą u siebie procedurą.
4. przeprowadza oceny skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw i wolności osób jest wysokie, nadto bieżąco monitoruje komunikaty Prezesa Urzędu Ochrony Danych określające procesy, który będą wymagać przeprowadzenia takiej analizy
5. realizuje grupowy (koncernowy) system zarządzania bezpieczeństwem informacji – Grupowej Instrukcji Organizacyjnej – Dyrektywa Bezpieczeństwa Informacji GOA6; GOA11; RL-01-04
6. stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych – posiadając wdrożoną ocenę wg metodologii ENISA, zarządza incydentami
7. inicjuje audyty zgodności przetwarzania danych i ewaluacje dokumentacji przetwarzania danych
8. W przypadku uruchomienia nowych aplikacji związanych z przetwarzaniem danych osobowych dokonuje ocen określonych w art. 25 RODO, tzw. domyślnej ochrony danych i ochrony danych na etapie projektowania
9. Stosuje zatwierdzony przez Zarząd plan ciągłości działania
1. OCHRONA DANYCH OSOBOWYCH W FAZIE PROJEKTOWANIA ORAZ DOMYŚLNA OCHRONA DANYCH OSOBOWYCH
1. Administrator Danych wdraża odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, nadania przetwarzaniu danych niezbędnych zabezpieczeń oraz zapewnieniu ochrony praw osób, których dane dotyczą.
2. Wdrażając odpowiednie środki techniczne i organizacyjne Administrator Danych uwzględnia:
2.1. stan wiedzy technicznej,
2.2. koszt wdrażania,
2.3. charakter, zakres, kontekst i cele przetwarzania danych,
2.4. ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania.
3. Administrator Danych wdraża takie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia określonego celu przetwarzania, biorąc pod uwagę: ilość zbieranych danych osobowych, ich zakres, okres ich przechowywania oraz ich dostępność dla innych osób.
4. W szczególności stosowane środki techniczne i organizacje muszą zapewnić, by domyślnie dane osobowe nie były udostępniane nieokreślonej liczbie osób.
5. Administrator zarządza zmianami wpływającymi na prywatność. W tym celu procedury uruchamiania nowych projektów i inwestycji w Spółce uwzględniają konieczność oceny wpływu zmiany na ochronę danych, analizę ryzyka, zapewnienie prywatności (a w tym zgodności celów przetwarzania, bezpieczeństwa danych i minimalizacji) już w fazie projektowania zmiany, inwestycji czy na początku nowego projektu (tzw. zasada privacy by design).
6. W pierwszej kolejności, Administrator Danych rozważa, czy cel jakiemu ma służyć projektowane rozwiązane jest możliwy do osiągnięcia bez konieczności przetwarzania danych osobowych. Jeśli tak, należy wybrać takie rozwiązanie.
7. Administrator Danych zapewnia, aby spełnienie warunków wskazanych powyżej było odpowiednio udokumentowane np. w formie projektu, notatki, maila, raportu z przeprowadzonych testów systemu informatycznego, wydruku z ekranu systemu.
8. Ogólny opis organizacyjnych i technicznych środków bezpieczeństwa wdrożonych w strukturze Administratora Danych jest poufny.
2. ANALIZY RYZYKA I ADEKWATNOŚCI ŚRODKÓW BEZPIECZEŃSTWA
ADO przeprowadza i dokumentuje analizy adekwatności środków bezpieczeństwa danych osobowych. W tym celu:
1. zapewnia odpowiedni stan wiedzy o bezpieczeństwie informacji‚ cyberbezpieczeństwie i ciągłości działania – wewnętrznie lub ze wsparciem podmiotów wyspecjalizowanych;
2. kategoryzuje dane oraz czynności przetwarzania pod kątem ryzyka‚ które przedstawiają;
3. przeprowadza analizy ryzyka naruszenia praw lub wolności osób fizycznych dla czynności przetwarzania danych lub ich kategorii. Administrator analizuje możliwe sytuacje i scenariusze naruszenia ochrony danych osobowych, uwzględniając charakter‚ zakres, kontekst i cele przetwarzania, ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.
4. ustala możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa i ocenia koszt ich wdrażania. W tym Administrator ustala przydatność i stosuje takie środki i podejście, jak:
5.1. pseudonimizacja‚
5.2. szyfrowanie danych osobowych‚
5.3. inne środki cyberbezpieczeństwa składające się na zdolność do ciągłego zapewnienia poufności‚ integralności, dostępności i odporności systemów i usług przetwarzania,
5.4. środki zapewnienia ciągłości działania i zapobiegania skutkom katastrof‚ czyli zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.
5. W przypadku transgranicznego przetwarzania danych osobowych Administrator stosuje środki określone w rozdziale V RODO.
3. OCENA SKUTKÓW DLA OCHRONY DANYCH OSOBOWYCH DPIA (DATA PROTECTION IMPACT ASSESSMENT)
1. Administrator Danych dokonuje oceny skutków dla ochrony danych w celu opisania przetwarzania danych osobowych oraz oceny jego konieczności i proporcjonalności, a także w celu wspomagania zarządzania ryzykiem naruszenia praw i wolności osób fizycznych wynikającym z przetwarzania ich danych osobowych.
2. W strukturze Administratora Danych ocena skutków dla ochrony danych osobowych stanowi narzędzie rozliczalności ułatwiające przestrzeganie wymogów określonych w RODO, a także wykazanie, że podjęto odpowiednie środki w celu zapewnienia przestrzegania przepisów RODO.
4. INCYDENTY OCHRONY DANYCH OSOBOWYCH
1. Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest do powiadamiania o stwierdzeniu podatności lub wystąpieniu incydentu bezpośredniego przełożonego lub Specjalistę ds. ochrony danych.
2. Do typowych podatności bezpieczeństwa danych osobowych należą:
2.1. niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów;
2.2. niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych;
2.3 nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka / ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek);
3. Do typowych incydentów bezpieczeństwa danych osobowych należą:
3.1. zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności);
3.2. zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata / zagubienie danych);
3.3. umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania).
4. W przypadku stwierdzenia wystąpienia incydentu, Administrator prowadzi postępowanie wyjaśniające, w toku którego:
4.1. ustala zakres i przyczyny incydentu oraz jego ewentualne skutki;
4.2. inicjuje ewentualne działania dyscyplinarne;
4.3. działa na rzecz przywrócenia działań organizacji po wystąpieniu incydentu;
4.4. rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych incydentów w przyszłości lub zmniejszenia strat w momencie ich zaistnienia.
4.5. zawiadamia osoby, których dane dotyczą, w przypadku wystąpienia wobec nich naruszeń skutkujących ryzykiem naruszenia ich praw lub wolności, chyba że zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka wystąpienia ww. naruszenia.
5. Administrator dokumentuje powyższe wszelkie naruszenia ochrony Danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
6. W przypadku naruszenia ochrony danych osobowych skutkującego ryzykiem naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je Prezesowi Urzędu Ochrony Danych Osobowych.
7. Zabrania się świadomego lub nieumyślnego wywoływania incydentów przez osoby upoważnione do przetwarzania danych.
5. AUDYTY ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH
1. Celem audytów wewnętrznych jest ocena, czy system ochrony danych osobowych jest skutecznie wdrożony i funkcjonuje zgodnie z wymaganiami RODO. Audyty prowadzone są w sposób obiektywny i bezstronny.
2. Audyty przeprowadzane są według opracowanego planu audytów. Przygotowany plan audytów musi ujmować każdorazowo okres nie krótszy niż rok z zaznaczeniem, że musi on obejmować co najmniej jeden proces wskazany w prowadzonym rejestrze czynności przetwarzania. W przypadku gdy proces ten jest powierzony, prowadzi się również kontrolę podmiotu przetwarzającego.
3. Plan audytów przygotowywany jest w formie elektronicznej i jest przedstawiany Administratorowi Danych nie później niż na dwa tygodnie przed dniem rozpoczęcia okresu objętego planem.
4. Administrator wyznacza audytora do przeprowadzenia audytu z uwzględnieniem zasady, że audytorzy nie audytują własnej pracy.
5. W planie audytów uwzględnia, w szczególności:
5.1. przedmiot, zakres oraz termin przeprowadzenia poszczególnych audytów oraz sposób i zakres ich dokumentowania,
5.2. procesy przetwarzania danych osobowych objęte audytem,
5.3. konieczność weryfikacji zgodności przetwarzania danych osobowych z:
5.3.1. zasadami przetwarzania danych osobowych,
5.3.2. zasadami dotyczącymi zabezpieczenia danych osobowych,
5.3.3. zasadami przekazywania danych osobowych.
6. Audytor realizuje działania audytowe mające na celu uzyskanie obiektywnych dowodów potwierdzających poprawność realizowanych zadań, procedur, polityk, zabezpieczeń, celów,
spełniania wymagań RODO.
7. W przypadku stwierdzenia uchybień mających wpływ na skuteczność działania systemu ochrony
danych zgodnego z RODO, audytor identyfikuje tzw. uchybienia lub spostrzeżenia
8. Po zakończeniu audytu, przygotowuje się dla Administratora Danych, sprawozdanie w tym zakresie. Sprawozdanie sporządzane jest w postaci elektronicznej albo w postaci papierowej.
E. RETENCJA DANYCH OSOBOWYCH
1. Dla każdego rozpoznanego procesu przetwarzania danych osobowych (czynności przetwarzania) należy określać okres, przez który dane osobowe, przetwarzane w ramach tego procesu, będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu.
2. Kryteria ustalania okresu, o których mowa w ust. 1 mogą być określane w poniższy sposób:
a. do czasu zakończenia realizacji umowy i związanych z tym roszczeń;
b. do czasu wycofania zgody lub zgłoszenia sprzeciwu;
c. przez okres wymagany przez przepis prawa.
3. W stosunku do tych samych danych mogą mieć zastosowanie różne terminy retencji przechowywanie danych może wynikać z obowiązku nałożonego na administratora danych, wynikającego z przepisów prawa (np. ustawy o rachunkowości) a z drugiej natomiast strony ten sam dokument może być podstawą dla administratora do dochodzenia roszczeń lub obrony przed nimi – a wtedy mamy do czynienia uzasadnionym interesem administratora jako odrębną podstawą (termin może być dłuższy).
4. W sytuacji, gdy do danych osobowych zastosowanie będą miały różne terminy retencji, a termin wynikający z obowiązku nałożonego na administratora jest terminem dłuższym należy przechowywać dane zgodnie z tym dłuższym terminem retencji.
5. Ustalony czas ADO konsultuje z Prawnikiem.
6. ADO zamieszcza informacje o ustalonych czasach retencji w:
a. „Wykazie retencji danych osobowych” – polityka retencji i usuwania danych osobowych oraz ich archiwizacji
b. Rejestrze czynności przetwarzania danych osobowych
7. Informacje dotyczące ustalonego czasu, przez który dane osobowe będą przechowywane, lub kryteria ustalania tego okresu należy zamieszczać w klauzulach informacyjnych podczas realizacji procesu zbierania danych osobowych, zarówno bezpośrednio od osoby, której dane dotyczą zgodnie z art. 13 RODO oraz w sytuacji zbierania danych z innych źródeł zgodnie z art. 14 RODO.
8. W przypadku zmiany celu przetwarzania danych lub zmiany kryterium ustalenia czasu retencji konieczna jest ocena celu, adekwatności i czasu przetwarzania danych w odniesieniu do nowego celu.
9. Obowiązek usunięcia danych osobowych zależy od wystąpienia określonego zdarzenia (które powiązane jest z określonym celem przetwarzania danych):
a. od cofnięcia zgody przez osobę, której dane dotyczą – jeżeli podstawą prawną przetwarzania jest art. 6 ust. 1 lit. a) RODO i/lub art. 9 ust. 2 lit. a RODO
b. od wyrażenia sprzeciwu przez osobę, której dane dotyczą – jeżeli podstawą prawną przetwarzania jest art. 6 ust. 1 lit. f) RODO – przetwarzanie danych jest niezbędne w celu realizacji uzasadnionego interesu administratora (w celu prowadzenia marketingu bezpośredniego);
c. od przedawnienia roszczeń – jeżeli dane były uprzednio przetwarzane w celu realizacji umowy;
d. od upływu terminów wynikających z przepisów o prawa – w odniesieniu do danego procesu przetwarzania danych.
10. Służba IT ustala w porozumieniu z Administratorem określa zasady dotyczące usuwania bądź anonimizacji danych, które są przetwarzane w systemie informatycznym.
11. Administrator okresowo monitoruje realizację wymogów dotyczących usuwania lub anonimizacji danych osobowych.
F. PRZEGLĄDY I AKTUALIZACJA POLITYKI OCHRONY DANYCH
1. Polityka podlega okresowemu przeglądowi pod kątem jej adekwatności, nie rzadziej niż raz do roku.
2. Przeglądu Polityki dokonuje Specjalista ds. ochrony danych osobowych wraz z Administratorem
3. Przegląd powinien obejmować, w szczególności ocenę adekwatności Polityki do:
3.1. procesów funkcjonujących w strukturach Administratora Danych,
3.2. obowiązujących przepisów prawa odnoszących się do ochrony danych osobowych, którym podlega Administrator Danych.
4. W każdym przypadku, gdy zmianie ulegają przepisy prawa będące źródłem wskazanych w Polityce obowiązków lub zaistnieją istotne zmiany faktyczne w ramach struktury Administratora Danych jest niezwłocznie wykonywany przegląd Polityki a sama Polityka – aktualizowana.
G. Załączniki
1. Administrator publikuje na stronie: www.atalian.pl obowiązki informacyjne dla poszczególnych osób fizycznych, których dane są przetwarzane w określonym procesie.
2. Publikowane obowiązki informacyjne określone art. 13 RODO dotyczą:
* Obowiązek informacyjny dla kandydatów do pracy
* Obowiązek informacyjny dla partnerów biznesowych
* Obwiązek informacyjny dla użytkowników strony www
* Opis polityki ciasteczek – pliki cookies
Polityka obowiązuje od 25 maja 2018 roku, aktualizowana w dniu 22 listopada 2020 roku