...

POLITYKA BEZPIECZEŃSTWA
DANYCH OSOBOWYCH

CANDY CAT

SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ

UL. aleja jana Pawła II 43a/37b

01-001 warszawa

krs: 0000895849; regon: 388748597; nip: 5272955939

SPIS TREŚCI

I. POSTANOWIENIA OGÓLNE
II. PODSTAWOWE POJĘCIA
III. BEZPIECZEŃSTWO DANYCH OSOBOWYCH
IV. PODSTAWA PRAWNA
V. ZAKRES ZASTOSOWANIA
VI. STRUKTURA DOKUMENTÓW POLITYKI BEZPIECZEŃSTWA
VII. ODPOWIEDZIALNOŚĆ I KOMPETENCJE W ZARZĄDZANIU BEZPIECZEŃSTWEM DANYCH OSOBOWYCH
VIII. OBOWIĄZEK INFORMACYJNY
IX. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ
X. DOSTĘP DO INFORMACJI
XI. POWIERZANIE DANYCH OSOBOWYCH
XII. UDOSTĘPNIANIE DANYCH OSOBOWYCH
XIII. ZAGROŻENIA ZWIĄZANE Z PRZETWARZANIEM DANYCH OSOBOWYCH
XIV. ZABEZPIECZENIE PRZETWARZANYCH DANYCH OSOBOWYCH
XV. ARCHIWIZOWANIE INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE
XVI. POSTANOWIENIA KOŃCOWE 

 I. POSTANOWIENIA OGÓLNE
  1. Niniejszy dokument określa zasady bezpieczeństwa przetwarzania danych osobowych jakie powinny być przestrzegane i stosowane w Candy Cat spółka z ograniczoną odpowiedzialnością (zwaną w dalszej części dokumentu „Candy Cat”), przez pracowników i współpracowników, którzy przetwarzają dane osobowe.
  2. Celem Polityki Bezpieczeństwa Danych Osobowych, (zwanej dalej Polityką), jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania w Candy Cat informacji zawierających dane osobowe.
  3. Stosowanie zasad określonych w niniejszym dokumencie ma na celu zapewnienie prawidłowej ochrony danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zmianą lub zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem obowiązujących przepisów oraz utratą, uszkodzeniem lub zniszczeniem.

    II. PODSTAWOWE POJĘCIA

Określenia użyte w Polityce Bezpieczeństwa oznaczają:

  1. Administrator danych osobowych (zwany dalej ADO) – oznacza osobę, która ustala cel(e) i sposoby przetwarzania danych osobowych. W omawianym przypadku ADO jest Candy Cat.
  2. Administrator Systemu Informatycznego (zwany dalej ASI) – oznacza osobę odpowiedzialną za funkcjonowanie i bezpieczeństwo systemów informatycznych przetwarzających dane osobowe.
  3. Dane osobowe – oznaczają wszelkie informacje dotyczące jednostki, które pozwalają na jej identyfikację niezależnie od stosowanego środka komunikacji (np. papierowego, elektronicznego, video, audio). Przykładami danych osobowych są dane kontaktowe – imię i nazwisko, numer telefonu, numer PESEL, adresy IP, zdjęcia, historia przeglądania stron internetowych, geolokalizacja.
  4. Dane wrażliwe (inaczej szczególne kategorie danych) – oznaczają informacje dotyczące pochodzenia rasowego lub etnicznego; poglądów politycznych; przekonań religijnych lub innych przekonań światopoglądowych; przynależność do związków zawodowych; zdrowia fizycznego lub psychicznego; życia seksualnego; danych genetycznych; danych biometrycznych (np. pobieranie odcisków palców, system rozpoznawania rysów twarzy, skan siatkówki oka); informacje o popełnionych przestępstwach lub domniemanych przestępstwach popełnionych przez osobę, której dane dotyczą.
  5. Prezes Urzędu Ochrony Danych Osobowych (zwany dalej PUODO) – jest organem do spraw ochrony danych osobowych działający na podstawie Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.
  6. Obszar przetwarzania danych osobowych – są to wszystkie obszary działalności ADO, gdzie dochodzi do przetwarzania danych osobowych. Obszar przetwarzania stanowią także lokalizacje podmiotu przetwarzającego dane, które ADO powierzył do przetwarzania.
  7. Osoba Wyznaczona – oznacza osobę, która nadzoruje przestrzeganie zasad ochrony danych osobowych, określonych przez ADO.
  8. Naruszenie ochrony danych osobowych/naruszenie – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych (np. wiadomość e-mail zostaje nieumyślnie wysłana do nieprawidłowych adresatów, papierowy rejestr zostaje zgubiony lub ukradziony, cyberatak przeprowadzony przez hakerów).
  9. Przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
  10. Podmiot przetwarzający (procesor) – oznacza podmiot zewnętrzny, który przetwarza dane osobowe w imieniu ADO w celu zrealizowania przedmiotu umowy. Takimi podmiotami mogą być np. usługodawcy hostingu, BHP, usług serwisowych, firm archiwizujących bądź niszczących dokumenty.
  11. Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych w celu analizy lub prognozy osobowości lub niektórych cech osobowych odnoszących się do jednostki (np. analiza i prognoza zdrowia, sytuacji ekonomicznej, efektów pracy, lokalizacji, przemieszczania się, osobistych preferencji lub zainteresowań, zachowań w sieci takich jak historia przeglądania).
  12. Nośniki danych – wszelkie nośniki, na których informacje zapisane są w postaci elektronicznej, w szczególności dyski, dyskietki, dyski CD-ROM, karty magnetyczne lub pamięci przenośne.
  13. Zbiór danych osobowych – każdy posiadający strukturę logiczną zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

    III. BEZPIECZEŃSTWO DANYCH OSOBOWYCH
    1. Utrzymanie bezpieczeństwa przetwarzanych przez ADO informacji, w tym danych osobowych rozumiane jest jako zapewnienie ich zgodności z prawem, ograniczenie celu, minimalizacji, prawidłowości, ograniczenia przechowywania, integralności i poufności oraz rozliczalności na odpowiednim poziomie
    2. Poniżej opisane jest rozumienie wyżej wymienionych pojęć w odniesieniu do danych:
    2.1. Zasada zgodności z prawem, rzetelności i przejrzystości – zgodnie z nią dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
    2.2. Zasada ograniczenia celu – zgodnie z nią dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
    2.3. Zasada minimalizacji danych – zgodnie z nią dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.
    2.4. Zasada prawidłowości – zgodnie z nią dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.
    2.5. Zasada ograniczenia przechowywania – dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
    2.6. Zasada integralności i poufności – dane osobowe muszą być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i poufność, w tym ochronę przed:
    2.6.1. niedozwolonym lub niezgodnym z prawem przetwarzaniem – czyli nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu,
    2.6.2. przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych,
    2.7. Zasada rozliczalności – ADO jest odpowiedzialny za przestrzeganie powyższych zasad. Musi on być także w stanie wykazać ich przestrzeganie.

    IV. PODSTAWA PRAWNA

Polityka Bezpieczeństwa wypełnia zasady bezpiecznego przetwarzania danych osobowych określone w następujących przepisach prawa, obowiązującego na terenie Rzeczpospolitej Polskiej:

  1. Ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. U. 2018 poz. 1000).
  2. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO). 

    V. ZAKRES ZASTOSOWANIA

Zasady określone przez niniejszy dokument mają zastosowanie do całego systemu przetwarzania danych, a w szczególności do:
Wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów w formie papierowej oraz informatycznych, w których przetwarzane są lub będą dane osobowe.
Informacji będących własnością ADO lub jednostek obsługiwanych, o ile zostały przekazane na podstawie umów lub porozumień.
Informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych, oraz innych dokumentów zawierających dane osobowe.
Wszystkich nośników papierowych, magnetycznych lub optycznych, na których są lub będą znajdować się dane osobowe podlegające ochronie.
Wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie.
Wszystkich pracowników w rozumieniu przepisów Kodeksu Pracy, konsultantów, stażystów i innych osób mających dostęp do informacji podlegających ochronie.

VI. STRUKTURA DOKUMENTÓW POLITYKI BEZPIECZEŃSTWA
  1. Dokumenty Polityki ustanawiają metody zarządzania oraz wymagania niezbędne do zapewnienia skutecznej i spójnej ochrony przetwarzanych informacji.
  2. Zestaw dokumentów Polityki składa się z:
    a) Niniejszego dokumentu Polityki.
    b) Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
    c) Wykazu zbiorów danych osobowych wraz z ich strukturą, w których przetwarzane są dane osobowe w Candy Cat;
    d) Wykazu miejsc tworzących obszar, w którym przetwarzane są dane osobowe;
    e) Wzorcowego oświadczenia pracownika do przetwarzania danych osobowych;
    f) Wzorcowego upoważnienia dla pracownika do przetwarzania danych osobowych;
    g) Wzorcowej ewidencji osób upoważnionych do przetwarzania danych osobowych;
    h) Polityki monitoringu wizyjnego;
    i) Rejestru czynności przetwarzania danych osobowych;
    j) Instrukcji postępowania w sytuacji naruszeń ochrony danych osobowych mogących powodować wysokie ryzyko naruszenia praw i wolności osób;
    k) Planu ciągłości działania systemów informatycznych oraz procedura odtwarzania systemów po awariach;
    l) Polityki ochrony prywatności w fazie projektowania;
    m) Rejestru naruszeń ochrony danych osobowych;
    n) Metodologii oceny ryzyka przetwarzania danych osobowych;
    o) Raportu z ogólnej analizy ryzyka przetwarzania danych osobowych.

    VII. ODPOWIEDZIALNOŚĆ I KOMPETENCJE W ZARZĄDZANIU BEZPIECZEŃSTWEM DANYCH OSOBOWYCH
    1. Za przetwarzanie danych osobowych niezgodnie z prawem, z powierzonymi celami przetwarzania lub przechowywanie ich w sposób niezapewniający ochrony interesów osób, których te dane dotyczą, grozi odpowiedzialność karna wynikająca z przepisów Ustawy lub pracownicza na zasadach określonych w Kodeksie pracy.
    2. Do zadań ADO należy:
    2.1. Zapewnienie środków technicznych i organizacyjnych do ochrony przetwarzanych danych osobowych, odpowiednio do zagrożeń oraz kategorii danych objętych ochroną, w szczególności zabezpieczeniem danych przed:
    • Udostępnieniem osobom nieupoważnionym.
    • Zabraniem przez osobę nieuprawnioną.
    • Zmianą, utratą, uszkodzeniem lub zniszczeniem.
    2.2. Zapewnienie legalności przetwarzania danych osobowych, a w szczególności zadbanie, by:
    • Została pozyskana zgoda osoby, której dane dotyczą lub została spełniona inna przesłanka dopuszczająca przetwarzanie danych osobowych.
    • Został spełniony obowiązek informacyjny wobec osoby, której dane dotyczą.
    • Dane były przetwarzane zgodnie z obowiązującymi przepisami prawa oraz normami i dobrymi praktykami oraz normami społecznymi.
    • Dane zbierane były w oznaczonym zgodnym z prawem celem.
    • Dane były merytorycznie poprawne oraz zakres danych był adekwatny do celu zbierania.
    • Były przetwarzane z ograniczeniem czasowym.
    2.3. Wskazanie Osoby Wyznaczonej.
    2.4. Dopuszczanie do przetwarzania danych wyłącznie osoby zaznajomionej z przepisami z zakresu ochrony danych osobowych i posiadającej imienne upoważnienie, oraz wydawanie i zarządzanie upoważnieniami.
    2.5. Nadzorowanie i dbanie o zgodne z prawem przekazywanie danych osobowych (udostępnianie i powierzanie).
    2.6. Respektowanie prawa osób, których dane dotyczą, a w szczególności prawa do uzyskania informacji o:
    • ADO.
    • Celu, zakresie i sposobie przetwarzania danych.
    • Terminu od kiedy i jakie dane są przetwarzane.
    • Źródle, z którego dane pochodzą.
    • Sposobie udostępniania danych oraz ich odbiorcach.
  3. Do zadań Osoby Wyznaczonej należy:
    3.1. Sporządzanie i wprowadzenie w życie zasad bezpiecznego przetwarzania danych osobowych.
    3.2. Nadzór nad aktualizacją „Polityki bezpieczeństwa danych osobowych” zawierającej strategię ochrony danych przetwarzanych w systemach informatycznych oraz nadzorowanie przestrzegania określonych w niej zasad.
    3.3. Nadzór nad aktualizacją wraz z ASI „Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych” i  czuwanie nad jej przestrzeganiem.
    3.4. Prowadzenie i aktualizacja ewidencji osób upoważnionych do przetwarzania danych osobowych.
    3.5. Zarządzanie upoważnieniami do przetwarzania danych osobowych.
    3.6. Prowadzenie rejestru zbioru danych osobowych.
    3.7. Nadzorowanie obiegu oraz przechowywania dokumentów zawierających dane osobowe.
    3.8. Uczestniczenie w czynnościach kontrolnych właściwego organu nadzoru.
    3.9. Nadzorowanie fizycznych zabezpieczeń pomieszczeń, w których przetwarzane są dane osobowe, w tym nadzorowanie dostępu do tych pomieszczeń oraz kontrolę przebywających w nich osób.
    3.10. Nadzorowanie szkoleń personelu z zakresu bezpieczeństwa przetwarzania danych osobowych.
    3.11. Nadzorowanie bieżących procesów przetwarzania danych, w tym analizę sytuacji oraz przyczyn, które doprowadziły do naruszenia zasad bezpieczeństwa.
  4. Do zadań ASI należy:
    4.1. Przestrzeganie zasad ochrony danych osobowych określonych w „Polityce bezpieczeństwa danych osobowych” oraz „Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych” i dokumentach z nimi związanych.
    4.2. Zapewnienie prawidłowej eksploatacji systemu informatycznego, zgodnej z celami przetwarzania danych osobowych.
    4.3. Nadzorowanie wykonywania kopii zapasowych, odpowiedniego ich przechowywania oraz okresowego sprawdzania pod kątem ich dalszej przydatności do odtwarzania danych osobowych w przypadku awarii systemu.
    4.4. Zapewnienie ochrony nośników zawierających kopie zbiorów danych osobowych.
    4.5. Realizację wytycznych ADO w zakresie ochrony danych osobowych przetwarzanych z wykorzystaniem środków informatycznych.
    4.6. Wyjaśnianie wszystkich zgłoszonych nieprawidłowości i incydentów.
  5. Do obowiązków każdego pracownika i współpracownika ADO przetwarzającego dane osobowe należy:
    5.1. Zapoznanie się z zasadami określonymi w niniejszej Polityce oraz w Instrukcji Zarządzania Systemem Informatycznym. Pracownik potwierdza swoją znajomość Polityki przez podpisanie oświadczenia o zapoznaniu się z Polityką.
    5.2. Przestrzeganie zasad określonych w niniejszej Polityce i w Instrukcji Zarządzania Systemem Informatycznym.
    5.3. Ochrona prawa do prywatności osób fizycznych powierzających ADO swoje dane osobowe, poprzez przetwarzanie ich zgodnie z przepisami prawa oraz zasadami określonymi w Polityce i Instrukcji Zarządzania Systemem Informatycznym.
  6. ADO przy przetwarzaniu danych osobowych uwzględnia zasady privacy by default oraz privacy by
    design.
    6.1. Zasada privacy by design została uwzględniona w osobnym dokumencie – Polityka ochrony prywatności w fazie projektowania (privacy by design).
    6.2. W celu realizacji zasady privacy by default ADO, zgodnie z art. 25 ust. 2 RODO wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania (minimalizacja danych). Obowiązek ten odnosi się do:
    • ilości zbieranych danych osobowych (minimalizacja ilości danych),
    • zakresu ich przetwarzania (minimalizacja zakresu danych),
    • okresu ich przechowywania (minimalizacja okresu przechowywania danych),
    • dostępności danych (minimalizacja dostępu do danych),
    • reglamentacja dostępu do danych – ograniczenie dostępu dla osób trzecich

VIII. OBOWIĄZEK INFORMACYJNY

  1. W przypadku zbierania danych osobowych na formularzach, umowach, drukach (zarówno papierowych jak i elektronicznych), wymagane jest przekazanie osobie, której dotyczą dane informacji o:
    1.1. Adresie siedziby i pełnej nazwie ADO oraz danych kontaktowych.
    1.2. Celu przetwarzania danych oraz podstawie prawnej.
    1.3. Prawnie uzasadnionych interesach realizowanych przez ADO – jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f).
    1.4. Odbiorcach danych lub kategoriach odbiorców.
    1.5. Zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – gdy ma to zastosowanie.
    1.6. Okresie, przez który dane będą przechowywane.
    1.7. Tym czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.
    1.8. Prawie dostępu do treści swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania.
    1.9. Prawie do przenoszenia przetwarzanych danych osobowych.
    1.10. Prawie do sprzeciwu.
    1.11. Prawie wniesienia skargi do organu nadzorczego.
    1.12. Zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

IX. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ

  1. Każdej osobie, której dane są przetwarzane przez ADO, przysługują następujące uprawnienia:
    1.1. Prawo do informacji – osoba, której dane dotyczą może zwrócić się do ADO z wnioskiem o informacje o przetwarzanych przez ADO danych osobowych tej osoby (szczegóły znajdują się punkcie VIII powyżej).
    1.2. Prawo do sprostowania danych osobowych – osoba, której dane dotyczą może zwrócić się do ADO z wnioskiem o sprostowanie swoich danych osobowych.
    1.3. Prawo do usunięcia danych osobowych – osoba, której dane dotyczą może zwrócić się do ADO z wnioskiem o usunięcie swoich danych osobowych (pod warunkiem, że nie istnieje nadrzędna podstawa do ich przetwarzania, które ogranicza to prawo np. dane są potrzebne do realizacji praw innej osoby – np. dane dłużnika potrzebne do egzekucji roszczeń – lub wykonania obowiązku prawnego – np. dane niezbędne do wykonania obowiązku z zakresu księgowości – wtedy prawo do usunięcia nie przysługuje).
    1.4. Prawo do ograniczenia przetwarzania – osoba, której dane dotyczą, może się zwrócić z wnioskiem o ograniczenie przetwarzania jej danych osobowych (np. osoba, która wyraziła zgodę na kontakt telefoniczny w celu realizacji umowy i otrzymywaniu smsów marketingowych wnosi o ograniczenie przetwarzania jej danych i nie wysyłania jej już smsów marketingowych).
    1.5. Prawo do przeniesienia danych osobowych – osoba, której dane dotyczą, może zwrócić się do ADO z wnioskiem o przeniesienie jej danych osobowych do innego administratora (Takie prawo istnieje wtedy, gdy przetwarzanie jest oparte na zgodzie lub jest częścią umowy i odbywa się w sposób zautomatyzowany). Przeniesienie danych powinno nastąpić bez przeszkód, w powszechnie używanym, strukturyzowanym i czytelnym maszynowo formacie.
    1.6. Prawo do sprzeciwu przetwarzania – osoba, której dane dotyczą, może w każdym momencie wnieść sprzeciw przeciwko dalszemu przetwarzaniu jej danych osobowych, jeżeli te dane są przetwarzane w interesie publicznym lub w oparciu o interes prawny ADO. Sprzeciw przeciwko przetwarzaniu nie jest jednoznaczny z wnioskiem o usunięcie danych. W takim przypadku ADO nie może kasować danych tej osoby, ale nie może ich również aktywnie wykorzystywać.
    1.7. Prawo do cofnięcia zgody na przetwarzanie danych osobowych – osoba, której dane dotyczą, może w każdym momencie cofnąć zgodę, na podstawie której są przetwarzane jej dane osobowe. W takiej sytuacji ADO nie może dalej przetwarzać danych osobowych tej osoby od momentu cofnięcia jej zgody. Cofnięcie zgody nie ma wpływu na zgodność z prawem przetwarzania, które miało miejsce przed cofnięciem zgody.
    1.8. Prawo do wniesienia skargi do organu nadzorczego – osoba, której dane dotyczą, ma prawo do wniesienia skargi do organu nadzorującego ochronę danych osobowych, tj. do Prezesa Urzędu Ochrony Danych Osobowych.
  2. Osoba, której dane dotyczą może skorzystać z ww. praw w dowolnym momencie i dowolnej formie. Stosowne wnioski mogą być składane zarówno pisemnie, jak i ustnie.
  3. Odpowiedź powinna zostać udzielona osobie, której dane dotyczą niezwłocznie, nie później niż w terminie 1 miesiąca od otrzymania wniosku. W uzasadnionych przypadkach, gdy z uwagi na ilość wniosków lub ich złożony charakter, opracowanie wniosku w ww. terminie nie jest możliwe, ADO może poinformować o tym fakcie osobę, której dane dotyczą i opracować jej wniosek w terminie 2 miesięcy.
  4. Odpowiedź na wnioski odbywa się bezpłatnie. W przypadku nadmiernych wniosków (tj. dużej ilości wniosków tej samej osoby w bardzo krótkim czasie) ADO może naliczyć stosowną opłatę administracyjną lub odmówić udzielenia odpowiedzi.
  5. Dla celów dowodowych i ochrony w razie ewentualnych sporów lub postępowań sprawdzających, wszelkie wnioski oraz odpowiedzi należy dokumentować.

X. DOSTĘP DO INFORMACJI

  1. Wszystkie osoby, których rodzaj wykonywanej pracy będzie wiązał się z dostępem do danych osobowych, przed przystąpieniem do pracy, podlegają przeszkoleniu w zakresie obowiązujących przepisów prawa dotyczących ochrony danych osobowych oraz obowiązujących u ADO zasad ochrony danych osobowych.
  2. Zakres czynności dla osoby dopuszczonej do przetwarzania danych osobowych powinien określać zakres odpowiedzialności tej osoby za ochronę danych osobowych w stopniu odpowiednim do zadań tej osoby realizowanych przy przetwarzaniu tych danych.
  3. Udostępnianie danych osobowych podmiotom upoważnionym do ich otrzymania, na podstawie przepisów prawa, powinno odbywać się wg określonych odrębnymi przepisami procedur postępowania.
  4. Dostęp do danych osobowych może mieć wyłącznie osoba zaznajomiona z przepisami ustawy o ochronie danych osobowych oraz zasadami zawartymi w obowiązującej u ADO Polityce Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym.

    XI. POWIERZANIE DANYCH OSOBOWYCH
    1. ADO może powierzyć przetwarzanie danych osobowych innemu podmiotowi na podstawie umowy powierzenia w formie pisemnej, w tym formie elektronicznej, z zastrzeżeniem wyjątków wynikających z przepisów powszechnie obowiązującego prawa.
    2. Przekazanie zbiorów Podmiotowi przetwarzającemu w celu ich przetwarzania nie powoduje zmiany właściwego ADO.
    3. Podmiot przetwarzający zobowiązany jest wykorzystywać powierzone mu dane wyłącznie w celach i w zakresie, które zostały wskazane w zawartej z nim umowie.
    4. Podmiot przetwarzający obowiązany jest w szczególności do:
    4.1. Stosowania odpowiednich środków ochrony danych osobowych, w tym do zapewnienia fizycznej ochrony pomieszczeń, w których przetwarzane są dane oraz tworzenia kopii bezpieczeństwa systemów informatycznych, w których przetwarzane są powierzone dane osobowe.
    4.2. Opracowania, wdrożenia i stosowania dokumentacji dotyczącej przetwarzania danych osobowych.
    4.3. Niezwłocznego powiadomienia ADO o przypadkach naruszenia przetwarzania powierzonych danych osobowych oraz do dokumentowania wszelkich informacji, które mogą pomóc w ustaleniu okoliczności tego naruszenia, wraz z zachowaniem określonego w art. 33 RODO terminu na realizację tego powiadomienia.
    4.4. Zapewnienia, aby każda osoba stanowiąca personel podmiotu zewnętrznego przetwarzająca powierzone dane osobowe posiadała imienne upoważnienie do przetwarzania tych danych osobowych i była zobowiązana do zachowania poufności w stosunku do przetwarzanych danych osobowych, również po zakończeniu współpracy.
    4.5. Zniszczenia lub zwrotu przekazanych danych stosownie do zapisów umowy powierzenia przetwarzania danych.
    4.6. ADO zobowiązany jest do przeprowadzania kontroli wobec Podmiotu przetwarzającego pod kątem zgodności przetwarzania z przepisami prawa oraz z umową powierzenia przetwarzania danych. ADO może zlecić przeprowadzenie kontroli wyspecjalizowanemu podmiotowi zewnętrznemu.
  5. Umowa powierzenia przetwarzania, o której mowa w ust. 1 powinna określać m.in.:
    5.1. przedmiot i czas trwania przetwarzania;
    5.2. charakter i cel przetwarzania;
    5.3. rodzaj danych osobowych;
    5.4. kategorie osób, których dane dotyczą;
    5.5. obowiązki podmiotu przetwarzającego;
    5.6. obowiązki i prawa Administratora.

    XII. UDOSTĘPNIANIE DANYCH OSOBOWYCH

    1. Udostępnianie danych osobowych odbiorcom danych może nastąpić, podobnie jak przetwarzanie danych, w przypadku spełnienia jednej z przesłanek określonych poniżej:
    1.1. Osoba, której dane dotyczą, wyrazi na to zgodę.
    1.2. Jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
    1.3. Jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.
    1.4. Jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego.
    1.5. Jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
    2. Osoby upoważnione do przetwarzania danych, które w ramach swych obowiązków służbowych udostępniają dane osobowe mają obowiązek prowadzić ewidencję danych, które są udostępniane (określającą odbiorcę danych, przyczynę udostępnienia, zakres danych oraz datę udostępnienia).

    XIII. ZAGROŻENIA ZWIĄZANE Z PRZETWARZANIEM DANYCH OSOBOWYCH

    1. Identyfikacja zagrożeń.
    FORMA PRZETWARZANIA DANYCH
    ZAGROŻENIA
    Dane przetwarzane w sposób tradycyjny (papierowe)
    • Oszustwo.
    • Kradzież.
    • Sabotaż.
    • Zdarzenia losowe (powódź, pożar, zawalenie budynku itd).
    • Zaniedbania pracowników (niedyskrecja, przypadkowe/celowe udostępnienie danych osobie nieupoważnionej).
    • Niekontrolowana obecność osób nieupoważnionych w obszarze przetwarzania danych; pokonanie zabezpieczeń fizycznych.
    • Podsłuchy, podglądy; atak terrorystyczny.
    • Brak rejestrowania udostępniania danych.
    • Niewłaściwe miejsce i sposób przechowywania dokumentacji.
    Dane przetwarzane w systemach informatycznych
    • Wadliwe zarządzanie systemem identyfikatorów.
    • Niewłaściwa administracja systemem.
    • Niewłaściwa konfiguracja systemu.
    • Zniszczenie (sfałszowanie) kont użytkowników.
    • Kradzież danych kont.
    • Pokonanie zabezpieczeń programowych.
    • Zaniedbanie pracowników (niedyskrecja, udostępnianie danych osobom nieupoważnionym).
    • Niekontrolowana obecność nieuprawnionych osób.
    • Zdarzenia losowe (powódź, pożar).
    • Niekontrolowane wytwarzanie i wypływ danych poza obszar przetwarzania za pomocą nośników informacji i komputerów przenośnych.
    • Naprawy i konserwacja systemu lub sieci teleinformatycznej wykonane przez osoby nieuprawnione; przypadkowe lub celowe uszkodzenie systemów i aplikacji informatycznych lub sieci.
    • Przypadkowe lub celowe wprowadzanie zmian do chronionych danych osobowych; brak rejestrowania zdarzeń, tworzenia lub modyfikowania danych.
    2. Na podstawie przeprowadzonej analizy ryzyka, poziom ryzyka naruszenia bezpieczeństwa danych jest niski. Zastosowane techniczne i organizacyjne środki ochrony są adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych procesów przetwarzania.
    3. Uwzględniając kategorie przetwarzanych danych oraz zagrożenia zidentyfikowane w wyniku przeprowadzonej analizy ryzyka dla systemów informatycznych stosuje się wysoki poziom bezpieczeństwa. Okresowo należy przeprowadzić analizę ryzyka dla poszczególnych systemów i na tej podstawie określić środki techniczne i organizacyjne, celem zapewnienia właściwej ochrony przetwarzanym danym.

    XIV. ZABEZPIECZENIE PRZETWARZANYCH DANYCH OSOBOWYCH

W Spółce należy stosować następujące kategorie środków zabezpieczeń danych osobowych:

  1. Zabezpieczenia fizyczne:
    1.1. Pomieszczenia, w których przetwarzane są dane osobowe powinny być zamykane na klucz, nie mogą pozostawać otwarte bez opieki właściwego personelu.
    1.2. Pomieszczenia, w których przetwarzane są dane osobowe zlokalizowane w miejscach zabezpieczonych przed ingerencją osób nieupoważnionych.
  2. Zabezpieczenia procesów przetwarzania danych w dokumentacji papierowej:
    2.1. Przetwarzanie danych osobowych następuje w wyznaczonych pomieszczeniach.
    2.2. Przetwarzanie danych osobowych następuje przez wyznaczone do tego celu osoby, osoby nieupoważnione nie mogą mieć bezpośredniego dostępu do tych pomieszczeń.
  3. Zabezpieczenia organizacyjne:
    3.1. Osoby bezpośrednio odpowiedzialne za bezpieczeństwo danych na bieżąco kontrolują z należytą starannością, zgodnie z aktualnie obowiązującą w tym zakresie wiedzą i z obowiązującymi procedurami, pracę pracowników odpowiedzialnych za przetwarzanie danych osobowych oraz systemu informatycznego.
    3.2. Winny być regularnie prowadzone przez ADO kontrole stanu bezpieczeństwa systemów informatycznych i przestrzegania zasad ochrony informacji.
  4. Zabezpieczenia informatyczne.
    4.1. Zasady bezpiecznego użytkowania systemu informatycznego zawarte są w Instrukcji Zarządzania Systemem Informatycznym, obligatoryjnej do zapoznania się i stosowania przez wszystkich użytkowników systemów informatycznych funkcjonujących u ADO.
    4.2. Ochronę danych osobowych należy realizować z wykorzystaniem następujących minimalnych zabezpieczeń:
    4.2.1. Przyznawania indywidualnych identyfikatorów.
    4.2.2. Zapewnienie stopniowania uprawnień.
    4.2.3. Odnotowania daty pierwszego wprowadzenia danych w systemie.
    4.2.4. Odnotowania identyfikatora użytkownika wprowadzającego dane.
    4.2.5. Odnotowania źródła danych, w przypadku zbierania danych nie od osoby, której dane dotyczą.
    4.2.6. Odnotowania informacji o odbiorcach, którym dane zostały udostępnione, dacie i zakresie tego udostępnienia.
    4.2.7. Zapewnienie możliwości sporządzenia i wydrukowania raportu zawierającego dane osobowe wraz z informacjami o historii przetwarzania danych.
  5. W ramach zabezpieczenia danych osobowych ochronie podlegają:
    5.1. Sprzęt komputerowy – serwer, komputery osobiste, drukarki i inne urządzenia zewnętrzne.
    5.2. Oprogramowanie – kody źródłowe, programy użytkowe, systemy operacyjne, narzędzia wspomagające i programy komunikacyjne.
    5.3. Dane zapisane na dyskach oraz dane podlegające przetwarzaniu w systemie.
    5.4. Hasła użytkowników.
    5.5. Pliki dziennych operacji systemowych i baz danych, kopie zapasowe i archiwa.
    5.6. Dokumentacja – zawierająca dane systemu, opisująca jego zastosowanie, przetwarzane informacje.
    5.7. Związana z przetwarzaniem danych osobowych dokumentacja papierowa, z której dane są wprowadzane do systemu informatycznego lub też funkcjonują niezależnie od niego.

    XV. ARCHIWIZOWANIE INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE

    1. Archiwizację dokumentów zawierających dane osobowe prowadzi się w odpowiednio zabezpieczonych pomieszczeniach i na właściwie zabezpieczonych nośnikach informatycznych lub tradycyjnych.
    2. Dane zbędne dla prowadzonych spraw są natychmiast niszczone poprzez działania fizyczne i informatyczne uniemożliwiające ich odczytanie.

    XVI. POSTANOWIENIA KOŃCOWE

    1. Wszyscy pracownicy i współpracownicy ADO przetwarzający dane osobowe są zobowiązani do zapoznania się z treścią niniejszej polityki.
    2. Polityka bezpieczeństwa wchodzi w życie z dniem podpisania.
    3. Jakiekolwiek zmiany wprowadzane w załącznikach do niniejszej Polityki nie wymagają zmiany Polityki.

Załączniki:

  1. Instrukcja postępowania w sytuacji naruszeń ochrony danych osobowych mogących powodować wysokie ryzyko naruszenia praw i wolności osób;
  2. Plan ciągłości działania systemów informatycznych oraz procedura odtwarzania systemów po awariach;
  3. Polityka ochrony prywatności w fazie projektowania (privacy by design);
  4. Wykaz zbiorów danych osobowych;
  5. Polityka monitoringu wizyjnego;
  6. Wykaz obszarów przetwarzania danych osobowych;
  7. Rejestr naruszeń ochrony danych osobowych;
  8. Rejestr czynności przetwarzania.