Polityka ochrony danych osobowych
§1
[postanowienia ogólne]
1. Niniejszy dokument (dalej: Polityka) jest polityk? ochrony danych osobowych w rozumieniu RODO – rozporz?dzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w zwi?zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep??ywu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporz?dzenie o ochronie danych).
2. Polityka zawiera opis zasad ochrony danych obowi?zuj?cych w USKI Polskiej Uniwersyteckiej Szkole Kszta??cenia Indywidualnego Sp. z o.o.,
z siedzib? przy ul. ?adnej 2, 31-444 Kraków, wpisanej do rejestru przedsi?biorców Krajowego Rejestru S?dowego prowadzonego przez S?d Rejonowy dla Krakowa – ??ródmie??cia w Krakowie, XI Wydzia?? Gospodarczy Krajowego Rejestru S?dowego, KRS: 0000690324,
o kapitale zak??adowym w wysoko??ci 5.000,00 z??, (dalej: Spó??ka),
3. Administratorem danych osobowych jest USKI Polska Uniwersytecka Szko??a Kszta??cenia Indywidualnego Sp. z o.o., z siedzib? przy ul. ?adnej 2, 31-444 Kraków, wpisana do rejestru przedsi?biorców Krajowego Rejestru S?dowego prowadzonego przez S?d Rejonowy dla Krakowa – ??ródmie??cia w Krakowie, XI Wydzia?? Gospodarczy Krajowego Rejestru S?dowego, KRS: 0000690324, o kapitale zak??adowym w wysoko??ci 5.000,00 z??.
4. Odpowiedzialny za wdro??enie i utrzymanie niniejszej Polityki jest Zarz?d Spó??ki.
5. Za nadzór i monitorowanie przestrzegania Polityki odpowiada Inspektor Ochrony Danych (dalej: IOD). Kontakt: administracja@uski-polska.edu.pl
6. Spó??ka zapewnia zgodno??? post?powania kontrahentów Spó??ki
z niniejsz? Polityk? w odpowiednim zakresie, gdy dochodzi do przekazania im danych osobowych przez Spó??k?.
§2
[skróty i definicje]
1. Polityka oznacza niniejsz? Polityk? ochrony danych osobowych, o ile co innego nie wynika wyra??nie z kontekstu.
2. RODO oznacza rozporz?dzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych
w zwi?zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep??ywu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporz?dzenie o ochronie danych).
3. Dane oznaczaj? dane osobowe, o ile co innego nie wynika wyra??nie
z kontekstu.
4. Dane szczególnych kategorii oznaczaj? dane wymienione w art. 9 ust. 1 RODO, tj. dane osobowe ujawniaj?ce pochodzenie rasowe lub etniczne, pogl?dy polityczne, przekonania religijne lub ??wiatopogl?dowe, przynale??no??? do zwi?zków zawodowych, dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotycz?ce zdrowia, seksualno??ci lub orientacji seksualnej.
5. Dane karne oznaczaj? dane wymienione w art. 10 RODO, tj. dane dotycz?ce wyroków skazuj?cych i narusze?? prawa.
6. Dane dzieci oznaczaj? dane osób poni??ej 16 roku ??ycia.
7. Osoba oznacza osob?, której dane dotycz?, o ile co innego nie wynika wyra??nie z kontekstu.
8. Pomiot przetwarzaj?cy oznacza organizacj? lub osob?, której Spó??ka powierzy??a przetwarzanie danych osobowych.
9. Profilowanie oznacza dowoln? form? zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególno??ci do analizy lub prognozy aspektów dotycz?cych efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowa??, wiarygodno??ci, zachowania, lokalizacji lub przemieszczania si?.
10. Eksport danych oznacza przekazanie danych do pa??stwa trzeciego lub organizacji mi?dzynarodowej.
11. RCPD lub Rejestr oznacza Rejestr Czynno??ci Przetwarzania Danych Osobowych.
§3
[zasady ochrony danych osobowych w Spó??ce]
1. Administrator danych zobowi?zany jest zastosowa? ??rodki techniczne
i organizacyjne zapewniaj?ce ochron? przetwarzanych danych osobowych, odpowiednie do zagro??e?? oraz kategorii danych obj?tych ochron?, a w szczególno??ci powinien zabezpieczy? dane przed ich udost?pnianiem osobom nieupowa??nionym, zabraniem przez osob? nieuprawnion?, przetwarzaniem z naruszeniem ustawy oraz zmian?, utrat?, uszkodzeniem lub zniszczeniem.
2. Administrator danych zobowi?zany jest do zapewnienia, aby dane osobowe by??y:
1) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotycz? („zgodno??? z prawem, rzetelno??? i przejrzysto???”);
2) zbierane w konkretnych, wyra??nych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);
3) adekwatne, stosowne oraz ograniczone do tego, co niezb?dne do celów, w których s? przetwarzane („minimalizacja danych”);
4) prawid??owe i w razie potrzeby uaktualniane; nale??y podj?? wszelkie rozs?dne dzia??ania, aby dane osobowe, które s? nieprawid??owe
w ??wietle celów ich przetwarzania, zosta??y niezw??ocznie usuni?te lub sprostowane („prawid??owo???”);
5) przechowywane w formie umo??liwiaj?cej identyfikacj? osoby, której dane dotycz?, przez okres nie d??u??szy, ni?? jest to niezb?dne do celów, w których dane te s? przetwarzane („ograniczenie przechowywania”);
6) przetwarzane w sposób zapewniaj?cy odpowiednie bezpiecze??stwo danych osobowych, w tym ochron? przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkow? utrat?, zniszczeniem lub uszkodzeniem, za pomoc? odpowiednich ??rodków technicznych lub organizacyjnych („integralno??? i poufno???”).
3. Administrator danych wyznacza IOD w przypadkach, w których RODO wprowadza taki obowi?zek, lub w sytuacji, gdy sam uzna to za konieczne.
4. Do przetwarzania danych mog? by? dopuszczone wy???cznie osoby posiadaj?ce upowa??nienie nadane przez Administratora danych. Osoby te s? zobowi?zane zachowa? w tajemnicy te dane osobowe oraz sposoby ich zabezpieczania.
5. Administrator danych jest obowi?zany zapewni? kontrol? nad tym, jakie dane osobowe, kiedy i przez kogo zosta??y do zbioru wprowadzone oraz komu s? przekazywane.
6. IOD powo??any przez Spó??k? odpowiada za bezpiecze??stwo systemu informatycznego, w którym przetwarzane s? dane osobowe.
7. Do obowi?zków IOD nale??y:
1) Wykonywanie zada?? okre??lonych w RODO, a w szczególno??ci w przepisach art. 39 ust. 1 RODO,
2) nadzór nad przestrzeganiem Polityki bezpiecze??stwa i Instrukcji zarz?dzania systemem informatycznym s??u???cym do przetwarzania danych osobowych,
3) nadzór i kontrola systemów informatycznych s??u???cych do przetwarzania danych osobowych i osób przy nim zatrudnionych,
4) nadzór nad w??a??ciwym zabezpieczeniem sprz?tu oraz pomieszcze??, w których przetwarzane s? dane osobowe,
5) nadzór nad wykorzystanym w placówce oprogramowaniem oraz jego legalno??ci?,
6) przeciwdzia??anie dost?powi osób niepowo??anych do systemu, w którym przetwarzane s? dane osobowe,
7) podejmowanie odpowiednich dzia??a?? w celu w??a??ciwego zabezpieczania danych,
8) badanie ewentualnych narusze?? w systemie zabezpiecze?? danych osobowych,
9) podejmowanie decyzji o instalowaniu nowych urz?dze?? oraz oprogramowania wykorzystanego do przetwarzania danych osobowych,
10) nadzór nad naprawami, konserwacj? oraz likwidacj? urz?dze?? komputerowych, zawieraj?cych dane osobowe,
11) definiowanie hase?? dost?pu,
12) aktualizowanie oprogramowania antywirusowego i innego, chyba, ??e aktualizacje te wykonywane s? automatycznie,
13) wykonywanie kopii zapasowych, ich przechowywanie oraz okresowe sprawdzanie pod k?tem ich dalszej przydatno??ci,
14) wdro??enie wewn?trznych szkole?? z zakresu przepisów dotycz?cych ochrony danych osobowych oraz ??rodków technicznych i organizacyjnych przy przetwarzaniu danych w systemach informatycznych,
15) sporz?dzanie raportów z naruszenia bezpiecze??stwa systemu informatycznego oraz systemu przechowywania i zabezpieczenia danych osobowych zgromadzonych i utrwalonych w innej formie, ni?? elektroniczna,
16) zapewnienie ochrony i bezpiecze??stwa danych osobowych znajduj?cych si? w systemie informatycznym Spó??ki oraz w tradycyjnych zbiorach danych, ze szczególnym uwzgl?dnieniem dokumentacji medycznej,
17) niezw??oczne informowanie Administratora danych lub osoby przez niego upowa??nionej o przypadkach naruszenia przepisów ustawy o ochronie danych osobowych,
18) podejmowanie, zgodnie z Polityk?, stosownych dzia??a?? w przypadku wykrycia nieuprawnionego dost?pu do bazy danych lub naruszenia zabezpieczenia danych znajduj?cych si? w systemie informatycznym oraz danych osobowych zgromadzonych i utrwalonych w innej formie, ni?? elektroniczna,
19) zapewnienie fizycznego bezpiecze??stwa systemu informatycznego oraz systemu przechowywania i zabezpieczenia danych osobowych zgromadzonych i utrwalonych w innej formie, ni?? elektroniczna,
20) zapewnienie bezpiecze??stwa funkcjonowania wszystkich urz?dze?? pracuj?cych w systemie,
21) zapewnienie dost?pu do systemu wy???cznie dla osób uprawnionych.
§4
[system ochrony danych osobowych]
1. Spó??ka dokonuje identyfikacji zasobów danych osobowych, klas danych, zale??no??ci mi?dzy zasobami danych, identyfikacji sposobów wykorzystania danych, w tym:
1) przypadków przetwarzania danych szczególnych kategorii i danych karnych,
2) przypadków przetwarzania danych osób, których spó??ka nie identyfikuje,
3) przypadków przetwarzania danych dzieci,
4) profilowania,
5) wspó??administrowania danymi.
2. Spó??ka opracowuje, prowadzi i utrzymuje Rejestr Czynno??ci Przetwarzania Danych Osobowych. Rejestr jest narz?dziem rozliczania zgodno??ci z ochron? danych w Spó??ce.
3. Spó??ka zapewnia, identyfikuje, weryfikuje podstawy prawne przetwarzania danych i rejestruje je w Rejestrze, w tym:
1) utrzymuje system zarz?dzania zgodami na przetwarzanie danych
i komunikacj? na odleg??o???,
2) inwentaryzuje i uszczegó??awia przypadki, gdy Spó??ka przetwarza dane na podstawie prawnie uzasadnionego interesu Spó??ki.
4. Spó??ka spe??nia obowi?zki informacyjne wzgl?dem osób, których dane przetwarza, oraz zapewnia obs??ug? ich praw, realizuj?c otrzymane
w tym zakresie ???dania, a w szczególno??ci:
1) przekazuje osobom prawem wymagane informacje przy zbieraniu danych i w innych sytuacjach oraz organizuje i zapewnia udokumentowanie realizacji tych obowi?zków,
2) weryfikuje i zapewnia mo??liwo??? efektywnego wykonania ka??dego typu ???dania przez siebie i swoich przetwarzaj?cych,
3) zapewnia odpowiednie nak??ady i procedury, aby ???dania osób by??y realizowane w terminach i w sposób wymagany przez RODO
i odpowiednio dokumentowane,
4) stosuje procedury pozwalaj?ce na ustalenie konieczno??ci zawiadomienia osób dotkni?tych zidentyfikowanym naruszeniem ochrony danych.
5. Spó??ka stosuje zasady i metody zarz?dzania minimalizacj? (privacy by deflaut), a w tym:
1) zasady zarz?dzania adekwatno??ci? danych,
2) zasady reglamentacji i zarz?dzania dost?pem do danych,
3) zasady zarz?dzania okresem przechowywania danych i weryfikacji dalszej przydatno??ci.
6. Spó??ka zapewnia odpowiedni poziom bezpiecze??stwa danych, w tym:
1) przeprowadza analizy ryzyka dla czynno??ci przetwarzania danych lub ich kategorii,
2) przeprowadza oceny skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw i wolno??ci osób jest wysokie,
3) dostosowuje ??rodki ochrony danych do ustalonego ryzyka,
4) stosuje procedury pozwalaj?ce na identyfikacj?, ocen? i zg??oszenie zidentyfikowanego naruszenia ochrony danych Urz?dowi Ochrony Danych – zarz?dza incydentami.
7. Spó??ka posiada zasady doboru przetwarzaj?cych dane na rzecz Spó??ki, wymogów co do warunków przetwarzania (umowa powierzenia), zasad weryfikacji wykonania umów powierzenia.
8. Spó??ka stosuje zasady weryfikacji, czy nie przekazuje danych do pa??stw trzecich (poza UE, Norwegi?, Lichtenstein, Islandi?) lub do organizacji mi?dzynarodowych oraz zapewnia zgodne z prawem warunki przekazania, je??li ma ono miejsce.
9. Spó??ka zarz?dza zmianami wp??ywaj?cymi na prywatno???. W tym celu procedury uruchamiania nowych projektów i inwestycji w Spó??ce uwzgl?dniaj? konieczno??? oceny wp??ywu zmiany na ochron? danych, analiz? ryzyka, zapewnienie prywatno??ci (a w tym celów przetwarzania, bezpiecze??stwa danych i minimalizacji) ju?? w fazie projektowania zmiany, inwestycji czy na pocz?tku nowego projektu.
10. Spó??ka stosuje zasady weryfikacji, kiedy zachodz? przypadki przetwarzania transgranicznego oraz zasady ustalania wiod?cego organu nadzorczego i g??ównej jednostki organizacyjnej w rozumieniu RODO.
§5
[inwentaryzacja]
1. Spó??ka identyfikuje przypadki, w których:
1) przetwarza lub mo??e przetwarza? dane szczególnych kategorii lub dane karne, oraz utrzymuje dedykowane mechanizmy zapewnienia zgodno??ci z prawem przetwarzania takich danych. W razie zidentyfikowania przypadków przetwarzania danych szczególnych kategorii lub danych karnych Spó??ka post?puje zgodnie z przyj?tymi zasadami w tym zakresie,
2) przetwarza lub mo??e przetwarza? dane niezidentyfikowane
i utrzymuje mechanizmy u??atwiaj?ce realizacj? praw osób, których dotycz? dane niezidentyfikowane,
3) dokonuje profilowania przetwarzanych danych i utrzymuje mechanizmy zapewniaj?ce zgodno??? tego procesu z prawem.
W razie zidentyfikowania przypadków profilowania
i zautomatyzowanego podejmowania decyzji Spó??ka post?puje zgodnie z przyj?tymi zasadami w tym zakresie,
4) wspó??administruje danymi i post?puje w tym zakresie zgodnie
z przyj?tymi zasadami.
§6
[Rejestr Czynno??ci Przetwarzania Danych]
1. Rejestr Czynno??ci Przetwarzania Danych stanowi form? dokumentowania czynno??ci przetwarzania danych, pe??ni rol? mapy przetwarzania danych i jest jednym z kluczowych elementów umo??liwiaj?cych realizacj? fundamentalnej zasady, na której opiera si? ca??y system ochrony danych osobowych, czyli zasady rozliczalno??ci.
2. Spó??ka prowadzi Rejestr, w którym inwentaryzuje i monitoruje sposób,
w jaki wykorzystuje dane osobowe.
3. Rejestr jest jednym z podstawowych narz?dzi umo??liwiaj?cych Spó??ce rozliczanie wi?kszo??ci obowi?zków ochrony danych.
4. Spó??ka dokumentuje w Rejestrze podstawy prawne przetwarzania danych dla poszczególnych czynno??ci przetwarzania.
5. Wskazuj?c w dokumentach ogóln? podstaw? prawn? (zgoda, umowa, obowi?zek prawny, ??ywotne interesy, zadanie publiczne, uzasadniony cel spó??ki), Spó??ka dookre??la podstaw? w precyzyjny i czytelny sposób.
6. Spó??ka wdra??a metody zarz?dzania zgodami umo??liwiaj?ce rejestracj? i weryfikacj? posiadania zgody osoby na przetwarzanie jej konkretnych danych w konkretnym celu, zgody na komunikacj? na odleg??o??? oraz rejestracj? odmowy zgody, cofni?cia zgody i podobnych czynno??ci.
§7
[sposób obs??ugi praw jednostki i obowi?zków informacyjnych]
1. Spó??ka dba o czytelno??? i styl przekazywanych informacji i komunikacji
z osobami, których dane przetwarza.
2. Spó??ka u??atwia osobom korzystanie z ich praw poprzez ró??ne dzia??ania, tj.: zamieszczanie na stronie internetowej Spó??ki informacji lub linków do informacji o prawach osób, sposobie skorzystania z nich w Spó??ce,
w tym wymaganiach dotycz?cych identyfikacji, metodach kontaktu ze Spó??k? w tym celu, ewentualnym cenniku ???da?? „dodatkowych” itp.
3. Spó??ka dba o dotrzymywanie prawnych terminów realizacji obowi?zków wzgl?dem osób.
4. Spó??ka wprowadza adekwatne metody identyfikacji i uwierzytelniania osób dla potrzeb realizacji praw jednostki i obowi?zków informacyjnych.
5. W celu realizacji praw jednostki Spó??ka zapewnia procedury
i mechanizmy pozwalaj?ce zidentyfikowa? dane konkretnych osób przetwarzane przez Spó??k?, zintegrowa? te dane, wprowadza? do nich zmiany i usuwa? je w sposób zintegrowany.
6. Spó??ka dokumentuje obs??ug? obowi?zków informacyjnych, zawiadomie?? i ???da?? osób.
§8
[obowi?zki informacyjne]
1. Spó??ka okre??la zgodne z prawem i efektywne sposoby wykonywania obowi?zków informacyjnych.
2. Spó??ka informuje osob? o przed??u??eniu ponad jeden miesi?c terminu na rozpatrzenie ???dania tej osoby.
3. Spó??ka informuje osob? o przetwarzaniu jej danych, przy pozyskiwaniu danych tej osoby.
4. Spó??ka informuje osob? o przetwarzaniu jej danych, przy pozyskiwaniu danych o tej osobie niebezpo??rednio od niej.
5. Spó??ka okre??la sposób informowania osób o przetwarzaniu danych niezidentyfikowanych, tam, gdzie to jest mo??liwe.
6. Spó??ka informuje osob? o planowanej zmianie celu przetwarzania danych.
7. Spó??ka informuje osob? przed uchyleniem ograniczenia przetwarzania.
8. Spó??ka informuje odbiorców danych o sprostowaniu, usuni?ciu lub ograniczeniu przetwarzania danych (chyba ??e b?dzie to wymaga??o niewspó??miernie du??ego wysi??ku lub b?dzie niemo??liwe).
9. Spó??ka informuje osob? o prawie sprzeciwu wzgl?dem przetwarzania danych przy pierwszym kontakcie z t? osob?.
10. Spó??ka bez zb?dnej zw??oki zawiadamia osob? o naruszeniu ochrony danych osobowych, je??eli mo??e ono powodowa? wysokie ryzyko naruszenia praw lub wolno??ci tej osoby.
§9
[???dania osób]
1. Realizuj?c prawa osób, których dane dotycz?, Spó??ka wprowadza proceduralne gwarancje ochrony praw i wolno??ci osób trzecich.
W szczególno??ci w przypadku powzi?cia wiarygodnej wiadomo??ci
o tym, ??e wykonanie ???dania osoby o wydanie kopii danych lub prawa do przeniesienia danych mo??e niekorzystnie wp??yn?? na prawa
i wolno??ci innych osób, Spó??ka mo??e si? zwróci? do osoby w celu wyja??nienia w?tpliwo??ci lub podj?? inne prawem dozwolone kroki, ???cznie z odmow? zado???uczynienia ???daniu.
2. Spó??ka informuje osob? o tym, ??e nie przetwarza danych jej dotycz?cych, je??li taka osoba zg??osi??a ???danie dotycz?ce jej praw.
3. Spó??ka informuje osob?, w ci?gu miesi?ca od otrzymania ???dania,
o odmowie rozpatrzenia ???dania i o prawach osoby z tym zwi?zanych.
4. Na ???danie osoby dotycz?ce dost?pu do jej danych Spó??ka informuje osob?, czy przetwarza jej dane, oraz informuje osob? o szczegó??ach przetwarzania, zgodnie z art. 15 RODO, a tak??e udziela osobie dost?pu do danych jej dotycz?cych. Dost?p do danych mo??e by? zrealizowany przez wydanie kopii danych, z zastrze??eniem, ??e kopii danych wydanej w wykonaniu prawa dost?pu do danych Spó??ka nie uzna za pierwsz? nieodp??atn? kopi? danych dla potrzeb op??at za kopie danych.
5. Na ???danie Spó??ka wydaje osobie kopi? danych jej dotycz?cych
i odnotowuje fakt wydania pierwszej kopii danych. Spó??ka wprowadza
i utrzymuje cennik kopii danych, zgodnie z którym pobiera op??aty za kolejne kopie danych. Cena kopii danych skalkulowana jest na podstawie oszacowanego jednostkowego kosztu obs??ugi ???dania wydania kopii danych.
6. Spó??ka dokonuje sprostowania nieprawid??owych danych na ???danie osoby. Spó??ka ma prawo odmówi? sprostowania danych, chyba ??e osoba w rozs?dny sposób wyka??e nieprawid??owo??ci danych, których sprostowania si? domaga. W przypadku sprostowania danych Spó??ka informuje osob? o odbiorcach danych, na ???danie tej osoby.
7. Spó??ka uzupe??nia i aktualizuje dane na ???danie osoby. Spó??ka ma prawo odmówi? uzupe??nienia danych, je??eli uzupe??nienie by??oby niezgodne z celami przetwarzania danych. Spó??ka mo??e polega? na o??wiadczeniu osoby co do uzupe??nianych danych, chyba ??e b?dzie to niewystarczaj?ce w ??wietle przyj?tych przez Spó??k? procedur, prawa lub zaistniej? podstawy, aby uzna? o??wiadczenie za niewiarygodne.
8. Na ???danie osoby Spó??ka usuwa dane, gdy:
1) dane nie s? niezb?dne do celów, dla których zosta??y zebrane, ani przetwarzane w innych zgodnych z prawem celach,
2) zgoda na ich przetwarzanie zosta??a cofni?ta, a nie ma innej podstawy prawnej przetwarzania,
3) osoba wnios??a skuteczny sprzeciw wzgl?dem przetwarzania tych danych,
4) dane by??y przetwarzane niezgodnie z prawem,
5) konieczno??? usuni?cia wynika z obowi?zku prawnego,
6) ???danie dotyczy danych dziecka zebranych na podstawie zgody
w celu ??wiadczenia us??ug spo??ecze??stwa informacyjnego oferowanych bezpo??rednio dziecku.
9. Spó??ka okre??la sposób obs??ugi prawa do usuni?cia danych w taki sposób, aby zapewni? efektywn? realizacj? tego prawa przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpiecze??stwa, a tak??e weryfikacj?, czy nie zachodz? wyj?tki,
o których mowa w art. 17 ust. 3 RODO.
10. Je??eli dane podlegaj?ce usuni?ciu zosta??y upublicznione przez Spó??k?, Spó??ka podejmuje rozs?dne dzia??ania, w tym ??rodki techniczne, by poinformowa? innych administratorów przetwarzaj?cych te dane osobowe o potrzebie usuni?cia danych i dost?pu do nich.
11. W przypadku usuni?cia danych Spó??ka informuje osob? o odbiorcach danych, na ???danie tej osoby.
12. Spó??ka dokonuje ograniczenia przetwarzania danych na ???danie osoby, gdy:
1) osoba kwestionuje prawid??owo??? danych – na okres pozwalaj?cy sprawdzi? ich prawid??owo???,
2) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotycz?, sprzeciwia si? usuni?ciu danych osobowych, ???daj?c
w zamian ograniczenia ich wykorzystania,
3) Spó??ka nie potrzebuje ju?? danych osobowych, ale s? one potrzebne osobie, której dane dotycz?, do ustalenia, dochodzenia lub obrony roszcze??,
4) osoba wnios??a sprzeciw wzgl?dem przetwarzania z przyczyn zwi?zanych z jej szczególn? sytuacj? – do czasu stwierdzenia, czy po stronie Spó??ki zachodz? prawnie uzasadnione podstawy nadrz?dne wobec podstaw sprzeciwu.
13. W trakcie ograniczenia przetwarzania Spó??ka przechowuje dane, natomiast nie przetwarza ich (nie wykorzystuje, nie przekazuje), bez zgody osoby, której dane dotycz?, chyba ??e w celu ustalenia, dochodzenia lub obrony roszcze??, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na wa??ne wzgl?dy interesu publicznego.
14. Spó??ka informuje osob? przed uchyleniem ograniczenia przetwarzania.
15. W przypadku ograniczenia przetwarzania danych Spó??ka informuje osob? o odbiorcach danych, na ???danie tej osoby.
16. Na ???danie osoby Spó??ka wydaje w ustrukturyzowanym, powszechnie u??ywanym formacie nadaj?cym si? do odczytu maszynowego lub przekazuje innemu podmiotowi, je??li jest to mo??liwe, dane dotycz?ce tej osoby, które dostarczy??a ona Spó??ce, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z ni? zawartej w systemach informatycznych Spó??ki.
17. Je??eli osoba zg??osi umotywowany jej szczególn? sytuacj? sprzeciw wzgl?dem przetwarzania jej danych, a dane przetwarzane s? przez Spó??k? w oparciu o uzasadniony interes Spó??ki lub o powierzone Spó??ce zadanie w interesie publicznym, Spó??ka uwzgl?dni sprzeciw, o ile nie zachodz? po stronie Spó??ki wa??ne prawnie uzasadnione podstawy do przetwarzania, nadrz?dne wobec interesów, praw i wolno??ci osoby zg??aszaj?cej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszcze??.
18. Je??eli osoba zg??osi sprzeciw wzgl?dem przetwarzania jej danych przez Spó??k? na potrzeby marketingu bezpo??redniego (w tym celu ewentualnie profilowania), Spó??ka uwzgl?dni sprzeciw i zaprzestanie takiego przetwarzania.
19. Je??eli Spó??ka przetwarza dane w sposób automatyczny, w tym
w szczególno??ci profiluje osoby i w konsekwencji podejmuje wzgl?dem osoby decyzje wywo??uj?ce skutki prawne lub inaczej istotnie wp??ywaj?ce na osob?, Spó??ka zapewnia mo??liwo??? odwo??ania si? do interwencji i decyzji cz??owieka po stronie Spó??ki, chyba ??e taka automatyczna decyzja:
1) jest niezb?dna do zawarcia lub wykonania umowy mi?dzy odwo??uj?c? si? osob? a Spó??k?, lub
2) jest wprost dozwolona przepisami prawa, lub
3) opiera si? na wyra??nej zgodzie odwo??uj?cej si? osoby.
§10
[minimalizacja]
1. Spó??ka dba o minimalizacj? przetwarzania danych pod k?tem:
1) adekwatno??ci danych do celów,
2) dost?pu do danych,
3) czasu przechowywania danych.
2. Spó??ka zweryfikowa??a zakres pozyskiwanych danych, zakres ich przetwarzania i ilo??? przetwarzanych danych pod k?tem adekwatno??ci do celów przetwarzania w ramach wdro??enia RODO.
3. Spó??ka dokonuje okresowego przegl?du ilo??ci przetwarzanych danych
i zakresu ich przetwarzania nie rzadziej ni?? raz na rok.
4. Spó??ka przeprowadza weryfikacj? zmian co do ilo??ci i zakresu przetwarzania danych w ramach procedur zarz?dzania zmian? (privacy by design).
5. Spó??ka stosuje ograniczenia dost?pu do danych osobowych:
1) prawne ( zobowi?zania do poufno??ci, zakresy upowa??nie??),
2) fizyczne (strefy dost?pu, zamykanie pomieszcze??),
3) logiczne (ograniczenia uprawnie?? do systemów przetwarzaj?cych dane osobowe i zasobów sieciowych w których rezyduj? dane osobowe).
6. Spó??ka stosuje kontrol? dost?pu fizycznego.
7. Spó??ka dokonuje aktualizacji uprawnie?? dost?powych przy zmianach
w sk??adzie personelu i zmianach ról osób oraz zmianach podmiotów przetwarzaj?cych.
8. Spó??ka dokonuje okresowego przegl?du ustanowionych u??ytkowników systemów i aktualizuje ich nie rzadziej ni?? raz na rok.
9. Spó??ka wdra??a mechanizmy kontroli cyklu ??ycia danych osobowych
w Spó??ce, w tym weryfikacji dalszej przydatno??ci danych wzgl?dem terminów i punktów kontrolnych wskazanych w Rejestrze.
10. Dane, których zakres przydatno??ci ulega ograniczeniu wraz z up??ywem czasu, s? usuwane z systemów produkcyjnych Spó??ki, jak te?? z akt podr?cznych i g??ównych. Dane takie mog? by? archiwizowane oraz znajdowa? si? na kopiach zapasowych systemów i informacji przetwarzanych przez Spó??k?. Zasady archiwizacji i korzystania
z archiwów, tworzenia i wykorzystania kopii zapasowych uwzgl?dniaj? wymagania kontroli nad cyklem ??ycia danych, a w tym wymogi usuwania danych.
§11
[bezpiecze??stwo]
1. Spó??ka zapewnia stopie?? bezpiecze??stwa odpowiadaj?cy ryzyku naruszenia praw i wolno??ci osób fizycznych wskutek przetwarzania danych osobowych przez Spó??k?.
2. Spó??ka przeprowadza i dokumentuje analizy adekwatno??ci ??rodków bezpiecze??stwa danych osobowych. W tym celu:
1) Spó??ka zapewnia odpowiedni stan wiedzy o bezpiecze??stwie informacji, cyberbezpiecze??stwie i ci?g??o??ci dzia??ania – wewn?trznie lub ze wsparciem podmiotów wyspecjalizowanych,
2) Spó??ka kategoryzuje dane oraz czynno??ci przetwarzania pod katem ryzyka, które przedstawiaj?.
3) Spó??ka przeprowadza analizy ryzyka naruszenia praw lub wolno??ci osób fizycznych dla czynno??ci przetwarzania danych lub ich kategorii. Spó??ka analizuje mo??liwe sytuacje i scenariusze naruszenia ochrony danych osobowych, uwzgl?dniaj?c charakter, zakres kontekst i cele przetwarzania, ryzyko naruszenia praw lub wolno??ci osób fizycznych o ró??nym prawdopodobie??stwie wyst?pienia
i wadze zagro??enia,
4) Spó??ka ustala mo??liwe do zastosowania organizacyjne i techniczne ??rodki bezpiecze??stwa i ocenia koszt ich wdra??ania. W tym spó??ka ustala przydatno??? i stosuje ??rodki i podej??cie, jak:
a) pseudonimizacja,
b) szyfrowanie danych,
c) inne ??rodki cyberbezpiecze??stwa sk??adaj?ce si? na zdolno??? do ci?g??ego zapewnienia poufno??ci, integralno??ci, dost?pno??ci
i odporno??ci systemów i us??ug przetwarzania,
d) ??rodki zapewnienia ci?g??o??ci dzia??ania i zapobiegania skutkom katastrof, czyli zdolno??ci do szybkiego przywrócenia dost?pno??ci danych osobowych i dost?pu do nich w razie incydentu fizycznego lub technicznego.
3. Spó??ka dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych tam, gdzie zgodnie z analiz? ryzyka ryzyko naruszenia praw i wolno??ci osób jest wysokie.
4. Spó??ka stosuje metodyk? oceny skutków przyj?t? w Spó??ce.
5. Spó??ka stosuje ??rodki bezpiecze??stwa ustalone w ramach analizy ryzyka i adekwatno??ci ??rodków bezpiecze??stwa oraz ocen skutków dla ochrony danych.
6. Spó??ka stosuje procedury pozwalaj?ce na identyfikacj?, ocen?
i zg??oszenie zidentyfikowanego naruszenia ochrony danych Urz?dowi Ochrony Danych w terminie 72 godzin.
§12
[eksport danych]
1. Spó??ka stosuje zasady doboru i weryfikacji przetwarzaj?cych dane na rzecz Spó??ki opracowane w celu zapewnienia, aby przetwarzaj?cy dawali wystarczaj?ce gwarancje wdro??enia odpowiednich ??rodków organizacyjnych i technicznych dla zapewnienia bezpiecze??stwa, realizacji praw jednostki i innych obowi?zków ochrony danych spoczywaj?cych na Spó??ce.
2. Spó??ka rozlicza przetwarzaj?cych z wykorzystania podprzetwarzaj?cych, jak te?? z innych wymaga?? wynikaj?cych z zasad powierzenia danych osobowych.
3. Spó??ka rejestruje w Rejestrze przypadki eksportu danych, czyli przekazywania danych poza Europejski Obszar Gospodarczy.
4. Spó??ka zarz?dza zmian? maj?c? wp??yw na prywatno??? w taki sposób, aby umo??liwi? zapewnienie odpowiedniego bezpiecze??stwa danych osobowych oraz minimalizacji ich przetwarzania. W tym celu zasady prowadzenia projektów i inwestycji przez Spó??k? odwo??uj? si? do zasad bezpiecze??stwa danych osobowych i minimalizacji, wymagaj?c oceny wp??ywu na prywatno??? i ochron? danych, uwzgl?dnienia
i zaprojektowania bezpiecze??stwa i minimalizacji przetwarzania danych od pocz?tku projektu lub inwestycji.