POLITYKA OCHRONY DANYCH OSOBOWYCH
MLabs spółka z ograniczoną odpowiedzialnością realizując obowiązki nałożone na administratora danych osobowych na mocy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE z dniem 25 maja 2018 r. wprowadza następującą politykę ochrony danych osobowych.
Zarząd Spółki zobowiązuje wszystkich pracowników Spółki do się z treścią Polityki oraz do wdrożenia w zasad niniejszej Polityki.
Definicje i skróty
dane osobowe - informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą");
przetwarzanie - operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
zbiór danych - uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
AD - administrator danych - osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych,
podmiot przetwarzający - osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
odbiorca - osoba fizyczną lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem, nie są uznawane za odbiorców;
ograniczenie przetwarzania - oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;
zgoda osoby, której dane dotyczą - dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
naruszenie ochrony danych osobowych - naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
pseudonimizacja - przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
dane genetyczne - dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;
dane biometryczne - dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;
dane dotyczące zdrowia - dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej - w tym o korzystaniu z usług opieki zdrowotnej - ujawniające informacje o stanie jej zdrowia.
RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Organ nadzorczy - Urząd Ochrony Danych Osobowych.
Spółka - MLabs sp. z o.o., przedsiębiorca, który wprowadził niniejszą Politykę Ochrony Danych Osobowych
Cel i zakres przetwarzania danych osobowych
§ 1
1. Spółka przetwarza dane osobowe w celu wykonywania zadań związanych z prowadzeniem przez nią działalności gospodarczej w zakresie niezbędnym i adekwatnym do realizacji zadań.
2. Spółka jest administratorem danych osobowych w rozumieniu RODO.
3. Zasady określone w niniejszym dokumencie mają zastosowanie do ochrony danych osobowych przetwarzanych w Spółce w formie papierowej oraz znajdujących się na wszelkich elektronicznych nośnikach informacji, systemach informatycznych, także w przypadkach przetwarzania danych poza zbiorem danych.
4. W Spółce nie przewiduje się profilowania, w rozumieniu RODO.
5. W Spółce nie przewiduje się podejmowania decyzji w sposób zautomatyzowany.
6. W Spółce nie przewiduje się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących seksualności lub orientacji seksualnej tej osoby.
7. Jeżeli wynika to z przepisów prawa lub spełniona jest jedna z przesłanek wymienionych w art. 9 ust. 2 RODO w Spółce dopuszcza się przetwarzanie danych dotyczących zdrowia i przynależności do związków zawodowych.
8. Przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa w Spółce dopuszczalne jest wyłącznie w przypadkach określonych wyraźnie w przepisach prawa.
Organizacja ochrony danych osobowych
§ 2
1. Za organizację i zapewnienie właściwej ochrony danych osobowych przetwarzanych w Spółce odpowiada Prezes Spółki.
2. Wszelkie dokumenty i materiały przetwarzane w Spółce, które zawierają informacje dotyczące zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych tworzą Zasób Danych Osobowych (ZDO) Spółki.
3. Kierujący komórkami organizacyjnymi w Spółce są zobowiązani realizować zadania i wykonywać obowiązki administratora danych osobowych, o których mowa w RODO w stosunku do danych osobowych przetwarzanych w podległej im komórce organizacyjnej Spółki.
4. Kierujący komórkami organizacyjnymi w Spółce realizując zadania administratora danych w stosunku do danych osobowych przetwarzanych w podległej im komórce organizacyjnej jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, przetwarzaniem z naruszeniem Ustawy oraz nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem. Osoby te również zobowiązane do zapewnienia i organizacji właściwej ochrony fizycznej, w tym ochrony fizycznej danych osobowych przetwarzanych w podległych im komórkach organizacyjnych Spółki.
5. Kierujący komórką organizacyjną w Spółce realizując zadania administratora danych ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych odbywało się zgodnie z RODO i zgodnie z postanowieniami niniejszego Regulaminu i jest zobowiązany zastosować takie środki, aby mógł wykazać prawidłowość działań.
6. Kierujący komórkami organizacyjnymi w Spółce w stosunku do danych osobowych przetwarzanych w podległej im jednostce organizacyjnej powinien dołożyć szczególnej staranności w celu ochrony interesu osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby te dane były:
6.1. przetwarzane zgodnie z prawem;
6.2. zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami;
6.3. merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane;
6.4. przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
Zasady przetwarzania danych osobowych
§ 3
1. Przez przetwarzanie danych osobowych rozumie się operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie .
2. Przy przetwarzaniu danych osobowych należy dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą i bezwzględnie stosować zasady:
2.1 Zgodności z prawem, rzetelności i przejrzystości zgodnie z którą:
2.1.1 dane osobowe należy przetwarzać zgodnie z obowiązującymi przepisami z zakresu ochrony danych osobowych i przepisami regulującymi działalność podmiotów przetwarzających,
2.1.2 należy dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą,
2.1.3 operacje przetwarzania danych osobowych muszą być transparentne dla osób, których dane dotyczą. Wszelkie informacje i komunikaty związane z przetwarzaniem ich danych osobowych powinny być łatwo dostępne i zrozumiałe.
2.2 Ograniczenia celu (celowości) zgodnie, z którą zbieranie danych osobowych powinno być dokonywane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami. Oznacza to, iż:
2.2.1 cel zbierania danych powinien być zidentyfikowany w sposób wyraźny i konkretny,
2.2.2 cel zbierania danych musi być wystarczająco szczegółowy, by można było określić, jakie operacje przetwarzania danych są nim objęte,
2.2.3 zbierając dane nie może pominąć ani zataić tego celu,
2.2.4 nie można określać celu przetwarzania danych w sposób ogólnikowy,
2.2.5 cel ten powinien być zakomunikowany zainteresowanemu przed zebraniem danych osobowych.
2.3 Minimalizacji danych (adekwatności) zgodnie z którą dane powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Administrator powinien przetwarzać tylko takiego rodzaju dane i tylko o takiej treści, które są niezbędne ze względu na cel zbierania tych danych.
2.4 Prawidłowości danych (merytorycznej poprawności) zgodnie z którą Administrator jest zobowiązany podjąć wszelkie działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.
2.5 Ograniczenia przechowywania (ograniczenia czasowego) zgodnie z którą dane muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, nie dłużej niż to jest niezbędne do osiągnięcia celu przetwarzania. Po osiągnięciu celu dane powinny zostać usunięte, zanonimizowane lub też przekazane podmiotowi uprawnionemu ustawowo do ich przejęcia od administratora.
2.6 Integralności i poufności zgodnie z którą dane należy przetwarzać w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
2.7 Rozliczalności zgodnie z którą administrator danych jest odpowiedzialny za przestrzeganie ww. zasad i musi być w stanie wykazać ich przestrzeganie.
3. Przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w przypadkach i w takim zakresie, gdy spełniona jest co najmniej jedna z przesłanek legalności przetwarzania tj.:
3.1 osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
3.2 przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
3.3 przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
3.4 przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
3.5 przetwarzanie jest niezbędne do wykonywania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
3.6 przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora danych lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
4. Przesłanka legalności przetwarzania wymieniona w ust. 3.5 nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
5. Katalog przesłanek legalności przetwarzania danych osobowych wymieniony w ust. 3 jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych.
6. W każdym przypadku, gdy działania Spółki na danych osobowych mieszczą się w dyspozycji przesłanek określonych w ust. 3.2 – 3.6, przetwarzanie danych nie wymaga uzyskania zgody osoby, której dane dotyczą. W innych wypadkach, zgoda osoby, której dane dotyczą warunkuje legalność przetwarzania danych osobowych.
7. Każdy z kierujących komórką organizacyjną w Spółce zobowiązany jest do skatalogowania przypadków przetwarzania danych osobowych, które wymagają uzyskania zgody na przetwarzanie danych osobowych od osób, których dane dotyczą.
8. Osoba, której dane dotyczą ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.
Obowiązki informacyjne
§ 4
1. Kierujący komórką organizacyjną w Spółce w stosunku do danych osobowych przetwarzanych w podległej komórce organizacyjnej zobowiązany jest zastosować odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w ust. 4.
2. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach - elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.
3. Kierujący komórką organizacyjną w Spółce informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, których dokonał każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Kierujący komórką organizacyjną w Spółce informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.
4. W przypadku pozyskiwania danych osobowych bezpośrednio od osoby, której dane dotyczą, podczas pozyskiwania danych osobowych kierujący komórką organizacyjną jest obowiązany poinformować tę osobę o:
4.1 adresie siedziby, danych kontaktowych i pełnej nazwie Spółki;
4.2 celach przetwarzania danych osobowych,
4.3 podstawie/podstawach prawnych przetwarzania,
4.4 odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
4.5 okresie przez który dane osobowe będą przechowywane w Spółce, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
4.6 prawie do żądania od Spółki dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych, jeżeli prawo takie przysługuje w danym przypadku;
4.7 prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem - jeżeli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą;
4.8 prawie wniesienia skargi do organu nadzorującego przetwarzanie danych osobowych;
4.9 udzieleniu informacji czy podanie danych osobowych jest wymogiem ustawowym, czy umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
4.10 informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej - gdy ma to zastosowanie.
5. Jeżeli kierujący komórką organizacyjną w Spółce planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed przetwarzaniem danych w innym celu zobowiązany jest poinformować osobę, której dane dotyczą, o tym innym celu oraz udzielić jej wszelkich innych stosownych informacji, o których mowa w ust. 4.
6. Informacje, o których mowa w ust. 4, Spółka podaje:
6.1 w rozsądnym terminie po pozyskaniu danych osobowych - najpóźniej w ciągu miesiąca - mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
6.2 jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą - najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
6.3 jeżeli planuje się ujawnić dane osobowe innemu odbiorcy - najpóźniej przy ich pierwszym ujawnieniu.
7. Obowiązek informacyjny, o którym mowa w ust. 4 nie ma zastosowania gdy:
7.1 osoba, której dane dotyczą posiada te informacje, przy czym ciężar udowodnienia, że osoba, której dane dotyczą posiada informacje spoczywa na Spółce;
7.2 udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, lub o ile obowiązek o którym mowa w ust. 4, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach Spółka podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;
7.3 pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;
7.4 dane osobowe muszą pozostać poufne zgodnie z ustawowym obowiązkiem zachowania tajemnicy.
Prawa osób, których dane dotyczą
§ 5
1. Na wniosek osoby, której dane dotyczą, Spółka zobowiązana jest do potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, udzielenia dostępu do nich oraz przekazania informacji o:
1.1. celu przetwarzania;
1.2. kategorii odnośnych danych osobowych;
1.3. odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
1.4. w miarę możliwości planowanym okresie przechowywania danych osobowych, a gdy nie jest to możliwe, kryteriach ustalania tego okresu;
1.5. prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
1.6. prawie wniesienia skargi do organu nadzorczego;
1.7. jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą - wszelkich dostępnych informacji o ich źródle;
2. Przed realizacją wniosku pracownik realizujący wniosek jest zobowiązany do identyfikacji i potwierdzenia tożsamości osoby, która złożyła wniosek.
3. Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, o których mowa w art. 46 RODO, związanych z przekazaniem.
4. Spółka dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu.
5. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.
6. Udostępnienie danych na podstawie wniosku osoby oraz przekazanie pierwszej kopii danych osobowych, o której mowa w ust. 4 jest bezpłatne. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, Spółka może naliczyć opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych.
7. Osoba, której dane dotyczą, ma prawo żądania od Spółki niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe.
8. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.
9. Osoba, której dane dotyczą, ma prawo żądania niezwłocznego usunięcia dotyczących jej danych osobowych („prawo do bycia zapomnianym”), a Spółka ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
9.1. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
9.2. osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania;
9.3. osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 RODO wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;
9.4. dane osobowe były przetwarzane przez Spółkę niezgodnie z prawem;
9.5. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego, któremu podlega Spółka;
10. Jeżeli Spółka upubliczniła dane osobowe, a na mocy ust. 9.1 ma obowiązek usunąć te dane osobowe, - biorąc pod uwagę dostępną technologię i koszt realizacji, podejmując rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.
11. Zapisy ust. 9.1 i 9.2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:
11.1. do korzystania z prawa do wolności wypowiedzi i informacji;
11.2. do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa, któremu podlega Spółka;
11.3. do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 9.1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub
11.4. do ustalenia, dochodzenia lub obrony roszczeń.
12. Osoba, której dane dotyczą, ma prawo żądania ograniczenia przetwarzania w następujących przypadkach:
12.1. osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych - na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
12.2. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
12.3. Spółka nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
12.4. osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania - do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie Spółki są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
13. Jeżeli przetwarzanie danych osobowych odbywa się na podstawie zgody osoby, której dane dotyczą lub na podstawie umowy a cel przetwarzania na to pozwala, osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi.
14. Jeżeli jest to technicznie możliwe osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi.
15. Prawo do przenoszenia danych, o którym mowa w ust. 1 nie może niekorzystnie wpływać na prawa i wolności innych osób.
16. Kierujący komórkami organizacyjnymi w Spółce zobowiązani są do prowadzenia ewidencji wniosków osób, których dane dotyczą, o udzielenie dostępu, przekazania kopii danych, sprostowanie, usunięcie, skorzystanie z prawa przenoszenia danych, ograniczenia przetwarzania danych osobowych, a także sprzeciwu wobec ich przetwarzania.
Obowiązki administratora
§ 6
1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia Spółka wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z obowiązującymi przepisami prawa, w szczególności RODO i aby móc to wykazać.
2. Zastosowane w Spółce środki techniczne i organizacyjne przetwarzania danych osobowych, w szczególności mając na uwadze ochronę praw i wolności osób, których dane dotyczą, poddaje się przeglądom i aktualizacji.
3. Kierujący komórkami organizacyjnymi Spółki realizując zadania Administratora zobowiązani są stosować odpowiednie środki techniczne i organizacyjne przetwarzania danych osobowych zarówno w fazie projektowania i ustalania sposobów przetwarzania danych osobowych jak i w trakcie samego procesu przetwarzania.
4. Kierujący komórkami organizacyjnymi Spółki realizując zadania Administratora jest zobowiązany prowadzić rejestr czynności przetwarzania danych osobowych.
5. W rejestrze czynności przetwarzania zamieszcza się informacje o:
5.1. pełnej nazwie i danych adresowych Spółki jako administratora danych;
5.2. pełnej nazwie i danych adresowych współadministratorów - jeżeli występują;
5.3. informacji o komórce organizacyjnej Spółki jako gestorach danych przetwarzanych podczas realizacji zadania/procesu;
5.4. celach przetwarzania identyfikujących realizowane w Spółce zadania/procesy w związku z realizacją, których dane te są przetwarzane;
5.5. kategoriach osób, których dane dotyczą;
5.6. kategoriach danych osobowych;
5.7. kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione;
5.8. planowanych terminach usunięcia poszczególnych kategorii danych;
5.9. technicznych i organizacyjnych środków bezpieczeństwa;
5.10. sposobie realizacji obowiązków informacyjnych.
6. W przypadku, gdy Spółka występuje w określonym procesie jako podmiot przetwarzający (przetwarza dane na podstawie umowy powierzenia przetwarzania), Kierujący komórką organizacyjną, który realizuje zadania wynikające z umowy lub przepisu prawa, dotyczące powierzenia przetwarzania, prowadzi rejestry wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, który powierzył Spółce przetwarzanie danych, zawierający następujące informacje:
6.1. pełnej nazwie i danych adresowych Spółki jako podmiotu przetwarzającego;
6.2. pełnej nazwie i danych adresowych administratorów, w imieniu których Spółka przetwarza dane;
6.3. pełnej nazwie i danych adresowych innych podmiotów przetwarzającego;
6.4. danych Inspektora Ochrony Danych Osobowych administratorów danych i innych podmiotów przetwarzających, gdy ma to zastosowanie;
6.5. ogólny opis technicznych i organizacyjnych środków bezpieczeństwa,
Nadawanie, zmiana i cofanie upoważnień do przetwarzania danych osobowych oraz prowadzenie
ewidencji osób upoważnionych do przetwarzania danych osobowych oraz ewidencji umów związanych
z przetwarzaniem danych osobowych
§ 7
1. Do przetwarzania danych osobowych administrowanych przez Spółkę mogą być dopuszczone wyłącznie osoby posiadające aktualne, imienne upoważnienie do przetwarzania danych osobowych lub w przypadku podmiotu przetwarzającego polecenie przetwarzania danych uszczegółowione w umowie lub przepisie prawa na podstawie, którego dochodzi do powierzenia przetwarzania.
2. Podmiot przetwarzający (podmiot, któremu Spółka powierzyła przetwarzanie danych osobowych) oraz każda osoba działająca z upoważnienia Spółki lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie Spółki, chyba że wynika to z przepisu prawa.
3. Upoważnienie, o którym mowa w ust. 1 nadaje się przed dopuszczeniem osoby do przetwarzania danych osobowych.
4. Wszystkie osoby przetwarzające dane osobowe administrowane przez Spółkę na podstawie upoważnienia lub polecenia zostają przeszkolone z zakresu ochrony danych osobowych.
5. Upoważnienie do przetwarzania danych osobowych w Spółce może być wydane:
5.1. osobom przyjmowanym do pracy, bez względu na podstawę prawną zatrudnienia;
5.2. innym osobom, jeżeli przepisy tak stanowią lub jeżeli zachodzi uzasadniona potrzeba nadania upoważnienia.
6. Upoważnienia do przetwarzania danych osobowych są wydawane na czas oznaczony w upoważnieniu lub na czas zatrudnienia w Spółce i mogą być odwołane w każdym czasie.
7. Szczegółowy zakres upoważnienia do przetwarzania danych osobowych pracownika Spółki wynika z aktualnego zakresu jego obowiązków i aktualnie posiadanych uprawnień do dostępu do systemów teleinformatycznych Spółki.
8. Zmiany upoważnienia do przetwarzania danych osobowych dokonują osoby uprawnione do jego nadawania.
9. Utrata upoważnienia do przetwarzania danych osobowych następuje w wyniku jego odebrania przez osobę uprawnioną do jego wydania lub w wyniku upływu czasu na jaki upoważnienie zostało wydane.
Udostępnianie danych osobowych
§ 8
1. Udostępnianie danych osobowych jest jedną z form ich przetwarzania, po spełnieniu jednej z przesłanek legalności przetwarzania, o których mowa w § 3 ust. 3.
2. Udostępnianie danych to wszelkie działania umożliwiające podmiotom innym niż Spółka zapoznanie się z danymi przetwarzanymi przez Spółkę.
3. Spółka udostępnia dane osobowe na pisemny wniosek, na podstawie umowy lub na podstawie przepisu prawa.
4. Wniosek, o którym mowa w ust. 3 powinien zawierać:
4.1. określenie wnioskodawcy;
4.2. podstawę prawną uprawniającą do otrzymania danych osobowych;
4.3. informacje umożliwiające wyszukanie żądanych danych;
4.4. wskazanie zakresu danych osobowych;
4.5. określenie przeznaczenia wnioskowanych danych;
4.6. określenie sposobu przekazania danych.
5. Wpływające do Spółki wnioski o udostępnienie danych osobowych są rejestrowane w ewidencji wniosków dotyczących udostępnienia danych osobowych
6. Decyzję w sprawie udostępnienia danych podejmuje Prezes Zarządu Spółki.
7. Jeżeli wniosek spełnia warunek, określony w ust. 4, dane osobowe powinny być udostępniane bez zbędnej zwłoki.
8. Informacje, zawierające dane osobowe są przekazywane uprawnionym podmiotom w sposób zapewniający ich bezpieczeństwo i poufność:
8.1. w formie wydruku listem poleconym lub za potwierdzeniem osobistego odbioru;
8.2. na elektronicznych nośnikach informacji, za potwierdzeniem odbioru;
8.3. w drodze teletransmisji danych, gdy łącze spełnia wymogi bezpieczeństwa informacji;
8.4. w inny sposób określony przepisami prawa lub umową.
Powierzanie przetwarzania danych osobowych innym podmiotom
§ 9
1. Spółka może powierzyć przetwarzanie danych osobowych innemu podmiotowi, który będzie je przetwarzał w jej imieniu.
2. Podmiot, który w imieniu Spółki będzie przetwarzał dane osobowe administrowane przez Spółkę (podmiot przetwarzający) musi zapewniać wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i przepisów krajowych o ochronie danych osobowych – mając na uwadze w szczególności ochronę praw osób, których dane dotyczą.
3. Podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Spółki.
4. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy, porozumienia lub przepisu prawa, który wiąże podmiot przetwarzający i Spółkę oraz wyraźnie określa przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa Spółki i podmiotu przetwarzającego.
5. Umowa lub porozumienie w sprawie przetwarzania danych musi zawierać postanowienia, że podmiot przetwarzający:
5.1. przetwarza dane osobowe wyłącznie na udokumentowane polecenie Spółki;
5.2. zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
5.3. zobowiązuje się do stosowania odpowiednich środków technicznych i organizacyjnych, wymaganych art. 32 RODO;
5.4. przestrzegać będzie warunków korzystania z usług innego podmiotu przetwarzającego;
5.5. uwzględniając charakter powierzenia przetwarzania danych osobowych, poprzez odpowiednie środki techniczne i organizacyjne, będzie wspierał Spółkę w wywiązywaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą;
5.6. po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych, zależnie od decyzji Spółki, usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że z przepisów prawa będzie wynikał obowiązek ich archiwizacji;
5.7. udostępni Spółce wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym ustępie oraz umożliwia Spółce lub audytorowi upoważnionemu przez Spółkę do przeprowadzanie audytów i kontroli zgodności przetwarzania danych osobowych z RODO i przepisami krajowymi o ochronie danych osobowych.
Bezpieczeństwo teleinformatyczne
§ 10
1. Osoba wskazana przez Prezesa Zarządu Spółki, mająca w zakresie obowiązków obsługę teleinformatyczną Spółki, jest zobowiązana do:
1.1. sporządzania wykazu czynności przetwarzania danych osobowych w systemach teleinformatycznych Spółki, wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
1.2. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych w systemach teleinformatycznych Spółki danych osobowych.
1.3. sporządzenia ewidencji osób posiadających uprawnienia do użytkowania systemów teleinformatycznych w Spółce.
2. Zgodę na wydanie uprawnień do użytkowania systemu wydaje Prezes Zarządu:
2.1. osobom przyjmowanym do pracy, bez względu na podstawę prawną zatrudnienia;
2.2. innym osobom, jeżeli przepisy tak stanowią lub jeżeli zachodzi uzasadniona potrzeba nadania upoważnienia.
3. Procedury związane z nadawaniem, zmianą i cofnięciem upoważnień do przetwarzania danych osobowych oraz prowadzeniem ewidencji osób upoważnionych do przetwarzania danych osobowych stosuje się odpowiednio do zgody na uprawnienia użytkowania systemów teleinformatycznych.
Odpowiedzialność za naruszenie zasad ochrony danych osobowych
§ 11
1. Naruszenie przepisów o ochronie danych osobowych jest zagrożone sankcjami określonymi w RODO i przepisach krajowych o ochronie danych osobowych.
2. Niezależnie od odpowiedzialności przewidzianej w przepisach, o których mowa w ust. 1, naruszenie zasad ochrony danych osobowych przez pracownika Spółki może zostać uznane za naruszenie podstawowych obowiązków pracowniczych.
Zgłaszanie naruszeń ochrony danych osobowych
§ 12
1. W przypadku uzasadnionego naruszenia ochrony danych osobowych lub podejrzenia naruszenia ochrony danych osobowych wszystkie osoby upoważnione do przetwarzania danych osobowych w Spółce oraz podmioty przetwarzające działające na polecenie Spółki zobowiązane są do zgłaszania Prezesowi Spółki bez zbędnej zwłoki informacji o naruszeniu lub podejrzeniu naruszenia.
2. W przypadku stwierdzenia naruszenia ochrony danych osobowych, Spółka bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zobowiązana jest zgłosić je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
3. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin Spółka dołącza wyjaśnienie przyczyn opóźnienia zgłoszenia.
4. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zobowiązany jest zgłaszać je Spółce.
5. Zgłoszenie naruszenia ochrony danych osobowych musi co najmniej:
5.1. opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
5.2. zawierać imię i nazwisko oraz dane kontaktowe pracownika spółki od którego można uzyskać informacje na temat naruszenia;
5.3. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
5.4. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
6. Spółka dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
7. Przez naruszenie ochrony danych osobowych należy rozumieć pojedyncze zdarzenie lub serię niepożądanych albo niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo lub zagrażają bezpieczeństwu przetwarzanych danych osobowych.
8. Naruszenie ochrony danych osobowych może mieć charakter:
8.1. umyślny, np. kradzież danych i sprzętu, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie danych, włamanie do systemu informatycznego lub pomieszczeń;
8.2. losowy wewnętrzny, np. awarie serwera, oprogramowania, utrata/zagubienia nośników zawierających dane, wysyłanie danych osobowych pocztą elektroniczną do osoby nieuprawnionej, zagubienie dokumentów papierowych, które zawierają informacje poufne lub dane osobowe, udostępnienie dokumentacji medycznej osobie nieuprawnionej, zagubienie urządzenia;
8.3. losowy zewnętrzny, np. pożar, zalanie wodą, utrata zasilania.
9. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych Spółka bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
10. Zawiadomienie o naruszeniu ochrony danych osobowych osoby, której dane dotyczą opisuje charakter naruszenia i zawiera informacje, o których mowa powyżej.
11. Zawiadomienie o naruszeniu ochrony danych osobowych osoby, której dane dotyczą nie jest wymagane jeżeli:
11.1.wdrożono odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
11.2.zastosowano następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
11.3.wymagałoby ono niewspółmiernie dużego wysiłku (w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób).