Niniejsza Polityka prywatności (zwana dalej „Polityką”) określa zasady przetwarzania oraz wykorzystywania danych osobowych użytkowników w oparciu o Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanej dalej „RODO”), a także ustawą z dnia 10 maja 2018r o ochronie danych osobowych (Dz.U z 2018r , poz. 1000). Polityka stanowi podstawę ochrony danych osobowych, a jej celem jest uzyskanie optymalnego i zgodnego z wymogami prawa sposobu przetwarzania informacji zawierających dane osobowe przez firmę Cooperate Media Wojciech Tułacz, ul. Dolina 20, 85-212 Bydgoszcz, NIP: 9680972102, REGON: 302053215 (zwaną dalej „Przedsiębiorstwem”).

I. Zawartość Polityki:

  1.  rzeczowy opis zasad ochrony danych, którymi kieruje się Przedsiębiorstwo,
  2.  załączniki odsyłające do dokumentów stanowiących zapis wzorcowych procedur lub instrukcji dotyczących poszczególnych obszarów z zakresu ochrony danych osobowych wymagających doprecyzowania.

II. Struktura odpowiedzialnego za niniejszą Politykę Zarządu Przedsiębiorstwa:

1. za wdrożenie i utrzymanie Polityki odpowiedzialni są:

  1. pełniący nadzór nad całym obszarem ochrony danych osobowych Prezes Zarządu,
  2. osoba zapewniająca zgodność z ochroną danych osobowych, którą wyznacza Zarząd;

2. za nadzór i monitorowanie przestrzegania Polityki odpowiedzialny jest:

  1. Inspektor Ochrony Danych;

3. do stosowanie niniejszej Polityki zobowiązane są:

  1. Przedsiębiorstwo,
  2. komórka organizacyjna odpowiedzialna za obszar bezpieczeństwa informacji,
  3. komórki organizacyjne przetwarzające dane osobowe,
  4. cały personel Przedsiębiorstwa.

W momencie przekazywania danych osobowych kontrahentom Przedsiębiorstwa zobligowane jest ono do zapewnienia zgodności postępowania kontrahentów z niniejszą Polityką w odpowiednim zakresie.

III. Definicje i skróty:

1. Polityka – niniejszy dokument stanowiący podstawę ochrony danych osobowych w Przedsiębiorstwie (o ile nie wynika inaczej z kontekstu).

2. Przedsiębiorstwo – Cooperate Media Wojciech Tułacz, ul. Dolina 20, 85-212 Bydgoszcz, NIP: 9680972102, REGON: 302053215

3. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1).

4. Dane – gromadzone i przetwarzane przez Przedsiębiorstwo dane osobowe (o ile nie wynika inaczej z kontekstu).

5. Dane wrażliwe – dane specjalne oraz dane karne.

6. Dane specjalne – dane wymienione w art. 9 ust. 1 RODO (dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej).

7. Dane karne – dane wymienione w art. 10 RODO (dane dotyczące wyroków skazujących oraz naruszeń prawa przez osoby, których dane dotyczą).

8. Dane dzieci – dane osób poniżej 16. roku życia.

9. Osoba – osoba fizyczna, której dotyczą dane (o ile nie wynika inaczej z kontekstu).

10. Podmiot przetwarzający – organizacja lub osoba fizyczna, której Przedsiębiorstwo z uzasadnionego powodu powierza przetwarzanie danych osobowych (np. księgowość zewnętrzna).

11. Profilowanie – zautomatyzowane przetwarzanie danych polegające na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby, w szczególności do analizy lub prognozy aspektów dotyczących efektów jej pracy, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

12. Eksport danych – przekazanie danych do innego państwa lub organizacji międzynarodowej.

13. IOD lub Inspektor – Inspektor Ochrony Danych Osobowych

14. RCPD lub Rejestr – Rejestr Czynności Przetwarzania Danych Osobowych.

IV. Ogólne zasady ochrony danych osobowych w Przedsiębiorstwie

1. Fundament ochrony danych osobowych w Przedsiębiorstwie:

  1. Bezpieczeństwo − Przedsiębiorstwo zapewnienia odpowiedni poziom bezpieczeństwa danych,
  2. Legalność − Przedsiębiorstwo chroni ich prywatność i przetwarza dane zgodnie z prawem,
  3. Prawa Jednostki − Przedsiębiorstwo zapewnia możliwość wykonywania swoich praw osobom, których dane przetwarza,
  4. Rozliczalność − Przedsiębiorstwo prowadzi odpowiednią dokumentację, dzięki czemu w każdej chwili może wykazać zgodność podejmowanych działań.

2. Podejmując działania, Przedsiębiorstwo zachowuje następujące zasady ochrony danych osobowych:

  1. działanie zgodne z prawem, w oparciu o odpowiednią podstawę prawną (legalizm),
  2. działanie rzetelne i uczciwe (rzetelność),
  3. działanie przejrzyste dla osób, których dane dotyczą (transparentność),
  4. działanie zgodne z konkretnym celem i nie „na zapas” (minimalizacja),
  5. działanie w zakresie, jaki jest konieczny (adekwatność),
  6. zachowanie dbałości o prawidłowość danych (prawidłowość),
  7. działanie w niezbędnym zakresie czasowym (czasowość),
  8. zapewnienie odpowiedniego bezpieczeństwa danych (bezpieczeństwo).

3. Na system ochrony danych w Przedsiębiorstwie składają się:

  1. Inwentaryzacja danych polegająca na dokonywaniu przez Przedsiębiorstwo identyfikacji zasobów danych osobowych, klas danych, zależności między zasobami danych oraz identyfikacji sposobów wykorzystania danych (inwentaryzacja), w tym przypadków:

    • przetwarzania danych specjalnych (dane wrażliwe),
    • przetwarzania danych nieznanych Przedsiębiorstwu (dane niezidentyfikowane/UFO),
    • profilowania;

  2. Rejestr polegający na opracowaniu, prowadzeniu i utrzymaniu przez Przedsiębiorstwo Rejestru Czynności Danych Osobowych w Przedsiębiorstwie oraz Rejestru Kategorii Czynności Przetwarzania Danych Osobowych – stanowi on narzędzie rozliczania zgodności z ochroną danych w Przedsiębiorstwie;
  3. Podstawy prawne, w oparciu o które Przedsiębiorstwo zapewnia, identyfikuje, weryfikuje zasady przetwarzania danych i rejestruje je w Rejestrze,

    • utrzymując system zarządzania zgodami na przetwarzanie danych i komunikację na odległość,
    • inwentaryzując i uszczegóławiając uzasadnienie przypadków przetwarzania danych na podstawie prawnie uzasadnionego interesu Przedsiębiorstwa;

  4. Obsługa praw jednostki – Przedsiębiorstwo zobowiązane jest spełniać obowiązki informacyjne względem osób, których dane posiada, poprzez zagwarantowanie im praw i realizację otrzymanych żądań, w tym:

    • Obowiązków informacyjnych polegających na wypełnianiu obowiązków prawnych związanych ze zbieraniem danych przez dokumentację realizacji tych obowiązków,
    • Możliwości wykonania żądań polegających na zapewnianiu możliwości wykonania każdego typu żądań zgodnych z prawem – zarówno przez siebie, jak i przetwarzających,
    • Obsługi żądań polegającej na zapewnieniu odpowiednich nakładów oraz przestrzegania procedur gwarantujących realizowanie żądań w terminach i w sposób wymagany RODO,
    • Zawiadamianiu o naruszeniach dotyczących osób dotkniętych zidentyfikowanym naruszeniem ochrony danych przez uruchomienie specjalnych procedur,

  5. Minimalizacja – Przedsiębiorstwo zobowiązane jest do posiadania zasad i metod zarządzania minimalizacją (privacy by default), a w tym:

    • zasad zarządzania adekwatnością danych,
    • zasad reglamentacji i zarządzania dostępem do danych,
    • zasad zarządzania okresem przechowywania danych oraz weryfikacji dalszej ich przydatności;

  6. Bezpieczeństwo – Przedsiębiorstwo zobowiązane jest do zapewnienia odpowiedniego poziomu bezpieczeństwa danych, w tym:

    • analizy ryzyka dla czynności przetwarzania danych lub ich kategorii,
    • oceny skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw i wolności osób jest wysokie,
    • dopasowania środków ochrony danych do ustalonego ryzyka,
    • posiadania właściwego systemu zarządzania bezpieczeństwem informacji,
    • identyfikowania, oceny i zgłaszania zidentyfikowanych naruszeń ochrony danych Urzędowi Ochrony Danych (w rozumieniu zarządzania incydentami);

  7. Przetwarzający – Przedsiębiorstwo zobowiązane jest stosować się do zasad właściwego doboru przetwarzających dane na jej rzecz, wymogów co do warunków przetwarzania (umowa powierzenia) oraz zasad weryfikacji wykonywania umów powierzenia,
  8. Eksport danych – Przedsiębiorstwo zobowiązane jest do dysponowania odpowiednimi zasadami weryfikacji, jak przekazywane są dane (np. do jakich państw trzecich, czyli poza UE, Norwegię, Lichtenstein, Islandię lub do organizacji międzynarodowych) oraz zapewnienia zgodnych z prawem warunków tego przekazywania, gdy ma ono miejsce,
  9. Privacy by design – Przedsiębiorstwo zobowiązane jest do regulowania zmian mających wpływ na prywatność i stosowania w tym celu odpowiednich procedur uwzględniających konieczność oceny wpływu zmiany na ochronę danych, zapewnienie prywatności (w tym zgodności celów przetwarzania, bezpieczeństwa danych i minimalizacji) już w fazie projektowania zmiany, inwestycji czy na początku nowego projektu.

V. Inwentaryzacja

1. Dane wrażliwe – Przedsiębiorstwo zobowiązane jest do wychwytywania przypadków przetwarzania lub możliwości przetwarzania danych wrażliwych (danych specjalnych i danych karnych) oraz utrzymania dedykowanych mechanizmów zapewnienia zgodnego z prawem przetwarzania danych wrażliwych. Na wypadek zidentyfikowania przetwarzania danych wrażliwych Przedsiębiorstwo przygotowane jest do podjęcia zgodnego z zasadami prawa działania.

2. Dane niezidentyfikowane – Przedsiębiorstwo zobowiązane jest do wychwytywania w możliwym zakresie przypadków przetwarzania lub możliwości przetwarzania danych niezidentyfikowanych oraz utrzymania mechanizmów ułatwiających realizację praw osób, których dotyczą dane niezidentyfikowane.

3. Profilowanie – Przedsiębiorstwo zobowiązane jest do wychwytywania przypadków dokonywania profilowania przetwarzanych danych i utrzymania mechanizmów gwarantujących zgodnego z prawem przebiegu tego procesu. W przypadku zidentyfikowania przypadków profilowania i zautomatyzowanego podejmowania decyzji, Przedsiębiorstwo postępuje zgodnie z przyjętymi wcześniej zasadami postępowania w tym zakresie.

VI. Rejestr Czynności Przetwarzania Danych

1. RCPD jest sposobem dokumentowania czynności przetwarzania danych pełniącym rolę układu przetwarzania danych; stanowi trzon umożliwiający realizację podstawowej zasady systemu ochrony danych osobowych – zasady rozliczalności.

2. Przedsiębiorstwo zobowiązane jest prowadzić RCPD oraz RKCPDO służących mu za inwentaryzacje i monitoring sposobów wykorzystywania danych osobowych.

3. Rejestr stanowi podstawowe narzędzie do rozliczania większości obowiązków ochrony danych.

4. Przedsiębiorstwo zobowiązane jest do odnotowywania w Rejestrze przynajmniej:

  1. nazwy czynności,
  2. celu przetwarzania,
  3. opisu kategorii osób,
  4. opisu kategorii danych,
  5. podstawy prawnej przetwarzania, wraz z wyszczególnieniem kategorii uzasadnionego interesu Przedsiębiorstwa, jeśli podstawą jest uzasadniony interes,
  6. sposobu zbierania danych,
  7. opisu kategorii odbiorców danych (w tym przetwarzających),
  8. informacji o przekazaniu poza EU/EOG,
  9. ogólnego opisu technicznych i organizacyjnych środków ochrony danych.

5. Załącznik nr 1 do Polityki stanowi Wzór Rejestru, który zawiera także kolumny nieobowiązkowe, gdzie Przedsiębiorstwo rejestruje informacje w miarę potrzeb i możliwości (z zastrzeżeniem, że im pełniejsza treść Rejestru tym łatwiej zarządzać zgodnością ochrony danych i rozliczać się z niej).

VII. Podstawy przetwarzania

1. Przedsiębiorstwo zobowiązane jest do prowadzenia w Rejestrze dokumentacji stosowanych podstaw prawnych przetwarzania danych dla poszczególnych czynności przetwarzania.

2. Kiedy zajdzie taka potrzeba, Przedsiębiorstwo zobowiązane jest określić konkretną podstawę prawną (zgodę, umowę, obowiązek prawny, interes, zadanie publiczne/władzę publiczną, cel Przedsiębiorstwa) – np. dla zgody wskazując na jej zakres, gdy podstawą jest prawo, wskazując konkretny przepis oraz inne dokumenty, np. umowę, porozumienie administracyjne, żywotne interesy, wskazując na kategorie zdarzeń, w których się zmaterializują, uzasadniony cel, wskazując na konkretny cel, np. marketing własny, dochodzenie roszczeń.

3. Przedsiębiorstwo zobowiązane jest do posługiwania się metodami zarządzania zgodami umożliwiającymi jej rejestrację i weryfikację posiadania zgody osoby na przetwarzanie konkretnych danych w konkretnym celu, zgody na komunikację na odległość (email, telefon, SMS, in.) oraz rejestrację odmowy zgody, cofnięcia zgody i podobnych czynności (sprzeciw, ograniczenie itp.).

4. Kierownictwo komórki organizacyjnej Przedsiębiorstwa zobowiązane jest znać wszelkie podstawy prawne, którymi jego komórka kieruje się, dokonując konkretnych czynności przetwarzania danych osobowych. Jeżeli podstawą jest uzasadniony interes Przedsiębiorstwa, kierownictwo komórki ma obowiązek znać konkretny realizowany przetwarzaniem danych interes Przedsiębiorstwa.

VIII. Obsługa praw jednostki i wynikające z nich obowiązki informacyjne

1. Przedsiębiorstwo zobowiązane jest do dbania o standardy czytelności oraz stylu przekazywanych informacji i komunikacji z osobami, których dane przetwarza.

2. Przedsiębiorstwo zobowiązane jest do zapewnienia osobom łatwego korzystania z ich praw poprzez różne działania, w tym: publikowanie na stronie internetowej Przedsiębiorstwa informacji lub odwołań (linków) do informacji o prawach osób; sposobu korzystania z nich w Przedsiębiorstwie (w tym wymaganiach dotyczących identyfikacji) oraz metod kontaktu z Przedsiębiorstwem w tym celu, itp.

3. Przedsiębiorstwo zobowiązane jest do dotrzymywania wszelkich prawnych terminów wynikających z realizacji obowiązków względem osób, których dane przetwarza.

4. Przedsiębiorstwo zobowiązane jest do stosowania adekwatnych metod identyfikacji i uwierzytelniania osób niezbędnych dla potrzeb realizacji praw jednostki i obowiązków informacyjnych.

5. Przedsiębiorstwo zobowiązane jest do zapewnienia niezbędnego dla realizacji praw jednostek procedur oraz mechanizmów identyfikujących przetwarzane przez Przedsiębiorstwo dane konkretnych osób; integrowania w te dane, wprowadzania do nich zmian i usuwania ich w sposób zintegrowany.

6. Przedsiębiorstwo zobowiązane jest do prowadzenia dokumentacji obsługi obowiązków informacyjnych, zawiadomień oraz żądań osób.

IX. Obowiązki informacyjne

1. Przedsiębiorstwo zobowiązane jest do

  1. jasnego określenia zgodnych z prawem, efektywnych sposobów wykonywania obowiązków informacyjnych,
  2. informowania osób o przedłużeniu ponad jeden miesiąc terminu na rozpatrzenie żądania danej osoby,
  3. informowania osób o przetwarzaniu danych podczas pozyskiwaniu danych tych osób,
  4. informowania osób o przetwarzaniu danych podczas pozyskiwania danych niebezpośrednio od nich,
  5. określenia sposobu informowania osób o przetwarzaniu danych niezidentyfikowanych wszędzie tam, gdzie to jest możliwe (np. tabliczka o objęciu obszaru monitoringiem wizyjnym),
  6. informowania osób o planowaniu zmiany celu przetwarzania danych,
  7. informowania osób przed każdorazowym uchyleniem ograniczenia przetwarzania,
  8. informowania odbiorców danych o sprostowaniach, usunięciach lub ograniczeniach przetwarzania danych (z wyjątkiem sytuacji, w której będzie to wymagało niewspółmiernie dużego wysiłku lub będzie niemożliwe),
  9. informowania osób o prawie sprzeciwu wobec przetwarzania danych przy pierwszym kontakcie z tymi osobami,
  10. możliwie szybkiego zawiadomienia osób o naruszeniu ochrony ich danych osobowych, jeżeli istnieje ryzyko spowodowania naruszenia praw lub wolności tej osoby.

X. Żądania osób

1. Prawa tzw. osób trzecich – ochrona praw i wolności osób trzecich jest zagwarantowana przez Przedsiębiorstwo, które zobowiązane jest realizować te prawa, zwłaszcza wtedy, gdy wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może negatywnie działać na prawa i wolności innych osób (np. prawa związane z ochroną danych innych osób, prawa własności intelektualnej, tajemnicę handlową, dobra osobiste itp.). Przedsiębiorstwo może wówczas zwrócić się do osoby w celu wyjaśnienia istniejących wątpliwości, a także podjąć inne dozwolone prawnie kroki (łącznie z odmową zadośćuczynienia żądaniu).

2. Nieprzetwarzanie – Przedsiębiorstwo zobowiązane jest do poinformowania osoby o zaprzestaniu przetwarzania jej danych w przypadku, gdy taka osoba zgłosiła takie żądanie.

3. Odmowa – Przedsiębiorstwo zobowiązane jest do poinformowania osoby w przeciągu miesiąca od momentu otrzymania żądania o uzasadnionej odmowie rozpatrzenia takiego żądania.

4. Dostęp do danych – Przedsiębiorstwo zobowiązane jest do poinformowania osoby, czy przetwarza jej dane, a jeśli tak, to udzielić też szczegółowych informacji na temat tego, w jaki sposób to robi, zgodnie z art. 15 RODO (zakres odpowiada obowiązkowi informacyjnemu przy zbieraniu danych), a także udzielić osobie dostępu do danych jej dotyczących w przypadku takiego żądania. Może to zrobić poprzez wydanie kopii danych pod warunkiem, że kopii wydanej w wykonaniu prawa dostępu do danych Przedsiębiorstwo nie uzna za pierwszą nieodpłatną kopię danych dla potrzeb opłat za kopie danych.

5. Kopie danych – Przedsiębiorstwo zobowiązane jest do wydania osobie kopii danych jej dotyczących i odnotowania tego faktu jako wydania pierwszej kopii danych, kiedy wystąpi takie żądanie ze strony tej osoby; Przedsiębiorstwo zobowiązane jest ponadto do prowadzenia cennika kopii danych, zgodnie z którym pobiera opłaty za kolejne kopie danych. Cena kopii danych ustalana jest w oparciu o szacowany jednostkowy koszt obsługi żądania wydania kopii danych.

6. Sprostowanie danych – Przedsiębiorstwo zobowiązane jest do dokonania sprostowania wszelkich nieprawidłowych danych na żądanie osoby, ma jednak prawo odmówić, jeśli osoba nie wykaże nieprawidłowości danych, których sprostowania się domaga. W przypadku sprostowania danych Przedsiębiorstwo zobowiązane jest do poinformowania osoby o istniejących odbiorcach danych (również na żądanie tej osoby).

7. Uzupełnienie danych – Przedsiębiorstwo zobowiązane jest do uzupełniania i aktualizowania danych na żądanie osoby, ma jednak prawo odmówić, jeżeli to uzupełnienie jest niezgodne z celami ich przetwarzania (np. Przedsiębiorstwo nie musi przetwarzać danych, które nie są mu niezbędne). Przedsiębiorstwo może ponadto polegać wyłącznie na oświadczeniu osoby, co do uzupełnianych danych, z wyjątkiem sytuacji, kiedy uzna to za niewystarczające w świetle przyjętych przez siebie procedur (np. co do pozyskiwania takich danych), w świetle prawa lub zaistnieją słuszne podstawy, żeby uznać oświadczenie za niewiarygodne.

8. Usunięcie danych – Przedsiębiorstwo może usunąć dane na żądanie osoby wtedy, gdy:

  1. przestały być one mu niezbędne do realizacji celów, w których zostały zebrane,
  2. nastąpiło wycofanie zgody na ich przetwarzanie, a nie istnieją inne podstawy prawne do ich przetwarzania,
  3. osoba złoży uzasadniony sprzeciw wobec przetwarzania danych,
  4. przetwarzanie danych było niezgodne z prawem,
  5. przepisy prawa uzasadniają taką konieczność,
  6. żądanie dotyczy danych osoby niepełnoletniej zebranych na podstawie zgody w celu świadczenia usług oferowanych bezpośrednio tej osobie (np. profil dziecka na portalu społecznościowym, udział w konkursie na stronie internetowej).

Przedsiębiorstwo zobowiązane jest do określenia w jasny sposób praw związanych z usunięciem danych tak, aby móc zapewnić sprawną realizację tych praw przy poszanowaniu wszystkich zasad ochrony danych, również bezpieczeństwa, a także weryfikację, czy nie zachodzą wyjątki, o których mowa w art. 17. ust. 3 RODO. Na wypadek upublicznienia danych podlegających usunięciu Przedsiębiorstwo zobowiązane jest do poinformowania innych administratorów przetwarzających te dane – zarówno o upublicznieniu, jak i potrzebie usunięcia ich i dostępu do nich. W przypadku usunięcia danych Przedsiębiorstwo ma obowiązek poinformować osobę o odbiorcach danych, na żądanie tej osoby.

9. Ograniczenie przetwarzania – Przedsiębiorstwo może dokonać ograniczenia przetwarzania danych na żądanie osoby w przypadku, gdy:

  1. osoba twierdzi, że dane są nieprawidłowe – na okres umożliwiający sprawdzić ich prawidłowość,
  2. przetwarzanie danych narusza przepisy prawa, a osoba, której dane dotyczą, nie chce ich usunięcia i żądają jedynie ograniczenia ich wykorzystywania,
  3. dane przestały być potrzebne Przedsiębiorstwu, są jednak potrzebne osobie, której dane dotyczą, np. do ustalenia, dochodzenia lub obrony roszczeń,
  4. wnosi się sprzeciw względem przetwarzania danych w szczególnej sytuacji – do czasu ustalenia, czy faktycznie po stronie Przedsiębiorstwa zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu. Podczas ograniczenia dane są przechowywane, natomiast nie przetwarzane (nie wykorzystuje się ich, nie przekazuje) bez zgody osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, bądź też w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na interes publiczny. Przedsiębiorstwo ma obowiązek poinformowania osoby przed uchyleniem ograniczenia przetwarzania. W przypadku ograniczenia przetwarzania danych Przedsiębiorstwo zobowiązane jest również do poinformowania osoby o odbiorcach jej danych, na żądanie tej osoby.

10. Przenoszenie danych – Przedsiębiorstwo zobowiązane jest do wydania na żądanie osoby ujednoliconego nadającego się do odczytu maszynowego formatu lub przekazania innemu podmiotowi, jeśli to możliwe, danych dotyczących tej osoby, które dostarczyła ona Przedsiębiorstwu, a które są przetwarzane na podstawie zgody tej samej osoby lub w celu zawarcia lub wykonania umowy z nią zawartej, w systemach informatycznych Przedsiębiorstwa.

11. Sprzeciw w szczególnej sytuacji – Przedsiębiorstwo zobowiązane jest do uwzględnienia zgłoszonego przez osobę, umotywowanego jej szczególną sytuacją sprzeciwu względem przetwarzania danych przez Przedsiębiorstwo w oparciu o uzasadniony interes Przedsiębiorstwa lub o powierzone Przedsiębiorstwu zadanie w interesie publicznym, o ile nie zachodzą po stronie Przedsiębiorstwa ważne i uzasadnione prawnie podstawy do przetwarzania danych, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.

12. Przedsiębiorstwo zobowiązane jest do uwzględnienia sprzeciwu i zaprzestania przetwarzania danych, jeśli osoba zgłosi taki sprzeciw względem przetwarzania jej danych przez Przedsiębiorstwo na potrzeby marketingu bezpośredniego (w tym ewentualnie profilowania),

13. Prawo do ludzkiej interwencji przy automatycznym przetwarzaniu – jeśli Przedsiębiorstwo przetwarza dane w sposób automatyczny, Przedsiębiorstwo zobowiązane jest do zapewnienia możliwości odwołania się do interwencji oraz decyzji człowieka po stronie Przedsiębiorstwa, chyba że tego rodzaju automatyczna decyzja a) jest niezbędna do zawarcia lub wykonania umowy między odwołującą się osobą a Przedsiębiorstwem lub b) jest wprost dozwolona przepisami prawa lub c) opiera się o wyraźną zgodę odwołującej osoby.

XI. MINIMALIZACJA

Przedsiębiorstwo zobowiązane jest do minimalizowania przetwarzania danych poprzez:

  1. adekwatność danych do założonych celów (ilości danych a zakres przetwarzania),
  2. zapewnienie sprawnego dostęp do danych,
  3. regulowanie czasu przechowywania danych.

1. Minimalizowanie zakresu polega na weryfikowaniu przez Przedsiębiorstwo zakresu pozyskiwania, przetwarzania oraz przetwarzania pod kątem adekwatności do celów przetwarzania w ramach wdrożenia RODO, a także na dokonywaniu okresowych przeglądów wartości przetwarzanych danych i zakresu ich przetwarzania przynajmniej raz do roku. Weryfikacji powinny podlegać również zmiany dotyczące ilości oraz zakresu przetwarzania danych w ramach procedur zarządzania zmianą (privacy by design).

2. Minimalizowanie dostępu polega na stosowaniu przez Przedsiębiorstwo kilku rodzajów ograniczeń dostępu do danych osobowych:

  1. prawnych (każde zobowiązanie do poufności, zakres upoważnień),
  2. fizycznych (wyznaczanie stref dostępu, zamykanie pomieszczeń),
  3. logicznych (efektywne ograniczenie uprawnień do systemów przetwarzających dane osobowe i zasobów sieciowych, w których rezydują dane osobowe).

Przedsiębiorstwo zobowiązane jest do stosowania środków kontroli dostępu fizycznego, aktualizowania uprawnień dostępowych przy zmianach w składzie personelu, zmianach ról w zespole oraz zmianach podmiotów przetwarzających, a także do regularnego przeglądania danych użytkowników systemów oraz aktualizowania ich przynajmniej raz do roku. Szczegółowe zasady kontroli dostępu fizycznego i logicznego zawarte są w procedurach bezpieczeństwa fizycznego i bezpieczeństwa informacji Przedsiębiorstwa.

3. Minimalizowanie czasu polega na sukcesywnym wdrażaniu przez Przedsiębiorstwo mechanizmów służących kontroli cyklów funkcjonowania danych osobowych w Przedsiębiorstwie, w tym określania dalszej przydatności danych pod kątem terminów oraz punktów kontrolnych wskazanych w Rejestrze.

Dane usuwa się, jeśli zakres ich przydatności ulega ograniczeniu wraz z upływem czasu, jednak mogą być one archiwizowane lub znajdować się na kopiach zapasowych systemów i informacji przetwarzanych przez Przedsiębiorstwo. Wszelkie procedury związane z archiwizacją i korzystaniem z archiwów, tworzeniem i wykorzystaniem tych kopii uwzględniają wymagania kontroli nad cyklem funkcjonowania danych, w tym – wymogi usuwania danych.

XII. BEZPIECZEŃSTWO

Przedsiębiorstwo zobowiązane jest do zapewnienia wysokiego stopnia bezpieczeństwa odpowiadającego ryzyku naruszenia praw oraz wolności osób fizycznych na skutek przetwarzania ich danych.

1. Analiza ryzyka oraz adekwatności środków bezpieczeństwa polega na dokumentowaniu przez Przedsiębiorstwo wyników przeprowadzanych analiz adekwatności środków bezpieczeństwa danych osobowych. W tym celu:

2. Ocena skutków dla ochrony danych polega na zobowiązaniu przez Przedsiębiorstwo do dokonywania oceny skutków planowanych przez nią operacji przetwarzania danych pod kątem ich ochrony wszędzie tam, gdzie analiza ryzyka wskazuje na jakąkolwiek możliwość wystąpienia ryzyka naruszenia praw oraz wolności osób. Przedsiębiorstwo ma obowiązek stosować przyjętą przez siebie metodykę oceny skutków.

3. Środki bezpieczeństwa – Przedsiębiorstwo ma obowiązek ustalenia środków bezpieczeństwa na podstawie analizy ryzyka oraz adekwatności wszelkich środków bezpieczeństwa, a także oceny ewentualnych skutków dla ochrony danych. Środki te powinny być opisane w procedurach przyjętych przez Przedsiębiorstwo dla tych obszarów.

4. Zgłaszanie naruszeń – Przedsiębiorstwo ma obowiązek dysponować takimi procedurami, które pozwalają jej na identyfikację, ocenę oraz zgłoszenie ewentualnie występującego naruszenia ochrony danych Urzędowi Ochrony Danych w terminie 72 godzin od ustalenia naruszenia.

  1. Przedsiębiorstwo ma obowiązek posiadać odpowiedni stan wiedzy o bezpieczeństwie informacji, cyberbezpieczeństwie oraz ciągłości działania − we własnym zakresie lub ze wsparciem podmiotów wyspecjalizowanych,
  2. Przedsiębiorstwo ma obowiązek grupować dane oraz czynności przetwarzania danych pod względem ryzyka, jakie generują,
  3. Przedsiębiorstwo ma obowiązek analizować ryzyko naruszenia praw lub wolności osób fizycznych pod kątem czynności przetwarzania danych lub ich kategorii, a także rozważać możliwe scenariusze naruszenia ochrony danych osobowych poprzez uwzględnienie charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszeń o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia,
  4. Przedsiębiorstwo ma obowiązek rozważać możliwość zastosowania pod kątem organizacyjnym i technicznym środków bezpieczeństwa oraz oceniać związane z nimi koszty.

    W tym celu Przedsiębiorstwo ma obowiązek stosować:
      • pseudonimizację,
      • szyfrowanie danych osobowych,
      • rozmaite środki zapewniające cyberbezpieczeństwo, które składają się na zdolność do zapewnienia integralności, dostępności, poufności oraz odporności systemów i usług przetwarzania,
      • środki zapewniające ciągłość działania oraz zapobiegania skutkom katastrof – w razie wystąpienia incydentów fizycznych bądź technicznych mających doprowadzić do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich.

2. Ocena skutków dla ochrony danych polega na zobowiązaniu przez Przedsiębiorstwo do dokonywania oceny skutków planowanych przez nią operacji przetwarzania danych pod kątem ich ochrony wszędzie tam, gdzie analiza ryzyka wskazuje na jakąkolwiek możliwość wystąpienia ryzyka naruszenia praw oraz wolności osób. Przedsiębiorstwo ma obowiązek stosować przyjętą przez siebie metodykę oceny skutków.

3. Środki bezpieczeństwa – Przedsiębiorstwo ma obowiązek ustalenia środków bezpieczeństwa na podstawie analizy ryzyka oraz adekwatności wszelkich środków bezpieczeństwa, a także oceny ewentualnych skutków dla ochrony danych. Środki te powinny być opisane w procedurach przyjętych przez Przedsiębiorstwo dla tych obszarów.

4. Zgłaszanie naruszeń – Przedsiębiorstwo ma obowiązek dysponować takimi procedurami, które pozwalają jej na identyfikację, ocenę oraz zgłoszenie ewentualnie występującego naruszenia ochrony danych Urzędowi Ochrony Danych w terminie 72 godzin od ustalenia naruszenia.

XIII. PRZETWARZAJĄCY

Przedsiębiorstwo ma obowiązek dysponować zasadami doboru oraz weryfikacji przetwarzania danych na rzecz Przedsiębiorstwa opracowanymi w celu zapewnienia wystarczającej gwarancji wdrażania właściwych środków technicznych i organizacyjnych, które zapewniają bezpieczeństwo, realizację praw jednostki oraz innych spoczywających na Przedsiębiorstwu obowiązków dotyczących ochrony danych. W Załączniku 2 znajdują się przyjęte przez Przedsiębiorstwo wymagania względem umowy powierzenia przetwarzania danych, do których stosowania Przedsiębiorstwo jest zobowiązane.

XIV. EKSPORT DANYCH

Przedsiębiorstwo ma obowiązek rejestrować w Rejestrze przypadków eksportu (przekazywania) danych poza Europejski Obszar Gospodarczy (EOG w 2017 r. = Unia Europejska, Islandia, Lichtenstein i Norwegia). W celu uniknięcia nieautoryzowanych eksportów danych, a szczególnie związanych z wykorzystaniem publicznie dostępnych chmur (shadow IT), Przedsiębiorstwo zobowiązane jest do okresowego weryfikowania zachowań użytkowników oraz w miarę możliwości udostępniania zgodnych z prawem ochrony danych rozwiązań równoważnych.

XV. PROJEKTOWANIE PRYWATNOŚCI

Przedsiębiorstwo ma obowiązek zarządzać zmianami, które mają wpływ na prywatność w taki sposób, aby możliwe było przy tym zapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz zminimalizowanie ich przetwarzania. Zasady te odwołują się w tym celu do zasad bezpieczeństwa danych osobowych i minimalizacji, toteż wymagają oceny ich wpływu na prywatność oraz ochronę danych, a także uwzględnienia oraz zaprojektowania bezpieczeństwa i minimalizacji przetwarzania danych od początku takiego projektu lub inwestycji.

XVI. POSTANOWIENIA KOŃCOWE

Inspektor Danych Osobowych jest odpowiedzialny za przeszkolenie użytkowników, którzy mają dostęp do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej, a na których ciąży obowiązek odbycia szkolenia w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych. Osoba podejmująca się przetwarzania danych osobowych zobowiązana jest do złożenia oświadczenia obejmującego zobowiązanie się do przestrzegania zasad ochrony danych osobowych.