Spis treści

1. INFORMACJE WSTĘPNE 3

• 1. Definicje 3
• 2. Podstawa prawna 5
• 3. Cel 5

1. ZAKRES STOSOWANIA 6

• 1 Zakres przedmiotowy 6

III. OBOWIĄZKI PODMIOTÓW BIORĄCYCH UDZIAŁ W PROCESIE PRZETWARZANIA DANYCH OSOBOWYCH 7

• 1. Administrator Danych Osobowych 7
• 2 Administrator Systemu Informatycznego 7
• 3 Osoby Upoważnione 8
• 4. Podmiot Przetwarzający 8
• 5. ADO jako podmiot przetwarzający 9
• 6. Odbiorca 9

1. PRZETWARZANIE DANYCH OSOBOWYCH 10

• 1. Inwentaryzacja 10
• 2. Bezpieczeństwo danych osobowych 10
• 3. Ocena skutków dla ochrony danych i uprzednie konsultacje 11

1. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ 11

• 1 Postanowienia ogólne 11
• 2 Prawo dostępu do danych 13
• 3. Prawo do sprostowania i uzupełnienia danych 13
• 4. Prawo do usunięcia danych („prawo do bycia zapomnianym”) 13
• 5. Prawo do żądania ograniczenia przetwarzania 14
• 6. Prawo do przenoszenia danych 15
• 7. Prawo do wniesienia sprzeciwu 15

1. ZARZĄDZANIE NARUSZENIAMI 15

• 1. Postępowanie w przypadku naruszenia danych osobowych 15

VII. POSTANOWIENIA KOŃCOWE 17

• 1. Postanowienia końcowe 17

Lista załączników: 18

I. INFORMACJE WSTĘPNE

• 1 Postanowienia ogólne

1. Polityka ochrony danych osobowych rozumiana jest jako wykaz praw, reguł i wewnętrznych praktyk regulujących sposób zarządzania i ochrony danych osobowych wewnątrz Indywidualnego Serwisu Motocyklowego Tomasz Jagiełło, zwanej dalej
2. Dokument obejmuje całokształt zagadnień związanych z problemem zabezpieczenia danych osobowych przetwarzanych zarówno tradycyjnie, jak i w systemach informatycznych. Wskazuje działania przewidziane do wykonania oraz sposób ustanowienia zasad i reguł postępowania koniecznych do zapewnienia właściwej ochrony przetwarzanych danych osobowych.

§ 2. Definicje

Ilekroć w Polityce (zdefiniowanej poniżej) jest mowa o:

• Administratorze Danych Osobowych (ADO) – oznacza to Pana Tomasza Jagiełło ( ul. Roty 62, 04-420 Warszawa, adres serwis@ismserwis.pl)
• Administratorze Systemu Informatycznego (ASI) – oznacza to wyznaczoną przez ADO osobę odpowiedzialną za zapewnienie bezpieczeństwa systemów informatycznych,
• danych osobowych – oznacza to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (“osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej,
• danych wrażliwych – oznacza to dane osobowe szczególnych kategorii wymienione w art. 9 RODO tj. ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej,
• danych karnych – oznacza to dane osobowe wymienione w art. 10 RODO tj. dane dotyczące wyroków i naruszeń prawa,
• eksporcie danych – oznacza to przekazywanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
• informacji poufnej – oznacza jakiekolwiek informacje i dane dotyczące ADO jego klientów, dostawców oraz osób z nim powiązanych, uzyskane w związku z wykonywaniem obowiązków pracowniczych lub umownych, a w szczególności wszelkie informacje marketingowe, reklamowe, PR-owe, handlowe, finansowe, ekonomiczne, prawne, techniczne, technologiczne, produkcyjne, organizacyjne lub administracyjne,
• Instrukcja Zarządzania Systemem Informatycznym (IZSI) – oznacza to dokument opisujący
  w szczególności: stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowanie, procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu, procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, sposób zabezpieczenia systemu informatycznego przed działalnością złośliwego oprogramowania, procedury wykonywania przeglądów i naprawy systemów oraz nośników informacji służących do przetwarzania danych, procedurę korzystania z poczty służbowej i sieci publicznej (Internet), procedurę korzystania z nośników elektronicznych poza obszarem,
• odbiorcy – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią (art. 4 pkt 9 RODO),
• obszarze – oznacza lokalizacje i pomieszczenia w Spółce, w których są przetwarzane dane osobowe,
• naruszeniu – oznacza to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych,
• nośniku – oznacza to przedmiot fizyczny służący do zapisania, odczytu, transmisji lub przechowywania informacji, w szczególności: papierowy, magnetyczny, optyczny, elektroniczny, w tym: dysk, komputer, laptop, tablet, pendrive, CD, DVD,
• Polityce – oznacza to niniejszą Politykę ochrony danych osobowych,
• państwie trzecim – oznacza to państwo nienależące do EOG,
• podmiocie przetwarzającym (procesorze) – oznacza to podmiot, któremu ADO powierzył przetwarzanie danych osobowych na podstawie umowy o powierzeniu przetwarzania danych osobowych zawartej w trybie art. 28 RODO,
• dalszym podmiocie przetwarzającym – oznacza to podmiot, któremu podmiot przetwarzający powierzył przetwarzanie danych osobowych na podstawie umowy o powierzeniu przetwarzania danych osobowych zawartej w trybie art. 28 RODO za zgodą ADO,
• profilowaniu – należy przez to rozumieć dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się,
• przetwarzaniu danych – oznacza to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
• PUODO – oznacza to Prezesa Urzędu Ochrony Danych Osobowych,
• RODO – oznacza to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1),
• stronie trzeciej – oznacza to osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe,
• systemie informatycznym – oznacza to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych,
• UODO – oznacza ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 z późn. zm.),
• usuwaniu – oznacza to zniszczenie lub taką modyfikację danych osobowych, która nie pozwoli na ustalenie tożsamości osoby której dane osobowe dotyczą,
• zbiorze danych – oznacza to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie,
• zgodzie – oznacza to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

§ 3. Podstawa prawna

• Polityka została sporządzona i wdrożona przez ADO zgodnie z wymogiem art. 24 ust. 2 RODO.
• Polityka stanowi element systemu ochrony danych osobowych obowiązującego u ADO.
• Polityka opisuje w szczególności sposób przetwarzania danych osobowych, obowiązki podmiotów biorących udział w procesie przetwarzania oraz środki techniczne i organizacyjne zapewniające ich ochronę.
• Polityka jest przechowywana w wersji elektronicznej w siedzibie ADO.

§ 4. Cel

• Celem sporządzenia i wdrożenia Polityki jest wykazanie przez ADO zgodności przetwarzania Danych Osobowych z zasadami przetwarzania danych osobowych wynikających z UODO
  i art. 5 RODO tj:

1. zasadą zgodności z prawem, rzetelności i przejrzystości – rozumianych jako przetwarzane danych osobowych zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą,
2. zasadą ograniczenia celu – rozumianą jako zbierane danych osobowych w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny
3. z tymi celami,
4. zasadą minimalizacji danych – rozumianą jako przetwarzanie danych osobowych, które
   są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których
   są przetwarzane,
5. zasadą prawidłowości – rozumianą jako przetwarzanie danych osobowych, które
   są prawidłowe i w razie potrzeby uaktualniane,
6. zasadą ograniczenia przechowywania – rozumianą jako przechowywanie danych osobowych w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane,
7. zasadą integralności i poufności – rozumianą jako przetwarzanie danych osobowych w

sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych,

1. zasadą rozliczalności – rozumianą jako możliwość wykazania przez ADO przestrzegania zasad określonych w punktach a-f powyżej.

II. ZAKRES STOSOWANIA

§ 1 Zakres przedmiotowy

• Polityka ma zastosowanie do danych osobowych przetwarzanych przez Tomasza Jagiełło zarówno, gdy występuje w roli ADO jak i podmiotu przetwarzającego oraz informacji poufnych przetwarzanych w systemach informatycznych i oprogramowaniu wykorzystywanym przez Tomasz Jagiełło oraz na nośnikach na całym obszarze, w których są lub będą przetwarzanie dane osobowe.
• Ewidencja obszaru stanowi załącznik do Polityki.
• Polityka nie obejmuje obszaru i Systemu Informatycznego, nośników oraz środków technicznych i organizacyjnych zastosowanych przez procesorów, którym ADO powierzył dane osobowe w trybie art. 28 RODO.

• 2. Zakres podmiotowy
• Do stosowania Polityki zobowiązani są w szczególności:

1. ADO,
2. ASI,
3. Osoby upoważnione,
4. podmioty przetwarzające w zakresie, w jakim przetwarzanie danych osobowych odbywa się na obszarze, ich pracownicy lub współpracownicy właściwie upoważnieni,
5. pracownicy, wykonawcy, zleceniobiorcy i współpracownicy,
6. stażyści,
7. praktykanci,

• Polityka będzie poddawana bieżącej aktualizacji, nie rzadziej niż raz w roku. Aktualizacji Polityki dokonuje ADO pod nadzorem ASI.
• Jeżeli przepisy RODO lub inne przepisy powszechnie obowiązującego prawa przewidują dalej idącą ochronę, stosuje się te przepisy.

III. OBOWIĄZKI PODMIOTÓW BIORĄCYCH UDZIAŁ W PROCESIE PRZETWARZANIA DANYCH OSOBOWYCH

§ 1. Administrator Danych Osobowych

• Nadzór nad przetwarzaniem danych osobowych sprawuje ADO, który przydziela role poszczególnym uczestnikom procesu przetwarzania danych osobowych.
• W celu spełnienia zasady rozliczalności ADO wdraża dokumentację dotyczącą przetwarzania danych osobowych, w tym niniejszą Politykę wraz z załącznikami.
• ADO zapewnia bezpieczeństwo przetwarzanych danych osobowych zgodnie z art. 24 i 32 RODO między innymi poprzez stosowanie środków organizacyjnych i technicznych odpowiednich do zagrożeń oraz kategorii danych objętych ochroną, w szczególności zabezpiecza dane osobowe przed naruszeniami.
• Ponadto ADO jest odpowiedzialny za:

1. zapewnienie przetwarzania danych osobowych zgodnie z zasadami wynikającymi z art. 5 RODO,
2. zapewnienie obsługi praw osób, których dane dotyczą wynikających z art. 12-22 RODO, szczegółowo określonych w rozdziale V, § 1-8 niniejszej Polityki
3. projektowanie prywatności i minimalizację przetwarzania („privacy by default”) zgodnie z art. 25 RODO
4. zawarcie umowy o współadministrowaniu, jeśli przetwarza dane wspólnie z innymi podmiotami oraz uzgadnia z nimi wspólnie cele i środki przetwarzania zgodnie z art. 26 RODO,
5. zawarcie umowy o powierzeniu zgodnie z art. 28 RODO, jeśli powierza dane podmiotom przetwarzającym lub jeśli są mu powierzane dane przez innych administratorów danych osobowych,
6. nadanie upoważnień i odebranie od osób upoważnionych zobowiązania do zachowania poufności danych osobowych, do których uzyska dostęp osoba upoważniona zgodnie z art. 29 RODO,
7. prowadzenie Rejestru czynności przetwarzania zgodnie z art. 30 RODO,
8. zgłaszanie naruszeń osobom, których dane dotyczą zgodnie z art. 34 RODO,
9. przeprowadzania oceny skutków przetwarzania zgodnie z art. 35 RODO.
10. konsultacji z PUODO jeśli ocena skutków dla ochrony danych wykaże że przetwarzanie powodowałoby wysokie ryzyko, gdyby ADO nie zastosował środków w celu zminimalizowania tego ryzyka, zgodnie z art. 36 RODO,
11. przeprowadzanie analizy obowiązku powołania Inspektora Ochrony Danych oraz powołania go, gdy analiza wykaże istnienie takiego obowiązku zgodnie z art. 37 RODO.

§ 2 Administrator Systemu Informatycznego

• W celu zapewnienia efektywnej ochrony danych osobowych ADO jest uprawniony do wyznaczenia Administratora Systemu Informatycznego.
• Środki organizacyjne i techniczne oraz procedury związane z zarządzaniem systemem informatycznym zostały określone w IZSI stanowiącej załącznik do Polityki.
• Administrator Systemu Informatycznego jest odpowiedzialny za zapewnienie bezpieczeństwa systemów informatycznych. Do obowiązków ASI w zakresie zarządzania systemem informatycznym należy w szczególności:

1. wsparcie ADO w procesie analizy ryzyka w tym identyfikacja aktywów, przypisanie im właścicieli, udział w określeniu poziomu ryzyka oraz rekomendacja zabezpieczeń,
2. kontrola przepływu informacji pomiędzy systemem informatycznym, a siecią publiczną,
3. kontrola działań inicjowanych z sieci publicznej i systemu informatycznego,
4. nadawanie, modyfikacja i odbiór uprawnień użytkownikom w systemach informatycznych,
5. zarządzanie metodami i środkami uwierzytelniania użytkowników w systemach informatycznych i użytkownikami,
6. zarządzanie dostępem użytkowników do sieci publicznej (Internet),
7. sporządzanie kopii zapasowych zbiorów danych, programów i narzędzi programowych służących do ich przetwarzania,
8. nadzór nad usuwaniem kopii zapasowych,
9. zabezpieczenie systemu informatycznego przed działalnością szkodliwego oprogramowania,
10. przegląd i naprawa systemu informatycznego,
11. modyfikacja, aktualizacja i usprawnianie systemu informatycznego.

§ 3 Osoby Upoważnione

• Dostęp do danych osobowych uzyskują wyłącznie osoby upoważnione lub podmioty przetwarzające na zasadach określonych w § 1 Polityki.
• Za nadawanie, modyfikację i odwoływanie upoważnień dla ASI oraz określenie zakresu odstępu do zasobów systemu informatycznego odpowiedzialny jest ADO.
• Wzór upoważnienia do przetwarzania danych osobowych stanowi załącznik do Polityki.

§ 4. Podmiot Przetwarzający

• ADO zgodnie z art. 28 RODO może powierzyć przetwarzanie danych osobowych podmiotowi przetwarzającemu na podstawie umowy zawartej na piśmie lub elektronicznie.
• ADO korzysta wyłącznie z takich podmiotów, które zapewniają wystarczającą gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych by przetwarzanie spełniało wymogi UODO i RODO i chronią prawa osób, których dane dotyczą.
• Powierzenie przetwarzania danych osobowych następuje po uprzednim zweryfikowaniu przez ADO środków technicznych i organizacyjnych stosowanych przez podmiot, z którym ma zostać zawarta umowa o powierzeniu oraz obowiązującej u tego podmiotu procedury realizacji praw osób, których dane dotyczą. Jednocześnie podmiot przetwarzający jest zobowiązany udzielić ADO informacji o podmiocie podprzetwarzającym – jeśli korzysta.
• Na podstawie dostarczonych informacji ADO decyduje czy podmiot przetwarzający lub dalszy podmiot przetwarzający spełnia wymogi określone w ust. 2 powyżej.
• Jeżeli ADO uzna, że podmiot, z którym ma zostać zawarta umowa o powierzeniu spełnia przesłanki określone w ust. 2 powyżej ADO zawiera z nim umowę o powierzeniu.
• Jeżeli ADO uzna, że dalszy podmiot przetwarzający spełnia przesłanki, o których mowa w ust. 2 powyżej ADO/Pełnomocnik wyraża zgodę na zawarcie umowy dalszego powierzenia pomiędzy podmiotem przetwarzającej, a dalszym podmiotem przetwarzającym.
• Podmiot przetwarzający dostarczy ADO kopię zawartej umowy o powierzeniu, którą ADO jest obowiązany zarchiwizować.
• Jeżeli podmiot przetwarzający w okresie obowiązywania umowy zamierza korzystać z usług dalszego podmiotu przetwarzającego lub innego niż dotychczas dalszego podmiotu przetwarzającego, podmiot przetwarzający jest zobowiązany uzyskać zgodę ADO na zasadach określonych w niniejszym paragrafie.
• ADO odnotowuje zawarcie umowy o powierzeniu oraz umowy o dalszym powierzeniu w Rejestrze czynności przetwarzania.

§ 5. ADO jako podmiot przetwarzający

• W związku z prowadzoną działalnością ADO może być podmiotem przetwarzającym dla innego administratora danych osobowych.
• ADO jest zobowiązany do zawarcia z innym administratorem danych umowy o powierzeniu. Dopuszcza się zawarcie umowy według wzoru przekazanego przez innego administratora danych osobowych jeżeli zawiera ona elementy określone w RODO.
• ADO zapewnia, że dostęp do danych osobowych powierzonych ADO przez innego administratora uzyskają wyłącznie osoby upoważnione lub podmioty przetwarzające.
• ADO prowadzi dla każdego administratora danych osobowych, który powierzył mu dane osobowe do przetwarzania odrębny Rejestr kategorii przetwarzania. Dopuszcza się stosowanie Rejestru według wzoru przekazanego przez innego administratora danych osobowych, jeżeli zawiera on elementy określone w RODO.

§ 6. Odbiorca

• Postanowienia niniejszego paragrafu odnoszą się do odbiorców nie będących podmiotem przetwarzającym ani osobą upoważnioną.
• ADO udostępnia dane osobowe odbiorcy po zweryfikowaniu podstawy prawnej żądania udostępnienia danych osobowych. Wzór zapytania stanowi załącznik do Polityki.
• Podstawę prawną udostępnienia stanowi:

1. w stosunku do danych wrażliwych – art. 9 RODO,
2. w stosunku do danych karnych – art. 10 RODO,
3. w stosunku do pozostałych danych osobowych – art. 6 RODO.

• Jeżeli ADO uzna, że żądanie udostępnienia jest niezasadne odmawia udostępnienia danych osobowych.
• Jeżeli ADO uzna, że żądanie udostępnienia danych osobowych jest zasadne, ADO udostępni odbiorcy żądane dane osobowe. Wzór odpowiedzi stanowi załącznik do Polityki.
• ADO odnotuje udostępnienie danych odbiorcy we wzorze ewidencji stanowiącym załącznik do Polityki.

IV. PRZETWARZANIE DANYCH OSOBOWYCH

§ 1. Inwentaryzacja

• ADO dokonał inwentaryzacji przetwarzanych danych osobowych i informacji poufnych.
• W ramach inwentaryzacji ADO ustalił:

1. kategorie osób, których dane dotyczą,
2. kategorie przetwarzanych danych,
3. cel przetwarzania,
4. podstawy prawne przetwarzania,
5. czynności przetwarzania danych osobowych w zbiorach danych ADO,
6. kategorie czynności przetwarzania danych osobowych powierzonych,
7. odbiorców, którym udostępnia dane osobowe i zakres udostępnienia,
8. podmioty przetwarzające, którym powierzył przetwarzanie danych osobowych,
9. dalsze podmioty przetwarzającego,
10. administratorów danych, dla których ADO jest podmiotem przetwarzającym,
11. planowany termin przechowywania danych osobowych,
12. miejsce lokalizacji danych osobowych i informacji poufnych,

• Inwentaryzacja została przeprowadzona w oparciu o:

1. Ewidencję obszaru,
2. Ewidencję upoważnień,
3. Rejestr czynności przetwarzania,
4. Rejestr kategorii przetwarzania.

• ADO będzie dokonywać inwentaryzacji danych osobowych w oparciu o ewidencje i rejestry określone w ust. 3 powyżej poprzez ich aktualizację zgodnie z zasadami obowiązującymi u ADO, wynikającymi z właściwych procedur.
• Rejestr czynności przetwarzania oraz Rejestr kategorii przetwarzania będzie aktualizowany przez ADO w zależności od potrzeb, nie rzadziej jednak niż raz na 6 miesiące.
• Raz w roku, ADO dokona usunięcia danych osobowych, w stosunku do których zgodnie z Rejestrem czynności przetwarzania upłynął termin przechowywania.

§ 2. Bezpieczeństwo danych osobowych

• ADO uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, kontekst, i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze naruszenia wdrożył we współpracy z ASI odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
• Środki, o których mowa w ust. 1 powyżej zostały zastosowane w oparciu o audyt bezpieczeństwa. Oceniając czy stopień bezpieczeństwa jest odpowiedni wzięto pod uwagę ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji nieuprawnionego ujawnienia lub nieuprawnionego dostępu.
• Środki organizacyjne i techniczne, o których mowa w ust. 1 będą aktualizowane w zależności od potrzeb, nie rzadziej niż raz w roku we współpracy z ASI.

§ 3
Ocena skutków dla ochrony danych i uprzednie konsultacje

• Jeżeli dany rodzaj przetwarzania dokonywanego przez ADO – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ADO przed rozpoczęciem przetwarzania dokona oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

• W odniesieniu do operacji przetwarzania znajdujących się w wykazie publikowanym przez PUODO na podstawie art. 35 ust. 4 RODO Administrator Danych Osobowych jest zobowiązany przeprowadzić ocenę skutków dla ochrony danych osobowych. Ocena skutków dla ochrony danych osobowych nie jest wymagana w odniesieniu do operacji przetwarzania znajdujących się w wykazie publikowanym przez PUODO na podstawie art. 35 ust. 5 RODO.
• ADO sporządza raport z dokonanej oceny skutków przetwarzania.
• W razie potrzeby, przynajmniej, gdy zmienia się ryzyko wynikające z operacji przetwarzania, ADO dokonuje przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych.
• Jeżeli ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby ADO nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym.

V. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ

§ 1 Postanowienia ogólne

• ADO respektuje prawa osób, których dane dotyczą określone w UODO i Rozdziale III RODO, tj.:

1. Prawo dostępu do danych oraz prawo do uzyskania następujących informacji:
   • celach przetwarzania,
   • o kategoriach odnośnych danych osobowych,
   • o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych,
   • w miarę możliwości o planowanym okresie przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
   • o prawie do żądania od ADO sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania,
   • o prawie wniesienia skargi do organu nadzorczego,
   • jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – o wszelkich dostępnych informacjach oraz o ich źródle,
   • o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
2. Prawo do żądania od ADO sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą,
3. Prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych oraz prawie do niepodlegania decyzjom, które opierają się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołują wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływają.
4. Prawo do cofnięcia zgody na przetwarzanie danych osobowych w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.

• Każda osoba upoważniona lub podmiot przetwarzający, która przyjmie żądanie realizacji prawa osoby, której dane dotyczą zobowiązana jest je przekazać do ADO.
• ADO weryfikuje zasadność żądania osoby, której dane dotyczą.
• Po zweryfikowaniu zasadności żądania, ADO decyduje o realizacji lub odmowie realizacji prawa osoby, której dane dotyczą oraz zarządza jego realizacją wyznaczając osoby odpowiedzialne.
• ADO bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniami skierowanymi do ADO w celu realizacji praw wskazanych w ust. 1. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania ADO informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.
• Jeżeli ADO nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.
• Działania ADO związane z realizacją praw osoby, której dane dotyczą są wolne od opłat. Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, ADO może:

1. pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań, albo
2. odmówić podjęcia działań w związku z żądaniem.

• Jeżeli ADO ma wątpliwości co do tożsamości osoby fizycznej składającej żądanie związane z realizacją praw, o których mowa w ust. 1, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.
• ADO zażąda od osoby, której dane dotyczą podania danych osobowych, które przetwarza w celu weryfikacji żądania. Żądanie ADO stanowi załącznik do Polityki.
• ADO informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, których dokonał zgodnie z żądaniem osoby, której dane dotyczą, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. ADO informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.
• ADO prowadzi Ewidencję żądań stanowiącą załącznik do Polityki.

§ 2 Prawo dostępu do danych

• Osoba, której dane dotyczą, jest uprawniona do uzyskania od ADO potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz informacji wskazanych § 1 ust. 1 lit. a.
• Po zgłoszeniu żądania, o którym mowa w ust. 1 powyżej, ADO dokonuje sprawdzenia, czy i w jakim zakresie są przetwarzane dane osobowe oraz udziela informacji zgodnie z wzorem stanowiącym załącznik do Polityki.
• ADO dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, ADO może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.

§ 3. Prawo do sprostowania i uzupełnienia danych

• Osoba, której dane dotyczą, ma prawo żądania od ADO niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.
• Po zgłoszeniu żądania, o którym mowa w ust. 1 powyżej ADO dokonuje weryfikacji poprawności, prawidłowości oraz kompletności przetwarzanych danych osobowych. W razie stwierdzenia konieczności sprostowania, poprawienia lub uzupełnienia danych ADO dokonuje tych czynności we wszystkich zbiorach danych, w których znajdują się dane osoby, która zgłosiła żądanie.

§ 4. Prawo do usunięcia danych („prawo do bycia zapomnianym”)

• Osoba, której dane dotyczą, ma prawo żądania od ADO niezwłocznego usunięcia dotyczących jej danych osobowych, a ADO ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

1. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,
2. osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO, i nie ma innej podstawy prawnej przetwarzania,
3. osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 RODO wobec przetwarzania,
4. dane osobowe były przetwarzane niezgodnie z prawem,
5. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator,
6. dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 RODO.

• Po zgłoszeniu żądania, o którym mowa w ust. 1 powyżej, ADO ma obowiązek usunąć dane, chyba że zachodzą przesłanki do odmowy usunięcia danych określone w art. 17 ust. 2 RODO. Realizacja prawa do bycia zapomnianym następuje poprzez anonimizację lub usunięcie danych osobowych. Jeżeli zachodzą przesłanki do odmowy usunięcia danych, ADO udziela odpowiedzi osobie, która zgłosiła żądanie usunięcia danych.
• Jeżeli ADO upublicznił dane osobowe, a ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

§ 5. Prawo do żądania ograniczenia przetwarzania

• Osoba, której dane dotyczą, ma prawo żądania od ADO ograniczenia przetwarzania w następujących przypadkach:

1. osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający ADO sprawdzić prawidłowość tych danych,
2. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
3. ADO nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
4. osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie ADO są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

• Jeżeli na mocy ust. 1 powyżej przetwarzanie zostało ograniczone, ADO przetwarza takie dane osobowe z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.
• Przed uchyleniem ograniczenia przetwarzania ADO informuje o tym osobę, której dane dotyczą, która żądała ograniczenia na mocy ust. 1 powyżej.

§ 6. Prawo do przenoszenia danych

• Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła ADO, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony ADO, jeżeli:

1. przetwarzanie odbywa się na podstawie zgody w myśl art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit.
2. lub na podstawie umowy w myśl art. 6 ust. 1 lit. b) RODO, oraz
3. przetwarzanie odbywa się w sposób zautomatyzowany.

• Wykonując prawo do przenoszenia danych na mocy ust. 1, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez ADO bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.
• Po zgłoszeniu żądania, o którym mowa w ust, 1, ADO wykona kopię danych osobowych osoby zgłaszającej żądanie znajdujących się w zbiorach ADO oraz przekaże kopię tych danych w formacie .xml, .doc lub .pdf na wskazany przez nią adres e-mail tej osoby lub innego administratora wskazanego przez tą osobę. Dane osobowe mogą zostać przekazane także na płycie CD/DVD, jeżeli osoba, której dotyczą dane, zgłosi takie żądanie.

§ 7. Prawo do wniesienia sprzeciwu

• Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f) RODO, w tym profilowania na podstawie tych przepisów. Po zgłoszeniu sprzeciwu ADO nie będzie już przetwarzać tych danych osobowych, chyba że istnieją ważne prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub istnieją podstawy do ustalenia, dochodzenia lub obrony roszczeń.
• Prawo do sprzeciwu może zostać wykonane za pośrednictwem wiadomości e-mail wysłanej na adres ADO, listem poleconym wysłanym na adres ADO albo za pośrednictwem zautomatyzowanych środków w systemie informatycznym ADO.

VI. ZARZĄDZANIE NARUSZENIAMI

§ 1. Postępowanie w przypadku naruszenia danych osobowych

• Każda osoba zobowiązana do stosowania Polityki, która poweźmie informacje o zdarzeniu mogącym powodować naruszenie ochrony danych osobowych lub będzie świadkiem bądź uczestnikiem takiego zdarzenia jest zobowiązana je zgłosić niezwłocznie, nie później niż w terminie 6 godzin od daty zaistnienia zdarzenia lub powzięcia podejrzenia ADO, a jeśli zdarzenie dotyczy systemu informatycznego ASI.
• Za zdarzenia mogące powodować naruszenia uznaje się w szczególności:

1. niewłaściwe fizyczne zabezpieczenie obszaru, sprzętu lub dokumentów,
2. niewłaściwe zabezpieczenie sprzętu i programowania przed utratą integralności, poufności i dostępności,
3. nieprzestrzeganie zasad ochrony danych osobowych przez osoby zobowiązane,
4. zdarzenia losowe zewnętrzne – np. pożar, powódź, wojna, awaria energetyczna,
5. zdarzenia losowe wewnętrzne – utrata zasilenia, awaria sprzętu, błąd ludzki skutkujący utratą poufności, integralności i dostępności danych osobowych,
6. zdarzenia umyślne – włamanie, kradzież, działanie szkodliwego oprogramowania ujawnienie danych osobowych osobom nieuprawnionym, celowe zniszczenie danych osobowych.

• ADO, ASI jeśli zdarzenie dotyczy systemu informatycznego niezwłocznie podejmują odpowiednie działania celem zabezpieczenia danych osobowych, których dotyczy zdarzenie.
• ADO we współpracy z ASI jeśli zdarzenie lub naruszenie dotyczy przeprowadzi postępowanie wyjaśniające odnośnie naruszenia lub zagrożenia, w szczególności ustali następujące okoliczności:

1. datę stwierdzenia zdarzenia lub naruszenia,
2. przyczyny naruszenia lub zdarzenia,
3. opis zdarzenia lub naruszenia
4. opis stanu technicznego sprzętu, oprogramowania, jeśli zdarzenie lub naruszenie tego dotyczy

• W ramach postępowania wyjaśniającego, o którym mowa w ust. 4 powyżej ADO we współpracy z ASI, jeśli zdarzenie lub naruszenie dotyczy systemu informatycznego określi:

1. rozmiar zniszczeń,
2. dane, do których uzyskano nieuprawniony dostęp lub uległy nieautoryzowanemu zniszczeniu lub modyfikacji,
3. środki naprawcze i zabezpieczające, jakie należy wdrożyć w celu usunięcia skutków zagrożenia lub naruszenia, jak również aby nie dopuścić do zaistnienia zdarzenia lub naruszenia w przyszłości,
4. dokona szacowania ryzyka wpływu naruszenia (w przypadku jego stwierdzenia) na prawa i wolności osób, których dane dotyczą.

• W razie konieczności ADO zabezpieczy dowody i powiadomi właściwe organy.
• ADO dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Wzór rejestru naruszeń ochrony danych osobowych stanowi załącznik do Polityki.
• ADO niezwłocznie wdroży środki naprawcze i zabezpieczające, o których mowa w ust. 5 c) niniejszego paragrafu.
• Osoba zobowiązana do powiadomienia ADO o potencjalnym lub zaistniałym zagrożeniu lub zobowiązaniu, która zaniecha tego obowiązku może podlegać odpowiedzialności dyscyplinarnej.
• W przypadku naruszenia ochrony danych osobowych, ADO bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie na to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Wzór zgłoszenia stanowi załącznik numer 13 do Polityki.
• Jeżeli naruszenie ochrony danych osobowych może spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ADO bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą o takim naruszeniu.
• Zawiadomienie nie jest wymagane, jeżeli:

1. ADO wdrożył odpowiednie środki techniczne i organizacyjne i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych,
2. administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą,
3. wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

VII. POSTANOWIENIA KOŃCOWE

§ 1. Postanowienia końcowe

• Polityka wchodzi w życie z dniem 11.03.2021 roku.

ADO jest uprawniony do zmiany Polityki w każdym czasie bez podania przyczyn.