Polityka ochrony danych pronet.pl sp. z o.o.
Rozdział I
Postanowienia ogólne
§ 1
- Polityka ochrony danych (zwana dalej „Polityką”) określa zasady dotyczące przetwarzania i zabezpieczenia danych osobowych w pronet.pl sp. z o.o. z siedzibą przy ulicy Żurawiej 22, 00-515 Warszawa, KRS 0000542856, REGON 011148530, NIP 118-00-82-051 (dalej „pronet.pl”) zgodnie z wymaganiami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – zwanego dalej RODO).
- Niniejszy dokument stanowi wykonanie obowiązku, o którym mowa w art. 24 ust. 2 RODO.
- Przedmiotem ochrony na podstawie Polityki są dane osobowe, agregowane zarówno w systemach informatycznych, jak również na nośnikach papierowych i elektronicznych. Miejsca agregowania danych osobowych podlegają zabezpieczeniu określonemu na podstawie niniejszej Polityki.
- Polityka ma zastosowanie do wszystkich danych osobowych przetwarzanych w pronet.pl w ramach realizowanych przez nią procesów biznesowych.
- Obowiązek ochrony danych osobowych przetwarzanych w pronet.pl dotyczy wszystkich osób, które mają do nich dostęp bez względu na zajmowane stanowisko oraz miejsce wykonywania pracy, jak również charakter stosunku pracy.
- Każda osoba, która ma mieć dostęp do danych osobowych, będzie mogła je przetwarzać wyłącznie na podstawie otrzymanego upoważnienia.
- Osoby mające dostęp do danych osobowych są zobowiązane do zapoznania się z Polityką i innymi powiązanymi z nią dokumentami oraz stosowanie zawartych w nich regulacji.
- Polityka zachowuje zgodność z innymi wewnętrznymi regulacjami z obszaru bezpieczeństwa informacji i systemów informatycznych obowiązującymi pronet.pl.
- Nadzór nad opracowaniem i aktualizacją Polityki sprawuje Inspektor ochrony danych.
- Zarząd pronet.pl zatwierdza w drodze uchwały Politykę i jej aktualizacje.
- Dokumentem powiązanym z niniejszą Polityką jest „Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w pronet.pl”.
§ 2
Występujące w niniejszej Polityce zwroty oznaczają:
Administrator danych osobowych (ADO) – pronet.pl, reprezentowana przez Zarząd lub prokurentów.
Administrator Systemu Informatycznego (ASI) – osoba wyznaczana przez ADO odpowiedzialna za przestrzeganie zasad ochrony danych osobowych w danym systemie informatycznym i nadzorująca przetwarzanie danych osobowych w systemie informatycznym.
Dane osobowe – wszelkie informacje, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Dane osobowe wrażliwe – szczególne kategorie danych określone w art. 9 RODO, w tym: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych; dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej; dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby; jak również dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa, o których mowa w art. 10 RODO.
pronet.pl – pronet.pl sp. z o.o. z siedzibą przy ulicy Żurawiej 22, 00-515 Warszawa, KRS 0000542856, REGON 011148530, NIP 118-00-82-051
Inspektor ochrony danych (Inspektor) – osoba wyznaczona przez Administratora danych na podstawie art. 37 RODO, która realizuje zadania monitorowania przestrzegania przepisów o ochronie danych osobowych w pronet.pl, określone w art. 39 RODO.
Komórka organizacyjna (KO) – Dział, Zespół, samodzielne stanowisko – wynikające z przyjętej w pronet.pl struktury organizacyjnej.
Naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Obszar przetwarzania danych osobowych – pomieszczenia lub części pomieszczeń we wszystkich lokalizacjach pronet.pl, w których są przetwarzane dane osobowe, zarówno w formie papierowej, jak i w systemie informatycznym.
Odbiorca danych – podmiot, któremu udostępniane są dane osobowe.
Osoba upoważniona – osoba upoważniona do przetwarzania danych osobowych przez Administratora danych lub osobę przez niego upoważnioną, mająca bezpośredni dostęp do danych, przetwarzanych w systemie informatycznym lub w dokumentacji papierowej.
Podmiot przetwarzający – podmiot, któremu pronet.pl powierza czynności przetwarzanie danych osobowych w swoim imieniu.
Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Przetwarzanie danych osobowych – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
PUODO – Prezes Urzędu Ochrony Danych Osobowych.
RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
UODO – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.
Zasób danych osobowych – wszystkie dane osobowe, niezależnie od sposobu ich utrwalenia, zarówno w formie elektronicznej – w systemie informatycznym oraz na nośnikach (płyty CD/DVD/BD, pamięci flash i inne) jak i papierowej przetwarzane przez komórkę organizacyjną w celu realizacji jej zadań.
Zgoda na przetwarzanie danych – dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
Rozdział II
Zarządzanie przetwarzaniem danych osobowych oraz ich bezpieczeństwem
§ 1
- Zarząd jest odpowiedzialny za przetwarzanie i ochronę danych osobowych w pronet.pl, zgodnie przepisami prawa, w tym za zaakceptowanie niniejszej Polityki.
- Zarząd może wyznaczyć Inspektora ochrony danych, który wykonuje zadania w zakresie monitorowania zasad przetwarzania danych osobowych w pronet.pl.
- Zarząd może wyznaczyć inne osoby, które wchodzą w skład Zespołu Inspektora i wspomagają wykonywanie zadań monitorowania ochrony danych w pronet.pl.
§ 2
- Kierownik Działu jest odpowiedzialni za zarządzanie procesami przetwarzania danych osobowych w swoich komórkach. Do obowiązków kierowników należy:
a. zarządzanie czynnościami przetwarzania danych osobowych w ramach zadań, realizowanych przez swoje komórki organizacyjne;
b. występowanie z wnioskami do odpowiedniego ASI o nadanie, zmianę lub cofnięcie uprawnień pracownikom do określonych zasobów danych osobowych przetwarzanych w systemie informatycznym, zgodnie z zakresem upoważnienia do przetwarzania danych osobowych;
c. zapoznanie podległych pracowników i innych osób (np. współpracowników, przedstawicieli kontrahentów) z zasadami przetwarzania i ochrony danych w podległej Działu;
d. wypełnianie obowiązków dotyczących zabezpieczenia obszaru przetwarzanych danych osobowych w podległej Działu;
e. zgłaszanie do ADO lub Inspektora zamiaru rozpoczęcia nowego procesu przetwarzania danych osobowych lub zmiany w czynnościach przetwarzania danych realizowanych w Działu (dotyczy to papierowych i elektronicznych zasobów danych, w tym agregowanych w plikach aplikacji biurowych typu MS Word i MS Excel);
f. w przypadku zbierania danych osobowych, konsultowanie Prawnikiem oraz Inspektorem podstaw prawnych przetwarzania danych osobowych, w tym zbierania i archiwizowanie zgód osób na przetwarzanie ich danych osobowych wymaganych przypadkach.
g. ustalanie w porozumieniu z Informatykiem zasad tworzenia kopii zapasowych plików z danymi osobowymi, znajdującymi się na stacjach roboczych użytkowników w podległej komórce organizacyjnej;
h. realizacja procesu udostępniania danych osobowych innemu podmiotowi lub osobie, której dane dotyczą;
i. realizacja procesów związanych z powierzaniem przetwarzania danych osobowych przez pronet.pl innym podmiotom - zgodnie z zawartymi umowami powierzenia przetwarzania danych osobowych.
§ 3
- Kadrowiec/osoba zajmująca się zatrudnieniem jest odpowiedzialna za:
a. przygotowanie upoważnienia do przetwarzania danych osobowych do podpisu wraz z umową o pracę/zlecenia/dzieło;
b. przechowywanie nadanych upoważnień do przetwarzania danych osobowych oraz oświadczeń o zachowaniu tajemnicy danych osobowych i sposobów ich zabezpieczania wraz z aktami osobowymi pracowników lub umowami zlecenia.
c. prowadzenie aktualnej ewidencji osób upoważnionych do przetwarzania danych osobowych.
§ 4
- Informatyk jest odpowiedzialny za zarządzanie systemem informatycznym służącym do przetwarzania danych osobowych w pronet.pl.
- Szczegółowy podział i zakres odpowiedzialności za nadzór nad poszczególnymi procesami i procedurami dotyczącymi systemów informatycznych jest określony w „Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w w pronet.pl”.
- Informatyk ściśle współpracuje z ADO lub Inspektorem w zakresie zapewnienia bezpieczeństwa systemów informatycznych przetwarzających dane osobowe.
Rozdział III
Upoważnianie osób do przetwarzania danych osobowych
§ 1
- Wszystkie osoby, które wykonują czynności związane z przetwarzaniem danych osobowych w pronet.pl, w ramach wykonywania zadań służbowych na stanowiskach pracy lub prac zleconych, muszą posiadać pisemne upoważnienie do przetwarzania danych osobowych oraz podpisać oświadczenie o zachowaniu tajemnicy danych oraz sposobów ich zabezpieczenia (wzór upoważnienia oraz oświadczenia - załącznik nr 1 do niniejszej polityki).
- Upoważnienia do przetwarzania danych osobowych nadaje Kadrowiec/osoba zajmująca się zatrudnieniem na podstawie pełnomocnictwa Zarządu pronet.pl.
- Upoważnienia do przetwarzania danych są przygotowywane i przechowywane przez Kadry.
- Kadrowiec/osoba zajmująca się zatrudnieniem prowadzi ewidencje osób upoważnionych do przetwarzania danych osobowych w pronet.pl (wzór ewidencji - załącznik nr 2 do niniejszej polityki).
- Każda osoba upoważniona do przetwarzania danych osobowych przechodzi szkolenie z zasad ochrony danych w pronet.pl.
- Szkolenia wstępne i okresowe dla osób upoważnionych przeprowadzi ADO lub Inspektor wg ustalonego planu. Szkolenie to może być w formie e-learningu.
Rozdział IV
Podstawowe zasady, które powinny przestrzegać osoby upoważnione do przetwarzania danych osobowych
- Osoba upoważniona do przetwarzania danych osobowych w pronet.pl jest zobowiązana do:
a. zapoznania się z obowiązującymi przepisami prawa z zakresu ochrony danych osobowych oraz dokumentacją dotyczącą ochrony danych osobowych w pronet.pl;
b. przechodzenia okresowych szkoleń z obszaru ochrony danych osobowych;
c. przetwarzania danych osobowych wyłącznie w celu i zakresie wynikającym z nałożonych obowiązków służbowych;
d. zachowania wyjątkowej staranności przy przetwarzaniu danych osobowych, w szczególności danych wrażliwych w celu ochrony interesów osób, których dane dotyczą;
e. stosowania określonych w pronet.pl procedur i środków przetwarzania oraz zabezpieczania danych osobowych;
f. podporządkowania się poleceniom Zarządu, Inspektora oraz Dyrektora Działu w zakresie ochrony danych osobowych;
g. zachowania w poufności danych osobowych oraz danych objętych tajemnicą ubezpieczeniową;
h. zabezpieczenia danych osobowych przed: ich utratą, uszkodzeniem lub zniszczeniem, zmianą lub ich udostępnieniem osobom nieupoważnionym;
i. dopilnowania, aby przebywanie osób nieupoważnionych w pomieszczeniach, w których przetwarzane są dane osobowe, miało miejsce wyłącznie w obecności osoby upoważnionej;
j. dopilnowania, aby przeznaczone do usunięcia dokumenty, zawierające dane osobowe niszczone były w stopniu uniemożliwiającym ich odczytanie - zabronione jest wyrzucanie dokumentów do koszy na śmieci bez ich właściwej anonimizacji;
k. przestrzegania procedur właściwego użytkowania systemów informatycznych, w których przetwarza się dane osobowe, w tym do nieujawniania innym użytkownikom swoich loginów i haseł;
l. zachowania należytej staranności podczas przekazywania danych osobowych drogą telefoniczną (konieczność właściwej identyfikacji rozmówcy, konieczność ustalenia, czy rozmówca jest uprawniony do pozyskania danych osobowych, przekazywanie jedynie niezbędnych informacji.;
m. przesyłania danych osobowych za pomocą sieci Internet jedyne z użyciem metod kryptograficznych (szyfrowanie danych, kanały bezpiecznej transmisji.;
n. niewysyłania za pomocą wiadomości e-mail danych osobowych na prywatne adresy, niekopiowanie danych na inne nośniki bez uzasadnionej potrzeby biznesowej;
o. zachowania należytej ostrożności przy transporcie dokumentów oraz nośników informatycznych, zawierających dane osobowe, po za obszarem przetwarzania w pronet.pl.
p. niepozostawiania dokumentów, zawierających dane osobowe na urządzeniach wielofunkcyjnych (drukowanie, kopiowanie.;
q. nieopuszczania stanowiska bez zabezpieczenia dokumentów papierowych, zawierających dane osobowe (zasada „czystego biurka”. oraz bez zabezpieczania dostępu do danych przetwarzanych w systemie informatycznym (zasada „czystego ekranu”.;
r. informowania o zdarzeniu operacyjnym dotyczącym danych osobowych, zgodnie z obowiązującymi w tym zakresie procedurami;
s. zaprzestania przetwarzania danych osobowych po ustaniu stosunku zatrudnienia.
Rozdział V
Prowadzenie rejestrów czynności przetwarzania danych osobowych
§ 1
- W pronet.pl są prowadzone rejestry czynności przetwarzania danych osobowych zgodnie z wymaganiami art. 30 RODO, zarówno w stosunku do:
a. danych których Spółka jest administratorem;
b. danych, które zostały powierzone Spółce do przetwarzania przez inne podmioty. - Za prowadzenie rejestrów odpowiedzialny jest ADO lub Inspektor.
- ADO lub Inspektor inwentaryzuje procesy przetwarzania danych osobowych w pronet.pl, przypisując do nich określone czynności przetwarzania danych.
- ADO lub Inspektor okresowo dokonuje przeglądów procesów przetwarzania danych w celach aktualizacji prowadzonych rejestrów.
- Kierownik Działu mają obowiązek na bieżąco informować Inspektora o procesach przetwarzania danych osobowych realizowanych w swoich Dziale oraz o wszelkich zmianach w tych procesach, w szczególności dotyczących:
a. celów przetwarzania danych, w tym realizowanych czynności;
b. kategorii osób, których dane są przetwarzane;
c. zakresów przetwarzanych danych;
d. podmiotów przetwarzających, którym dane są powierzane;
e. odbiorców danych, którym dane są udostępniane.
Rozdział VI
Realizacja obowiązków przy przetwarzaniu danych osobowych
§ 1
- Osoby odpowiedzialne w pronet.pl za procesy, w których zbierane są dane osobowe, mają obowiązek zachowania szczególnej staranności przy ich zbieraniu, w tym:
a. sprawdzać czy są spełnione podstawy prawne na pozyskiwanie danych osobowych, zgodnie z art. 6 RODO oraz art. 9 – 10 RODO;
b. zbierać dane osobowe dla określonych, zgodnych z prawem celów realizowanych w pronet.pl;
c. zbierać dane w zakresie adekwatnym do celów w jakich dane będą przetwarzane w pronet.pl. - W przypadku konieczności odbierania zgody na przetwarzanie danych osobowych, należy zapewnić dobrowolności jej pozyskania oraz powiadamiać o prawie do odwołania takiej zgody.
- Za stosowanie właściwych oświadczeń zgody przy zbieraniu danych osobowych odpowiada ADO lub Inspektor.
- Oświadczenia dotyczące odbierania zgody na przetwarzanie danych osobowych muszą być konsultowane z Prawnikiem oraz Inspektorem ochrony danych.
- ADO lub Inspektor w porozumieniu z Prawnikiem może ustalić obowiązujące wzory oświadczeń zgody dla poszczególnych procesów przetwarzania danych realizowanych w pronet.pl.
§ 2
- Osoby, które wykonują zadania związane ze zbieraniem danych osobowych są odpowiedzialne za realizację obowiązków informacyjnych określonych w art. 13 i 14 RODO.
- Osoby te są zobowiązane sprawdzać czy na formularzach lub innego typu dokumentach (w formie papierowej lub elektronicznej) dedykowanych do zbierania danych, jest zamieszczona stosowna klauzula informacyjna.
- Odpowiednie klauzule informacyjne powinny być również odczytywane lub odtwarzane w przypadku zbierania danych osobowych przez telefon.
- Za stosowanie właściwych klauzuli informacyjnych przy zbieraniu danych osobowych odpowiada Kierownik Działu odpowiedzialnej za proces zbierania danych.
- Klauzule informacyjne muszą być konsultowane z Prawnikiem oraz ADO lub Inspektorem ochrony danych.
- ADO lub Inspektor w porozumieniu z Prawnikiem może ustalić obowiązujące wzory klauzul informacyjnych dla poszczególnych procesów przetwarzania danych realizowanych w pronet.pl.
§ 3
- Dane osobowe zbierane w ramach procesów realizowanych w pronet.pl są przetwarzane przez czas określony przez właściwe przepisy prawa oraz „Polityce retencji danych w pronet.pl”.
- Za określenie odpowiednich czasów retencji danych osobowych w procesach przetwarzania danych w pronet.pl odpowiada ADO lub Inspektor.
- Dane osobowe, dla których okres przetwarzania nie wynika z obowiązujących przepisów prawa i dla których nie jest możliwe określenie z góry tego okresu, są przetwarzane tak długo, jak długo istnieje jednocześnie podstawa prawna oraz cel dla ich przetwarzania.
- Ustanie celu przetwarzania danych jest równoznaczne z koniecznością usunięcia danych osobowych.
- Dane osobowe przetwarzane wyłącznie w oparciu o przesłankę zgody na przetwarzanie danych osobowych są usuwane zawsze niezwłocznie po wycofaniu takiej zgody.
- W każdej komórce organizacyjnej pronet.pl odpowiedzialnej za określony proces lub procesy przetwarzania danych osobowych, co najmniej jeden raz w każdym roku kalendarzowym odbywa się weryfikacja zasobów danych osobowych prowadzonych w formie papierowej jak i elektronicznej, obejmująca:
a. sprawdzenie, czy dane osobowe, dla których upłyną okres przechowywania wynikający z przepisów prawa lub „Polityki retencji danych w pronet.pl” zostały usunięte;
b. sprawdzenie, czy w odniesieniu do danych osobowych, których czas przechowywania nie został określony w „Polityce retencji danych w pronet.pl”, nadal istnieje podstawa prawna oraz cel przetwarzania danych osobowych. - W przypadku ustalenia w trakcie weryfikacji, o której mowa w ust. 6, że okres przetwarzania danych osobowych upłynął bądź nie istnieje podstawa prawna lub cel do dalszego przetwarzania danych osobowych, dane osobowe powinny zostać trwale usunięte z nośników papierowych, elektronicznych oraz systemów informatycznych.
- Szczegółowe zasady usuwania lub anonimizacji danych w systemach informatycznych są ustalane i realizowane przez Informatyka.
§ 4
- Osoby, które udostępniają w imieniu pronet.pl dane osobowe do podmiotu zewnętrznego (w formie papierowej lub elektronicznej), przed ich udostępnieniem mają obowiązek sprawdzić czy istnieją podstawy prawne umożliwiające wykonanie tych czynność, w tym:
a. wymóg prawa dotyczący udostępnienia danych;
b. zgoda osoby na udostępnienie danych innemu podmiotowi;
c. zapis w umowie z podmiotem współpracującym, przy spełnieniu warunku, że udostępnienie nie narusza praw i wolności osoby, której dane dotyczą;
d. pisemny wniosek o udostępnienie danych od podmiotu uprawnionego, ze wskazaniem podstawy prawnej do otrzymywania danego rodzaju danych osobowych. - Każda sytuacja dotycząca udostępnienia danych osobowych musi być konsultowana z Prawnikiem oraz ADO lub Inspektorem ochrony danych.
§ 5
- W sytuacji powierzania czynności przetwarzania danych osobowych zewnętrznemu podmiotowi (podmiotowi przetwarzającemu), należy zawrzeć z nim umowę powierzenia przetwarzania danych osobowych zgodnie z art. 28 ust. 3 RODO.
- W trakcie dokonywania wyboru podmiotu przetwarzającego należy zweryfikować czy podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi przepisów RODO i chroniło prawa osób, których dane dotyczą.
- Za weryfikację podmiotu przetwarzającego odpowiada ADO lub Inspektor danych osobowych, która następnie konsultuje jej wynik z Inspektorem ochrony danych.
- Osoby, które przygotowują w imieniu pronet.pl umowę z podmiotem zewnętrznym, któremu zlecone zostanie wykonywanie czynności związanych z przetwarzaniem danych osobowych zobowiązane są skonsultować odpowiednie zapisy dotyczące powierzenia przetwarzania danych z Prawnikiem oraz ADO lub Inspektorem ochrony danych.
- Kontrola podmiotów przetwarzających, którym zostały powierzone czynności przetwarzania danych osobowych należących do pronet.pl jest przeprowadzana przez Inspektora lub inne wyznaczone osoby zgodnie z zapisami zawartymi w umowach powierzenia przetwarzania danych osobowych w odniesieniu do uprawnienia określonego w art. 28 ust. 3 lit. h RODO.
§ 6
- W sytuacji przekazywania danych osobowych do podmiotu znajdującego się w państwie trzecim (poza Europejskim Obszarem Gospodarczym) należy taką sytuację skonsultować z Prawnikiem oraz ADO lub Inspektorem ochrony danych.
- Prawnik w porozumieniu z ADO lub Inspektorem ochrony danych może ustalić wzory zapisów do umów w ramach, których dochodzi do transferu danych do państwa trzeciego lub organizacji międzynarodowej.
Rozdział VII
Realizacja praw osób, których dane dotyczą
§ 1
- Każdej osobie, której dane osobowe są przetwarzane przez pronet.pl przysługują prawa określone w art. 15 – 22 RODO, w tym:
a. prawo dostępu do danych jej dotyczących;
b. prawo do sprostowania danych;
c. prawo do usunięcia danych;
d. prawo do ograniczenia przetwarzania;
e. prawo do przenoszenia danych;
f. prawo do sprzeciwu na przetwarzanie jej danych;
g. prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu. - W sytuacji powierzania danych podmiotom przetwarzającym lub udostępniania danych innym administratorom danych należy ich powiadamiać o każdym sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych, które było wynikiem realizacji wniosku otrzymanego od osoby, której dane dotyczą.
- Szczegółowe zasady postępowania są uregulowane w „Instrukcji postępowania w sprawie rozpatrywania żądań osób, których dane dotyczą w pronet.pl”.
Rozdział VIII
Dobór środków technicznych i organizacyjnych dotyczących przetwarzania i zabezpieczania danych osobowych
§ 1
- Dobór środków technicznych i organizacyjnych dotyczących przetwarzania i zabezpieczania danych osobowych pronet.pl realizowany jest w oparciu o szacowanie ryzyka naruszenia praw i wolności osób, których dane dotyczą.
- Przy doborze zabezpieczeń należy i oceniać ryzyko zarówno w kontekście skutków dla osoby, której dane dotyczą w tym np. dyskryminacja, pozbawienie przysługujących praw, szkody majątkowe i niemajątkowe), jak również ryzyko w kontekście skutków pronet.pl w przypadku niepodjęcia działań związanych zapewnienie przetwarzania danych osobowych zgodnie z RODO.
- Ustalone wymagania dotyczące zabezpieczenia danych osobowych w odniesieniu do danego procesu przetwarzania danych osobowych są odnotowywane przez ADO lub Inspektora ochrony danych w prowadzonym rejestrze czynności przetwarzania danych osobowych.
§ 2
- Planowanie realizacji nowych procesów związanych z przetwarzaniem danych osobowych, w tym w szczególności nowych systemów informatycznych służących do przetwarzania danych osobowych, musi uwzględniać zasady ochrony danych w fazie projektowania („privacy by design”) oraz domyślnej ochrony danych („privacy by default”).
- Zasady dotyczące realizacji wymagań w zakresie „privacy by design” oraz „privacy by default” realizowane są zgodnie z przepisami RODO.
§ 3
- W przypadku realizacji procesów przetwarzania danych osobowych w pronet.pl, które ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, przed rozpoczęciem przetwarzania należy dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych zgodnie z art. 35 RODO.
- Zasady dokonywania oceny skutków w pronet.pl określone są w „Procedurze Oceny Skutków dla Ochrony Danych (DPIA)”.
- Wykonanie oceny skutków dla danego procesu przetwarzania danych jest konsultowane z Inspektorem ochrony danych, który stwierdza czy w danym przypadku takie działanie jest konieczne.
- Inspektor ochrony danych w prowadzonym rejestrze czynności przetwarzania danych osobowych, wskazuje procesy dla których należy przeprowadzać ocenę skutków oraz odnotowuje jej przeprowadzenie.
- Jeżeli dokonana ocena skutków dla ochrony danych wykaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby nie zostały zastosowane środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania należy skonsultować się z PUODO.
- W przypadku konieczności przeprowadzenia konsultacji z organem nadzorczym Inspektor ochrony danych przygotowuje odpowiedni wniosek o konsultacje zgodnie z art. 36 RODO i kontaktuje się w tej sprawie z organem.
Rozdział IX
Postępowanie w sytuacji naruszenia ochrony danych
§ 1
- W sytuacji powzięcia informacji o naruszeniu lub podejrzeniu naruszenia ochrony danych osobowych należy postępować zgodnie z zasadami opisanymi w „Instrukcji postępowania w przypadku zagrożeń i incydentów zagrażających bezpieczeństwu danych osobowych”.
- ADO lub Inspektor ochrony danych przygotowuje wykaz sytuacji, które można uznać za naruszenie ochrony danych osobowych, z uwzględnieniem naruszenia prawa i wolności osób, których dane dotyczą.
- Zgłoszenia naruszenia ochrony danych osobowych przez osobę, której dane dotyczą lub inną osobę zewnętrzną są przyjmowane i rozpatrywane przez ADO lub Inspektora ochrony danych.
- W sytuacji potwierdzenia wystąpienia zdarzenia jest przeprowadzane szacowanie ryzyka naruszenia praw i wolności osób, których może dotyczyć zgłoszone zdarzenie, w tym ocena skutków zdarzenia na prywatność osób.
- Szacowanie ryzyka dotyczące sytuacji naruszenia ochrony danych jest przeprowadzane przez ADO lub Inspektora ochrony danych.
§ 2
- W sytuacji stwierdzenia wystąpienia naruszenia ochrony danych osobowych oraz prawdopodobieństwa zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych, informacja o naruszeniu powinna zostać zgłoszona do PUODO.
- Zgłoszenie naruszenia przygotowuje ADO lub Inspektor w terminie 72 godzin po stwierdzeniu naruszenia, zgodnie z wymaganiami art. 33 RODO.
- Zgłoszenie przekazywane jest do PUODO w formie elektronicznej za pomocą systemu informatycznego zgodnie z trybem określonym przez organ.
§ 3
- W sytuacji gdy stwierdzone naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, o naruszeniu należy zawiadomić wszystkie osoby, których dane dotyczą.
- ADO lub Inspektor ochrony danych analizuje czy w odniesieniu do wymogów art. 34 ust. 3 RODO zawiadomienie osób, których dane dotyczą, będzie wymagane.
- Zawiadomienie o naruszeniu przygotowuje ADO lub Inspektor po potwierdzeniu konieczności jego realizacji.
§ 4
- Wszystkie stwierdzone naruszenie ochrony danych osobowych są dokumentowane przez ADO lub Inspektora ochrony danych.
Rozdział X
Rozliczalność zgodności realizacji obowiązków RODO
§ 1
- W celu weryfikacji zastosowanych w pronet.pl środków technicznych i organizacyjnych, zapewniających przetwarzanie danych osobowych zgodnie z RODO, wykonuję się ich monitorowanie.
Monitorowanie ochrony danych osobowych prowadzone jest:
a. na bieżąco przez ADO lub Inspektora, w których przetwarzane są dane osobowe;
b. poprzez audyty okresowe i doraźne (w sytuacji wystąpienia incydentów naruszenia ochrony danych) wykonywane przez Inspektora;
c. podczas audytów wewnętrznych.
- Wyniki monitorowania ochrony danych osobowych Inspektor przedstawia Zarządowi w „Sprawozdaniu z działalności Inspektora za dany rok” opracowywanym w pierwszym kwartale roku następnego.
- ADO lub Inspektor okresowo analizuje zgodność dokumentacji przetwarzania danych osobowych przyjętej w pronet.pl z przepisami oraz nadzoruje jej aktualizację.
Rozdział XI
Odpowiedzialność karna za naruszenie zasad ochrony danych
§ 1
- Naruszenie przepisów o ochronie danych osobowych jest zagrożone sankcjami karnymi, określonymi w art. 101 - 102 UODO oraz w art. 130, 266 - 269, 287 Kodeksu karnego.
- Niezależnie od odpowiedzialności przewidzianej w przepisach, o których mowa w pkt 1, naruszenie zasad ochrony danych osobowych, obowiązujących pronet.pl, może zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych i skutkować odpowiedzialnością na podstawie przepisów prawa pracy.
Rozdział XII
Postanowienia końcowe
§ 1
- Kierownicy komórek organizacyjnych są obowiązani zapoznać z treścią Polityki swoich pracowników i współpracowników.
§ 2
- W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie przepisy RODO oraz UODO.
- Pracownicy i współpracownicy pronet.pl zobowiązani są do bezwzględnego stosowania zasad określonych w Polityce.
Postępowanie w sytuacji naruszenia ochrony danych
Rozliczalność zgodności realizacji obowiązków RODO
Monitorowanie ochrony danych osobowych prowadzone jest:
a. na bieżąco przez ADO lub Inspektora, w których przetwarzane są dane osobowe;
b. poprzez audyty okresowe i doraźne (w sytuacji wystąpienia incydentów naruszenia ochrony danych) wykonywane przez Inspektora;
c. podczas audytów wewnętrznych.
Odpowiedzialność karna za naruszenie zasad ochrony danych
Postanowienia końcowe
Kontakt w sprawach dotyczące ochrony prywatności lub ochrony danych osobowych: iod[at]pronet.pl