Polityka Ochrony Danych Osobowych

Rozdział I 

Wstęp

1. Polityka bezpieczeństwa danych osobowych jest zbiorem zasad i procedur obowiązujących przy przetwarzaniu i wykorzystywaniu danych osobowych we wszystkich zbiorach danych osobowych administrowanych przez 180HEARTBEATS/JVM spółka z ograniczoną odpowiedzialnością sp. k. z siedzibą w Warszawie, ul. Szpitalna 8A/5, 00-031 Warszawa.
2. Podstawą do opracowania i wdrożenia dokumentu są:
   1. Ustawa o ochronie danych osobowych z dnia 10 maja 2018 roku,
   2. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietna 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i  w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L z 2016 r. Nr 119, s.1),
   3. Ustawa z dnia 4 lutego 1994 roku o prawie autorskim i prawach pokrewnych
   4. Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy,
   5. Ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny,
   6. Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),
3. Przetwarzanie danych osobowych w Spółce jest dopuszczalne wyłącznie pod warunkiem przestrzegania ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych i wydanych na jej podstawie przepisów wykonawczych oraz rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L z 2016 r. Nr 119, s.1).
4. Polityka bezpieczeństwa danych osobowych ma zastosowanie do ochrony zbiorów danych osobowych przetwarzanych w Spółce, w celu ich bezpiecznego wykorzystania oraz określa zasady korzystania z systemów informatycznych.

Definicje

1. Określenia i skróty użyte w Polityce bezpieczeństwa danych osobowych oznaczają:
   1. OchrDanychU - ustawę z dnia 10 maja 2018 roku o ochronie danych osobowych,
   2. RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L z 2016 r. Nr 119, s.1),
   3. ADMINISTRATOR DANYCH OSOBOWYCH - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych,
   4. DANE OSOBOWE - to wszelkie informacje związane ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. Osoba jest uznawana za osobę bezpośrednio lub pośrednio identyfikowalną poprzez odniesienie do identyfikatora, takiego jak nazwa, numer identyfikacyjny, dane dotyczące lokalizacji, identyfikator internetowy lub jeden lub więcej czynników specyficznych dla fizycznego, fizjologicznego, genetycznego, umysłowego, ekonomicznego, kulturowego lub społecznego,
   5. PRZETWARZANIE DANYCH OSOBOWYCH to dowolna zautomatyzowana lub niezautomatyzowana operacja lub zestaw operacji wykonywanych na danych osobowych lub w zestawach danych osobowych i obejmuje zbieranie, rejestrowanie, organizowanie, strukturyzowanie, przechowywanie, adaptację lub zmianę, wyszukiwanie, konsultacje, wykorzystanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, wyrównanie lub połączenie, ograniczenie, usunięcie lub zniszczenie danych osobowych,
   6. ANONIMIZACJA - zmiana danych osobowych w wyniku której dane te tracą charakter danych osobowych,
   7. OCENA SKUTKÓW W OCHRONIE DANYCH - to proces przeprowadzany przez Administratora, jeśli jest wymagany przez obowiązujące prawo i jeśli to konieczne, z uczestnictwem inspektora ochrony danych, przed przetwarzaniem, w przypadku, gdy istnieje prawdopodobieństwo wysokiego ryzyka dla praw i wolności osób fizycznych jako rodzaju przetwarzania danych osobowych i zachodzi wraz z wykorzystaniem nowych technologii, biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania. Proces ten musi ocenić wpływ planowanych operacji przetwarzania na ochronę danych osobowych,
   8. ODBIORCA - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią,
   9. PODMIOT PRZETWARZAJĄCY to osoba fizyczna lub prawna, organ publiczny, agencja lub jakikolwiek inny organ przetwarzający dane osobowe w imieniu administratora,
   10. INSPEKTOR OCHRONY DANYCH (IOD) - to osoba formalnie wyznaczona przez Administratora w celu informowania i doradzania Administratorowi w zakresie obowiązującego prawa
   11. o ochronie danych i niniejszej Polityki oraz w celu monitorowania ich przestrzegania oraz działania jako punkt kontaktowy dla organu nadzorczego,
   12. PSEUDONIMIZACJA - oznacza przetwarzanie danych osobowych w taki sposób (np. poprzez zastępowanie nazw liczbami), że danych osobowych nie można już przypisać do określonego podmiotu danych bez użycia dodatkowych informacji (np. Listy referencyjnej nazwisk i numerów), pod warunkiem, że takie dodatkowe informacje są przechowywane oddzielnie i podlegają środkom technicznym i organizacyjnym w celu zapewnienia, że ​​dane osobowe nie są przypisane do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
   13. SZCZEGÓLNE KATEGORIE DANYCH OSOBOWYCH - ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, członkostwo w związkach zawodowych, dane genetyczne, dane biometryczne w celu jednoznacznej identyfikacji osoby fizycznej, dane dotyczące zdrowia, dane dotyczące życia seksualnego osoby lub orientację seksualną. W zależności od obowiązującego prawa, szczególne kategorie danych osobowych mogą również zawierać informacje o środkach zabezpieczenia społecznego lub postępowaniach administracyjnych i karnych oraz o sankcjach,
   14. PROFILOWANIE - jest dowolną forma zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się,
   15. NARUSZENIE OCHRONY DANYCH OSOBOWYCH -  jest to przypadkowy lub niezgodny z prawem incydent prowadzący do zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.

Rozdział II 

Obszar przetwarzania danych osobowych

1. Obszar przetwarzania danych osobowych w Spółce obejmuje budynek, pomieszczenie, w których przetwarzane są dane osobowe (miejsce, w których wykonuje się operacje na danych osobowych,
2. tj. wpisuje, zmienia, kopiuje) oraz miejsce, gdzie przechowuje się nośniki informacji zawierające dane osobowe (szafy z dokumentacją papierową, szafy zawierające elektroniczne nośniki informacji).
3. Obszar przetwarzania danych osobowych określony jest w „Wykazie obszarów, w których przetwarzane są dane osobowe”, stanowiącym załącznik nr 1 do Polityki bezpieczeństwa danych osobowych. Wykaz ten prowadzony jest przez Administratora i zawiera następujące informacje:
   1. lokalizację budynków,
   2. określenie zabezpieczenia pomieszczenia.
4. Obszar przetwarzania danych oraz warunki ochrony tego obszaru określone zostały w załączniku nr 2 do Polityki bezpieczeństwa danych osobowych „Zasady ochrony pomieszczeń, w których przetwarzane są dane osobowe”.

Wykaz zbiorów danych przetwarzanych w Podmiocie i programów zastosowanych do przetwarzania danych

1. Wykaz zbiorów danych przetwarzanych w Spółce określony został w załączniku nr 3 do Polityki bezpieczeństwa danych osobowych – „Wykaz zasobów danych osobowych i systemów ich przetwarzania”. 
2. Wykaz ten zawiera następujące informacje:
   1. nazwę programu służącego do przetwarzania danych osobowych, lub stosowane przy przetwarzaniu danych osobowych oprogramowanie,
   2. wskazanie możliwości wydruku zakresu przetwarzania danych osobowych.

Rejestr Czynności Przetwarzania

1. Spółka prowadzi Rejestr czynności przetwarzania danych, załącznik nr 5 do Polityki bezpieczeństwa danych osobowych. Rejestr czynności przetwarzania danych zawiera:
   1. nazwę administratora danych osobowych,
   2. nazwę współadministratorów,
   3. cel przetwarzania danych,
   4. kategorię przetwarzanych danych,
   5. kategorię osób, których dane dotyczą,
   6. kategorię odbiorców, którym dane ujawniono lub zostaną ujawnione,
   7. planowane terminy usunięcia danych (załącznik nr 7 do Polityki bezpieczeństwa danych osobowych „Tabela retencji”)
   8. opis wdrożonych zabezpieczeń technicznych i organizacyjnych.

Określenie niezbędnych środków technicznych i organizacyjnych

1. Środki techniczne i organizacyjne zapewniają poufność, integralność i rozliczalność przetwarzania danych osobowych. Szczegółowe omówienie środków zabezpieczenia technicznego i organizacyjnego znajduje się w „Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych” stanowiącej załącznik nr 4.

Rozdział III 

Zadania administratora danych osobowych

1. Do obowiązków Administratora należą w szczególności:
   1. obowiązek informacyjny wobec osoby, której dane dotyczą (art. 13 i 14 RODO),
   2. dochowanie szczególnej staranności przy przetwarzaniu danych osobowych w celu ochrony interesów osób, których dane dotyczą,
   3. udzielanie, w określonych terminach, informacji o celu i zakresie przetwarzanych danych osobowych,
   4. przeprowadzenie analizy ryzyka i oceny skutków,
   5. uzupełnianie, uaktualnienie, sprostowanie danych, czasowego lub stałego wstrzymania, przetwarzania kwestionowanych danych lub ich usunięcie ze zbioru, gdy zażąda tego osoba, której dane są przetwarzane przez administratora,
   6. ograniczenie przetwarzania danych na wniosek osób, której dane dotyczą (art. 18 RODO),
   7. przeniesienie danych na wniosek osoby, której dane dotyczą (art. 20 RODO),
   8. usunięcie danych na wniosek osoby, której dane dotyczą (art. 17 RODO),
   9. poinformowanie o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku (art.19 RODO),
   10. poinformowanie na żądanie osoby, której dane dotyczą o odbiorcach jej danych (art. 19 RODO),
   11. stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną (art. 24 i 32 ust. 1 RODO),
   12. kontrola wprowadzania do zbioru i przekazywania danych,
   13. prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
   14. uwzględnienie ochrony danych osobowych w fazie projektowania (art. 25 ust. 1 RODO),
   15. wdrożenie odpowiednich mechanizmów zapewniających domyślną ochronę danych (art. 25 ust. 2 RODO),
   16. rejestrowanie czynności przetwarzania danych (art. 30 ust. 1 RODO),
   17. współpraca z organem nadzorczym (art. 31 RODO),
   18. zgłaszanie naruszeń ochrony danych osobowych (at. 33 RODO),
   19. dokonanie oceny skutków dla ochrony danych (art. 35 RODO).
        

Rozdział IV 

Gromadzenie danych osobowych

1. Dane osobowe przetwarzane w Spółce mogą być uzyskiwane bezpośrednio i pośrednio od osób, których te dane dotyczą, lub z innych źródeł, w granicach dozwolonych przepisami prawa.

Wykorzystanie danych osobowych

1. Zebrane dane osobowe mogą być wykorzystane wyłącznie do celów, dla jakich były, są lub będą zbierane i przetwarzane. Po wykorzystaniu dane osobowe powinny być przechowywane w formie uniemożliwiającej identyfikację osób, których dotyczą.
2. W przypadku konieczności udostępnienia dokumentów i danych, wśród których znajdują się dane osobowe niemające bezpośredniego związku z celem udostępnienia, należy bezwzględnie dokonać anonimizacji tych danych osobowych.

Obowiązek uzupełniania danych osobowych

1. W przypadku, gdy dane osobowe są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem OchrDanychU albo są zbędne do realizacji celu, dla którego zostały zebrane, Administrator jest zobowiązany do ich uzupełnienia, uaktualnienia, sprostowania lub usunięcia.

Rozdział V 

Tworzenie zbiorów danych osobowych

1. Administrator jest obowiązany podczas tworzenia nowych zbiorów danych osobowych do zapewnienia odpowiednich środków ochrony, w szczególności z uwzględnieniem zasady minimalizacji oraz pseudnimizacji.

Rozdział VI

Obowiązek informacyjny

1. Administrator jest odpowiedzialny za poinformowanie osób, których dane osobowe przetwarzają o:
   1. swojej tożsamości, 
   2. danych kontaktowych,
   3. celu zbierania danych,
   4. podstawie prawnej przetwarzania danych,
   5. okresie przechowywania danych,
   6. odbiorcach danych,
   7. dobrowolności lub obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej,
   8. w przypadku istnienia obowiązku podania danych: wskazanie ewentualnych konsekwencji ich niepodania,
   9. zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu,
   10. prawie dostępu do treści swoich danych oraz możliwości ich poprawiania,
   11. prawie do usunięcia danych,
   12. prawie do ograniczenia przetwarzania,
   13. prawie wniesienia skargi do organu nadzorczego,
   14. prawie do przenoszenia danych,
   15. prawie do cofnięcia zgody.
2. W przypadku zbierania danych osobowych nie bezpośrednio od osoby, której one dotyczą, osobę tę należy dodatkowo poinformować o kategorii danych oraz źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych.
3. Wzory klauzul informacyjnych zawarte są w załączniku nr 6 do Polityki bezpieczeństwa danych osobowych.

Zgoda na przetwarzanie danych osobowych

1. Zgoda musi być podstawą przetwarzania danych wtedy, gdy nie występują inne przesłanki legalizujące.
2. Niedopuszczalne jest pobieranie zgody na przetwarzanie naszych danych osobowych w przypadku istnienia innej przesłanki legalizacyjnej upoważniającej administratora do przetwarzania danych osobowych w tym samym zakresie i celu. Pozyskiwanie zgody w tej sytuacji może więc prowadzić do naruszenia zasady przejrzystości i rzetelności, o których mowa w art. 5 ust. 1 lit a RODO.
3. Kandydaci do pracy w Spółce w procesie rekrutacji są zobowiązani wyrazić zgodę na przetwarzanie ich danych osobowych.
4. Pracownicy w przypadku danych osobowych kontaktowych (e-mail, prywatny numer telefonu) zobowiązani wyrazić zgodę na przetwarzanie ich danych osobowych kontaktowych.
5. Osoba której dane dotyczą ma prawo w dowolnym momencie wycofać zgodę. Administrator ma obowiązek poinformowania osoby o tym prawie, zanim wyrazi zgodę. 

Rozdział VII 

Udostępnianie danych osobowych

• Administrator udostępnia dane osobowe przetwarzane we własnych zbiorach tylko osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.
• Dane osobowe mogą być udostępniane w następujących przypadkach:
  • na podstawie wniosku od podmiotu uprawnionego do otrzymywania danych osobowych na podstawie przepisów, 
  • na podstawie umowy z innym podmiotem, w ramach której istnieje konieczność udostępnienia danych,
  • na podstawie wniosku osoby, której dane dotyczą.
• Wniosek o udostępnienie danych osobowych powinien zawierać informacje umożliwiające wyszukanie żądanych danych osobowych w zbiorze oraz wskazywać ich zakres i przeznaczenie.
• Udostępniając dane osobowe, należy zaznaczyć, że można je wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
• W przypadku żądania udzielenia informacji na temat przetwarzanych danych osobowych na pisemny wniosek pochodzący od osoby, której dane dotyczą, odpowiedź na wniosek następuje w terminie 30 dni od daty jego otrzymania.
• Administrator jest odpowiedzialny za przygotowanie danych osobowych do udostępnienia w zakresie wskazanym we wniosku.

Odmowa udostępnienia danych osobowych

1. Odmowa udostępnienia danych osobowych następuje wówczas, gdy spowodowałoby to istotne naruszenia dóbr osobistych osób, których dane dotyczą lub innych osób oraz jeżeli dane osobowe nie mają istotnego związku ze wskazanymi we wniosku motywami działania wnioskodawcy.

Rozdział VIII 

Ochrona przetwarzania danych osobowych

1. Do przetwarzania danych mogą być dopuszczeni pracownicy Spółki posiadający upoważnienie nadane przez Administratora. Wzór upoważnienia określa załącznik nr 8 do Polityki bezpieczeństwa danych osobowych.
2. Administrator prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych. Wzór ewidencji stanowi załącznik nr 9 do Polityki bezpieczeństwa danych osobowych.

Przechowywanie imiennych upoważnień do przetwarzania danych osobowych

1. Administrator zobowiązany jest do zbierania, ewidencjonowania i przechowywania:
   1. oświadczeń osób przetwarzających dane osobowe o zachowaniu w tajemnicy danych, z którymi mają styczność oraz środkach bezpieczeństwa stosowanych przy przetwarzaniu danych osobowych; wzór formularza oświadczenia stanowi załącznik nr 10 do Polityki bezpieczeństwa danych osobowych,
   2. oświadczeń osób zatrudnianych na podstawie umowy zlecenia, umowy o dzieło lub innej umowy cywilnej o zachowaniu tajemnicy; wzór formularza oświadczenia stanowi załącznik nr 10 do Polityki bezpieczeństwa danych osobowych.

Powierzenie przetwarzania danych osobowych

1. Powierzenie przetwarzania danych osobowych odbywa się zgodnie art. 28 RODO na podstawie umowy zawartej na piśmie pomiędzy Administratorem, a danym podmiotem, któremu zleca się czynności związane z przetwarzaniem danych osobowych.
2. Administrator przygotowuje projekt umowy powierzenia danych osobowych innemu podmiotowi.
3. Wzór umowy powierzenia przetwarzania danych osobowych stanowi załącznik nr 11 do Polityki bezpieczeństwa danych osobowych.
4. Projekt umowy powinien określać:
   1. przedmiot umowy, czyli to, jakie dane i w jakim zakresie zostają powierzone podmiotowi przetwarzającemu,
   2. czas trwania przetwarzania,
   3. charakter przetwarzania,
   4. cel przetwarzania,
   5. rodzaj danych osobowych,
   6. kategorie osób, których dane dotyczą,
   7. obowiązki i prawa administratora.
5. Każda osoba delegowana do wykonywania zadań na rzecz Spółki, związanych z powierzeniem przetwarzania danych osobowych, obowiązana jest podpisać oświadczenie o zachowaniu w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia.

Obowiązki podmiotu przetwarzającego dane osobowe

1. Podmiot przetwarzający dane osobowe jest zobowiązany do zastosowania środków organizacyjnych i technicznych, zabezpieczających zbiór przed dostępem osób nieupoważnionych na zasadach określonych w przepisach o ochronie danych osobowych.
2. Podmiot, o którym mowa w ust. 1, jest zobowiązany przetwarzać dane osobowe wyłącznie w zakresie określonym w umowie.
3. Podmiot przetwarzający dane osobowe ponosi odpowiedzialność za ochronę przetwarzanych danych osobowych.
4. Podmiot, o którym mowa w ust. 1, jest zobowiązany prowadzić Rejestr kategorii czynności przetwarzania art. 30, ust. 2 RODO. Rejestr kategorii czynności przetwarzania zawiera następujące informacje:

• imię i nazwisko lub nazwa podmiotu przetwarzającego,
• dane kontaktowe podmiotu przetwarzającego,
• imię i nazwisko lub nazwa każdego administratora, w imieniu którego działa podmiot przetwarzający,
• nazwa przedstawiciela administratora lub podmiotu przetwarzającego, gdy ma to zastosowanie,
• imię i nazwisko Inspektora Ochrony Danych,
• kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
• przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej - gdy ma to zastosowanie,
• jeżeli jest to możliwe, ogólny opis techniczny i organizacyjny środków bezpieczeństwa, o których mowa w art. 32. ust 1 RODO.

Rozdział IX 

Postępowanie w przypadkach naruszenia bezpieczeństwa ochrony danych osobowych

1. Przepisy niniejszego rozdziału stosuje się w przypadku:
   1. stwierdzenia naruszenia danych osobowych prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych,
   2. stwierdzenia naruszenia zabezpieczenia systemu informatycznego w obszarze danych osobowych,
   3. podejrzenia naruszenia bezpieczeństwa danych osobowych ze względu na stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci komputerowej,
2. Zasady postępowania w przypadku naruszenia bezpieczeństwa danych osobowych obowiązują wszystkie osoby biorące udział w procesie przetwarzania danych osobowych oraz określone zostały w załączniku nr 13 „Instrukcja zgłaszania naruszeń”

Określenie naruszenia zabezpieczenia systemu informatycznego

1. Naruszeniem zabezpieczenia systemu informatycznego, przetwarzającego dane osobowe, jest każdy stwierdzony fakt nieuprawnionego ujawnienia danych osobowych, udostępnienia lub umożliwienia dostępu do nich osobom nieupoważnionym, zabrania danych przez osobę nieupoważnioną, uszkodzenia jakiegokolwiek elementu systemu informatycznego, a w szczególności:

• nieautoryzowany dostęp do danych,
• nieautoryzowane modyfikacje lub zniszczenie danych,
• udostępnienie danych nieautoryzowanym podmiotom,
• nielegalne ujawnienie danych,
• pozyskiwanie danych z nielegalnych źródeł.

Działania pracowników

1. W przypadku stwierdzenia naruszenia, każdy pracownik zatrudniony przy przetwarzaniu danych osobowych jest zobowiązany przerwać przetwarzanie danych osobowych i niezwłocznie powiadomić o tym fakcie bezpośredniego przełożonego (ewentualnie osobę przez niego upoważnioną), a następnie postępować stosownie do podjętej przez niego decyzji.
2. Zgłoszenie naruszenia ochrony danych osobowych powinno zawierać:

• opisanie działania wskazującego na naruszenie ochrony danych osobowych,
• określenie sytuacji i czasu, w jakim stwierdzono naruszenie ochrony danych osobowych,
• wskazanie istotnych informacji mogących wskazywać na przyczynę naruszenia,
• określenie znanych danej osobie sposobów zabezpieczenia systemu oraz wszelkich kroków podjętych po ujawnieniu zdarzenia.

Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu

1. W przypadku naruszenia ochrony danych osobowych, Spółka bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu.
2. W przypadku, gdy jest mało prawdopodobne by naruszenie ochrony danych osobowych skutkowało ryzykiem naruszenia praw i wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienia przyczyn opóźnienia.
3. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych zgłasza je Administratorowi, bez zbędnej zwłoki.
4. Zgłoszenie naruszenia ochrony danych osobowych o którym mowa ust. 1 i 2 musi co najmniej:
   1. opisywać charakter naruszenia ochrony danych osobowych, w tym kategorię i przybliżoną liczbę zainteresowanych podmiotów danych oraz kategorię i przybliżoną liczbę osób, których dane dotyczą,
   2. imię i nazwisko oraz dane kontaktowe IOD lub innego punktu kontaktowego, od którego można uzyskać więcej informacji,
   3. opis możliwych konsekwencji naruszenia ochrony danych osobowych,
   4. opis środków przedsięwziętych lub proponowane przez ADO w celu zminimalizowania skutków.
5. Wzór zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu stanowi załącznik nr 12 do Polityki bezpieczeństwa danych osobowych.
6. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Wzór udokumentowania naruszeń ochrony danych stanowi załącznik nr 14 do Polityki bezpieczeństwa danych osobowych.

Zawiadomienie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych

1. W przypadku, gdy naruszenie ochrony danych osobowych może nieść wysokie ryzyko naruszenia praw i wolności osób fizycznych, Administrator zawiadamia osoby, których dane dotyczą o naruszeniu ochrony danych osobowych.
2. Zawiadomienie, o którym mowa w ust. 1 jasnym i prostym językiem opisuje charakter naruszenia oraz zawiera informacje określone w art. 33 ust. 3 lit. a,b,c i d RODO.

Rozdział X 

Ocena skutków dla ochrony danych i uprzednie konsultacje

1. Jeżeli dany rodzaj przetwarzania ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.
2. Ocena skutków jest formalną, określoną w art. 35 RODO procedurą przeprowadzenia analizy ryzyka za wykonanie której odpowiada Administrator. Jeśli nie jest zobowiązany do przeprowadzenia oceny skutków, może mimo to stosować poniższą procedurę do przeprowadzenia analizy ryzyka na potrzeby wykazania rozliczalności spełnienia wymagań RODO.
3. W przypadku powołania Inspektora Ochrony Danych – ocena skutków musi być wykonana z jego współudziałem.

Uprzednie konsultacje

1. Jeżeli ocena skutków pod kątem ochrony danych wskaże, że przetwarzanie niosłoby duże zagrożenie to przed przetworzeniem danych osobowych Administrator konsultuje się z organem nadzorczym.
2. Organ nadzorczy w terminie 8 tygodni od dnia wpłynięcia wniosku w sprawie uprzednich konsultacji, wydaje zalecenia w formie pisemnej.

Rozdział XI 

Odpowiedzialność służbowa i karna

1. Naruszenie przepisów o ochronie danych osobowych jest zagrożone sankcjami karnymi określonymi w art. 107 OchrDanychU, art. 83 RODO oraz w art. 266–269, 287 Kodeksu karnego.

Rozdział XII 

Aktualizacja postanowień Polityki Bezpieczeństwa

1. Na podstawie audytów kontrolnych, przeprowadzanych nie rzadziej niż raz na 12 miesięcy, Administrator dokona analizy w zakresie ochrony danych osobowych.
2. W przypadku ustalenia konieczności zmian zabezpieczeń w zakresie ochrony danych osobowych, w szczególności w zakresie procedur, Administrator dokona stosownej zmiany niniejszej Polityki Bezpieczeństwa.