Polityka ochrony danych osobowych

POLITYKA OCHRONY DANYCH OSOBOWYCH ADMINISTRATORA EWA MOŃKA

PROWADZĄCA DZIAŁALNOŚĆ GOSPODARCZĄ POD FIRMĄ CENTRUM EDUKACYJNE „PROEDU” EWA MOŃKA

ADRES: UL. PLAC LOTNIKÓW 7, 70-414 SZCZECIN, NIP: 8511985455

 

Data wprowadzenia polityki ochrony danych osobowych: 14 lipca 2023 r.

Data ostatniej aktualizacji polityki danych osobowych: 24 kwietnia 2025 r.

      

DEFINICJE

Użyte w niniejszej Polityce ochrony danych osobowych określenia oznaczają:

  1. Dane osobowe – oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (,,osobie, której dane dotyczą’’); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
  2. Dane wrażliwe – dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
  3. Kontrahent – osoba fizyczna lub prawna będąca podmiotem, który świadczy usługi na rzecz administratora danych osobowych.
  4. Odbiorca danych – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie Do celów przetwarzania.
  5. PUODO – Prezes Urzędu Ochrony Danych Osobowych.
  6. Pracownicy – personel zatrudniony przez Administratora na podstawie stosunku pracy, osoby samozatrudnione lub współpracujące z Administratorem, personel współpracujący na podstawie umów cywilnoprawnych, w tym osoby odbywające praktyki, stażyści oraz pozostałe osoby wykonujące prace na sprzęcie Administratora danych osobowych w zakresie przetwarzania danych osobowych.
  7. Przetwarzanie danych osobowych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
  8. Podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora danych osobowych.
  9. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
  10. UODO – Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781).

 

WPROWADZENIE

  1. Niniejsza Polityka Ochrony Danych wraz z załącznikami stanowi obowiązującą w Administratorze dokumentację w zakresie wdrażania, przestrzegania i weryfikacji zasad ochrony danych osobowych.
  2. Każda osoba odpowiedzialna za wdrażanie, utrzymanie lub monitorowanie zasad przetwarzania danych osobowych w ramach Administratora mają obowiązek zapoznania się z niniejszą Polityką Ochrony Danych, obowiązek jej przestrzegania oraz egzekwowania jej stosowania.
  3. Polityka Ochrony Danych wraz z załącznikami wchodzi w życie z dniem jej podpisania przez osoby uprawnione do reprezentacji Administratora.
  4. W przedmiocie spraw nieuregulowanych Polityką Ochrony Danych, zastosowanie znajdują przepisy prawa powszechnie obowiązującego.

 

ZASADY PRZETWARZANIA DANYCH OSOBOWYCH

  1. Administrator danych osobowych przetwarza dane osobowe zgodnie z przepisami RODO i na zasadach przyjętych w niniejszej Polityce ochrony danych osobowych.
  2. Zasady te dotyczą wszelkich danych osobowych przetwarzanych przez Administratora danych osobowych.
  3. Zasady te podlegają przeglądowi co najmniej raz w roku, chyba że przepisy o ochronie danych osobowych ulegną zmianie, co skutkuje aktualizacją przyjętych w niniejszej Polityce ochrony danych osobowych zasad.
  4. Przetwarzanie danych osobowych odbywa się zgodnie z prawem, z zachowaniem rzetelności oraz przejrzystości przetwarzania danych osobowych.
  5. Administrator danych osobowych przetwarza dane osobowe wyłącznie w oparciu o następujące podstawy prawne wynikające z art. 6 i art. 9 RODO.
  6. Jeżeli przetwarzanie danych osobowych nastąpiło na podstawie zgody osoby, której dane dotyczą, możliwość cofnięcia zgody przez ową osobę winna być łatwo dostępna, przy czym Administrator danych osobowych zapewnia środki zapewniające skuteczność takiego odwołania.
  7. Administrator danych osobowych dba o to, aby przetwarzane przez niego dane osobowe były adekwatne, istotne i niezbędne do tego, co jest konieczne dla celu w którym są przetwarzane.
  8. Administrator danych osobowych przetwarza dane osobowe w sposób prawidłowy w rozumieniu RODO oraz podejmuje kroki do zapewnienia prawidłowości ich przetwarzania.
  9. Administrator danych osobowych podejmuje uzasadnione i niezbędne działania w celu zapewnienia dokładności i aktualności danych.
  10. Administrator danych osobowych ułatwia aktualizację danych osobowych osobom, których te dane dotyczą przy wykorzystaniu odpowiednich środków np. poczty e-mail.
  11. Niniejsza Polityka podlega przeglądowi co najmniej raz w roku przez Administratora Danych Osobowych. Przegląd ma na celu ocenę zgodności z przepisami prawa oraz skuteczność stosowanych środków ochrony danych. W przypadku zmiany przepisów prawa lub wystąpienia istotnych zmian w sposobie przetwarzania danych osobowych, dokumentacja zostaje zaktualizowana.

 

ZADANIA ADMINISTRATORA DANYCH OSOBOWYCH

  1. Administrator danych osobowych stosuje odpowiednie środki techniczne i organizacyjne do ochrony przetwarzanych danych osobowych, adekwatne do zagrożeń oraz kategorii danych objętą ochroną, a w szczególności zabezpiecza dane przed:
    1. udostępnianiem danych osobowych podmiotom nieupoważnionym,
    2. zabraniem danych osobowych przez osoby nieuprawnione,
    3. zmianą, utratą, zniszczeniem, uszkodzeniem danych osobowych.
  2. Poprzez odpowiednie środki techniczne i organizacyjne należy rozumieć m.in.:
    1. szyfrowanie i pseudonimizację danych osobowych,
    2. zapewnienie poufności, integralności, dostępności oraz odporności systemów i usług przetwarzania,
    3. możliwość przywrócenia dostępności danych osobowych bez zbędnej zwłoki w razie incydentu technicznego lub fizycznego,
    4. regularne testowanie i ocenianie środków technicznych zapewniających bezpieczeństwo przetwarzania danych osobowych.
  3. Administrator danych osobowych przetwarza dane osoby w oparciu o zasadę legalności dbając m.in. o:
    1. pozyskanie zgody osoby, której dane są przetwarzane,
    2. spełnienie obowiązku informacyjnego wobec osoby, której dane dotyczą,
    3. przetwarzanie danych w oparciu o przepisy prawa, dobre praktyki i normy społeczne,
    4. zbieranie danych w oznaczonym, zgodnym prawnym celu,
    5. adekwatność zbieranych danych do celu, dla którego są zbierane,
    6. przetwarzanie danych z ograniczeniem czasowym.
  4. Administrator danych osobowych wdraża i stosuje dokumentację regulującą przetwarzanie danych osobowych.
  5. Administrator danych osobowych określa kategorie danych osobowych oraz operacje wykonywane na tych danych, które są niezbędne do realizacji zadań i obowiązków na danym stanowisku.
  6. Administrator danych osobowych zapewnia, by osoby dopuszczone do przetwarzania danych osobowych były przeszkolone i upoważnione do ich przetwarzania.
  7. Administrator danych osobowych nadzoruje i dba o zgodne z prawem przekazywanie danych osobowych w szczególności poprzez zawieranie umów powierzenia danych osobowych.
  8. Administrator zapewnia poszanowanie i respektowanie praw osób, których dane dotyczą, a w szczególności prawa uzyskania informacji o:
  1. Administratorze danych osobowych,
  2. celu i podstawie prawnej przetwarzania danych osobowych,
  3. profilowaniu i jego skutkach,
  4. prawnie uzasadnionych interesach realizowanych przez administratora danych osobowych lub przez osobę trzecią (jeżeli ma to zastosowanie do stanu faktycznego i prawnego),
  5. odbiorcach danych i ich kategoriach,
  6. zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
  7. okresie, w którym dane osobowe będą przechowywane,
  8. prawie do żądania od administratora danych osobowych sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, a także o prawie do wniesienia sprzeciwu wobec takiego przetwarzania oraz o prawie do przenoszenia danych osobowych i cofnięcia zgody na przetwarzanie danych osobowych,
  9. prawie wniesienia skargi do organu nadzorczego,
  10. okoliczności czy podanie danych osobowych jest wymogiem ustawowym lub umownym, czy też jest warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i ewentualnych konsekwencjach niepodania tych danych,
  11. źródle, z którego pozyskano dane osobowe danej osoby, jeżeli nie zostały od niej zebrane.
  12. Administrator danych osobowych przestrzega praw osób, których dane dotyczą w zakresie:
    1. prawa dostępu do danych i informacji o nich,
    2. prawa do sprostowania danych,
    3. prawa do usunięcia danych,
    4. prawa do ograniczenia przetwarzania,
    5. prawa do przeniesienia danych,
    6. prawa do sprzeciwu wobec przetwarzania danych osobowych,
    7. prawa do wycofania zgody na przetwarzania danych osobowych.
  13. Administrator danych osobowych dokonuje regularnych kontroli tego, czy przetwarzanie danych osobowych zgodne jest z przepisami o ochronie danych osobowych.
  14. Administrator danych osobowych wraz z Inspektorem Ochrony Danych przeprowadza okresowe audyty wewnętrzne mające na celu weryfikację zgodności przetwarzania danych osobowych z obowiązującymi przepisami oraz niniejszą Polityką.

 

OBOWIĄZKI PRACOWNIKÓW

  1. Personel przestrzega poniższych obowiązków w ramach stosowania niniejszej „Polityki ochrony danych osobowych” poprzez m.in.:
  2. zapoznanie się i stosowanie obowiązujących przepisów prawa w zakresie ochrony danych osobowych,
  3. zapewnienie bezpieczeństwa przetwarzania danych osobowych poprzez ich ochronę przed niepowołanym dostępem, nieuzasadnioną modyfikacją czy też zniszczeniem,
  4. informowanie przełożonych o nieprawidłowościach skutkujących obniżeniem ochrony danych osobowych,
  5. niszczenie zbędnych dokumentów zawierających dane osobowe w niszczarkach,
  6. dbanie o to, by osoby niebędące pracownikami nie miały dostępu do danych osobowych.
  7. Nieprzestrzeganie powyższych zasad może rodzić odpowiedzialność karną pracownika zgodnie z UODO oraz wyciągnięcie wobec niego odpowiedzialności służbowej bądź cywilnej.
  8. Pracownicy składają pisemne oświadczenia o zachowaniu poufności danych osobowych, z którymi zapoznali się wykonując pracę.
  9. Oświadczenia są przechowywane w załączeniu do dokumentacji pracowniczej.

 

BEZPIECZEŃSTWO PRZECHOWYWANIA DANYCH OSOBOWYCH

  1. Poniżej przyjęte zasady opisują w jaki sposób należy przechowywać dane, tak by zapewnić ich bezpieczeństwo. Wszelkie wątpliwości w tej materii należy kierować do administratora danych osobowych lub administratora systemów informatycznych. Wskazać należy, że główną osobą odpowiadającą za dokumentację jest Administrator danych osobowych.
  2. Dane osobowe przechowywane w postaci dokumentacji papierowej przechowywane są w bezpiecznym miejscu, do którego dostępu nie mają osoby nieupoważnione.
  3. Niniejsze zasady mają zastosowanie również do danych przechowywanych elektronicznie, które zostały wydrukowane.
  4. Dane przechowywane elektronicznie chronione są przed nieautoryzowanym dostępem lub przypadkowym usunięciem poprzez:
    1. Wprowadzenie silnych haseł zabezpieczających dane osobowe,
    2. Przechowywanie nośników danych osobowych w bezpiecznych miejscach,
  • Przechowywanie ich na wyznaczonych dyskach, serwerach czy nośnikach,
  1. Przechowywanie serwerów zawierające je w bezpiecznych miejscach,
  2. Tworzenie kopii zapasowych,
  3. Archiwizowanie i usuwanie danych,
  • Zapewnienie oprogramowania i zapór chroniących przed złośliwym oprogramowaniem, które są stale aktualizowane.
  1. W przypadku wykorzystywania rozwiązań chmurowych (np. systemów do e-learningu, komunikacji lub przechowywania danych), Administrator zapewnia zgodność tych usług z wymogami art. 28 RODO. Z dostawcami usług chmurowych zawierane są umowy powierzenia przetwarzania danych osobowych.

 

ARCHIWIZACJA DANYCH OSOBOWYCH

  1. Administrator danych osobowych przechowuje dane osobowe nie dłużej niż to konieczne poprzez zapewnienie odpowiednich procesów ich archiwizacji.
  2. Dokumentacja osób zatrudnionych w oparciu o umowę zlecenie, a w szczególności dokumenty określające sposób potwierdzania liczby godzin wykonania zlecenia lub świadczenia usług oraz dokumenty potwierdzające liczbę godzin wykonania zlecenia lub świadczenia usług przez okres 3 lat od dnia, w którym wynagrodzenie stało się wymagalne.
  3. Dokumentacja podatkowo – rachunkowa tj. umowy, faktury rachunki, księgi podatkowe. Dokumentację tą należy przechowywać przez okres 5 lat licząc od początku roku następującego po roku, którego dokumenty dotyczą.
  4. Dokumentacja związana ze sporami sądowymi w przypadku roszczeń między przedsiębiorcami – dokumentacja jest przechowywana przez 3 lata, natomiast dla roszczeń związanych z umową zlecenie 2 lata. W pozostałych sytuacjach jest to okres 6 lat, przy czym termin ten może ulegać zmianom w zależności od roszczenia.
  5. Pozostałą dokumentację należy przechowywać przez każdorazowo weryfikowany okres wskazany przez przepisy obowiązującego prawa.
  6. Dostęp do dokumentacji archiwalnej mają tylko osoby upoważnione i posiadające odpowiednie kompetencje umożliwiające zarządzanie nią.
  7. Nadzór nad dokumentacją archiwalną sprawuje Administrator danych osobowych.
  8. Niszczenie dokumentów następuje wyłącznie przy użyciu niszczarek. Inne sposoby niszczenia dokumentacji są zabronione.
  9. Administrator danych osobowych może korzystać z usług podmiotów trzecich w zakresie niszczenia dokumentów. W przypadku korzystania z takich usług zawierana zostaje odpowiednia umowa o powierzeniu przetwarzania danych osobowych.

 

PODSTAWOWE ZASADY KORZYSTANIA ZE SPRZĘTU ELEKTRONICZNEGO

  1. Administrator danych osobowych lub osoba przez niego wyznaczona odpowiada za skrzynkę e-mail i ma do niej dostęp oraz nadzoruje ją.
  2. Korzystając z poczty elektronicznej należy zapewnić poufność, w szczególności poprzez odpowiednie zabezpieczenie komputera odbiorcy i nadawcy oraz kanałów komunikacyjnych do przesyłania informacji pomiędzy nimi.
  3. Korzysta się z usług dostawców poczty elektronicznej, którzy zapewniają warunki bezpieczeństwa i poufności przesyłanej korespondencji.
  4. Użytkownicy poczty elektronicznej korzystają z poczty elektronicznej tylko w celach służbowych.
  5. Użytkownik poczty elektronicznej przed wysłaniem poczty sprawdza poprawność adresu odbiorcy wiadomości i weryfikuje tożsamość odbiorcy.
  6. Zaleca się, by użytkownik poczty elektronicznej podczas przesyłania danych osobowych poprzez pocztę e-mail zawarł w jej treści prośbę o potwierdzenie otrzymania i zapoznania się z wiadomością.
  7. Zabrania się otwierania linków zawartych w wiadomościach e-mail bez weryfikacji wiarygodności nadawcy.
  8. Maile budzące wątpliwość należy zgłosić Administratorowi systemów informatycznych.
  9. Użytkownik poczty elektronicznej winien regularnie czyścić pocztę z nieaktualnych wiadomości e-mail i opróżniać „kosz”.
  10. Zabrania się przesyłania korespondencji służbowej na prywatne skrzynki pocztowe pracowników lub innych osób.
  11. Użytkownik poczty elektronicznej może przesyłać za pośrednictwem Internetu, wiadomości zawierających dane Opiekunów i ich dzieci, Kontrahentów oraz Pracowników, które są przetwarzane przez administratora danych osobowych chyba, że wiązałoby się to z złamaniem przepisów prawa powszechnie obowiązującego.
  12. Dbanie o bezpieczeństwo sprzętu w postaci komputerów oraz pozostałych urządzeń teleinformatycznych oraz danych osobowych w nim się znajdujących w szczególności ciąży na Administratorze danych i następuje w szczególności poprzez:
    • Zapobieganie o nieprawidłowościom w funkcjonowaniu sprzętu.
  1. Blokowanie dostępu do komputera podczas opuszczania stanowiska pracy.
  2. Zmianę haseł w przypadku ich ujawnienia.
  3. Zachowanie ostrożności przy korzystaniu z korespondencji elektronicznej (nieotwieranie wiadomości podejrzanych).
  • Niezostawianie komputera mobilnego bez dozoru.
  • Nieprzekazywanie komputera mobilnego osobom trzecim.
  • Zabezpieczenia komputera mobilnego uniemożliwiającego jego kradzież.
  1. Zapewnienie dostępu do komputera, na którym przechowywane są dane osobowe innemu administratorowi danych osobowych.

 

REJESTRY

Administrator prowadzi niżej wymienione rejestry:

  1. Rejestr czynności przetwarzania danych osobowych – stanowiący ewidencję wykonywanych przez Administrator czynności na danych osobowych, rozumianych jako zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane.
  2. Rejestr kategorii czynności przetwarzania danych osobowych – stanowiący ewidencję powierzonych Administratorowi usług, realizowanych na zlecenie administratora związanej ze zleconymi czynnościami przetwarzania.
  3. Rejestr naruszeń ochrony danych osobowych – stanowiący ewidencję stwierdzonych w Podmiocie naruszeń ochrony przetwarzanych danych osobowych,
  4. Rejestr osób upoważnionych do przetwarzania danych osobowych,
  5. Rejestr środków ochrony danych osobowych,
  6. Rejestr odbiorców danych osobowych.
  7. Rejestr systemów informatycznych – zawierający ewidencję stosowanych systemów informatycznych, w których przetwarzane są dane osobowe.
  8. Powyższe rejestry są przechowywane w załączeniu do niniejszej Polityki ochrony danych osobowych.

 

OBOWIĄZKI INFORMACYJNE

  1. Administrator wdraża stosowanie obowiązków informacyjnych. Przechowywanie wzorów obowiązków informacyjnej w załączeniu do niniejszej Polityki ochrony danych osobowych.
  2. Zabrania się przetwarzania danych osobowych bez udzielenia obowiązku informacyjnego, chyba że indywidualnie stwierdzono podstawy wyłączenia tego obowiązku w danym przypadku.
  3. Administrator przechowuje udzielone obowiązki informacyjne wraz z dokumentacją właściwą (np. w załączeniu do umowy).

 

UDZIELANIE INFORMACJI

  1. Osoby których dane osobowe posiada administrator danych osobowych mają prawo do:
  2. zapytania jakie informacje na ich temat posiada administrator danych osobowych oraz celu ich posiadania,
  3. uzyskania informacji jak uzyskać dostęp do swoich danych osobowych,
  4. poinformowania o tym w jaki sposób aktualizować swoje dane osobowe,
  5. uzyskania informacji w jaki sposób administrator danych osobowych realizuje swoje obowiązki w zakresie ich ochrony.
  6. Poprzez żądanie dostępu do informacji należy rozumieć wszelki kontakt danej osoby z administratorem danych osobowych w zakresie uzyskania ww. informacji.
  7. Po otrzymaniu żądania dostępu do swoich danych osobowych, a przed ich przekazaniem, Administrator dokonuje autoryzacji osoby, której dane dotyczą.
  8. Wnioski o dostęp do informacji o danych osobowych pochodzące od osób fizycznych należy kierować pod następujący adres e-mail: sekretariat@proedu.szczecin.pl lub w formie pisemnej na adres Administratora.
  9. Administrator danych osobowych weryfikuje tożsamość osoby składającej wniosek o dostęp do danych osobowych przed przekazaniem jakiejkolwiek informacji.
  10. Administrator danych osobowych bez zbędnej zwłoki w terminie miesiąca od dnia otrzymania żądania udziela tej osobie stosownych informacji dotyczących podjętego działania w zakresie wniosku.
  11. Administrator danych osobowych informuje osobę, która wystosowała żądanie bez zbędnej zwłoki, nie później, niż w terminie miesiąca od dnia złożenia zapytania, o powodach niepodjęcia działań i możliwości złożenia skargi do organu nadzorczego. Na wniosek osoby, której dane dotyczą, Administrator przekazuje informacje również w formie elektronicznej, o ile jest to technicznie możliwe i zgodne z przepisami prawa.

 

ZGODA NA PRZETWARZANIE DANYCH OSOBOWYCH

  1. Administrator danych osobowych pobiera zgody na przetwarzanie danych osobowych jedynie, gdy zastosowania nie znajduje żadna inna podstawa prawna do przetwarzania danych osobowych, wskazana w art. 6 i 9 RODO.
  2. Administrator danych osobowych pobiera zgodę na przetwarzanie danych osobowych, jeżeli:
    1. pobiera dane dodatkowe, wykraczające poza katalog przepisów,
    2. wykonuje działania, do których nie jest umocowany na podstawie przepisów.
  3. Zgody na przetwarzanie danych osobowych są wyrażane w sposób dobrowolny, jednoznaczny i świadomy. W zależności od rodzaju przetwarzania mogą być składane w formie pisemnej lub elektronicznej. Administrator przechowuje zgody wraz z dokumentacją danej osoby.

 

UPOWAŻNIENIA DO PRZETWARZANIA DANYCH OSOBOWYCH

  1. Administrator wdraża stosowanie upoważnień do przetwarzania danych osobowych. Wzory upoważnień przechowywane są w załączeniu do niniejszej Polityki ochrony danych osobowych.
  2. Zabrania się przetwarzania danych osobowych przez osoby do tego nieupoważnione.
  3. Upoważnienia stosuje się względem Pracowników Administratora, jak również względem osób trzecich świadczących na rzecz Administratora usług z użyciem narzędzi Administratora, jednakże decyzję w tym zakresie należy podejmować indywidualnie.
  4. Pracownicy administratora danych osobowych ponoszą odpowiedzialność za odpowiednie zbieranie, przechowywanie i obsługiwanie danych osobowych.
  5. Administrator przechowuje udzielone upoważnienia w załączeniu do właściwych umów o współpracy, a ewidencję upoważnień w rejestrze osób upoważnionych do przetwarzania danych osobowych.
  6. Upoważnienia do przetwarzania danych osobowych są nadawane przez Dyrektora lub osobę upoważnioną. Każde upoważnienie zawiera oznaczenie zakresu przetwarzania danych oraz datę nadania. Upoważniony pracownik potwierdza jego otrzymanie podpisem.

 

 

UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

  1. Administrator wdraża stosowanie wzorców umów powierzenia przetwarzania danych osobowych znajdujących się w załączeniu do niniejszej Polityki ochrony danych osobowych.
  2. Wzorzec dla administratora stosuje się w przypadku powierzenia przetwarzania danych osobowych zewnętrznym podmiotom przetwarzającym.
  3. Wzorzec dla podmiotu przetwarzającego stosuje się w przypadku, gdy Administrator wykonuje czynności przetwarzania danych osobowych, powierzone przez ich zewnętrznych administratorów.
  4. Zabrania się powierzania przetwarzania danych osobowych bez odpowiedniej umowy powierzenia przetwarzania danych osobowych lub innego instrumentu prawnego, zgodnego z art. 28 RODO.
  5. Administrator przechowuje zawarte umowy powierzenia przetwarzania danych osobowych wraz z umowami głównymi.

 

NARUSZENIA OCHRONY DANYCH OSOBOWYCH

  1. W przypadku naruszenia bezpieczeństwa skutkującego przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem do danych osobowych, Administrator danych osobowych niezwłocznie, jednak nie później niż w ciągu 6 godzin roboczych od powzięcia informacji o naruszeniu, oceni ryzyko dla praw i wolności osób, których naruszenie mogło dotknąć. W przypadku gdy zaistnieją ku temu przesłanki, administrator danych osobowych zgłosi to naruszenie do PUODO w ciągu 72 godzin po stwierdzeniu naruszenia, chyba, że mało prawdopodobne jest, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli zgłoszenie nastąpi po upływie 72 godzin Administrator danych osobowych wyjaśni przyczyny opóźnienia w zgłoszeniu. Zgłoszenia dokonuje się w formie elektronicznej poprzez stronę Urzędu ochrony danych osobowych.
  2. Pracownicy informują Administratora danych o naruszeniu bezpieczeństwa administratora danych osobowych nie później niż w ciągu 6 godzin od powzięcia informacji o tym naruszeniu.
  3. Administrator danych prowadzi rejestr naruszeń bezpieczeństwa zwany „rejestrem naruszeń” wraz z informacją o zastosowanym postępowaniu w przypadku wystąpienia tych incydentów.
  4. Administrator danych osobowych bez zbędnej zwłoki zawiadamia o naruszeniu osobę, której dane dotyczą, o ile naruszenie to może z wysokim prawdopodobieństwem skutkować naruszeniem jej praw lub wolności. Zawiadomienie dokonywane jest w formie dokumentowej. Zawiadomienia tego nie dokonuje się, jeżeli:
    1. Zostały wdrożone odpowiednie techniczne i organizacyjne środki ochrony danych osobowych przez administratora danych osobowych i zostały one zastosowane do danych, których dotyczy naruszenie. Środki te mogą polegać m.in. na szyfrowaniu,
    2. Zastosowane zostały wstępne środki eliminujące prawdopodobieństwo wysokiego naruszenia praw lub wolności osoby, której dotyczą,
  • Wymagałoby ono niewspółmiernie dużo wysiłku. W takim wypadku zostaje zastosowany środek umożliwiający publiczne poinformowanie osoby, której dane dotyczą.

 

ANALIZA RYZYKA

  1. Administrator wdraża zasadę analizowania ryzyka naruszenia praw lub wolności osób, których dane osobowe podlegają przetwarzaniu.
  2. Zabrania się wdrażania nowych czynności przetwarzania danych osobowych, wdrażania nowych zasobów służących do ich przetwarzania, a także zmian środków ochrony danych osobowych, bez uprzedniego wykonania analizy ryzyka lub jej aktualizacji.
  3. Administrator przechowuje dokumentację szacowania ryzyka w załączeniu do niniejszej Polityki ochrony danych osobowych.

 

OCENA SKUTKÓW DLA OCHRONY DANYCH OSOBOWYCH

  1. Administrator wdraża zasadę, aby monitorować czynności przetwarzania danych osobowych, w celu stwierdzenia, czy wymagają one wykonania OSOD-u (oceny skutków dla ochrony danych osobowych).
  2. Ocena skutków dla ochrony danych osobowych jest przeprowadzana przed rozpoczęciem przetwarzania, jeżeli analiza ryzyka wykaże, że planowane czynności mogą wiązać się z wysokim ryzykiem dla praw lub wolności osób fizycznych.
  3. W przypadku gdy dana czynność wymaga przeprowadzenia OSOD-u, stosuje się szablon znajdujący się w załączniku.
  4. Zabrania się wdrażania nowych czynności przetwarzania danych osobowych bez uprzedniego wykonania analizy ryzyka lub jej aktualizacji, a w przypadku gdy potwierdzi ona takową zasadność, bez przeprowadzenia OSOD-u.
  5. Administrator przechowuje szablon oceny skutków dla ochrony danych osobowych oraz dokumentację wykonanych ocen w załączeniu do niniejszej Polityki Ochrony Danych.

 

INSPEKTOR OCHRONY DANYCH

  1. Administrator powołał Inspektora Ochrony Danych.
  2. Inspektorem Ochrony Danych Osobowych jest Magdalena Michalska, z którą można się kontaktować pod adresem e-mail: m.michalska@mtl-kancelaria.pl, tel. +48 533 100 010.

 

DOKUMENTACJA PRZYJĘTA PRZEZ ADMINISTRATORA DANYCH OSOBOWYCH

Dokumentacja przyjęta przez Administratora danych osobowych stanowi integralną część Polityki ochrony danych osobowych. Dokumentacja może mieć formę elektroniczną lub papierową.

  1. Rejestr czynności przetwarzania danych osobowych,
  2. Rejestr kategorii czynności przetwarzania danych osobowych,
  3. Rejestr naruszeń ochrony danych osobowych – szablon,
  4. Rejestr środków ochrony danych osobowych,
  5. Rejestr odbiorców danych osobowych,
  6. Rejestr osób upoważnionych do przetwarzania danych osobowych,
  7. Rejestr systemów informatycznych,
  8. Obowiązki informacyjne – szablony,
  9. Upoważnienie do przetwarzania danych osobowych – szablon,
  10. Umowa powierzenia przetwarzania danych osobowych dla administratora – szablon,
  11. Umowa powierzenia przetwarzania danych osobowych dla podmiotu przetwarzającego – szablon,
  12. Analiza ryzyka – dokument przewodni,
  13. Ocena skutków dla ochrony danych – szablon,
  14. Formularz zgłoszenia naruszenia przez pracownika – szablon,
  15. Wniosek dla osób fizycznych – szablon,
  16. Rejestr odpowiedzi na wnioski,
  17. Plan szkoleń i dokumentacja szkoleń.

 

Facebook