POLITYKA OCHRONY DANYCH OSOBOWYCH
Administratorem danych osobowych jest Piotr Klinger prowadzący działalność gospodarczą pod nazwą Piotr Klinger Hi5 Centrum Językowe przy ul. Wiślanej 8, 86-260 Unisław, NIP:554-296-23-99, zwany dalej „firmą”, „Administratorem”.
Celem Polityki jest zapewnienie właściwej ochrony przetwarzanych danych osobowych.
Wprowadzenie Polityki zostało poprzedzone dokonaniem ogólnej oceny ryzyka w zakresie przetwarzania danych osobowych oraz przeprowadzeniem wewnętrznego audytu oraz weryfikację tego czy potrzebny jest Inspektor Ochrony Danych Osobowych.
Data wprowadzenia Polityki – 21 lipca 2021
ZASADY DOT. PRZETWARZANIA DANYCH
Firma zapewnia przetwarzanie danych osobowych zgodnie z RODO, tj.
w oparciu o podstawę prawną i zgodnie z prawem (legalizm);
rzetelnie i uczciwie (rzetelność);
w konkretnych celach, nie „na zapas” (minimalizacja);
nie więcej niż potrzeba (adekwatność);
z dbałością o prawidłowość danych (prawidłowość)nie dłużej niż potrzeba (czasowość);
zapewniając odpowiednie bezpieczeństwo danych i wprowadzając odpowiednie środki techniczne i organizacyjne (bezpieczeństwo), m.in. poprzez wprowadzenie Zasad pracy zgodnych z RODO – załącznik do Polityki; (w tym w zakresie systemów informatycznych i Polityki czystego biurka)
spełniając obowiązki informacyjne względem osób, których dane przetwarza,
umożliwiając osobom, których dane dotyczą wykonywanie swoich praw; wprowadzono Procedurę obsługi żądań ww. osób – załącznik do Polityki;
zapewniając rozliczalność, w celu wykazania zgodności wypełniania obowiązków RODO.
PODSTAWA PRZETWARZANIA DANYCH
Przetwarzanie przez firmę jest zgodne z prawem m.in. gdy:
osoba, której dane dotyczą wyraziła zgodę na przetwarzanie danych (np. do celów przyszłych rekrutacji lub zgodę na przetwarzanie danych wrażliwych, np. dot. zdrowia);
przetwarzanie jest niezbędne do wykonania umowy (np. realizacji zamówienia, realizację umowy zlecenia, umowy o pracę) lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (np. do przygotowania oferty, do przeprowadzenia prezentacji produktu);
przetwarzanie jest niezbędne do wypełnienia obowiązków prawnych nałożonych na Administratora (m.in. do celów archiwizacyjnych, podatkowych np. przechowywanie faktury czy dokumentacji pracowniczej);
wynika to z prawnie uzasadnionych interesów realizowanych przez Administratora (np. dochodzenie i obrona przed roszczeniami, marketing bezpośredni);
wynika to z innej podstawy prawnej przewidzianej przepisami RODO.
ŚRODKI TECHNICZNE I ORGANIZACYJNE
Dane osobowe są chronione przy zastosowaniu zabezpieczeń niezbędnych dla zapewnienia poufności, integralności, dostępności i rozliczalności danych osobowych. Firma przeprowadza m.in.:
audyt oraz analizę ryzyka dla czynności przetwarzania danych/kategorii;
wprowadza niezbędne procedury i regulacje (m.in. wprowadza niniejszą Politykę, procedurę zgłaszania naruszeń, upoważnienia);
zarządza zmianami mającymi wpływ na prywatność. Administrator stosuje politykę privacy by design i privacy by default – załącznik do Polityki;
wykonuje inne obowiązki wynikające z przepisów obowiązującego prawa.
W przypadku gdy podmiot trzeci ma dostęp do danych powinno zostać wydane upoważnienie do przetwarzania danych (załącznik do Polityki) lub powinna zostać zawarta umowa powierzenia (więcej w pkt III Polityki ochrony danych)
Administrator umożliwia osobom, których dane dotyczą zapoznanie się z informacjami dot. przetwarzania ich danych osobowych. Procedura dot. realizacji obowiązków informacyjnych określona została w dokumencie Zalecenia dot. realizacji obowiązków informacyjnych i stanowi załącznik do niniejszej Polityki.
REJESTR CZYNNOŚCI PRZETWARZANIA – PODSTAWOWY DOKUMENT OPISUJĄCY JAKIE DANE FIRMA PRZETWARZA
Firma prowadzi Rejestr czynności przetwarzania, w którym opisuje procesy, jakie zachodzą w firmie, w ramach których dochodzi do zbierania i innego przetwarzania danych.
Rejestr stanowi formę dokumentowania czynności przetwarzania danych, pełni rolę mapy przetwarzania danych i jest jednym z kluczowych elementów umożliwiających realizację zasady rozliczalności.
Rejestr należy systematycznie weryfikować i ewentualnie aktualizować.
UMOWA POWIERZENIA
Umowa powierzenia reguluje współpracę między firmą a Procesorem (Podmiotem przetwarzającym), tj. innym podmiotem, któremu firma przekazuje dane osobowe do przetwarzania (np. księgowa, firma hostingowa) – (lub odwrotnie). Wzór umowy – załącznik do Polityki.
W umowie opisano zasady, w oparciu o które podmiot otrzymujący dane może działać, tj. m.in. zasady korzystania z danych, zabezpieczania danych, dalszego przekazywania itp.
Przed podpisaniem umowy powierzenia, firma m.in. weryfikuje czy:
podmiot przetwarzający zapewnia gwarancję należytego przetwarzania powierzonych danych, tj. czy dba o dane osobowe zgodnie z RODO,
umowa powierzenia zawiera wszystkie elementy przewidziane art. 28 RODO (jeżeli nie została stworzona w oparciu o wzór stanowiący załącznik do Polityki), nie zachodzi konieczność dodatkowych zabezpieczeń umowy.
REJESTR KATEGORII PRZETWARZANIA (dot. sytuacji gdy firma otrzymuje dane od innego podmiotu trzeciego)
W przypadku gdy to firma otrzymuje dane osobowe do przetwarzania od podmiotu trzeciego – zawiera z nimi umowę powierzenia. Umowa powinna być dostarczona przez podmiot trzeci, ale jeśli to nie nastąpi, firma powinna zadbać o to, żeby uregulować współpracę umową powierzenia.
Przekazanie danych od innych podmiotów należy wskazać w Rejestrze Kategorii przetwarzań.
UDOSTĘPNIANIE DANYCH BEZ KONIECZNOŚCI ZAWIERANIA UMOWY POWIERZENIA
Otrzymując od organu państwowego (ZUS, US, sądy itp.) wniosek o udostępnienie danych należy sprawdzić czy istnieje podstawa prawna takiego wniosku i czy została w takim wniosku wskazana.
Dane bez umowy powierzenia udostępniane są także innym podmiotom, które są do tego uprawnione, jak np. Poczta Polska, banki.
W przypadku gdy brak jest takiej podstawy, należy wezwać do wskazania takiej podstawy prawnej, a jeśli nie zostanie wskazana – odmówić udostępnienia danych
Inne przypadki udostępnienia danych muszą być każdorazowo weryfikowane co do podstaw prawnych takiego udostępnienia.
ZGŁASZANIE NARUSZEŃ OCHRONY DANYCH OSOBOWYCH
Firma stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie naruszenia ochrony danych Urzędowi Ochrony Danych w terminie 72 godzin od stwierdzenia naruszenia zgodnie z załącznikiem do niniejszej Polityki.
Administrator prowadzi Rejestr naruszeń, w którym opisuje wszystkie naruszenia ochrony danych, jakie wystąpiły.
MONITOROWANIE
Firma dba o to, żeby zasady ochrony danych były przestrzegane w toku jej działalności. Zaleca się, aby audyt dot. właściwej ochrony danych był przeprowadzany przynajmniej raz na rok lub w razie potrzeby – częściej. Przykładowy wzór audytu – załącznik do Polityki.
PRZEKAZYWANIE DANYCH DO PAŃSTW TRZECICH
W przypadku gdy zachodzi przekazanie danych do państw trzecich poza UE/EOG, Administrator dokonuje przekazania bądź do podmiotów w ramach tzw. Tarczy Prywatności bądź też w oparciu o standardowe klauzule umowne lub bez ww. zabezpieczeń w oparciu o zgodę osoby, której dane dotyczącą lub też w oparciu o inne przesłanki przewidziane w RODO (m.in. niezbędność do zawarcia/realizacji umowy).
WSPÓŁADMINISTROWANIEo ile dotyczy
W przypadku gdy zachodzi współadministrowanie, tzn. poza firmą również inny podmiot decyduje o celach przetwarzania danych i środkach ich zabezpieczania (np. dwie firmy razem są współorganizatorami jakiegoś przedsięwzięcia), informacja o współadministrowaniu wskazywana jest w:
klauzulach informacyjnych,
rejestrze czynności przetwarzania.
W związku ze współadministrowaniem zawierana jest także umowa o współadministrowanie.
OBOWIĄZKI OSÓB UPOWAŻNIONYCH DO PRZETWARZANIA DANYCH (NP. PRACOWNIKÓW)
Dane osobowe mogą być przetwarzane wyłącznie w oparciu o upoważnienie do przetwarzania wydane przez Administratora. Wzór upoważnienia i oświadczenia stanowi załącznik do Polityki.
Każda osoba, która uzyskała upoważnienie do przetwarzania danych osobowych zobowiązana jest do:
przetwarzania ich co do zasady wyłącznie na polecenia Administratora;
ochrony danych w sposób zgodny z przepisami prawa i wewnętrznymi zaleceniami;
zachowania w tajemnicy danych osobowych i sposobów ich zabezpieczania.
Podczas przetwarzania danych trzeba zachować szczególną ostrożność i podjąć wszelkie możliwe środki umożliwiające zabezpieczenie oraz ochronę danych przed nieuprawnionym dostępem, modyfikacją, utratą, zniszczeniem lub ujawnieniem.
Administrator prowadzi ewidencję upoważnień. Wzór – załącznik do Polityki
POSTANOWIENIA KOŃCOWE
Dokumentacja przetwarzania danych osobowych stanowi wewnętrzną regulację firmy i obowiązuje wszystkich pracowników i współpracowników Administratora oraz inne osoby przetwarzające dane osobowe przetwarzane przez Administratora.
Dokumentacja przetwarzania danych osobowych obowiązuje od dnia jej wprowadzenia w życie w sposób przyjęty u Administratora.
W sprawach nieuregulowanych mają zastosowanie przepisy powszechnie obowiązującego prawa, w tym w szczególności przepisy ustawy i Rozporządzenia Ogólnego.
NAJWAŻNIEJSZE POJĘCIA
Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”);
Integralność i poufność oznacza przetwarzanie w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych;
Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
Podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora;
Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
RODO oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Ustawa oznacza ustawę o ochronie danych osobowych z dnia 10 maja 2018r.
Zbiór danych oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
Zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
ZAŁĄCZNIKI
Zasady pracy zgodnych z RODO
Procedura obsługi żądań ww. osób
Polityka privacy by design i privacy by default
Zalecenia dot. realizacji obowiązków informacyjnych
Rejestr czynności przetwarzania
Umowa powierzenia wraz z instrukcją
Rejestr kategorii przetwarzań
Procedura zgłaszania naruszeń wraz z Rejestrem
Wzór raportu z audytu
Upoważnienie wraz z oświadczeniem
Ewidencja upoważnień