1 WSTĘP
Polityka Ochrony Danych Osobowych („Polityka”) jest dokumentem opisującym zasady ochrony danych osobowych stosowane przez spółkę Lenart Maciejewska Kancelaria Sp. z o.o. z siedzibą w Warszawie (kod pocztowy: 02-117) przy ul. Racławickiej 144/75, jako Administratora w celu spełnienia wymagań Rozporządzenia PE i RE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO).
Polityka stanowi jeden ze środków organizacyjnych, mających na celu wykazanie, że przetwarzanie danych osobowych odbywa się zgodnie z powyższym Rozporządzeniem.
Administrator nie wyznaczył Inspektora Ochrony Danych.
1.1. DEFINICJE
Wszelkie słowa, wyrażenia i skróty występujące w niniejszej Polityce i rozpoczynające się dużą literą należy rozumieć zgodnie z ich definicją zawartą w Polityce, które oznaczają (niezależnie od tego, czy zostały użyte w liczbie pojedynczej czy mnogiej):
1) „Administrator” lub „ADO” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych,
2) „Administrator Systemów Informatycznych” lub „ASI” oznacza osobę odpowiedzialną za funkcjonowanie systemów informatycznych oraz stosowanie technicznych i organizacyjnych środków ochrony,
3) „Anonimizacja” oznacza zmianę Danych osobowych, w wyniku której tracą one charakter Danych osobowych,
4) „Dane osobowe” oznacza wszelkie informacje związane ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. Osoba fizyczna jest uznawana za osobę bezpośrednio lub pośrednio identyfikowalną poprzez odniesienie do identyfikatora, takiego jak nazwa, numer identyfikacyjny, dane dotyczące lokalizacji, identyfikator internetowy lub jeden lub więcej czynników specyficznych dla fizycznego, fizjologicznego, genetycznego, umysłowego, ekonomicznego, kulturowego lub społecznego,
5) „Inspektor Ochrony Danych (IOD)” oznacza osobę formalnie wyznaczoną przez Administratora w celu informowania i doradzania Administratorowi/Podmiotowi przetwarzającemu/pracownikom w zakresie obowiązków wynikających z prawa powszechnie obowiązującego w zakresie ochrony Danych osobowych i niniejszej Polityki oraz w celu monitorowania ich przestrzegania oraz działania jako punkt kontaktowy dla osób przetwarzanych i organu nadzorczego, a także udzielania na żądanie zaleceń co do Oceny sutków dla ochrony danych oraz monitorowania jej wykonania zgodnie z art. 35 RODO, a ponadto współpracującą z organem nadzoru,
6) „Naruszenie ochrony danych osobowych” oznacza incydent prowadzący do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób,
7) „Ocena skutków dla ochrony danych” oznacza proces przeprowadzany przez Administratora, jeżeli jest wymagany przez obowiązujące prawo i jeżeli jest to konieczne, z uczestnictwem Inspektora Ochrony Danych, przed przetwarzaniem, w przypadku, gdy istnieje prawdopodobieństwo wysokiego ryzyka dla praw i wolności osób fizycznych jako rodzaju przetwarzania danych osobowych i zachodzi wraz z wykorzystaniem nowych technologii, biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania. Proces ten musi ocenić wpływ planowanych operacji przetwarzania na ochronę danych osobowych,
8) „Odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią,
9) „Ograniczenie przetwarzania” oznacza na oznaczenie przetwarzanych Danych osobowych w celu ograniczenia ich przyszłego przetwarzania,
10) „Podmiot danych” oznacza każdą osobę fizyczną, której dane są przedmiotem Przetwarzania,
11) „Podmiot przetwarzający (Procesor)” oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub jakikolwiek inny organ przetwarzający dane osobowe w imieniu Administratora,
12) „Profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się,
13) „Przetwarzanie danych osobowych” oznacza dowolną zautomatyzowaną lub niezautomatyzowaną operację lub zestaw operacji wykonywanych na Danych osobowych lub w zestawach danych osobowych i obejmuje zbieranie, rejestrowanie, organizowanie, porządkowanie, przechowywanie, adaptację lub zmianę, pobieranie, przeglądanie, wyszukiwanie, konsultacje, wykorzystanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub połączenie, ograniczenie, usunięcie lub zniszczenie Danych osobowych,
14) „Pseudonimizacja” oznacza przetwarzanie danych osobowych w taki sposób (np. poprzez zastępowanie nazw liczbami), że Danych osobowych nie można już przypisać do określonego Podmiotu danych bez użycia dodatkowych informacji (np. Listy referencyjnej nazwisk i numerów), pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i podlegają środkom technicznym i organizacyjnymu uniemożliwiającymi przypisanie ich do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
15) „RODO” oznacza rozporządzenie parlamentu europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46 z dnia 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 04.05.2016),
16) „RCP” oznacza rejestr czynności przetwarzania, o którym mowa w Pkt. 8 Polityki,
17) „Szczególne kategorie danych osobowych” oznacza dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, członkostwo w związkach zawodowych, dane genetyczne, dane biometryczne w celu jednoznacznej identyfikacji osoby fizycznej, dane dotyczące jej zdrowia, seksualności lub orientacji seksualnej. W zależności od obowiązującego prawa, szczególne kategorie danych osobowych mogą również zawierać informacje o środkach zabezpieczenia społecznego lub postępowaniach administracyjnych i karnych oraz o sankcjach,
18) „Zgoda osoby, której dane dotyczą” oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, za pomocą oświadczenia lub wyraźnego działania potwierdzającego, wyraża zgodę na Przetwarzanie jej danych. Dla celów dowodowych, zgoda powinna być udokumentowana w formie pisemnej, elektronicznej lub dokumentowej.
1.2. PODZIAŁ OBOWIĄZKÓW
1. Za realizację obowiązków ADO wskazanych w Polityce jest odpowiedzialny Zarząd Spółki.
2. ADO może wyznaczyć Pełnomocnika ds. ochrony Danych osobowych, który będzie bezpośrednio realizował zadania w jego imieniu, ze szczególnym uwzględnieniem szacowania ryzyka (w oparciu o procedurę wskazaną w Pkt. 2.3. Polityki oraz rozpatrywania naruszeń ochrony danych (w oparciu o procedurę, o której mowa w Pkt 7. Polityki).
3. Szczegółowy zakres czynności pełnomocnika ds. ochrony Danych powinien być każdorazowo wyczerpująco uregulowany w ramach nadawanego upoważnienia, zgodnie ze wzorem stanowiącym załącznik nr 1 do Polityki.
4. ADO może wyznaczyć ASI, który będzie odpowiadał za zapewnienie ciągłości i bezpieczeństwa funkcjonowania systemu informatycznego, w szczególności nadawania oraz odbierania uprawnień w imieniu ADO do poszczególnych aplikacji, programów, systemów operacyjnych lub urządzeń elektronicznych, przeprowadzenie inwentaryzacji zasobów informatycznych wskazanej w rozdziale 3 niniejszego dokumentu oraz, gdy zajdzie taka potrzeba – zabezpieczenie informacji niezbędnych do stwierdzenia naruszenia ochrony danych związanego z systemem informatycznym.
5. Szczegółowy zakres czynności ASI określa upoważnienie do przetwarzania danych osobowych, zgodnie ze wzorem stanowiącym załącznik nr 2 do Polityki.
6. Niewyznaczenie ASI przez ADO nie zwalnia go realizacji obowiązków związanych z zapewnieniem ciągłości i bezpieczeństwa działania systemu informatycznego.
7. ADO udziela dostępu do przetwarzanych danych osobowych wyłącznie osobom, które zapoznały się z zasadami bezpieczeństwa danych osobowych obowiązującymi w Spółce, zobowiązały się do ich przestrzegania oraz otrzymały upoważnienie do przetwarzania danych osobowych, zgodnie z wzorem stanowiącym załącznik nr 3 do Instrukcji, ściśle precyzujące zakres czynności, które związane są z dostępem do danych osobowych.
8. ADO prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, o której mowa w Pkt. 3 ust. 5 Polityki.
2 OCENA SKUTKÓW (ANALIZA RYZYKA)
Ocena skutków dla ochrony danych osobowych jest formalną, określoną w art. 35 RODO procedurą przeprowadzenia analizy ryzyka, za wykonanie której odpowiada Administrator przed rozpoczęciem Przetwarzania danych osobowych. Jeżeli nie jest on zobowiązany do przeprowadzenia oceny skutków, procedura, o której mowa w niniejszym punkcie znajduje zastosowanie do przeprowadzenia analizy ryzyka na potrzeby wykazania odpowiedniego stopnia bezpieczeństwa Przetwarzania danych osobowych zgodnie z zasadą rozliczalności, o której mowa w art. 5 ust. 2 RODO.
W przypadku powołania Inspektora Ochrony Danych, Ocena skutków dla ochrony danych osobowych podlega jego konsultacji.
2.1 OPIS OPERACJI PRZETWARZANIA (INWENTARYZACJA AKTYWÓW)
1. Administrator wykonuje i prowadzi na bieżąco inwentaryzację przetwarzanych informacji mogących stanowić dane osobowe.
2. Administrator wyznacza osobę odpowiedzialną za przeprowadzenie inwentaryzacji aktywów i zebranie pozostałych informacji w celu wypełnienia rozszerzonego rejestru czynności przetwarzania, o którym mowa w ust. 1 i 2 powyżej. Wskazana osoba przeprowadza w tym celu audyt wstępny.
3. Inwentaryzacja zasobów informacyjnych zapisywana jest w formie dokumentu, którego wzór stanowi załącznik nr 4. Jeżeli jest to pomocne w ustaleniu niezbędnych informacji, zaleca się wykorzystanie pomocniczego wzoru tabeli, stanowiącego załącznik nr 5.
4. Z inwentaryzacji zasobów informacyjnych powinno jasno wynikać, w stosunku do jakich informacji Spółka jest Administratorem, a w stosunku do jakich jest jedynie procesorem, któremu inny administrator danych jedynie powierzył przetwarzanie w konkretnym celu. Administrator prowadzi ewidencję wszystkich zawartych umów powierzenia przetwarzania na podstawie wzoru stanowiącego załącznik nr 6.
5. W celu przeprowadzenia Oceny skutków dla ochrony danych osobowych na podstawie dokumentu, o którym mowa w ust. 3 powyżej dokonuje się identyfikacji Danych osobowych, które należy zabezpieczyć. W tym celu wypełniany jest Rejestr czynności przetwarzania (także w wersji rozszerzonej) do oceny skutków, stanowiący załącznik nr 7 do Polityki. W przypadku działania jako podmiot, któremu inny administrator powierzył przetwarzanie w trybie art. 28 RODO prowadzony jest rejestr wszystkich kategorii czynności przetwarzania dokonywanych na rzecz każdego z administratorów w formie dokumentu stanowiącego załącznik nr 7a.
6. Rejestr czynności przetwarzania, o którym mowa w ust. 5 powyżej w wersji do udokumentowania Oceny skutków powinien, poza informacjami określonymi w Pkt. 8 Polityki, obejmować ponadto takie informacje, jak:
a. charakter Danych Osobowych,
b. zakres Danych Osobowych,
c. kontekst Danych osobowych,
d. określenie rodzaju oraz opis operacji przetwarzania,
e. aktywa służące do przetwarzania danych osobowych (Informacje, Programy, Systemy operacyjne, Infrastruktura IT, Infrastruktura, Pracownicy i współpracownicy, Outsourcing).
7. Niezależnie od formy zapisu inwentaryzacji oraz dokumentu rejestru czynności przetwarzania, ADO sporządza wykaz budynków i pomieszczeń stanowiących obszar przetwarzania danych osobowych wedle wzoru stanowiącego załącznik nr 8 (wzór wykazu obszaru przetwarzania), oraz przetwarzanych zbiorów danych osobowych wedle wzoru stanowiącego załącznik nr 9.
2.2 OCENA NIEZBĘDNOŚCI ORAZ PROPORCJONALNOŚCI (ZGODNOŚĆ Z PRZEPISAMI RODO)
W ramach przeprowadzenia Oceny skutków dla ochronnych danych osobowych (analizy ryzyka) Administrator zobowiązany jest do spełnienia obowiązków prawnych wobec poszczególnych kategorii osób, określonych w Pkt. 2.1 ust. 1 Polityki.
W ramach tych obowiązków w szczególności Administrator zapewnia, że:
1. Dane osobowe są legalnie przetwarzane (na podstawie art. 6, 9)
2. Dane osobowe te są adekwatne w stosunku do celów przetwarzania
3. Dane osobowe te są przetwarzane przez określony czas (retencja danych)
4. wobec tych osób wykonano tzw. obowiązek informacyjny (art. 12, 13 i 14 RODO) wraz ze wskazaniem ich praw (np. prawa dostępu do danych, przenoszenia, sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu, odwołania zgody)
5. opracowano klauzule informacyjne dla powyższych osób (patrz załącznik 10)
6. istnieją umowy powierzenia z podmiotami przetwarzającymi (art. 28 RODO) a ich wykaz podmiotów przetwarzających prowadzony jest zgodnie z załącznikiem nr 6.
2.3 ANALIZA RYZYKA
Ocena skutków dla ochrony danych osobowych opisuje sposób przeprowadzenia analizy ryzyka w celu zabezpieczenia Danych osobowych adekwatnie do zidentyfikowanych zagrożeń wynikających z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych osobowych.
Analiza ryzyka przeprowadzana jest odpowiednio dla kategorii osób lub dla procesów przetwarzania.
Analiza ryzyka jest wykonywana dla kategorii osób i procesów przetwarzania poddanych Ocenie skutków dla ochrony danych osobowych, jednak powinna być także przeprowadzana dla wszystkich istotnych kategorii osób zawartych w RCP, przykładowo: kandydatów do pracy, pracowników, współpracowników, kontrahentów.
Szacowanie ryzyka wykonywane jest w oparciu o procedurę, opisaną w załączniku nr 11.
Szacowanie ryzyka przeprowadzane jest z perspektywy potencjalnych negatywnych skutków dla osób, których dane osobowe są przetwarzane w ramach prowadzonej działalności, zgodnie ze szczegółowymi wyjaśnieniami zawartymi w ww. załączniku nr 11.
Z przeprowadzonego szacowania ryzyka sporządza się protokół według wzorów stanowiących załączniki nr 11a i 11 b.
3 UPOWAŻNIENIA
1. Administrator lub osoba przez niego upoważniona odpowiada za udzielanie i odwoływanie upoważnień do przetwarzania Danych osobowych w zbiorach (dla kategorii osób) w postaci papierowej oraz w systemach informatycznych.
2. Każda osoba upoważniona przetwarza Dane osobowe wyłącznie na polecenie Administratora lub na podstawie powszechnie obowiązujących przepisów prawa.
3. Upoważnienia nadawane są na wniosek lub z uwagi na zajmowane przez pracownika stanowisko albo przedmiot świadczonych usług i określają zakres czynności w związku z przetwarzaniem Danych osobowych, np. tworzenie, usuwanie, wgląd, przekazywanie.
4. W przypadku przeprowadzenia kontroli, audytów, wykonania czynności służbowych, udokumentowanego polecenia administratora upoważnienia do przetwarzania Danych osobowych dokonuje się w drodze zawarcia umowy powierzenia przetwarzania Danych osobowych.
5. Administrator prowadzi ewidencję osób upoważnionych do przetwarzania Danych osobowych zgodnie z załącznikiem nr 12 do Polityki. Ewidencja ta ma charakter pomocniczy i nie jest wymagana przepisami RODO.
4 ŚRODKI ORGANIZACYJNE I TECHNICZNE ZABEZPIECZAJĄCE DANE OSOBOWE
Administrator jest zobowiązany do stosowania środków technicznych i organizacyjnych (zabezpieczeń) adekwatnych do ryzyka naruszenia praw i wolności osób, których dane dotyczą.
1. Administrator prowadzi uproszczony wykaz stosowanych przez siebie zabezpieczeń, zgodnie z załącznikiem nr 13.
2. Administrator opisuje również zabezpieczenia oraz zasady korzystania z systemu informatycznego Spółki w instrukcji zarządzania IT, stanowiącej załącznik nr 14
3. Dokumenty, o których mowa w ust. 1 i 2 powyżej powinny być aktualizowane, jeśli zajdzie taka potrzeba po przeprowadzeniu analizy Ryzyka lub oceny Skutków.
5 REGULAMIN OCHRONY DANYCH OSOBOWYCH
1. Zasady przetwarzania i bezpieczeństwa Danych osobowych określa Regulamin (rozumiany jako zabezpieczenie), stanowiący załącznik nr 15 (Regulamin Ochrony Danych Osobowych).
2. Po zapoznaniu się z zasadami ochrony Danych osobowych, osoby zobowiązane są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania oraz zachowania poufności, stosownie do treści załącznika nr 16.
6 SZKOLENIA – ZAPOZNANIE Z PROCEDURĄ
1. Każda osoba przed dopuszczeniem do pracy z Danymi osobowymi poddana jest szkoleniu lub zapoznaje się z przepisami RODO oraz zasadami ochrony Danych osobowych obowiązujących w Spółce.
2. Za przeprowadzenie szkolenia odpowiada Administrator.
3. W przypadku przeprowadzenia przez Administratora wewnętrznego szkolenia z zasad ochrony Danych osobowych odbycie tego szkolenia jest udokumentowane.
4. Każdy uczestnik szkolenia otrzymuje materiały szkoleniowe.
5. Po przeprowadzeniu szkolenia z zasad ochrony Danych osobowych, uczestnicy zobowiązani są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania, stosownie do treści załącznika nr 16.
7 INSTRUKCJA POSTĘPOWANIA Z INCYDENTAMI
Ocenę skutków dla ochrony danych osobowych definiuje katalog podatności (słabości) i incydentów zagrażających bezpieczeństwu danych osobowych oraz opisuje sposób reagowania na nie. Jej celem jest minimalizacja skutków wystąpienia incydentów bezpieczeństwa oraz ograniczenie ryzyka powstania zagrożeń i występowania incydentów w przyszłości, zgodnie z procedurą stanowiącą załącznik nr 17 do Polityki.
Jednocześnie w przypadku wystąpienia naruszenia sporządza się protokół naruszenia, którego wzór stanowi załącznik nr 17a. Ponadto, Administrator prowadzi rejestr naruszeń, którego wzór stanowi załącznik nr 17b.
8 POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH ORAZ REJESTR CZYNNOŚCI PRZETWARZANIA
1. W przypadku konieczności przekazania Danych osobowych – zarówno w formie papierowej jak i elektronicznej – do podmiotu, który ma realizować cele wskazane przez Administratora, uprzednio zawiera się umowę powierzenia przetwarzania, stosownie do wzoru zawartego w załączniku nr 18.
2. Administrator prowadzi rejestr czynności przetwarzania zgodnie z załącznikiem nr 7.
3. Podmiot przetwarzający prowadzi rejestr wszystkich kategorii czynności przetwarzania zgodnie z załącznikiem nr 7a, obejmujący:
a. imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych,
b. kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
c. gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń,
d. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
9 AUDYTY
Zgodnie z art. 32 RODO, Administrator powinien regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W tym celu Administrator stosuje procedurę audytu stanowiącą załącznik nr 19.
W celu udokumentowania przeprowadzenia audytu, Administrator sporządza sprawozdanie według wzoru zawartego w ww. załączniku nr 19.
10 PROCEDURA PRZYWRÓCENIA DOSTĘPNOŚCI DANYCH OSOBOWYCH I DOSTĘPU DO NICH W RAZIE INCYDENTU FIZYCZNEGO LUB TECHNICZNEGO
Zgodnie z art. 32 RODO, Administrator powinien zapewnić zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Administrator opracował procedury przywracania, tzw. plan ciągłości działania, stanowiący załącznik nr 20.
11 REALIZOWANIE OBOWIĄZKÓW INFORMACYJNYCH I GOTOWOŚĆ DO REALIZACJI UPRAWNIEŃ OSÓB, KTÓRYCH DANE SĄ PRZETWARZANE
1. Administrator przekazuje każdej osobie, której dane są przetwarzane informacje, o których mowa w art. 13 RODO, chyba że przepis ustawy przewiduje zwolnienie z tego obowiązku.
2. Aktualnie stosowane klauzule informacyjne dla osób, których dane są przetwarzane zawarte są w załączniku nr 10.
3. Administrator umożliwia dostęp osobom, których dane są przetwarzane do treści przetwarzanych danych osobowych – w formie udostępnienia bezpłatnej kopii danych osobowych (w formie elektronicznej lub papierowej), chyba że przepis ustawy zwalnia Administratora z tego obowiązku lub żądanie osoby, której dane są przetwarzane jest ewidentnie nieuzasadnione lub nadmierne.
4. W przypadku uznania żądania za ewidentnie nieuzasadnione lub nadmierne należy uzasadnić odmowę realizacji żądania wskazując powody przemawiające za przyjęciem takiej kwalifikacji i w formie pisemnej przekazać uzasadnienie osobie wnoszącej żądanie informując, o możliwości wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
5. W przypadku tych informacji, które są przetwarzane przy użyciu środków elektronicznych na podstawie zgody lub umowy, Administrator przetwarza je w formie pozwalającej na przekazanie i odczyt przez innego administratora danych osobowych – tak, by umożliwić zrealizowanie żądania do przeniesienia danych przez osobę, której one dotyczą, jeżeli się o to zwróci.
6. Zasady postepowania w przypadku realizacji uprawnień osób, których dane są przetwarzane:
a. w przypadku otrzymania żądania do usunięcia danych osobowych, Administrator niezwłocznie weryfikuje przesłanki wskazane w art. 17 ust. 1 lit. a-f RODO,
b. jeżeli zostanie stwierdzone, że została spełniona jakakolwiek z przesłanek wskazanych w art. 17 ust. 1 lit. a-f RODO, Administrator niezwłocznie, lecz nie później niż w ciągu miesiąca, informuje osobę wnoszącą żądanie, że w ciągu 48 godzin dane zostaną usunięte,
c. jeżeli zostanie stwierdzone, że żadna z przesłanek wskazanych w art. 17 ust. 1 lit. a-f RODO nie występuje, Administrator niezwłocznie, lecz nie później niż w ciągu miesiąca, informuje osobę wnoszącą żądanie o odmowie usunięcia danych osobowych oraz możliwości złożenia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem,
d. komunikacja z osobą wnoszącą żądanie odbywa się kanałem, którym zgłoszono żądanie usunięcia danych, chyba że osoba wnosząca żądanie zaznaczy inaczej,
e. odmawiając realizacji prawa do usunięcia danych, należy uzasadnić podjętą decyzję w odpowiedzi przekazanej do osoby zgłaszającej żądanie.
W sprawach nieuregulowanych niniejszym dokumentem znajdują zastosowanie odpowiadające w konkretnej sprawie postanowienia zawarte w wytycznych, opiniach oraz decyzjach Spółki roboczej art. 29, Europejskiej Rady Ochrony Danych, Urzędu Ochrony Danych Osobowych, Komisji Europejskiej oraz zatwierdzonych przez Urząd Ochrony Danych mechanizmach certyfikacyjnych, RODO lub kodeksach postępowania.
Niniejszy dokument wchodzi w życie z dniem 23 maja 2024 roku.
Załączniki:
1. Wzór pełnomocnictwa dla Pełnomocnika ds. ochrony Danych osobowych,
2. Wzór upoważnienia dla ASI,
3. Wzór upoważnienia do przetwarzania Danych osobowych,
4. Wzór formularza inwentaryzacji zasobów informacyjnych,
5. Pomocniczy wzór tabeli do inwentaryzacji zasobów informacyjnych,
6. Wzór ewidencji podmiotów, z którymi zawarto umowę o powierzenie przetwarzania Danych osobowych,
7. Wzór rejestru czynności przetwarzania
7a. Wzór rejestru przetwarzania wszystkich kategorii czynności przetwarzania
8. Wzór wykazu obszaru przetwarzania Danych osobowych,
9. Wzór wykazu przetwarzanych zbiorów Danych osobowych,
10. Wzór klauzuli informacyjnej,
11. Ogólne szacowanie ryzyka,
12. Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych,
13. Wykaz zabezpieczeń RODO,
14. Instrukcja zarządzania IT,
15. Regulamin Ochrony Danych Osobowych,
16. Wzór oświadczenia dla osób upoważnionych,
17. Procedura naruszeniowa,
17a. Wzór protokołu naruszenia,
17b. Wzór rejestru naruszeń,
18. Wzór umowy powierzenia przetwarzania Danych osobowych,
19. Procedura audytu,
20. Plan ciągłości działania
