Załącznik do Uchwały Zarządu Spółki numer 1/2018
z dnia 21.05.2018
Polityka bezpieczeństwa ochrony danych osobowych w Spółce
Jarex NiM Sp. z o.o.,Sp.K.
- §1
Preambuła
- Niniejsza Polityka Ochrony Danych Osobowych w Spółce Jarex NiM Sp. z o.o. Sp.K., zwana jest w dalszej części Polityką i stanowi Politykę bezpieczeństwa, o której mowa w § 3 ust. 1 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 r. (Dz.U. Nr 100, poz. 1024).
- Niniejsza Polityka Ochrony Danych Osobowych obowiązująca w Spółce Jarex NiM Sp. z o.o. Sp.K. jest równoznaczna z wiążącymi regułami korporacyjnymi stosowanymi przez administratora danych osobowych.
§2
Podstawy prawne
Polityka została opracowana na podstawie postanowień:
- Ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. 2016 r. poz. 922 z 01.06.2016 r.);
- Ustawy Prawo przewozowe z dnia 15 listopada 1984 r. (Dz.U. 2017 poz. 1983 z 25.10.2017 r.);
- Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych z związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenie dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 4.05.2016).
§3
Definicje
Ilekroć w Polityce jest mowa o:
- Polityce lub wiążących regułach korporacyjnych, rozumie się przez to Politykę ochrony danych osobowych obowiązującą i stosowaną w Jarex NiM Sp. z o.o. Sp. K. w Stężycy.
- RODO lub Rozporządzenie – oznacza Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych z związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenie dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 4.05.2016).
- Danych osobowych, rozumie się przez to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, z zaznaczeniem, że osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne a informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
- Administratorze danych osobowych (ADO) lub Administratorem, rozumie się przez to Jarex NiM Sp. z o.o. Sp.K. w Stężycy, która samodzielnie lub wspólnie z innymi podmiotami decyduje o celach, środkach i sposobach przetwarzania danych osobowych.
- Inspektorze ochrony danych (IOD), rozumie się przez to pracownika lub zleceniobiorcę Spółki, któremu powierzono nadzorowanie przestrzegania zasad ochrony danych osobowych, także w zakresie zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, w tym przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
- Przedstawiciel – oznacza osobę fizyczną lub prawną, mającą miejsce zamieszkania lub siedzibę na terytorium Unii Europejskiej, która została wyznaczona w formie pisemnej przez Administratora, do reprezentowania Administratora w zakresie jego obowiązków wynikających z RODO oraz obowiązującą ustawą o ochronie danych osobowych.
- Spółce, rozumie się przez to Jarex NiM Sp. z o.o. Sp.K. w Stężycy.
- Podmiot przetwarzający – oznacza osobę fizyczną lub prawną, która przetwarza dane osobowe na podstawie umowy zawartej w formie pisemnej z Administratorem.
- Strona trzecia – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane osobowe dotyczą, Administratora, podmiot przetwarzający lub też osoby, które z upoważnienia Administratora lub podmiotu przetwarzającego, mogą przetwarzać dane osobowe.
- Ustawie, rozumie się przez to obowiązującą ustawę o ochronie danych osobowych.
- Przepisy obowiązującego prawa – rozumie się przez to wszelkie obowiązujące akty prawny regulujące kwestie ochrony danych osobowych osób fizycznych.
- Zbiorze danych, rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, to jest takich, które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony lub podzielony funkcjonalnie bądź geograficznie.
- Przetwarzaniu danych, rozumie się przez to jakiekolwiek operacje lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, opracowywanie, zmienianie, udostępnianie i usuwanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępniania, dopasowywanie lub łącznie, ograniczanie, usuwanie lub niszczenie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
- Ograniczenie przetwarzania danych osobowych – oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania.
- Naruszenie ochrony danych osobowych - oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych określonych osób fizycznych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez Administratora lub przez Podmiot przetwarzający.
- Systemie informatycznym, rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych.
- Zabezpieczeniu danych w systemie informatycznym, rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.
- Usuwaniu danych, rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby fizycznej, której dane osobowe dotyczą.
- Zgodzie osoby, której dane dotyczą, rozumie się przez to dobrowolne, konkretne, świadome i jednoznaczne oświadczenie woli, którego treścią jest dobrowolna, świadoma i jednoznaczna zgoda na przetwarzanie danych osobowych określonej osoby fizycznej, która składa takie oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli
o innej treści; zgoda może zostać udzielona również poprzez wyraźne działania potwierdzające udzielenie takiej zgody, przez przyzwolenie na
przetwarzanie dotyczących tej osoby danych osobowych; zgoda może zostać odwołana w każdym czasie.
- Odbiorcy danych, rozumie się przez to wszelkie osoby fizyczne lub prawne, organy publiczne lub inne podmioty, którym ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią, z wyłączeniem:
- osoby, której dane dotyczą;
- osoby upoważnionej do przetwarzania danych;
- przedstawiciela, o którym mowa w art. 31a;
- podmiotu, o którym mowa w art. 31;
- organów państwowych lub organów samorządu terytorialnego, którym dane osobowe są udostępniane w związku z prowadzonym postępowaniem.
§4
Cele Polityki
- Celem Polityki jest określenie czynności koniecznych dla zapewnienia bezpieczeństwa danych osobowych w Spółce zarówno przetwarzanych w systemach informatycznych i w formie tradycyjnej.
- Przez bezpieczeństwo danych osobowych należy rozumieć zapewnienie ich poufności, integralności, dostępności oraz rozliczalności poprzez wdrożenie odpowiednich mechanizmów technicznych i organizacyjnych.
- Politykę stosuje się do wszystkich zbiorów danych osobowych przetwarzanych przez Spółkę, jako Administratora Danych Osobowych, zarówno w systemach informatycznych jak i w formie tradycyjnej.
- Politykę stosują wszyscy pracownicy Spółki oraz te osoby, niebędące pracownikami, którym Spółka powierza wykonywanie czynności związanych z przetwarzaniem danych osobowych.
- Przetwarzanie danych osobowych zgodnie z Polityką następuje w sposób zgodny z prawem, rzetelnie i w sposób przejrzysty dla osób, których dane osobowe są przetwarzane.
- Administrator przetwarza dane osobowe w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych osób ich dotyczących, w tym zapewnia ochronę przetwarzanych danych osobowych przed niedozwolonym oraz niezgodnym z prawem przetwarzaniem danych
osobowych oraz przed ich przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
- Administrator dla celów przetwarzania danych osobowych wdrożył odpowiednie środki techniczne i organizacyjne, aby przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia właściwych celów przez Administratora.
- Administrator podejmuje wszelkie przewidziane prawem niezbędne działania, aby wdrożone przez niego środki techniczne oraz organizacyjne zapobiegały udostępnieniu danych osobowych przetwarzanych przez Administratora nieograniczonej liczbie osób fizycznych.
§5
Zakres przetwarzania danych osobowych
- Administrator dla celów realizacji niniejszej Polityki przetwarza następujący zakres danych osobowych osób fizycznych będących klientami:
- Imię i nazwisko;
- Adres E-mail;
- Adres zamieszkania (kraj, miasto, kod pocztowy, ulica i numer domu);
- Wizerunek.
- Administrator dla celów realizacji niniejszej Polityki przetwarza następujący zakres danych osobowych osób fizycznych będących pracownikami lub osób ubiegających się o pracę:
- Imię i nazwisko;
- Nazwisko rodowe;
- Obywatelstwo;
- Numer i seria dokumentu tożsamości;
- Numer PESEL lub NIP;
- Adres zamieszkania (kraj, miasto, kod pocztowy, ulica i numer domu);
- Stan cywilny i informacje o rodzinie;
- Wykształcenie, dodatkowe uprawnienia i umiejętności;
- Zainteresowania i hobby;
- Informacje o sytuacji finansowej;
- Informacje o stanie zdrowia;
- Wizerunek;
- Adres e-mail.
- Administrator dla celów realizacji niniejszej Polityki przetwarza następujący zakres danych osobowych pozostałych osób fizycznych niewymienionych w ust. 1 i 2:
- Imię i nazwisko;
- Adres E-mail;
- Adres zamieszkania (kraj, miasto, kod pocztowy, ulica i numer domu);
- Wizerunek.
- Przetwarzanie danych osobowych osób fizycznych przez Administratora wymaga uzyskania uprzedniej zgody osoby fizycznej, której dane osobowe są przetwarzane.
- Udzielenie zgody przez osobę fizyczną na przetwarzanie jej danych osobowych przez Administratora następuje w formie pisemnej oraz ustnej lub też takiej formie, że z kontekstu wypowiedzi oraz zachowania danej osoby fizycznej wynika, że udzieliła ona zgody na przetwarzanie danych osobowych przez Administratora.
- Przetwarzanie danych osobowych osób fizycznych przez Administratora może odbywać się również bez uzyskania uprzedniej pisemnej zgody osoby fizycznej, której dane osobowe są przetwarzane, jeżeli przetwarzanie danych osobowych tej osoby jest niezbędne:
- przetwarzanie danych osobowych jest niezbędne do wykonania umowy, w szczególności umowy o pracę, łączącej tą osobę fizyczną z Administratorem;
- przetwarzanie danych osobowych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze wynikającego z przepisów obowiązującego prawa;
- przetwarzanie danych osobowych jest niezbędne do realizacji celów wynikających z prawnie uzasadnionych interesów realizowanych przez
Administratora, nadrzędnych wobec interesów osobie fizycznej, której dane osobowe dotyczą;
- Przetwarzanie danych osobowych określonej osoby fizycznej następuje przez okres:
- maksymalnie 5 lat dla osób wymienionych w ust. 1, licząc od dnia udzielenia przez tą osobę zgody na przetwarzanie jej danych osobowych przez Administratora bądź od dnia powstania prawnego obowiązku po stronie Administratora, obligującego Administratora do przetwarzania danych osobowych lub innego zdarzenia, którego wystąpienie uzasadnia przetwarzanie danych osobowych przez Administratora;
- maksymalnie 50 lat dla osób wymienionych w ust. 2, licząc od dnia udzielenia przez tą osobę zgody na przetwarzanie jej danych osobowych przez Administratora bądź od dnia powstania prawnego obowiązku po stronie Administratora, obligującego Administratora do przetwarzania danych osobowych lub innego zdarzenia, którego wystąpienie uzasadnia przetwarzanie danych osobowych przez Administratora;
- maksymalnie 2 lat dla osób wymienionych w ust. 3, licząc od dnia udzielenia przez tą osobę zgody na przetwarzanie jej danych osobowych przez Administratora bądź od dnia powstania prawnego obowiązku po stronie Administratora, obligującego Administratora do przetwarzania danych osobowych lub innego zdarzenia, którego wystąpienie uzasadnia przetwarzanie danych osobowych przez Administratora.
- Przetwarzanie danych osobowych przez Administratora następuje na okres dłuższy wyłącznie dla celów marketingowych, archiwalnych, w interesie publicznym bądź dla celów statystycznych.
- Administrator na zasadach określonych w niniejszej Polityce przetwarza dane osobowe osób fizycznych, które ukończyły lat 13.
- W przypadku, gdy na zasadach określonych w niniejszej Polityce lub w celu wykonywania usług realizowanych przez Administratora w interesie publicznym, wymagane jest przetwarzanie danych osobowych osób poniżej
13 roku życia, przetwarzanie danych osobowych osób poniżej 13 roku życia następuje wyłącznie za zgodą przedstawicieli ustawowych (opiekunów prawnych) tych osób. W przypadku braku wyrażenia zgody, Administrator niezwłocznie usunie wszelkie dane osobowe osób poniżej 13 roku życia, którymi dysponuje.
- Dla zapewnienia bezpieczeństwa osób fizycznych lub ochrony mienia lub kontroli jakości wykonywanych usług lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić Spółkę na szkodę, Administrator prowadzi szczególny nadzoru nad obiektami będącymi w
użytkowaniu w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring wizyjny) z wyłączeniem pomieszczeń socjalnych, w szczególności higieniczno-sanitarnych, szatni oraz stołówek.
- W wyjątkowych sytuacjach przetwarzanie danych osobowych osób fizycznych przez Administratora może stanowić konsekwencje prawnie uzasadnionych interesów realizowanych w celu publicznym przez Administratora.
§6
Administrator Danych Osobowych
- Administrator dla celów przetwarzania danych osobowych wdrożył odpowiednie środki techniczne i organizacyjne, które zapobiegają dostępowi do tych danych osobowych, przez nieupoważnione do tego osoby.
- Administrator przetwarza dane osobowe w konkretnych, wyraźnych i prawnie uzasadnionych celach.
- Administrator podejmuje wszelkie odpowiednie działania, w celu zapobiegania przetwarzaniu danych osobowych, niezgodnie z celami przez niego stosowanymi.
- Dłuższe przetwarzanie danych osobowych aniżeli wynika to z celów stosowanych przez Administratora, jest dopuszczalne dla celów archiwalnych w interesie publicznym lub dla celów statystycznych.
- Na mocy niniejszej polityki przetwarzane dane osobowe są adekwatne, stosowne oraz przetwarzane są wyłącznie te dane osobowe, które są niezbędne do osiągnięcia celów przetwarzania danych przez Administratora.
- Wszelkie dane osobowe przetwarzane przez Administratora są w miarę potrzeby uaktualniane.
- Administrator jest zobowiązany podjąć wszelkie przewidziane prawem działania, aby wszelkie zbędne oraz nieprawidłowe dane osobowe zostały usunięte lub zostały one sprostowane, zarówno przez działania samego Administratora jeżeli poweźmie on wiedzę o stwierdzonych nieprawidłowościach lub na żądanie osób, których dane powinny zostać usunięte lub sprostowane.
- Przetwarzanie danych osobowych przez Administratora następuje w formie umożliwiającej identyfikację osoby, której dane osobowe dotyczą przez okres nie dłuższy, niż jest to konieczne do osiągnięcia celów przetwarzania danych osobowych przez Administratora.
- Przetwarzanie danych osobowych przez Administratora następuje w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przez niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych stosowanych przez Administratora.
§7
Inspektor Ochrony Danych
- Spółka zabezpiecza dane osobowe przed ich udostępnianiem osobom lub podmiotom nieupoważnionym, zabraniem przez osobę nieuprawnioną,
przetwarzaniem z naruszeniem ustawy o ochronie danych osobowych, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem.
- Spółka nie ma obowiązku powołania Inspektora Ochrony Danych osobowych. Nadzór nad przestrzeganiem zasad ochrony danych osobowych, w tym wynikających z Ustawy, Rozporządzenia oraz Polityki sprawują pracownicy firmy. Współpraca z Prezesem Urzędu Ochrony Danych Osobowych we wszelkich prowadzonych przez niego postępowaniach związanych z naruszeniem ochrony danych osobowych.
§8
Zadania Zarządu Spółki
Do zadań Zarządu Spółki należy:
- kształtowanie polityki Spółki zgodnej z celami ochrony danych osobowych;
- zapewnienie należytej obsady kadrowej Spółki w zakresie ochrony danych osobowych;
- zapewnienie należytego przeszkolenia pracowników, odpowiedzialnych za ochronę danych osobowych;
- zawierania w imieniu Spółki umów z podmiotami trzecimi, które nie naruszają zasad ochrony danych osobowych;
- kształtowanie wśród pracowników Spółki przekonania, że ochrona danych osobowych jest jednym z istotnych obowiązków pracowniczych;
§9
Zadania Dyrektorów i Kierowników
Każdy Dyrektor/Kierownik jednostki/komórki organizacyjnej Spółki, w której przetwarzane są dane osobowe, odpowiedzialny jest za:
- zapewnienie aby bieżące przetwarzanie danych osobowych, w szczególności przetwarzanych w zbiorach danych osobowych było zgodne z powszechnie obowiązującymi przepisami prawa i aktami wewnętrznymi Spółki, w szczególności niniejszą Polityką;
- występowanie z wnioskiem o nadanie lub odebranie uprawnień do przetwarzania danych osobowych, w tym do ich przetwarzania w systemie informatycznym, jeżeli dane przetwarzane są w formie elektronicznej, zgodnie z procedurą nadawania uprawnień ujętą w Instrukcji zarządzania systemami informatycznymi;
§10
Obowiązki pracowników
- Każdy pracownik Spółki obowiązany jest:
- zapoznać się oraz stosować postanowienia niniejszej Polityki ochrony danych osobowych;
- zapoznać się z obowiązującymi przepisami w zakresie ochrony danych osobowych;
- zachować w tajemnicy wszelkie dane osobowe, które pozyskał w trakcie wykonywania obowiązków pracowniczych na rzecz Spółki;
- przestrzegać stosowane przez Spółkę środki oraz sposoby zabezpieczeń danych osobowych przetwarzane przez Administratora;
- dbać o bezpieczeństwo danych osobowych, do których ma dostęp.
- Obowiązek zachowania w tajemnicy danych osobowych, które pracownik pozyskał świadcząc pracę na rzecz Spółki nie gaśnie wraz z rozwiązaniem bądź wygaśnięciem stosunku pracy.
- Pracownik przed dopuszczeniem do świadczenia pracy zostanie zapoznany przez przełożonego z obowiązującą w Spółce Polityką ochrony danych osobowych oraz obowiązującymi przepisami dotyczącymi ochrony danych osobowych, co zostanie potwierdzone na piśmie.
- Wzór oświadczenia pracownika stanowi Załącznik nr 1 do Polityki i jest aktualizowany przez Administratora, bez konieczności zmiany Polityki.
- Naruszenie zasad ochrony danych osobowych wynikających z powszechnie obowiązujących przepisów prawa lub wewnętrznych aktów prawnych Spółki mogą zostać potraktowane jako ciężkie naruszenie obowiązków pracowniczych.
§11
Bezpieczeństwo danych osobowych
- Obowiązek zabezpieczenia zbioru danych osobowych spoczywa na Administratorze.
- Zbiory danych osobowych są chronione w sposób zapewniający zabezpieczenie przetwarzanych danych osobowych w systemach informatycznych i na nośnikach informacji, przed utratą poufności, integralności, dostępności i rozliczalności tych danych, ze szczególnym uwzględnieniem postanowień dotyczących regulacji wewnętrznych z zakresu zarządzania systemami informatycznymi.
- Wykaz środków technicznych i organizacyjnych stosowanych przez Spółkę w celu realizacji Polityki stanowią Załącznik nr 2 do niniejszej Polityki, bez konieczności zmiany Polityki.
- Dane osobowe mogą być udostępniane wyłącznie podmiotom uprawnionym do ich otrzymania na podstawie:
- ustawy o ochronie danych osobowych;
- postanowień RODO;
- innych przepisów powszechne obowiązujących oraz zawartych przez Administratora umów.
- Każdy pracownik Spółki zobowiązany jest do niezwłocznego poinformowania Administratora o wszelkich nieprawidłowościach w zakresie przetwarzania danych osobowych.
§12
Przetwarzanie danych osobowych
- Przetwarzanie danych jest dopuszczalne, gdy:
- osoba, której dane dotyczą, wyrazi na to zgodę (nie dotyczy usunięcia jej danych osobowych);
- zezwalają na to przepisy obowiązującego prawa;
- jest niezbędne dla zrealizowania uprawnień lub spełnienia obowiązków wynikających z innych przepisów obowiązującego prawa;
- jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne dla podjęcia działań przed zawarciem umowy, na żądanie osoby, której dane dotyczą;
- jest niezbędne do wypełnienia prawnie usprawiedliwionych zadań realizowanych dla dobra publicznego;
- jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez Administratora Danych Osobowych lub odbiorców danych, którym te dane są przekazywane, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
- Za prawnie usprawiedliwiony cel przetwarzania danych osobowych uważa się w szczególności:
- bezpieczeństwo klientów;
- ochrona mienia Administratora;
- marketing usług handlowych;
- sądowe lub pozasądowe dochodzenie wierzytelności;
- przetwarzanie danych osobowych w celach archiwalnych oraz statystycznych.
- W przypadku zbierania danych osobowych od osoby, której one dotyczą, Administrator Danych Osobowych zobowiązany jest poinformować zainteresowaną osobę o:
- pełnej nazwie oraz adresie siedziby Administratora Danych Osobowych;
- celu zbierania danych oraz przewidywanych odbiorcach tych danych;
- prawie dostępu do swoich danych oraz możliwości ich poprawienia;
- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, to wskazanie jego podstawy prawnej;
- o prawie do:
- złożenia żądania w zakresie sprostowania, usunięcia, ograniczenia przetwarzania danych osobowych przez Administratora;
- prawie do złożenia sprzeciwu wobec przetwarzania danych osobowych przez Administratora;
- informacje o prawie do cofnięcia zgody na przetwarzanie danych osobowych przez Administratora w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie udzielonej zgody przed jej cofnięciem;
- wniesienia skargi do Prezesa Urzędu w przypadku stwierdzenia niezgodnego z prawem przetwarzania danych osobowych.
- W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, Administrator Danych Osobowych jest zobowiązany poinformować osobę, której dane zebrał, bezpośrednio po utrwaleniu tych danych o:
- swojej pełnej nazwie oraz siedzibie;
- celu i zakresie zebranych danych oraz odbiorcach tych danych;
- źródle danych;
- prawie dostępu do treści swoich danych oraz ich poprawienia,
- o uprawnieniach wskazanych w ust. 3 powyżej;
- uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 ustawy o ochronie danych osobowych.
- Obowiązku informacyjnego, określonego w ust. 5, nie dopełnia się jeśli:
- osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 5;
- przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą;
- dane są przetwarzane przez administratora na podstawie przepisów prawa.
- Jeżeli Administrator planuje przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe określonej osoby zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji.
- W przypadku wystąpienia żądania udostępnienia swoich danych osobowych fakt ten należy odnotować w systemie informatycznym.
- Zebrane dane osobowe należy przetwarzać zgodnie z celem ich zebrania oraz przechowywać nie dłużej niż jest to potrzebne do osiągnięcia celu przetwarzania.
- Dane udostępnione Spółce przez podmiot trzeci będą przetwarzane wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
- Spółka będzie powierzać przetwarzanie danych osobowych podmiotom trzecim wyłącznie w drodze umów zawartych na piśmie a umowy te będą określać cele, zakres i zasady przetwarzania i ochrony danych przez Zleceniobiorcę, sposobów zabezpieczeń zbioru danych osobowych, prawo kontroli przetwarzania danych.
- Osobie, której dane będą przetwarzane przez Spółkę, przysługuje prawo do kontroli przetwarzania tych danych, a w szczególności prawo do informacji o:
- fakcie przetwarzania danych jej dotyczących;
- pełnej nazwie i adresie siedziby Administratora Danych Osobowych;
- celu, zakresie i sposobie przetwarzania danych (środkach przy pomocy których dane są przetwarzane);
- dacie, od kiedy dane są przetwarzane przez Administratora Danych Osobowych (dacie włączenia do zbioru) oraz podania w powszechnie zrozumiałej formie treści tych danych;
- źródle danych, chyba że Administrator Danych Osobowych zobowiązany jest do zachowania w tym zakresie tajemnicy;
- sposobie udostępniania danych oraz odbiorcach lub kategoriach odbiorców, którym dane są udostępniane;
- żądania uzupełnienia, uaktualnienia, sprostowania, czasowego lub stałego wstrzymania przetwarzania danych lub ich usunięcia;
- wniesienia do Administratora Danych Osobowych sprzeciwu wobec przetwarzania przez niego danych w celach marketingowych lub przekazania ich innemu administratorowi.
- Udostępnienie informacji odbywać się będzie na pisemny wniosek osoby, której dane Spółka przetwarza, jednak nie częściej niż raz na 6 miesięcy.
- Wnioski o udostępnienie informacji rozpatruje Administrator Ochrony Danych.
- Rejestr czynności przetwarzania stanowi Załącznik nr 3 do niniejszej Polityki.
§13
Prawa osób, których dane osobowe są przetwarzane
Każda osoba, której dane osobowe są przetwarzane przez Administratora, ma prawo żądać od Administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, każda osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.
- W zgłoszenia żądania w zakresie sprostowania danych osobowych, należy złożyć odpowiednie żądanie w formie pisemnej bezpośrednio na adres: Jarex NiM Sp. z o.o. Sp.K. ul.Zielona 46, 08-540 Stężyca lub poprzez adres elektroniczny email: This email address is being protected from spambots. You need JavaScript enabled to view it..
- Każda osoba, której dane osobowe są przetwarzane ma prawo do uzyskania informacji od Administratora, czy i w jakim zakresie przetwarzane są jego dane osobowe, a także informacji o celu i zakresie przetwarzania jego danych osobowych.
- Każda osoba, której dane osobowe są przetwarzane przez Administratora, ma prawo złożenia żądania wobec Administratora, w przedmiocie niezwłocznego usunięcia dotyczących tej osoby danych osobowych. W takim przypadku Administrator bez zbędnej zwłoki usunie dane osobowe osoby, która zgłosiła takie żądanie, chyba że obowiązek przetwarzania danych osobowych takiej osoby przez Administratora wynika z innych przepisów obowiązującego prawa.
- Administrator ma prawo odmówić żądaniu w zakresie usunięcia danych osobowych także w przypadku, gdy wykaże, że przetwarza dane osobowe określonych osób dla celów archiwalnych w interesie publicznym. W takim przypadku Administrator poinformuje pisemnie osobę, która zgłosiła takie żądanie, o odmowie usunięcia danych osobowych, wskazując powody odmowy oraz podstawę prawną takiego działania.
- Każda osoba, które dane osobowe są przetwarzane przez Administratora ma prawo w dowolnym momencie cofnąć zgodę na przetwarzanie danych osobowych dotyczących tej osoby, z zastrzeżeniem odmiennych postanowień niniejszej Polityki, które w określonych sytuacjach umożliwiają Administratorowi dalsze przetwarzanie danych osobowych, w szczególności powołując się na cele archiwalne oraz statystyczne.
- Wycofanie zgody na przetwarzanie danych osobowych nie ma wpływu na zgodność z prawem przetwarzania danych osobowych przez Administratora, które nastąpiło na podstawie zgody na przetwarzanie danych osobowych przed jej wycofaniem.
- Każda osoba, której dane osobowe są przetwarzane przez Administratora, ma prawo żądać od Administratora ograniczenia przetwarzania jej danych osobowych w każdym przypadku gdy:
- kwestionuje prawidłowość przetwarzanych jej danych osobowych – ograniczenie następuje na okres pozwalający na weryfikację przez Administratora sprawdzenie prawidłowości tych danych osobowych;
- przetwarzanie danych osobowych jest niezgodne z prawem, a osoba fizyczna, której dane dotyczą, sprzeciwia się usunięciu jej danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
- Administrator nie potrzebuje już danych osobowych celem ich przetwarzania, ale dane osobowe są potrzebne osobie, której dane osobowe są przetwarzane do ustalenia, dochodzenia lub obrony jego roszczeń;
- Osoba, której dane osobowe są przetwarzane wniosła sprzeciw wobec przetwarzania danych osobowych przez Administratora – do czasu stwierdzenia oraz zweryfikowania przez Administratora czy prawnie uzasadnione podstawy po stronie Administratora w zakresie przetwarzania danych osobowych określonej osoby są nadrzędne wobec podstaw sprzeciwu tej osoby, która wniosła sprzeciw.
- W razie uchylenia ograniczenia przetwarzania danych osobowych, Administrator informuje o tym pisemnie osobę fizyczną, wobec której danych osobowych nastąpiło ograniczenia przetwarzania.
- Osoba fizyczna, której dane osobowe są przetwarzane przez Administratora ma prawo w dowolnym momencie wnieść sprzeciw,
z przyczyn związanych z jego szczególną sytuacją, wobec przetwarzania jego danych osobowych przez Administratora.
- W razie wniesienia sprzeciwu, Administratorowi nie wolno już przetwarzać danych osobowych tej osoby fizycznej, która wniosła sprzeciw, chyba że Administrator wykaże istnieje ważnych, prawnie uzasadnionych podstaw do dalszego przetwarzania danych osobowych tej osoby fizycznej, która wniosła sprzeciw, które są nadrzędne wobec partykularnych interesów osoby fizycznej, która wniosła sprzeciw bądź przetwarzanie danych osobowych osób fizycznych jest niezbędne do wykonywania przez Administratora zadań realizowanych w interesie publicznym.
- Powyższe ograniczenie nie dotyczy przetwarzania danych osobowych dla celów marketingowych, a w takiej sytuacji w razie wniesienia sprzeciwu, dane osobowe nie mogą już dalej być przetwarzane przez Administratora.
- Każda osoba, której dane osobowe są przetwarzane przez Administratora ma prawo żądać, aby jego dane osobowe przetwarzane przez Administratora zostały przekazane przez Administratora innemu podmiotowi (administratorowi), o ile jest to technicznie możliwe.
§14
Naruszenie ochrony danych osobowych
Administrator jest zobowiązany bez zbędnej zwłoki do powiadomienia osoby fizycznej, o każdym przypadku naruszenia jej danych osobowych przetwarzanych przez Administratora w stopniu skutkującym możliwością zaistnienia wysokiego ryzyka naruszenia praw lub wolności tej osoby fizycznej.
- Zawiadomienie jest dokonywane najpóźniej w terminie 30 dni, licząc od dnia powzięcia przez Administratora informacji o powstałym wysokim ryzyku naruszenia praw lub wolności osób, których dane osobowe są przetwarzane przez Administratora.
- Zawiadomienie w sposób jasny i precyzyjny wskazuje danej osobie fizycznej charakter naruszenia jej danych osobowych oraz zawiera imię i nazwisko oraz dane kontaktowe inspektora ochrony danych osobowych lub wskazanie innego punktu kontaktowego (innej osoby), od którego istnieje możliwość uzyskania większej liczby informacji.
- Zawiadomienie, o którym mowa w ustępie poprzednim nie jest dokonywane jeżeli:
- Administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
- Administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
- wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat przez Administratora do konkretnej osoby fizycznej, której dane osobowe zostały naruszone lub zastosowany będzie podobny środek, za pomocą którego określona osoba fizyczna, której dane osobowe dotyczą, zostanie poinformowany w równie skuteczny sposób.
- Każda osoba, której dane są przetwarzane przez Administratora, ma prawo wnieść skargę do Prezesa Urzędu, w przypadku przetwarzania danych osobowych tej osoby niezgodnie z przepisami obowiązującego prawa. W takim przypadku, Prezes Urzędu informuje osobę, która wniosła skargę o postępach i efektach rozpatrywania skargi, w tym także o możliwości skorzystania z środków ochrony prawnej na drodze sądowej.
- W przypadku naruszenia ochrony danych osobowych, Administrator bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu takiego naruszenia, zgłasza je Prezesowi Urzędu, chyba że jest mało prawdopodobne, by charakter naruszenia skutkował ryzykiem naruszenia praw lub wolności osób fizycznych.
- W razie dokonania zgłoszenia po upływie 72 godzin, do zgłoszenia Prezesowi Urzędu dołącza się pisemne wyjaśnienie przyczyn opóźnienia.
- Zgłoszenie do Prezesa Urzędu, o którym mowa w niniejszym paragrafie zawiera następujące informacje:
- opis charakteru naruszenia ochrony danych osobowych, a w miarę możliwości wskazanie kategorii i przybliżoną liczbę osób, których dane osobowe dotyczą bądź lub też kategorię i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
- dane kontaktowe Administratora Ochrony Danych;
- opis możliwych konsekwencji naruszenia ochrony danych osobowych;
- opis środków zastosowanych lub proponowanych przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym także zastosowane środki w celu zminimalizowania ewentualnych skutków naruszenia.
- Do obowiązków Administratora należy dokumentowanie wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działań zaradczych.
- Rejestr naruszeń stanowi Załącznik nr 4 do niniejszej Polityki.
§15.
Katalog zagrożeń i postępowanie na wypadek naruszenia ochrony
danych osobowych
Do zdarzeń zagrażających bezpieczeństwu danych osobowych należą:
- próby naruszenia ochrony danych:
- z zewnątrz – włamania do systemu, podsłuch, kradzież danych;
- z wewnątrz – nieumyślna lub celowa modyfikacja danych, kradzież danych;
- złośliwe oprogramowanie;
- awarie sprzętu lub uszkodzenie oprogramowania powodujące utratę lub uszkodzenie danych;
- zabór sprzętu lub nośników z ważnymi danymi;
- inne skutkujące utratą danych osobowych, bądź wejściem w ich posiadanie osób nieuprawnionych.
- próby naruszenia ochrony danych:
- W przypadku powzięcia wiadomości o zdarzeniu zagrażającym bezpieczeństwu danych osobowych lub podejrzeniu jego wystąpienia pracownik Spółki zobowiązany jest poinformować Administratora Danych Osobowych lub w przypadku gdyby było to utrudnione lub niemożliwe przynajmniej swojego bezpośredniego przełożonego.
- Administrator Danych Osobowych niezwłocznie wszczyna postępowanie wyjaśniające i podejmuje wszystkie czynności konieczne w celu ustalenia:
- czasu wystąpienia naruszenia, zakresu, przyczyn, skutków, szkód;
- osoby odpowiedzialne za naruszenie;
- opracowuje pisemny raport z przeprowadzonego postępowania zawierający wnioski na przyszłość i przedkłada go Prezesowi Zarządu Spółki.
- Poza powyższym w przypadku naruszenia ochrony danych osobowych, Administrator Danych Osobowych:
- zawiadamia osobę, której dane osobowe przetwarzane przez Administratora zostały naruszone, o każdym przypadku naruszenia jej danych osobowych przetwarzanych przez Administratora w stopniu skutkującym możliwością zaistnienia wysokiego ryzyka naruszenia praw lub wolności tej osoby fizycznej, chyba że przepisy obowiązującego prawa nie obligują Inspektora Danych do dokonania takiego zawiadomienia;
- w przypadkach przewidzianych przepisami prawa, dokonuje zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu oraz współpracuje z nim w toku wszczętego postępowania;
- współpracuje z Prezesem Urzędu we wszelkich prowadzonych przez niego postępowaniach związanych z naruszeniem ochrony danych osobowych.
§16
Wykaz zbiorów danych osobowych oraz osób upoważnionych
Wykaz zbiorów danych osobowych wraz ze wskazaniem systemów zastosowanych do przetwarzania tych danych stanowi Załącznik nr 5, i jest aktualizowany przez Inspektora Ochrony Danych, bez konieczności zmiany Polityki.
- W przypadku utworzenia nowego zbiorów danych Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi określone zostaną w kolejnym Załączniku do Polityki.
- Wykaz osób upoważnionych do przetwarzania danych osobowych stanowi Załącznik nr 6 i jest aktualizowany przez Administratora Danych Osobowych, bez konieczności zmiany Polityki.
§17
Postanowienia końcowe
- Co najmniej jeden raz w każdym roku kalendarzowym Administrator Danych Osobowych powinien dokonać przeglądu niniejszej Polityki oraz Instrukcji w celu oceny ich przydatności, spójności, zgodności z prawem oraz właściwego opisywania stanu faktycznego.
- Polityka bezpieczeństwa danych osobowych wchodzi w życie z dniem podjęcia Uchwały Zarządu wprowadzającego Politykę bezpieczeństwa.