Polityka ochrony danych osobowych Olle Print Janarek Spółka Jawna

Niniejsza Polityka Bezpieczeństwa Danych Osobowych (dalej "Polityka") ma na celu wdrożenie w zasad ochrony bezpieczeństwa danych osobowych w Olle Print Janarek Spółka Jawna z siedzibą w Krakowie (dalej "Spółka").

Celem Polityki jest organizacyjne, fizyczne i logiczne zabezpieczenie posiadanych danych osobowych oraz edukowanie użytkowników systemu ochrony danych osobowych. Ochrona danych osobowych jest zadaniem wszystkich użytkowników danych. Odpowiedzialność za realizację zadań z tym związanych spoczywa na użytkownikach w zakresie proporcjonalnym do nadanych uprawnień. Polityka określa zadania w zakresie prawidłowej realizacji poufności i integralności danych osobowych przez nadanie uprawnień do przetwarzania danych użytkownikom systemu ochrony informacji. Istotnym elementem Polityki jest zwrócenie uwagi na konsekwencje ponoszone przez osoby przekraczające określone granice oraz procedury postępowania, zapobiegania i minimalizowania skutków zagrożeń. Szereg zabezpieczeń opisanych w niniejszym dokumencie stanowi zasady przewodnie w zarządzaniu bezpieczeństwem informacji, możliwe do zastosowania i zapewniające odpowiedni punkt wyjścia dla procesu wdrażania bezpieczeństwa informacji.

Polityka ma przyczynić się do właściwego postrzegania tajemnic handlowych i prawidłowości procesów operacyjnych dzięki zintegrowanemu systemowi zarządzania bezpieczeństwem informacji. Do tego systemu zaliczają się działania operacyjne i techniczne mające na celu zapewnienie poufności, dostępności i integralności informacji i danych.

Głównymi zasadami wdrażanymi niniejszą Polityką są:

  • Ochrona danych osobowych i prywatności osób,
  • Ochrona dokumentów Spółki,
  • Odpowiedzialność użytkowników za bezpieczeństwo powierzonych im informacji,
  • Edukacja w dziedzinie bezpieczeństwa informacji,
  • Wsparcie i zaangażowanie władz Spółki w ochronę bezpieczeństwa informacji,
  • Upowszechnienie wytycznych dotyczących polityki bezpieczeństwa informacji wśród wszystkich użytkowników,
  • Zgłaszanie przypadków naruszenia bezpieczeństwa.

§ 1

Podstawa prawna

1. Polityka uwzględnia wymagania dotyczące zarządzania bezpieczeństwem danych osobowych określone w:

  • Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)- dalej "RODO",
  • Ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781)- dalej "UODO",

2. Polityka określa działania organizacyjne i techniczne mające na celu zabezpieczenie danych osobowych w Spółce oraz w relacjach powierzania danych osobowych odbiorcom w ramach realizowania umów lub wykonania obowiązków prawem przewidzianych.

3. Polityka reguluje zakres obowiązków osób i innych organizacji w procesie obiegu i ochrony danych, jak również określa zakres przetwarzania danych osobowych w indywidualnych umowach z podmiotami zewnętrznymi, którym zlecono przetwarzanie danych.

§ 2

Definicje

Użyte w niniejszej Polityce określenia oznaczają co następuje:

1. Dane osobowe - oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej,

2. Zbiór danych - oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie,

3. Przetwarzanie - oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie,

4. Profilowanie - oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się,

5. Pseudonimizacja - oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;

6. System informatyczny - zbiór powiązanych ze sobą elementów, którego funkcją jest przetwarzanie danych przy użyciu techniki komputerowej. Na system informatyczny składają się w szczególności sprzęt komputerowy i urządzenia mobilne, oprogramowanie, zasoby ludzkie, elementy organizacyjne (w szczególności procedury korzystania ze sprzętu informatycznego) oraz elementy informacyjne,

7. Administrator - Spółka,

8. Podmiot przetwarzający - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora,

9. Administrator Systemów Informatycznych (dalej "ASI") - wykonawcę (uprawnionych przedstawicieli) z zakresu informatyki odpowiedzialnego za stosowanie technicznych i organizacyjnych środków ochrony danych osobowych w systemach informatycznych,

10. Użytkownik - osoba posiadająca upoważnienie wydane przez Spółkę i uprawniona do przetwarzania danych osobowych w Spółce lub zgodnie z umową zlecenia / o dzieło, w zakresie wskazanym w upoważnieniu,

11. Identyfikator użytkownika (LOGIN) - ciąg znaków literowych i cyfrowych, lub innych, jednoznacznie identyfikujących osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym,

12. Hasło - ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym,

13. Zalogowanie - uwierzytelnienie, czyli działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu,

14. Odbiorca - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania,

15. Strona trzecia - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe,

16. Zgoda osoby, której dane dotyczą - oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

§ 3

Objaśnienia

1. Dostęp do zbioru danych osobowych oraz możliwość ich przetwarzania mają osoby posiadające upoważnienie udzielone przez Administratora.

2. Użytkownicy zaangażowani w procesie przetwarzania danych osobowych są zobowiązani do przechowywania danych osobowych we właściwych zbiorach, nie dłużej niż jest to niezbędne dla osiągnięcia celu ich przetwarzania.

3. Użytkownicy przetwarzający dane osobowe są zobowiązani do informowania Administratora i ewentualnych incydentach i naruszeniach bezpieczeństwa systemu ochrony danych osobowych we wszystkich zbiorach, do których posiadają dostęp na podstawie udzielonego Upoważnienia.

4. Użytkownik, który przetwarza dane w zbiorze danych osobowych, do którego przetwarzania nie jest upoważniony, podlega odpowiedzialności karnej zgodnie z Ustawą o ochronie danych osobowych oraz dyscyplinarnej określonej przepisami Kodeksu pracy.

§ 4

Klasyfikacja informacji

1. Wartości informacyjne podlegają odpowiedniej klasyfikacji na podstawie czterech kryteriów:

  • poufności,
  • integralności,
  • dostępności,
  • istotności.

2. Ze względu na poufność wartości informacyjne dzielą się na:

  • publiczne – nie zasługują one na ochronę i są publicznie dostępne,
  • wewnętrzne – są dostępne dla wszystkich Użytkowników lub też znacznej grupy Użytkowników,
  • poufne – mogą być udostępnione jedynie dla określonej grupy osób w Spółce,
  • ściśle poufne – mogą być udostępnione jedynie pojedynczym, ściśle określonym osobom.

3. Ze względu na integralność wartości informacyjne dzieli się na:

  • nieintegralne – zmiana treści wartości informacyjnej jest dokonywana przez osobę odpowiedzialną za tę wartość informacyjną w ramach normalnej działalności,
  • integralne w niewielkim stopniu – zmiana treści wartości informacyjnej jest dokonywana przez osobę odpowiedzialną za tę wartość informacyjną w ramach normalnej działalności; ewentualne błędy wynikające ze zmiany treści należy zgłaszać osobom, które dokonały takiej zmiany,
  • integralne – zmiana treści wartości informacyjnej może być dokonana tylko przez określony krąg osób i powinna być odnotowana chociażby w nieformalny sposób,
  • integralne w wysokim stopniu – zmiana treści informacyjnej może być dokonana tylko i wyłącznie w ramach zdefiniowanej procedury i tylko pod warunkiem protokolarnego udokumentowania zmiany.

4. Ze względu na dostępność wartości informacyjne dzieli się na:

  • niewymagające dostępności – niedostępność danej informacji nie wpłynie negatywnie na działalność Spółki
  • wymagające dostępności w niewielkim stopniu – niedostępność danej informacji może ograniczyć normalną działalność operacyjną Spółki,
  • wymagające dostępności – niedostępność danej informacji może w sposób znaczący ograniczyć normalną działalność operacyjną Spółki,
  • wymagające dostępności w wysokim stopniu – niedostępność danej informacji może stanowić zagrożenie dla podstaw działalności Spółki.

5. Ze względu na istotność wartości informacyjne dzieli się na:

  • nieistotne – naruszenie zasad ochrony w odniesieniu do danej wartości informacyjnej nie ma istotnego wpływu na działalność Spółki,
  • istotne w niewielkim stopniu - naruszenie zasad ochrony w odniesieniu do danej wartości informacyjnej może doprowadzić do zakłóceń w działalności Spółki,
  • istotne - naruszenie zasad ochrony w odniesieniu do danej wartości informacyjnej może doprowadzić do wyrządzenia Spółce szkody,
  • istotne w wysokim stopniu - naruszenie zasad ochrony w odniesieniu do danej wartości informacyjnej może doprowadzić do wyrządzenia Spółce poważnej, znaczącej szkody.

6. Kadra kierownicza jest odpowiedzialna w podległym sobie zakresie za zdefiniowanie i sklasyfikowanie poszczególnych wartości informacyjnych. Klasyfikacja umożliwia Użytkownikom informacji przyporządkowanie poszczególnych wartości ze względu na ich poufność, integralność, dostępność i istotność, tak aby mogli zastosować odpowiedni dla danego typu informacji sposób postępowania.

§ 5

Szkolenia nowych Użytkowników

1. Aby zapewnić prawidłową realizację założeń niniejszej Polityki, Spółka zapewnia przeprowadzenie dla nowych Użytkowników Spółki szkolenia w zakresie bezpieczeństwa wartości informacyjnych, w szczególności ochrony danych osobowych.

2. Użytkownicy Spółki potwierdzają fakt uczestniczenia w odpowiednim szkoleniu poprzez złożenie oświadczenia na piśmie.

§ 6

Dane osobowe i zbiory danych

1. Spółka w trakcie swojej działalności może pozyskiwać dane osobowe.

2. Przetwarzanie, przechowywanie oraz wykorzystywanie danych osobowych jest dozwolone tylko i wyłącznie w przypadkach oraz na zasadach przewidzianych przez przepisy powszechnie obowiązujące, wyłącznie przez osoby posiadające stosowne Upoważnienie udzielone przez Spółkę.

3. Dane osobowe mogą być pobierane wyłącznie w związku z realizacją zadań służbowych.

4. Dane osobowe przetwarzane w Spółkę mogą być pozyskiwane:

  • bezpośrednio od osób, których te dane dotyczą,
  • z innych źródeł dozwolonych przepisami prawa.

5. W zasobach Spółki mogą występować zbiory danych trwałe, doraźne, tymczasowe i techniczne.

6. Gromadzone dane osobowe mogą być wykorzystywane wyłącznie do celów, w jakich są lub będą przetwarzane. Dane osobowe po ich wykorzystaniu powinny być przechowywane w sposób uniemożliwiający identyfikację osób, których dotyczą (anonimizacja danych) lub poddane procesom archiwizacji według potrzeb Spółki.

§ 7

Zasady przetwarzania danych osobowych

1. Dane osobowe przetwarzane są w sposób zapewniający zgodność z prawem, rzetelność i przejrzystość przetwarzania dla osób, których dane dotyczą (zgodność z prawem, rzetelność i przejrzystość).

2. Gromadzenie danych osobowych może nastąpić wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach z zastrzeżeniem, iż dane nie będą przetwarzane dalej w sposób niezgodny z tymi celami (ograniczenie celu).

3. Dane gromadzone są wyłącznie w zakresie adekwatnym, stosownym oraz ograniczonym do tego, co jest niezbędne do celów, w których są przetwarzane (minimalizacja danych).

4. Zebrane dane są prawidłowe, w razie potrzeby podlegają aktualizacji. Niezbędne jest zapewnienie, aby które są nieprawidłowe w kontekście celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (prawidłowość).

5. Zapewnia się przechowywanie danych osobowych w formie umożliwiającej identyfikacje osoby, której dane dotyczą przez okres nie dłuższy niż jest to niezbędne do celów, w których są przetwarzane (ograniczenie przechowywania).

6. Dane osobowe przetwarzane są w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych i organizacyjnych (integralność i poufność).

§ 8

Zgodność z prawem przetwarzania danych

1. Przetwarzanie danych osobowych dopuszczalne jest wyłącznie w sytuacji, gdy spełniony jest jeden z poniższych warunków:

a. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie celów,

b. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą przed zawarciem umowy,

c. przetwarzanie jest niezbędne do wypełnienia prawnego obowiązku ciążącego na Administratorze,

d. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej,

e. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi,

f. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą jest dzieckiem.

2. Dane osobowe mogą być przetwarzane wyłącznie w celach znajdujących uzasadnioną podstawę prawną w przepisach powszechnie obowiązującego prawa.

3. Przetwarzanie danych osobowych w celu innym niż cel, w którym zostały zebrane, może nastąpić wyłącznie na podstawie zgody osoby, której dane dotyczą. W przypadku przetwarzania danych osobowych, które nie odbywa się na podstawie zgody osoby, której dane dotyczą, niezbędne jest zapewnienie, aby było ono zgodne z celem, w którym dane zostały zgromadzone.

§ 9

Warunki wyrażenia zgodny na przetwarzanie danych osobowych

1. Jeżeli przetwarzanie danych odbywa się na podstawie zgody osoby, której dane dotyczą, Spółka zapewnia uzyskanie takiej zgody w stosownym zakresie. Zgoda powinna być wyrażona w formie pisemnej, w tym w formie elektronicznej.

2. Zapytanie o wyrażenie zgody przedstawiane jest w sposób pozwalający odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Wyrażenie zgody na przetwarzanie danych osobowych jest dobrowolne.

3. Osoba, której dane dotyczą ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem.

§ 10

Wyrażenie zgody na przetwarzanie danych przez dziecko w przypadku usług społeczeństwa informacyjnego

1. W przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Przetwarzanie danych osobowych dziecka, które nie ukończyło 16 roku życia możliwe jest wyłącznie, gdy zgodę wyraziła lub zaaprobowała osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody.

2. Spółka zapewnia stosowne mechanizmy pozwalające na zweryfikowanie czy osoba sprawująca władzę rodzicielska lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.

§ 11

Przetwarzanie szczególnych kategorii danych osobowych

Zabronione jest przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Wskazane wyłączenie nie ma zastosowania wyłącznie w wypadkach przewidzianych w RODO i UODO.

§ 12

Zasada przejrzystości informowania i komunikacji oraz tryb wykonywania praw przez osobę, której dane dotyczą

1. Spółka zapewnia odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić informację osobie, której dane dotyczą. Informacja udzielana jest na piśmie lub w inny sposób, w tym za pomocą środków komunikacji elektronicznej.

2. Informacje o działaniach podjętych w związku z żądaniem dostępu do informacji osobie, której dane dotyczą, żądaniem sprostowania, usunięcia, ograniczenia przetwarzania danych, informowaniem o sprostowaniu, usunięciu danych lub ograniczeniu ich przetwarzania, jak również prawem żądania przenoszenia danych, prawem sprzeciwu czy zautomatyzowanym podejmowaniu decyzji, powinny być udzielone bez zbędnej zwłoki, nie później niż w terminie jednego miesiąca od otrzymania żądania. W uzasadnionych przypadkach ze względu na skomplikowany charakter żądania lub liczbę żądań, możliwe jest przedłużenie tego terminu nie dłużej jednak niż o dwa miesiące z zastrzeżeniem, iż w terminie jednego miesiąca od otrzymania żądania osoba, która je skierowała zostanie poinformowana o przedłużeniu terminu z podaniem przyczyn opóźnienia.

§ 13

Prawo dostępu przysługujące osobie, której dane dotyczą

1. Osoba, której dane dotyczą, jest uprawniona do uzyskania potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące. Jeżeli przetwarzanie ma miejsce, osoba, której dane dotyczą ma prawo uzyskania dostępu do nich oraz następujących informacji:

a. cele przetwarzania,

b. kategorie odnośnych danych osobowych,

c. informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych,

d. w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu,

e. informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania,

f. informacje o prawie wniesienia skargi do organu nadzorczego,

g. jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle,

h. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

2. Osoba, której dane dotyczą ma prawo żądania dostarczenia kopii danych osobowych podlegających przetwarzaniu.

§ 14

Prawo do sprostowania danych

Osoba, której dane dotyczą, ma prawo żądania niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

§ 15

Prawo do usunięcia danych ("prawo do bycia zapomnianym")

1. Osoba, której dane dotyczą, ma prawo żądania niezwłocznego usunięcia dotyczących jej danych osobowych. Usunięcie danych w tej sytuacji powinno nastąpić bez zbędnej zwłoki, jeżeli zachodzi jedna z następujących okoliczności:

a. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,

b. osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzani i nie ma innej podstawy prawnej przetwarzania,

c. osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania,

d. dane osobowe były przetwarzane niezgodnie z prawem,

e. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego,

f. dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.

2. Jeżeli nastąpiło upublicznienie danych osobowych przez Spółkę, konieczne jest usunięcie tych danych i podjęcie dalszych działań w celu poinformowania ewentualnych innych administratorów danych, że osoba, której dane dotyczą zażądała ich usunięcia.

3. Powyższe nie ma zastosowania we sytuacjach określonych w art. 17 ust. 3 RODO.

§ 16

Prawo ograniczenia przetwarzania

1. Osobom, których dane dotyczą zapewnia się prawo żądania ograniczenia przetwarzania w przypadku gdy:

a. osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający sprawdzić prawidłowość tych danych

b. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania

c. Spółka nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń

d. osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie Spółki są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

2. Jeżeli przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego.

§ 17

Obowiązki informacyjne związane ze sprostowaniem, usunięciem danych lub ograniczeniem przetwarzania

Spółka informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, każdego odbiorcę, któremu ujawnione zostały dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Spółka informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.

§ 18

Prawo przenoszenia danych

Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyło Spółce, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony Spółki jeżeli:

a. przetwarzanie odbywa się na podstawie zgody lub na podstawie umowy oraz

b. przetwarzanie odbywa się w sposób zautomatyzowany.

§ 19

Prawo do sprzeciwu oraz zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach

1. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f) RODO, w tym profilowania na podstawie tych przepisów. Spółce nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

2. Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.

3. Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów.

4. Spółka informuje o prawie sprzeciwu przy okazji pierwszej komunikacji z osobą, której dane dotyczą.

5. Sprzeciw może być wniesiony za pośrednictwem środków komunikacji elektronicznej.

§ 20

Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie

1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

2. Powyższe nie ma zastosowania jeśli taka decyzji:

a. jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a Spółką,

b. jest dozwolona prawem i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą,

c. opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

3. W przypadkach, o których mowa w ust. 2 pkt a i c powyżej, Spółka zapewnia wdrożenie właściwych środków ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.

§ 21

Zasady udostępniania i powierzania danych osobowych

1. Spółka udostępnia dane osobowe przetwarzane we własnych zbiorach i w zbiorach powierzonych wyłącznie osobom lub podmiotom uprawnionym do ich otrzymania z mocy przepisów prawa.

2. Zbiory danych mogą zostać udostępnione przez Spółkę wyłącznie na pisemny wniosek.

3. Spółka odmówi udostępnienia danych osobowych, jeżeli spowodowałoby to istotne naruszenie dóbr osobistych osób, których dane dotyczą.

§ 22

Naruszenie zabezpieczenia systemu informatycznego

Przez naruszenie zabezpieczenia systemu informatycznego przetwarzającego dane osobowe należy rozumieć każdy stwierdzony fakt nieuprawnionego ujawnienia danych osobowych, udostępnienia lub umożliwienia dostępu do nich osobom nieupoważnionym, zabrania danych przez osobę nieupoważnioną, uszkodzenia jakiegokolwiek elementu systemu informatycznego, a w szczególności:

  • nieautoryzowany dostęp do danych,
  • nieautoryzowane modyfikacje lub zniszczenie danych,
  • udostępnienie danych nieautoryzowanym podmiotom,
  • nieodpowiedzialne działanie użytkownika,
  • nielegalne ujawnienie danych,
  • złamanie zasad określonych w Polityce,
  • pozyskiwanie danych z nielegalnych źródeł.

§ 23

Postępowanie w przypadku stwierdzenia naruszenia zabezpieczeń systemu informatycznego

1. W przypadku stwierdzenia naruszenia zabezpieczenia systemu informatycznego lub zaistnienia sytuacji, które mogą wskazywać na naruszenie zabezpieczenia danych osobowych, każdy Użytkownik upoważniony do przetwarzania danych osobowych jest zobowiązany przerwać przetwarzanie danych osobowych i niezwłocznie powiadomić o tym fakcie bezpośredniego przełożonego, a następnie postępować stosownie do podjętej przez niego decyzji.

2. Zgłoszenie naruszenia ochrony danych osobowych powinno zawierać:

  • opisanie symptomów naruszenia ochrony danych osobowych,
  • określenie sytuacji i czasu, w jakim stwierdzono naruszenie ochrony danych osobowych,
  • określenie wszelkich istotnych informacji mogących wskazywać na przyczynę naruszenia,
  • określenie znanych danej osobie sposobów zabezpieczenia systemu oraz wszelkich kroków podjętych po ujawnieniu zdarzenia.

§ 24

Skutki ujawnienia danych osobie nieupoważnionej

1. Jeżeli na skutek naruszenia zabezpieczeń systemu teleinformatycznego doszło do ujawnienia informacji osobie nieupoważnionej, sprawca może zostać pociągnięty do odpowiedzialności karnej.

2. Jeżeli skutkiem działań określonych w ust. 1, Spółce została wyrządzona szkoda, sprawca ponosi odpowiedzialność materialną na warunkach określonych w przepisach Kodeksu pracy oraz Kodeksu cywilnego.

§ 25

Obowiązki ASI

ASI prowadzi elektroniczny system ewidencji:

  • sprzętu komputerowego,
  • osób upoważnionych do przetwarzania danych osobowych w systemie,
  • nadanych uprawnień pracownikom do właściwych systemów informatycznych,
  • miejsc przetwarzania danych osobowych,
  • kopii bezpieczeństwa.

§ 26

Rejestracja uprawnionych użytkowników

1. Dostęp do systemu informatycznego służącego do przetwarzania danych osobowych może uzyskać wyłącznie osoba upoważniona do przetwarzania danych osobowych oraz zarejestrowana, jako użytkownik w tym systemie przez Administratora Systemu Informatycznego.

2. Rejestracja użytkownika, o której mowa w ust. 1, polega na nadaniu identyfikatora oraz przydzieleniu hasła, a także wprowadzeniu tych danych do bazy użytkowników systemu.

3. Wyrejestrowanie użytkownika następuje poprzez:

  • zablokowanie konta użytkownika do czasu ustania przyczyny uzasadniającej blokadę (wyrejestrowanie czasowe),
  • usunięcie danych użytkownika z bazy systemu (wyrejestrowanie trwałe).

4. Przyczyną trwałego wyrejestrowania użytkownika z systemu informatycznego jest rozwiązanie lub wygaśnięcie stosunku pracy lub innego stosunku prawnego, w ramach, którego zaangażowany był użytkownik.

§ 27

Oprogramowanie komputerów

Użytkowników nie może dokonywać samodzielnej modernizacji oprogramowania i sprzętu w powierzonych komputerach. Wszelkie zmiany mogą być dokonywane tylko pod nadzorem ASI. W razie wystąpienia usterek w pracy komputerów lub w razie wystąpienia konieczności aktualizacji ich oprogramowania należy zgłosić to ASI.

§ 28

Przechowywanie elektronicznych nośników informacji zawierających dane osobowe

1. Jednostkowe dane mogą być kopiowane na nośniki magnetyczne, optyczne i inne po ich odpowiednim zaszyfrowaniu i przechowywane w zamkniętych na klucz szafach. Po ustaniu przydatności tych kopii, dane należy trwale skasować.

2. Obowiązuje zakaz wynoszenia danych na nieautoryzowanych nośnikach poza Spółkę.

§ 29

Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego

1. Sprawdzanie obecności wirusów komputerowych w systemie informatycznym oraz ich usuwanie odbywa się przy wykorzystaniu oprogramowania zainstalowanego na serwerze, stanowiskach komputerowych oraz komputerach przenośnych przez ASI.

2. ASI dokonuje aktualizacji oprogramowania antywirusowego oraz określa częstotliwość automatycznych aktualizacji.

3. Użytkownik jest obowiązany zawiadomić ASI o pojawiających się komunikatach, wskazujących na wystąpienie zagrożenia wywołanego szkodliwym oprogramowaniem.

§ 30

Zasady współpracy z kontrahentami Spółki

1. Informacje wrażliwe dla Spółki mogą być udostępniane kontrahentom tylko w takim zakresie, jaki wynika z postanowień umowy pomiędzy Spółką a danym kontrahentem.

2. Wszystkie informacje uzyskiwane lub opracowywane w toku współpracy z kontrahentami należy traktować jako wrażliwe i wymagające ochrony aż do momentu dokonania ich klasyfikacji przez użytkowników informacji.

3. Wszystkie wartości informacyjne przekazywane przez Spółkę kontrahentom powinny być opatrzone adnotacją o ich klasyfikacji oraz ewentualnie objęciu ich ochroną przepisów prawa autorskiego.

§ 31

Postanowienia końcowe

1. W sprawach nieokreślonych niniejszą Polityką należy stosować instrukcje obsługi i zalecenia producentów aktualnie wykorzystywanych urządzeń i programów.

2. Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest zapoznać się przed dopuszczeniem do przetwarzania danych z niniejszą Polityką oraz złożyć oświadczenie, potwierdzające znajomość treści Polityki.

3. Niezastosowanie się do procedur określonych w niniejszej Polityce przez pracowników upoważnionych do przetwarzania danych osobowych może być potraktowane, jako ciężkie naruszenie obowiązków pracowniczych, skutkujące rozwiązaniem stosunku pracy bez wypowiedzenia na podstawie art. 52 Kodeksu pracy.