POLITYKA PRZETWARZANIA DANYCH OSOBOWYCH W ROYALDERM SP. Z O.O.
§1
1. Niniejsza polityka („Polityka”) określa zasady i tryb przetwarzania danych osobowych będących w posiadaniu Royalderm Spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie, 02-962 Warszawa, ul. Krzysztofa Kieślowskiego 3B lok.3, wpisaną do Rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m. st. Warszawy pod nr 0000949284, NIP 9512534011, REGON 52108427800000 („Spółka”), a także określa obowiązki administratora danych osobowych oraz prawa osób, których dane Spółka przetwarza.
2. Polityka określa zasady ochrony danych osobowych w Spółce w rozumieniu RODO – rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119, s. 1).
§ 2
Użyte w treści Polityki sformułowania oznaczają:
a. administrator danych osobowych – podmiot dokonujący przetwarzania danych osobowych; administratorem danych osobowych przetwarzanych przez Spółkę jest Spółka;
b. dane osobowe – każda informacja dotycząca zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
c. dane osobowe dotyczące wyroków karnych – oznaczają dane wymienione w art. 10 RODO, tj. dane dotyczące wyroków skazujących i naruszeń prawa;
d. dane osobowe dzieci – oznaczają dane osób poniżej 16. roku życia;
e. dane osobowe specjalne – oznaczają dane wymienione w art. 9 ust. 1 RODO, tj. dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej;
f. dane osobowe wrażliwe – oznaczają dane specjalne i dane karne;
g. eksport danych – oznacza przekazanie danych do państwa trzeciego lub organizacji międzynarodowej;
h. IOD – oznacza Inspektora Ochrony Danych Osobowych;
i. osoba nieuprawniona – każda osoba inna, niż osoba uprawniona;
j. osoba uprawniona – osoba upoważniona przez Spółkę do przetwarzania danych osobowych;
k. odbiorcy danych – każda osoba, której udostępnia się dane osobowe, z wyłączeniem:
i. osoby której dane dotyczą,
ii. osoby upoważnionej do przetwarzania danych,
iii. podmiotu przetwarzającego dane w drodze umowy zawartej na piśmie,
iv. organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem;
l. państwa trzecie – wszystkie państwa nie należące do Europejskiego Obszaru Gospodarczego, obejmującego państwa Unii Europejskiej, Norwegię, Lichtenstein oraz Islandię;
m. podmiot przetwarzający – oznacza organizację lub osobę, której Spółka powierzyła przetwarzanie danych osobowych (np. usługodawca IT, zewnętrzna księgowość);
n. profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
o. przetwarzanie danych – wszelkie operacje wykonywane na danych osobowych i ich zbiorach, w szczególności: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych osobowych, także w formie elektronicznej;
p. RCPD – oznacza Rejestr Czynności Przetwarzania Danych Osobowych;
q. RODO – oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1);
r. system informatyczny – zespół współpracujących ze sobą urządzeń, programów i procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
s. usuwanie danych – zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwala na ustalanie tożsamości osoby, której dane dotyczą;
t. zabezpieczenia danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych, zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;
u. zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie czy zestaw ten jest rozproszony czy podzielony funkcjonalnie, w którym dane są przetwarzane, w szczególności: w kartotekach, skorowidzach, księgach, wykazach, rejestrach, systemach informatycznych itp.
§ 3
1. Celem wprowadzenia Polityki jest:
a. określenie celów, zakresu i okresu przechowywania danych osobowych,
b. zapewnienie ochrony i bezpieczeństwa ochrona danych osobowych przetwarzanych przez Spółkę,
c. zabezpieczenie danych osobowych przed dostępem osób nieuprawnionych, utratą, uszkodzeniem lub zniszczeniem,
d. określenie sposobów, środków i procedur ochrony danych osobowych przed dostępem osób nieuprawnionych, utratą, uszkodzeniem lub zniszczeniem,
e. określenie zasad i procedur postępowania w przypadku uzyskania dostępu do danych osobowych przez osobę nieuprawnioną, utraty, uszkodzenia lub zniszczenia,
f. ustalenie kategorii podmiotów uprawnionych do przetwarzania danych,
g. określenie zasad udzielania upoważnień do przetwarzania danych oraz zasad powierzania danych podmiotom trzecim do przetwarzania.
2. Za wdrożenie i utrzymanie niniejszej Polityki odpowiedzialna jest Spółka oraz wszyscy pracownicy i współpracownicy Spółki.
3. Za nadzór i monitorowanie przestrzegania Polityki odpowiadają Zarząd Spółki.
4. W przypadku przekazywania danych osobowych innym podmiotom Spółka zobowiązana jest zapewnić zgodność postępowania tych podmiotów z RODO w zakresie wymaganym dla zapewnienia bezpieczeństwa danych osobowych i zgodności ich przetwarzania z przepisami obowiązującego prawa.
§ 4
1. Spółka jako administrator danych osobowych w celu i w związku z prowadzeniem działalności polegającej na dostarczaniu świadczeń zdrowotnych i w celu zawarcia i realizacji umów zawartych z pacjentami lub kontrahentami przetwarza dane osobowe pacjentów, osób upoważnionych przez pacjentów do uzyskiwania danych medycznych pacjentów, pracowników, współpracowników, potencjalnych pracowników i współpracowników, kontrahentów, oferentów, potencjalnych kontrahentów oraz pracowników i współpracowników tych podmiotów upoważnionych do ich reprezentacji, odpowiedzialnych za prowadzenie negocjacji handlowych lub za realizację zawartych umów.
2. Szczegółowy zakres przetwarzania określony został w RCPD.
3. Spółka, jej pracownicy i współpracownicy oraz inne osoby upoważnione do przetwarzania danych osobowych w ramach działalności Spółki są zobowiązane zapewnić, aby dane osobowe były:
a. wykorzystane zgodnie z obowiązującymi przepisami prawa,
b. aktualne i zgodne ze stanem faktycznym,
c. zbierane i przetwarzane wyłącznie zakresie wymaganym dla realizacji celów, dla których są zbierane i przetwarzane, określonych w § 4 ust. 4 powyżej,
d. wykorzystane nie dłużej, niż wymaga tego realizacja celu dla którego zostały zgromadzone.
§ 5
Przetwarzając dane osobowe Spółka zobowiązana jest do:
a. dbałości o ochronę prywatności i przetwarza dane zgodnie z prawem (legalność).
b. zapewnienia odpowiedniego poziomu bezpieczeństwa danych i do podejmowania stałych działań w tym zakresie (bezpieczeństwo).
c. umożliwienia osobom, których dane przetwarza, wykonywanie swoich praw i prawa te realizuje (prawa jednostki).
d. dokumentowania sposobów realizacji swoich obowiązków w zakresie przetwarzania danych osobowych w jaki sposób, aby w każdej chwili móc wykazać zgodność (rozliczalność).
§ 6
Spółka przetwarza dane osobowe z poszanowaniem następujących zasad:
a. w oparciu o obowiązujące przepisy prawa, o podstawę prawną i zgodnie z prawem (legalizm);
b. rzetelnie i uczciwie (rzetelność);
c. w sposób przejrzysty dla osoby, której dane dotyczą (transparentność);
d. w konkretnych celach i w niezbędnym zakresie (minimalizacja);
e. nie więcej niż potrzeba (adekwatność);
f. z dbałością o prawidłowość danych (prawidłowość);
g. jedynie w niezbędnym okresie (czasowość);
h. zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo).
§ 7
1. Spółka zapewnia o minimalizację przetwarzania danych e zakresie
a. ilości danych;
b. zakresu przetwarzania;
c. dostępu do danych;
d. czasu przechowywania danych.
2. Spółka zobowiązana jest weryfikować zakres pozyskiwanych danych, zakres ich przetwarzania i ilość przetwarzanych danych pod kątem adekwatności do celów przetwarzania, w tym dokonywać okresowych przeglądów ilości przetwarzanych danych i zakresu ich przetwarzania nie rzadziej niż raz na rok.
3. Spółka przeprowadzać będzie weryfikację zmian co do ilości i zakresu przetwarzania danych w ramach procedur zarządzania zmianą (privacy by design).
4. Spółka zobowiązana jest zapewnić ograniczenie dostępu do danych osobowych:
a. prawne – poprzez wprowadzenie zobowiązań do zachowania poufności, określenia zakresów upoważnień i powierzeń przetwarzania danych; weryfikacja wymaganego zakresu zobowiązań do zachowania poufności oraz dzielonych upoważnień powinna być dokonywana co najmniej raz w roku;
b. fizyczne – poprzez określenie stref dostępu, kontrolę dostępu fizycznego, zamykanie pomieszczeń);
c. sieciowe – poprzez ograniczenia uprawnień do dostępu do systemów przetwarzających dane osobowe i zasobów sieciowych w których gromadzone są dane osobowe do osób, którym udzielono stosownych upoważnień i poprzez określenie niezbędnego zakresu tego dostępu; aktualizacja uprawnień dostępowych dokonywana powinna być przy zmianach w kadrowych, strukturalnych oraz przy zmianach stanowisk pracowników i współpracowników oraz podmiotów przetwarzających; weryfikacja zakresu uprawnień dostępowych powinna być dokonywana co najmniej raz w roku.
5. Szczegółowe zasady kontroli dostępu prawnego, fizycznego i sieciowego określone są w niniejszej Polityce i zostaną w miarę potrzeb doprecyzowane w szczegółowych procedurach bezpieczeństwa.
§ 8
1. Pomieszczenia z których korzysta Spółka, w których są przetwarzane dane osobowe, muszą być zabezpieczane po w taki sposób, aby uniemożliwić dostęp do nich osób nieuprawnionych.
2. W pomieszczeniach, w których przetwarzane są dane osobowe, osoby nieuprawnione mogą przebywać tylko w obecności osób uprawnionych.
3. Na biurkach i w pomieszczeniach dostępnych dla osób nieuprawnionych powinny znajdować się tylko dokumenty zawierające dane osobowe potrzebne do wykonania aktualnie realizowanych prac i jedynie w zakresie niezbędnym do ich realizacji.
4. Dokumenty papierowe zawierające dane osobowe niepotrzebne do dalszego przetwarzania powinny być usuwane w sposób trwały.
5. Dokumenty zawierające dane osobowe winny być przechowywane w zamkniętych pomieszczeniach, szafach lub w szufladach. Dostęp do kart dostępowych lub kluczy powinny mieć tylko osoby uprawnione.
§ 9
1. Dostęp do zbioru danych osobowych oraz ich przetwarzania mogą mieć wyłącznie osoby, które uzyskały pisemne upoważnienie wydane przez Spółkę.
2. Spółka prowadzi ewidencję osób zatrudnionych przy przetwarzaniu danych osobowych oraz wydanych upoważnień oraz powierzeń przetwarzania danych osobowych.
3. Ewidencja, o której mowa w ust. 2, powinna zawierać:
a. imię i nazwisko pracownika,
b. stanowisko,
c. zakres, w jakim pracownik został dopuszczony do przetwarzania danych osobowych,
d. datę wydania upoważnienia,
e. identyfikator, w przypadku przetwarzania danych osobowych w systemie informatycznym.
4. Pracownik, który ma upoważnienie do dostępu do danych osobowych i ich przetwarzania, ma obowiązek:
a. zapoznania się z przepisami dotyczącymi ochrony danych osobowych i złożenia oświadczenia o zapoznaniu się z obowiązującymi przepisami,
b. złożenia oświadczenie o zachowaniu ich w tajemnicy, przy czym obowiązek ten istnieje również po ustaniu zatrudnienia przy przetwarzaniu danych osobowych,
c. zachowania szczególnej staranności w trakcie wykonywania operacji przetwarzania danych osobowych w celu ochrony interesów osób, których te dane dotyczą,
d. informowania przełożonych o wszelkich zauważonych nieprawidłowościach skutkujących obniżeniem poziomu ochrony danych osobowych.
5. Upoważnienie, o którym mowa w ustępie 4 punkt a, oraz oświadczenie pracownika o którym mowa w ustępie 4 punkt b dołącza się do akt osobowych pracownika.
6. Indywidualny zakres czynności pracownika dopuszczonego do przetwarzania danych osobowych powinien określać jego obowiązki wynikające z czynności związanych z przetwarzaniem danych osobowych oraz zakres, w jakim pracownik został upoważniony do przetwarzania tych danych.
§ 10
1. Przy obsłudze systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do przetwarzania danych osobowych, mogą być zatrudnione wyłącznie osoby posiadające upoważnienia do przetwarzania danych wydane przez Spółkę.
2. System informatyczny służący do przetwarzania danych osobowych musi pozwalać na udostępnienie tych danych na piśmie w formie powszechnie zrozumiałej.
3. W pomieszczeniach, w których przebywają osoby postronne, monitory komputerów powinny być ustawione w taki sposób, żeby uniemożliwić osobom nieupoważnionym wgląd w dane osobowe.
4. Urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, zasilane energią elektryczną, powinny być zabezpieczone przed utratą tych danych spowodowaną awarią zasilania lub zakłóceniami sieci zasilającej.
§ 11
1. Spółka wdroży mechanizmy kontroli okresu przetwarzania danych osobowych w Spółce, w tym mechanizmy weryfikacji dalszej przydatności danych względem terminów i punktów kontrolnych wskazanych w RCPD.
2. Dane, których zakres przydatności ulega ograniczeniu wraz z upływem czasu są usuwane z systemów produkcyjnych Spółki, jak też z akt podręcznych i głównych. Dane takie mogą być archiwizowane oraz znajdować się na kopiach zapasowych systemów i informacji przetwarzanych przez Spółkę. Procedury archiwizacji i korzystania z archiwów, tworzenia i wykorzystania kopii zapasowych uwzględniają wymagania kontroli nad cyklem życia danych, a w tym wymogi usuwania danych.
3. Archiwizowane dane nie powinny być przechowywane w tych samych pomieszczeniach, w których przechowywane są zbiory danych osobowych eksploatowane na bieżąco.
4. Archiwizowane dane należy:
a. okresowo sprawdzać pod kątem ich dalszej przydatności do odtworzenia;
b. bezzwłocznie usuwać po ustaniu ich użyteczności.
§ 12
1. Spółka prowadzi RCPD, w którym inwentaryzuje i monitoruje sposób, w jaki wykorzystuje dane osobowe służącego w szczególności dokonywaniu identyfikacji kategorii danych osobowych w Spółce, celów ich przetwarzania, osób uprawnionych do dostępu do tych danych, klas danych, zależności między zasobami danych, identyfikacji sposobów wykorzystania danych (inwentaryzacja), w tym:
a. przypadków przetwarzania danych specjalnych i danych „kryminalnych” (dane wrażliwe);
b. przypadków przetwarzania danych osób, których Spółka nie identyfikuje (dane niezidentyfikowane);
c. przypadków przetwarzania danych dzieci;
d. profilowania;
e. współadministrowania danymi.
2. RCPD służy dokumentowaniu czynności przetwarzania danych, pełni rolę mapy przetwarzania i służy realizacji zasady rozliczalności.
3. Pracownicy i współpracownicy Spółki zobowiązani są do weryfikacji podstaw prawnych przetwarzania danych osobowych i do ich rejestrowania w RCPD.
4. W RCPD, dla każdej kategorii przetwarzania danych, którą Spółka uznała za odrębną dla potrzeb RCPD, Spółka odnotowuje co najmniej:
a. nazwę czynności;
b. cel przetwarzania;
c. opis kategorii osób;
d. opis kategorii danych;
e. podstawę prawną przetwarzania, wraz z wyszczególnieniem kategorii uzasadnionego interesu Spółki, jeśli podstawą jest uzasadniony interes;
f. sposób zbierania danych;
g. opis kategorii odbiorców danych (w tym przetwarzających);
h. informację o przekazaniu poza EU/EOG;
i. ogólny opis technicznych i organizacyjnych środków ochrony danych.
5. Spółka dokumentuje w RCPD podstawy prawne przetwarzania danych osobowych dla poszczególnych czynności przetwarzania.
6. Spółka opracowała i stosuje system zarządzania zgodami na przetwarzanie danych osobowych.
7. Wskazując ogólną podstawę prawną przetwarzania danych osobowych (zgoda, umowa, obowiązek prawny, żywotne interesy Spółki, zadanie publiczne/władza publiczna, uzasadniony cel Spółki) Spółka w przypadkach tego wymagających doprecyzowuje podstawę w czytelny sposób. Spółka inwentaryzuje i uszczegóławia uzasadnienie przypadków, gdy Spółka przetwarza dane na podstawie prawnie uzasadnionego interesu Spółki.
§ 13
Spółka zobowiązana jest do realizacji obowiązków informacyjnych wobec osób, których dane osobowe przetwarza, w szczególności poprzez:
a. przekazywanie informacji o zbieraniu danych i w innych sytuacjach w zakresie określonym przepisami prawa;
b. dokumentację realizacji tych obowiązków;
c. zapewnienie efektywnego wykonania obowiązków informacyjnych
d. zapewnienie środków i procedur realizacji wniosków osób, których dane osobowe przetwarza, w terminach i w sposób wymagany przepisami prawa;
e. stosowanie procedur pozwalających na ustalenie konieczności zawiadomienia osób dotkniętych zidentyfikowanym naruszeniem ochrony danych.
§ 14
1. Spółka zobowiązana jest do wdrożenia i stosowania zasady minimalizacji (privacy by default), a w szczególności:
a. zasady zarządzania adekwatnością danych;
b. zasady reglamentacji i zarządzania dostępem do danych;
c. zasady zarządzania okresem przechowywania danych i weryfikacji dalszej przydatności.
2. Spółka dokonuje oceny wpływu zawieranych przez Spółkę umów, dokonywanych przez Spółkę inwestycji, wprowadzanych procedur lub zmian strukturalnych, jak też realizowanych projektów na ochronę danych, zapewnienie prywatności (a w tym zgodności celów przetwarzania, bezpieczeństwa danych i minimalizacji) już na etapie planowania zmiany, inwestycji czy na początku nowego projektu (privacy by design).
3. Spółka zarządza zmianami mającymi wpływ na prywatność w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych oraz minimalizację ich przetwarzania.
§ 15
Spółka zapewnia odpowiedni poziom bezpieczeństwa danych, w szczególności poprzez:
a. przeprowadzenie analizy ryzyka dla czynności przetwarzania danych;
b. dostosowanie środków ochrony danych do stwierdzonego ryzyka;
c. opracowanie systemu zarządzania bezpieczeństwem informacji;
d. stosowanie procedur zarządzania incydentami pozwalających na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych.
§ 16
1. Spółka dokonuje identyfikacji czynności przekazywania danych osobowych do państw trzecich lub do organizacji międzynarodowych
2. W przypadku przekazywania danych do państw trzecich Spółka zapewnienia zgodność przekazywania danych do państw trzecich z obowiązującym prawem.
3. Spółka rejestruje w RCPD dokonywanie eksportu danych do państw trzecich.
4. Spółka dokonuje identyfikacji czynności przetwarzania transgranicznego oraz określa zasady ustalania wiodącego organu nadzorczego i głównej jednostki organizacyjnej w rozumieniu RODO.
§ 17
1. Spółka stosuje zasady doboru podmiotów przetwarzających dane osobowe powierzone przez Spółkę według kryteriów zapewnienia bezpieczeństwa przetwarzania danych osobowych i realizacji obowiązków wynikających z umów powierzania danych osobowych.
2. Spółka posiada zasady doboru i weryfikacji przetwarzających dane na rzecz Spółki opracowane w celu zapewnienia, aby przetwarzający dawali wystarczające gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa, realizacji praw jednostki i innych obowiązków ochrony danych spoczywających na Spółce.
3. Spółka przyjęła minimalne wymagania co do umowy powierzenia przetwarzania danych określone w załączniku nr 1 do Polityki.
4. Spółka rozlicza przetwarzających z wykorzystania podprzetwarzających, jak też z innych wymagań wynikających z Zasad powierzenia danych osobowych.
§ 18
Spółka nie przetwarza danych wrażliwych (danych specjalnych i danych karnych), nie dokonuje profilowania ani nie korzysta z innych form marketingu bezpośredniego. W przypadku zamiaru rozpoczęcia przetwarzania takich danych lub zamiaru rozpoczęcia takich czynności Spółka wprowadzi odpowiednie procedury w tym zakresie.
§ 19
Spółka identyfikuje przypadki, w których przetwarza lub może przetwarzać dane niezidentyfikowane i utrzymuje mechanizmy ułatwiające realizację praw osób, których dotyczą dane niezidentyfikowane.
§ 20
Spółka identyfikuje przypadki współadministrowania danymi i postępuje w tym zakresie zgodnie z przyjętymi zasadami.
§ 21
1. Spółka dba o czytelność informacji przekazywanych osobom, których dane przetwarza, umożliwia tym osobom korzystanie z przysługujących im praw w związku z przetwarzaniem ich danych osobowych oraz zapewnia procedury identyfikacji danych osobowych dotyczących określonych osób, integracji tych danych, oraz dokonywania w nich w sposób zintegrowany zmian oraz ich usuwania oraz metody terminowej realizacji swoich obowiązków wobec tych osób.
2. Spółka dokumentuje realizację obowiązków informacyjnych, zawiadomień i żądań osób.
3. Spółka informuje osobę, której dane osobowe zamierza przetwarzać, o zamiarze przetwarzania jej danych już przy pozyskiwaniu danych osobowych od tej osoby lub przy pozyskiwaniu danych osobowych od innego podmiotu, a w przypadku danych niezidentyfikowanych ustala sposób informowania osób, których dotyczy przetwarzanie ich danych, o ich przetwarzaniu (np. informacja o monitoringu).
4. Spółka informuje osoby, których dane osobowe przetwarza o:
a. prawie sprzeciwu względem przetwarzania danych – najpóźniej przy pierwszym kontakcie z tą osobą;
b. planowanej zmianie celu przetwarzania danych;
c. planowanych uchyleniu ograniczenia przetwarzania;
d. sprostowaniu przetwarzanych danych osobowych;
e. usunięciu przetwarzanych danych osobowych;
f. ograniczeniu przetwarzania danych osobowych;
5. Spółka bez zbędnej zwłoki zawiadamia osobę, której dane osobowe przetwarza o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby.
§ 22
1. Spółka powinna rozpatrzyć otrzymywane żądania dotyczące przetwarzania danych osobowych w terminie jednego miesiąca od ich otrzymania.
2. Spółka informuje w ciągu miesiąca od otrzymania żądania o odmowie jego rozpatrzenia i o związanych z tym prawach osoby przedstawiającej żądanie.
3. Spółka informuje osobę o przedłużeniu ponad jeden miesiąc terminu na rozpatrzenie żądania tej osoby.
4. Na żądanie osoby, której danych Spółka nie przetwarza Spółka informuje ją o braku przetwarzania jej danych.
5. Na żądanie osoby, której dane Spółka przetwarza, dotyczące dostępu do jej danych osobowych, Spółka:
a. Informuje ją, czy przetwarza jej dane osobowe;
b. informuje ją o szczegółach przetwarzania, zgodnie z art. 15 RODO;
c. udziela jej dostępu do jej danych osobowych, które Spółka przetwarza;
d. wydaje jej kopię danych jej danych osobowych, które Spółka przetwarza;
e. dokonuje sprostowania nieprawidłowych danych; Spółka ma prawo odmówić sprostowania danych, chyba że osoba żądająca dokonania zmiany w rozsądny sposób wykaże nieprawidłowości danych, których sprostowania się domaga. W przypadku sprostowania danych Spółka informuje osobę o odbiorcach danych, na żądanie tej osoby.
f. uzupełnia i aktualizuje dane; Spółka ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych (np. Spółka nie musi przetwarzać danych, które są Spółce zbędne).
6. Na żądanie osoby, której dane osobowe Spółka przetwarza, Spółka usuwa jej dane, jeżeli:
a. dane nie są niezbędne do celów, w których zostały zebrane ani przetwarzane w innych celach,
b. zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania,
c. osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych,
d. dane były przetwarzane niezgodnie z prawem,
e. konieczność usunięcia wynika z obowiązku prawnego,
f. żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku (np. profil dziecka na portalu społecznościowym, udział w konkursie na stronie internetowej).
7. Spółka zapewnia efektywną realizację obowiązku usunięcia danych osobowych oraz weryfikację, czy nie zachodzą wyjątki, o których mowa w art. 17. ust. 3 RODO.
8. Jeżeli dane osobowe podlegające usunięciu zostały upublicznione przez Spółkę, Spółka podejmuje rozsądne działania dla poinformowania innych administratorów przetwarzających te dane osobowe o potrzebie ich usunięcia danych.
9. W przypadku usuwania danych Spółka na żądanie osoby, której dane są usuwane, informuje ją o odbiorcach danych.
10. Na żądanie osoby, której dane osobowe Spółka przetwarza, Spółka ogranicza przetwarzanie danych osobowych, jeżeli:
a. osoba, której dane osobowe Spółka przetwarza, kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość,
b. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
c. Spółka nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
d. osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie Spółki zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.
11. W trakcie ograniczenia przetwarzania Spółka przechowuje dane, natomiast ich nie przetwarza bez zgody osoby, której dane dotyczą, za wyłączeniem ich przetwarzania w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego.
12. W przypadku ograniczenia przetwarzania danych Spółka informuje osobę o odbiorcach danych, na żądanie tej osoby.
13. Na żądanie osoby Spółka wydaje osobie, której dane osobowe Spółka przetwarza w systemach informatycznych Spółki, dane jej dotyczące i przez nią dostarczone do Spółki, przetwarzane na podstawie jej zgody lub w celu zawarcia lub wykonania umowy z nią zawartej, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje je innemu podmiotowi.
14. W przypadku zgłoszenia przez osobę, której dane osobowe Spółka przetwarza umotywowanego jej szczególną sytuacją sprzeciw wobec przetwarzania jej danych osobowych, jeżeli dane osobowe przetwarzane są przez Spółkę w oparciu o uzasadniony interes Spółki lub o powierzone Spółce zadanie w interesie publicznym, Spółka uwzględni sprzeciw, o ile nie zachodzą po stronie Spółki ważne prawnie uzasadnione podstawy do przetwarzania danych osobowych, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.
§ 23
1. Spółka dokonuje analizy adekwatności stosowanych przez Spółkę środków bezpieczeństwa danych osobowych, w szczególności poprzez:
a. określenie kategorii danych oraz czynności przetwarzania w kontekście poziomu związanych z nimi ryzyk;
b. analizę ryzyk związanych z danymi kategoriami danych lub z określonymi rodzajami czynnościami przetwarzania danych osobowych;
c. analizę potencjalnych scenariuszy naruszenia ochrony danych osobowych;
d. utrzymywanie odpowiedniego stanu wiedzy o bezpieczeństwie informacji,
2. Spółka określa możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa i ochrony danych osobowych i ocenia koszt oraz zasadność ich wdrażania, w szczególności w kontekście zakresu i rodzaju przetwarzanych danych osobowych. Na podstawie dokonanej analizy Spółka określa przydatność następujących działań dla ochrony danych osobowych:
a. stosowanie oprogramowania zapewniającego zabezpieczenie systemów i usług przetwarzania danych osobowych przed dostępem osób nieupoważnionych,
b. stosowanie haseł dostępowych,
c. stosowanie rozwiązań informatycznych mających na celu zapewnienie zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
d. pseudonimizacja,
e. szyfrowanie danych osobowych,
f. stosowanie innych rozwiązań informatycznych mających na celu zapewnienie poufności, integralności i dostępności danych osobowych.
3. Spółka dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych tam, gdzie zgodnie z analizą ryzyka ryzyko naruszenia praw i wolności osób jest wysokie.
4. Spółka stosuje środki bezpieczeństwa ustalone w ramach analiz ryzyka i adekwatności środków bezpieczeństwa oraz ocen skutków dla ochrony danych.
5. Spółka stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych Osobowych w terminie 72 godzin od ustalenia naruszenia.
§ 24
1. Archiwizowane dane nie powinny być przechowywane w tych samych pomieszczeniach, w których przechowywane są zbiory danych osobowych eksploatowane na bieżąco.
2. Archiwizowane dane należy:
a. okresowo sprawdzać pod kątem ich dalszej przydatności do odtworzenia,
b. bezzwłocznie usuwać po ustaniu ich użyteczności