top of page
17942776895184576_edited.png

Polityka ochrony danych osobowychw REHA.PROFIT

​

1. Niniejszy dokument zatytuÅ‚owany „Polityka ochrony danych osobowych” (dalej: Polityka) ma za zadanie stanowić mapÄ™ wymogów, zasad i regulacji ochrony danych osobowych w REHA. PROFIT (dalej: SpóÅ‚ka).

1.1 Niniejsza Polityka jest politykÄ… ochrony danych osobowych w rozumieniu RODO – rozporzÄ…dzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w zwiÄ…zku z przetwarzaniem danych osobowych i w sprawie swobodnego przepÅ‚ywu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporzÄ…dzenie o ochronie danych).

2. Polityka zawiera opis zasad ochrony danych obowiÄ…zujÄ…cych w SpóÅ‚ce;

3. Odpowiedzialny za wdrożenie, utrzymanie i stosowanie niniejszej Polityki sÄ… Wspólnicy SpóÅ‚ki oraz Inspektor Ochrony Danych. SpóÅ‚ka powinna też zapewnić zgodność postÄ™powania kontrahentów SpóÅ‚ki z niniejszÄ… PolitykÄ… w odpowiednim zakresie, gdy dochodzi do przekazania im danych osobowych przez SpóÅ‚kÄ™.

4. Skróty i definicje:

4.1. Polityka oznacza niniejszą Politykę ochrony danych osobowych, o ile co innego nie wynika wyraźnie z kontekstu.

a) RODO oznacza rozporzÄ…dzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w zwiÄ…zku z przetwarzaniem danych osobowych i w sprawie swobodnego przepÅ‚ywu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporzÄ…dzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1).

b) Dane oznaczają dane osobowe, o ile co innego nie wynika wyraźnie z kontekstu.

c) Dane wrażliwe oznaczają dane specjalne i dane karne.

d) Dane specjalne oznaczajÄ… dane wymienione w art. 9 ust. 1 RODO, tj. dane osobowe ujawniajÄ…ce pochodzenie rasowe lub etniczne, poglÄ…dy polityczne, przekonania religijne lub Å›wiatopoglÄ…dowe, przynależność do zwiÄ…zków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczÄ…ce zdrowia, seksualnoÅ›ci lub orientacji seksualnej.

e) Dane karne oznaczajÄ… dane wymienione w art. 10 RODO, tj. dane dotyczÄ…ce wyroków skazujÄ…cych i naruszeÅ„ prawa.

f) Dane dzieci oznaczajÄ… dane osób poniżej 16. roku życia.

g) Osoba oznacza osobÄ™, której dane dotyczÄ…, o ile co innego nie wynika wyraźnie z kontekstu.

h) Podmiot przetwarzajÄ…cy oznacza organizacjÄ™ lub osobÄ™, której SpóÅ‚ka powierzyÅ‚a przetwarzanie danych osobowych (np. usÅ‚ugodawca IT, zewnÄ™trzna ksiÄ™gowość).

i) Profilowanie oznacza dowolnÄ… formÄ™ zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególnoÅ›ci do analizy lub prognozy aspektów dotyczÄ…cych efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowaÅ„, wiarygodnoÅ›ci, zachowania, lokalizacji lub przemieszczania siÄ™.

j) Eksport danych oznacza przekazanie danych do państwa trzeciego lub organizacji międzynarodowej.

k) IOD lub Inspektor oznacza Inspektora Ochrony Danych Osobowych.

l) Rejestr oznacza Rejestr Czynności Przetwarzania Danych Osobowych.

m) SpóÅ‚ka oznacza M.D. Saganowscy Fizjoterapia S.C., ul. M. WaÅ„kowicza 5/39, 02-796 Warszawa, NIP 9512497994, REGON 385549383

5. Ochrona danych osobowych w SpóÅ‚ce – zasady ogólne

5.1. Filary ochrony danych osobowych w SpóÅ‚ce:

(1) Legalność - SpóÅ‚ka dba o ochronÄ™ prywatnoÅ›ci i przetwarza dane zgodnie z prawem.

(2) BezpieczeÅ„stwo - SpóÅ‚ka zapewnia odpowiedni poziom bezpieczeÅ„stwa danych podejmujÄ…c stale dziaÅ‚ania w tym zakresie.

(3) Prawa Jednostki - SpóÅ‚ka umożliwia osobom, których dane przetwarza, wykonywanie swoich praw i prawa te realizuje.

(4) Rozliczalność - SpóÅ‚ka dokumentuje to, w jaki sposób speÅ‚nia obowiÄ…zki, aby w każdej chwili móc wykazać zgodność.

5.2. Zasady ochrony danych

5.2.1. SpóÅ‚ka przetwarza dane osobowe z poszanowaniem nastÄ™pujÄ…cych zasad:

(1) w oparciu o podstawÄ™ prawnÄ… i zgodnie z prawem (legalizm);

(2) rzetelnie i uczciwie (rzetelność);

(3) w sposób przejrzysty dla osoby, której dane dotyczÄ… (transparentność);

(4) w konkretnych celach i nie „na zapas” (minimalizacja);

(5) nie więcej niż potrzeba (adekwatność);

(6) z dbałością o prawidłowość danych (prawidłowość);

(7) nie dłużej niż potrzeba (czasowość);

(8) zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo).

5.3. System ochrony danych

5.3.1. System ochrony danych osobowych w SpóÅ‚ce skÅ‚ada siÄ™ z nastÄ™pujÄ…cych elementów:

1) Inwentaryzacja danych. SpóÅ‚ka dokonuje identyfikacji zasobów danych osobowych w SpóÅ‚ce, klas danych, zależnoÅ›ci miÄ™dzy zasobami danych, identyfikacji sposobów wykorzystania danych (inwentaryzacja), w tym:

a) przypadków przetwarzania danych specjalnych (w tym danych zdrowotnych) i danych „kryminalnych” (dane wrażliwe);

b) przypadków przetwarzania danych osób, których SpóÅ‚ka nie identyfikuje (dane niezidentyfikowane);

c) przypadków przetwarzania danych dzieci;

d) profilowania;

f) wspóÅ‚administrowania danymi.

2) Rejestr. SpóÅ‚ka opracowuje, prowadzi i utrzymuje Rejestr CzynnoÅ›ci Przetwarzania Danych Osobowych (Rejestr). Rejestr jest narzÄ™dziem rozliczania zgodnoÅ›ci z ochronÄ… danych w SpóÅ‚ce.

3) Podstawy prawne. SpóÅ‚ka zapewnia, identyfikuje, weryfikuje podstawy prawne przetwarzania danych i rejestruje je w Rejestrze, w tym:

a) utrzymuje system zarządzania zgodami na przetwarzanie danych i komunikację na odległość,

b) inwentaryzuje i uszczegóÅ‚awia uzasadnienie przypadków, gdy SpóÅ‚ka przetwarza dane na podstawie prawnie uzasadnionego interesu SpóÅ‚ki.

4) ObsÅ‚uga praw jednostki. SpóÅ‚ka speÅ‚nia obowiÄ…zki informacyjne wzglÄ™dem osób, których dane przetwarza, oraz zapewnia obsÅ‚ugÄ™ ich praw, realizujÄ…c otrzymane w tym zakresie żądania, w tym:

a) ObowiÄ…zki informacyjne. SpóÅ‚ka przekazuje osobom prawem wymagane informacje przy zbieraniu danych i w innych sytuacjach oraz organizuje i zapewnia udokumentowanie realizacji tych obowiÄ…zków.

b) Możliwość wykonania żądaÅ„. SpóÅ‚ka weryfikuje i zapewnia możliwość efektywnego wykonania każdego typu żądania przez siebie i swoich przetwarzajÄ…cych.

c) ObsÅ‚uga żądaÅ„. SpóÅ‚ka zapewnia odpowiednie nakÅ‚ady i procedury, aby żądania osób byÅ‚y realizowane w terminach i w sposób wymagany RODO i dokumentowane.

d) Zawiadamianie o naruszeniach. SpóÅ‚ka stosuje procedury pozwalajÄ…ce na ustalenie koniecznoÅ›ci zawiadomienia osób dotkniÄ™tych zidentyfikowanym naruszeniem ochrony danych.

5) Minimalizacja. SpóÅ‚ka posiada zasady i metody zarzÄ…dzania minimalizacjÄ… (privacy by default), a w tym:

a) zasady zarządzania adekwatnością danych;

b) zasady reglamentacji i zarządzania dostępem do danych;

c) zasady zarządzania okresem przechowywania danych i weryfikacji dalszej przydatności;

6) BezpieczeÅ„stwo. SpóÅ‚ka zapewnia odpowiedni poziom bezpieczeÅ„stwa danych, w tym:

a) przeprowadza analizy ryzyka dla czynności przetwarzania danych lub ich kategorii;

b) przeprowadza oceny skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw i wolnoÅ›ci osób jest wysokie;

c) dostosowuje środki ochrony danych do ustalonego ryzyka;

d) posiada system zarządzania bezpieczeństwem informacji;

e) stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych - zarządza incydentami.

7) PrzetwarzajÄ…cy. SpóÅ‚ka posiada zasady doboru przetwarzajÄ…cych dane na rzecz SpóÅ‚ki, wymogów co do warunków przetwarzania (umowa powierzenia), zasad weryfikacji wykonywania umów powierzenia.

8) Eksport danych. SpóÅ‚ka posiada zasady weryfikacji, czy SpóÅ‚ka nie przekazuje danych do paÅ„stw trzecich (czyli poza UE, NorwegiÄ™, Lichtenstein, IslandiÄ™) lub do organizacji miÄ™dzynarodowych oraz zapewnienia zgodnych z prawem warunków takiego przekazywania, jeÅ›li ma ono miejsce.

9) Privacy by design. SpóÅ‚ka zarzÄ…dza zmianami majÄ…cymi wpÅ‚yw na prywatność. W tym celu procedury uruchamiania nowych projektów i inwestycji w SpóÅ‚ce uwzglÄ™dniajÄ… konieczność oceny wpÅ‚ywu zmiany na ochronÄ™ danych, zapewnienie prywatnoÅ›ci (a w tym zgodnoÅ›ci celów przetwarzania, bezpieczeÅ„stwa danych i minimalizacji) już w fazie projektowania zmiany, inwestycji czy na poczÄ…tku nowego projektu.

10) Przetwarzanie transgraniczne. SpóÅ‚ka posiada zasady weryfikacji, kiedy zachodzÄ… przypadki przetwarzania transgranicznego oraz zasady ustalania wiodÄ…cego organu nadzorczego i gÅ‚ównej jednostki organizacyjnej w rozumieniu RODO.

6. Inwentaryzacja

6.1. Dane wrażliwe

6.1.1. SpóÅ‚ka identyfikuje przypadki, w których przetwarza lub może przetwarzać dane wrażliwe (dane specjalne i dane karne) oraz utrzymuje dedykowane mechanizmy zapewnienia zgodnoÅ›ci z prawem przetwarzania danych wrażliwych. W przypadku zidentyfikowania przypadków przetwarzania danych wrażliwych, SpóÅ‚ka postÄ™puje zgodnie z przyjÄ™tymi zasadami w tym zakresie.

6.2. Dane niezidentyfikowane

6.2.1. SpóÅ‚ka identyfikuje przypadki, w których przetwarza lub może przetwarzać dane niezidentyfikowane i utrzymuje mechanizmy uÅ‚atwiajÄ…ce realizacjÄ™ praw osób, których dotyczÄ… dane niezidentyfikowane.

6.3. Profilowanie

6.3.1. SpóÅ‚ka identyfikuje przypadki, w których dokonuje profilowania przetwarzanych danych i utrzymuje mechanizmy zapewniajÄ…ce zgodność tego procesu z prawem. W przypadku zidentyfikowania przypadków profilowania i zautomatyzowanego podejmowania decyzji, SpóÅ‚ka postÄ™puje zgodnie z przyjÄ™tymi zasadami w tym zakresie.

6.4. WspóÅ‚administrowanie

6.4.1. SpóÅ‚ka identyfikuje przypadki wspóÅ‚administrowania danymi i postÄ™puje w tym zakresie zgodnie z przyjÄ™tymi zasadami.

7. Rejestr Czynności Przetwarzania Danych Osobowych.

7.1. RCPD stanowi formÄ™ dokumentowania czynnoÅ›ci przetwarzania danych, peÅ‚ni rolÄ™ mapy przetwarzania danych i jest jednym z kluczowych elementów umożliwiajÄ…cych realizacjÄ™ fundamentalnej zasady, na której opiera siÄ™ caÅ‚y system ochrony danych osobowych, czyli zasady rozliczalnoÅ›ci.

7.2. SpóÅ‚ka prowadzi Rejestr CzynnoÅ›ci Przetwarzania Danych Osobowych, w którym inwentaryzuje i monitoruje sposób, w jaki wykorzystuje dane osobowe.

7.3. Rejestr jest jednym z podstawowych narzÄ™dzi umożliwiajÄ…cych SpóÅ‚ce rozliczanie wiÄ™kszoÅ›ci obowiÄ…zków ochrony danych.

7.4. W Rejestrze, dla każdej czynnoÅ›ci przetwarzania danych, którÄ… SpóÅ‚ka uznaÅ‚a za odrÄ™bnÄ… dla potrzeb Rejestru, SpóÅ‚ka odnotowuje co najmniej:

a) nazwę czynności,

b) cel przetwarzania,

c) opis kategorii osób,

d) opis kategorii danych,

e) podstawÄ™ prawnÄ… przetwarzania, wraz z wyszczególnieniem kategorii uzasadnionego interesu SpóÅ‚ka, jeÅ›li podstawÄ… jest uzasadniony interes,

f) sposób zbierania danych,

g) opis kategorii odbiorców danych (w tym przetwarzajÄ…cych),

h) informacjÄ™ o przekazaniu poza EU/EOG;

i) ogólny opis technicznych i organizacyjnych Å›rodków ochrony danych.

8. Podstawy przetwarzania

8.1. SpóÅ‚ka dokumentuje w Rejestrze podstawy prawne przetwarzania danych dla poszczególnych czynnoÅ›ci przetwarzania.

8.2. WskazujÄ…c ogólnÄ… podstawÄ™ prawnÄ… (zgoda, umowa, obowiÄ…zek prawny, żywotne interesy, zadanie publiczne/wÅ‚adza publiczna, uzasadniony cel SpóÅ‚ki) SpóÅ‚ka dookreÅ›la podstawÄ™ w czytelny sposób, gdy jest to potrzebne. Np. dla zgody wskazujÄ…c na jej zakres, gdy podstawÄ… jest prawo – wskazujÄ…c na konkretny przepis i inne dokumenty, np. umowÄ™, porozumienie administracyjne, żywotne interesy – wskazujÄ…c na kategorie zdarzeÅ„, w których siÄ™ zmaterializujÄ…, uzasadniony cel – wskazujÄ…c na konkretny cel, np. marketing wÅ‚asny, dochodzenie roszczeÅ„.

8.3. SpóÅ‚ka wdraża metody zarzÄ…dzania zgodami umożliwiajÄ…ce rejestracjÄ™ i weryfikacjÄ™ posiadania zgody osoby na przetwarzanie jej konkretnych danych w konkretnym celu, zgody na komunikacjÄ™ na odlegÅ‚ość (email, telefon, sms, in.) oraz rejestracjÄ™ odmowy zgody, cofniÄ™cia zgody i podobnych czynnoÅ›ci (sprzeciw, ograniczenie itp.).

8.4. Pracownicy SpóÅ‚ki majÄ… obowiÄ…zek znać podstawy prawne, na jakich dokonujÄ… konkretnych czynnoÅ›ci przetwarzania danych osobowych. Jeżeli podstawÄ… jest uzasadniony interes SpóÅ‚ki, pracownik ma obowiÄ…zek znać konkretny realizowany przetwarzaniem interes SpóÅ‚ki.

9. Sposób obsÅ‚ugi praw jednostki i obowiÄ…zków informacyjnych

9.1. SpóÅ‚ka dba o czytelność i styl przekazywanych informacji i komunikacji z osobami, których dane przetwarza.

9.2. SpóÅ‚ka uÅ‚atwia osobom korzystanie z ich praw poprzez różne dziaÅ‚ania, w tym: zamieszczenie na stronie internetowej SpóÅ‚ki informacji lub odwoÅ‚aÅ„ (linków) do informacji o prawach osób, sposobie skorzystania z nich w SpóÅ‚ce, w tym wymaganiach dotyczÄ…cych identyfikacji, metodach kontaktu ze SpóÅ‚kÄ… w tym celu, ewentualnym cenniku żądaÅ„ „dodatkowych” itp.

9.3. SpóÅ‚ka dba o dotrzymywanie prawnych terminów realizacji obowiÄ…zków wzglÄ™dem osób.

9.4. SpóÅ‚ka wprowadza adekwatne metody identyfikacji i uwierzytelniania osób dla potrzeb realizacji praw jednostki i obowiÄ…zków informacyjnych.

9.5. W celu realizacji praw jednostki SpóÅ‚ka zapewnia procedury i mechanizmy pozwalajÄ…ce zidentyfikować dane konkretnych osób przetwarzane przez SpóÅ‚kÄ™, zintegrować te dane, wprowadzać do nich zmiany i usuwać w sposób zintegrowany,

9.6. SpóÅ‚ka dokumentuje obsÅ‚ugÄ™ obowiÄ…zków informacyjnych, zawiadomieÅ„ i żądaÅ„ osób.

10. ObowiÄ…zki informacyjne

10.1. SpóÅ‚ka okreÅ›la zgodne z prawem i efektywne sposoby wykonywania obowiÄ…zków informacyjnych.

10.2. SpóÅ‚ka informuje osobÄ™ o przedÅ‚użeniu ponad jeden miesiÄ…c terminu na rozpatrzenie żądania tej osoby.

10.3. SpóÅ‚ka informuje osobÄ™ o przetwarzaniu jej danych, przy pozyskiwaniu danych od tej osoby.

10.4. SpóÅ‚ka informuje osobÄ™ o przetwarzaniu jej danych, przy pozyskiwaniu danych o tej osobie niebezpoÅ›rednio od niej.

10.5. SpóÅ‚ka okreÅ›la sposób informowania osób o przetwarzaniu danych niezidentyfikowanych, tam gdzie to jest możliwe (np. tabliczka o objÄ™ciu obszaru monitoringiem wizyjnym).

10.6. SpóÅ‚ka informuje osobÄ™ o planowanej zmianie celu przetwarzania danych.

10.7. SpóÅ‚ka informuje osobÄ™ przed uchyleniem ograniczenia przetwarzania.

10.8. SpóÅ‚ka informuje odbiorców danych o sprostowaniu, usuniÄ™ciu lub ograniczeniu przetwarzania danych (chyba że bÄ™dzie to wymagaÅ‚o niewspóÅ‚miernie dużego wysiÅ‚ku lub bÄ™dzie niemożliwe).

10.9. SpóÅ‚ka informuje osobÄ™ o prawie sprzeciwu wzglÄ™dem przetwarzania danych najpóźniej przy pierwszym kontakcie z tÄ… osobÄ….

10.10. SpóÅ‚ka bez zbÄ™dnej zwÅ‚oki zawiadamia osobÄ™ o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolnoÅ›ci tej osoby.

11. Żądania osób

11.1. Prawa osób trzecich. RealizujÄ…c prawa osób, których dane dotyczÄ…, SpóÅ‚ka wprowadza proceduralne gwarancje ochrony praw i wolnoÅ›ci osób trzecich. W szczególnoÅ›ci w przypadku powziÄ™cia wiarygodnej wiadomoÅ›ci o tym, że wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpÅ‚ynąć na prawa i wolnoÅ›ci innych osób (np. prawa zwiÄ…zane z ochronÄ… danych innych osób, prawa wÅ‚asnoÅ›ci intelektualnej, tajemnicÄ™ handlowÄ…, dobra osobiste itp.), SpóÅ‚ka może zwrócić siÄ™ do osoby w celu wyjaÅ›nienia wÄ…tpliwoÅ›ci lub podjąć inne prawem dozwolone kroki, Å‚Ä…cznie z odmowÄ… zadośćuczynienia żądaniu.

11.2. Nieprzetwarzanie. SpóÅ‚ka informuje osobÄ™ o tym, że nie przetwarza danych jej dotyczÄ…cych, jeÅ›li taka osoba zgÅ‚osiÅ‚a żądanie dotyczÄ…ce jej praw.

11.3. Odmowa. SpóÅ‚ka informuje osobÄ™, w ciÄ…gu miesiÄ…ca od otrzymania żądania, o odmowie rozpatrzenia żądania i o prawach osoby z tym zwiÄ…zanych.

11.4. DostÄ™p do danych. Na żądanie osoby dotyczÄ…ce dostÄ™pu do jej danych, SpóÅ‚ka informuje osobÄ™, czy przetwarza jej dane oraz informuje osobÄ™ o szczegóÅ‚ach przetwarzania, zgodnie z art. 15 RODO (zakres odpowiada obowiÄ…zkowi informacyjnemu przy zbieraniu danych), a także udziela osobie dostÄ™pu do danych jej dotyczÄ…cych. DostÄ™p do danych może być zrealizowany przez wydanie kopii danych, z zastrzeżeniem, że kopii danych wydanej w wykonaniu prawa dostÄ™pu do danych SpóÅ‚ka nie uzna za pierwszÄ… nieodpÅ‚atnÄ… kopiÄ™ danych dla potrzeb opÅ‚at za kopie danych.

11.5. Kopie danych. Na żądanie SpóÅ‚ka wydaje osobie kopiÄ™ danych jej dotyczÄ…cych i odnotowuje fakt wydania pierwszej kopii danych. SpóÅ‚ka wprowadza i utrzymuje cennik kopii danych, zgodnie z którym pobiera opÅ‚aty za kolejne kopie danych. Cena kopii danych skalkulowana jest w oparciu o oszacowany jednostkowy koszt obsÅ‚ugi żądania wydania kopii danych.

11.6. Sprostowanie danych. SpóÅ‚ka dokonuje sprostowania nieprawidÅ‚owych danych na żądanie osoby. SpóÅ‚ka ma prawo odmówić sprostowania danych, chyba że osoba w rozsÄ…dny sposób wykaże nieprawidÅ‚owoÅ›ci danych, których sprostowania siÄ™ domaga. W przypadku sprostowania danych SpóÅ‚ka informuje osobÄ™ o odbiorcach danych, na żądanie tej osoby.

11.7. UzupeÅ‚nienie danych. SpóÅ‚ka uzupeÅ‚nia i aktualizuje dane na żądanie osoby. SpóÅ‚ka ma prawo odmówić uzupeÅ‚nienia danych, jeżeli uzupeÅ‚nienie byÅ‚oby niezgodne z celami przetwarzania danych (np. SpóÅ‚ka nie musi przetwarzać danych, które sÄ… SpóÅ‚ce zbÄ™dne). SpóÅ‚ka może polegać na oÅ›wiadczeniu osoby, co do uzupeÅ‚nianych danych, chyba że bÄ™dzie to niewystarczajÄ…ce w Å›wietle przyjÄ™tych przez SpóÅ‚kÄ™ procedur (np. co do pozyskiwania takich danych), prawa lub zaistniejÄ… podstawy, aby uznać oÅ›wiadczenie za niewiarygodne.

11.8. UsuniÄ™cie danych. Na żądanie osoby, SpóÅ‚ka usuwa dane, gdy:

(1) dane nie sÄ… niezbÄ™dne do celów, w których zostaÅ‚y zebrane ani przetwarzane w innych celach,

(2) zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania,

(3) osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych,

(4) dane były przetwarzane niezgodnie z prawem,

(5) konieczność usunięcia wynika z obowiązku prawnego,

(6) żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku (np. profil dziecka na portalu społecznościowym, udział w konkursie na stronie internetowej).

11.8.1. SpóÅ‚ka okreÅ›la sposób obsÅ‚ugi prawa do usuniÄ™cia danych w taki sposób, aby zapewnić efektywnÄ… realizacjÄ™ tego prawa przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpieczeÅ„stwa, a także weryfikacjÄ™, czy nie zachodzÄ… wyjÄ…tki, o których mowa w art. 17. ust. 3 RODO.

11.8.2. Jeżeli dane podlegajÄ…ce usuniÄ™ciu zostaÅ‚y upublicznione przez SpóÅ‚kÄ™, SpóÅ‚ka podejmuje rozsÄ…dne dziaÅ‚ania, w tym Å›rodki techniczne, by poinformować innych administratorów przetwarzajÄ…cych te dane osobowe, o potrzebie usuniÄ™cia danych i dostÄ™pu do nich.

11.8.3. W przypadku usuniÄ™cia danych SpóÅ‚ka informuje osobÄ™ o odbiorcach danych, na żądanie tej osoby.

11.9. Ograniczenie przetwarzania. SpóÅ‚ka dokonuje ograniczenia przetwarzania danych na żądanie osoby, gdy:

a) osoba kwestionuje prawidÅ‚owość danych – na okres pozwalajÄ…cy sprawdzić ich prawidÅ‚owość,

b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczÄ…, sprzeciwia siÄ™ usuniÄ™ciu danych osobowych, żądajÄ…c w zamian ograniczenia ich wykorzystywania,

c) SpóÅ‚ka nie potrzebuje już danych osobowych, ale sÄ… one potrzebne osobie, której dane dotyczÄ…, do ustalenia, dochodzenia lub obrony roszczeÅ„,

d) osoba wniosÅ‚a sprzeciw wzglÄ™dem przetwarzania z przyczyn zwiÄ…zanych z jej szczególnÄ… sytuacjÄ… – do czasu stwierdzenia, czy po stronie SpóÅ‚ki zachodzÄ… prawnie uzasadnione podstawy nadrzÄ™dne wobec podstaw sprzeciwu.

11.9.1. W trakcie ograniczenia przetwarzania SpóÅ‚ka przechowuje dane, natomiast nie przetwarza ich (nie wykorzystuje, nie przekazuje), bez zgody osoby, której dane dotyczÄ…, chyba że w celu ustalenia, dochodzenia lub obrony roszczeÅ„, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne wzglÄ™dy interesu publicznego.

11.9.2. SpóÅ‚ka informuje osobÄ™ przed uchyleniem ograniczenia przetwarzania.

11.9.3. W przypadku ograniczenia przetwarzania danych, SpóÅ‚ka informuje osobÄ™ o odbiorcach danych, na żądanie tej osoby.

11.10. Przenoszenie danych. Na żądanie osoby SpóÅ‚ka wydaje w ustrukturyzowanym, powszechnie używanym formacie nadajÄ…cym siÄ™ do odczytu maszynowego lub przekazuje innemu podmiotowi, jeÅ›li jest to możliwe, dane dotyczÄ…ce tej osoby, które dostarczyÅ‚a ona SpóÅ‚ce, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z niÄ… zawartej, w systemach informatycznych SpóÅ‚ki.

11.11. Sprzeciw w szczególnej sytuacji. Jeżeli osoba zgÅ‚osi umotywowany jej szczególnÄ… sytuacjÄ… sprzeciw wzglÄ™dem przetwarzania jej danych, a dane przetwarzane sÄ… przez SpóÅ‚kÄ™ w oparciu o uzasadniony interes SpóÅ‚ki lub o powierzone SpóÅ‚ce zadanie w interesie publicznym, SpóÅ‚ka uwzglÄ™dni sprzeciw, o ile nie zachodzÄ… po stronie SpóÅ‚ki ważne prawnie uzasadnione podstawy do przetwarzania, nadrzÄ™dne wobec interesów, praw i wolnoÅ›ci osoby zgÅ‚aszajÄ…cej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeÅ„.

11.12. Sprzeciw przy badaniach naukowych, historycznych lub celach statystycznych. Jeżeli SpóÅ‚ka prowadzi badania naukowe, historyczne lub przetwarza dane w celach statystycznych, osoba może wnieść umotywowany jej szczególnÄ… sytuacjÄ… sprzeciw wzglÄ™dem takiego przetwarzania. SpóÅ‚ka uwzglÄ™dni taki sprzeciw, chyba że przetwarzanie jest niezbÄ™dne do wykonania zadania realizowanego w interesie publicznym.

11.13. Sprzeciw wzglÄ™dem marketingu bezpoÅ›redniego. Jeżeli osoba zgÅ‚osi sprzeciw wzglÄ™dem przetwarzania jej danych przez SpóÅ‚kÄ™ na potrzeby marketingu bezpoÅ›redniego (w tym ewentualnie profilowania), SpóÅ‚ka uwzglÄ™dni sprzeciw i zaprzestanie takiego przetwarzania.

11.14. Prawo do ludzkiej interwencji przy automatycznym przetwarzaniu. Jeżeli SpóÅ‚ka przetwarza dane w sposób automatyczny, w tym w szczególnoÅ›ci profiluje osoby, i w konsekwencji podejmuje wzglÄ™dem osoby decyzje wywoÅ‚ujÄ…ce skutki prawne lub inaczej istotnie wpÅ‚ywajÄ…ce na osobÄ™, SpóÅ‚ka zapewnia możliwość odwoÅ‚ania siÄ™ do interwencji i decyzji czÅ‚owieka po stronie SpóÅ‚ki, chyba że taka automatyczna decyzja

a) jest niezbÄ™dna do zawarcia lub wykonania umowy miÄ™dzy odwoÅ‚ujÄ…cÄ… siÄ™ osobÄ… a SpóÅ‚kÄ…; lub

b) jest wprost dozwolona przepisami prawa; lub

c) opiera się o wyraźną zgodę odwołującej osoby.

12. Minimalizacja

SpóÅ‚ka dba o minimalizacjÄ™ przetwarzania danych pod kÄ…tem:

a) adekwatnoÅ›ci danych do celów (iloÅ›ci danych i zakresu przetwarzania),

b) dostępu do danych,

c) czasu przechowywania danych.

12.1. Minimalizacja zakresu

12.1.1. SpóÅ‚ka zweryfikowaÅ‚a zakres pozyskiwanych danych, zakres ich przetwarzania i ilość przetwarzanych danych pod kÄ…tem adekwatnoÅ›ci do celów przetwarzania w ramach wdrożenia RODO.

12.1.2. SpóÅ‚ka dokonuje okresowego przeglÄ…du iloÅ›ci przetwarzanych danych i zakresu ich przetwarzania nie rzadziej niż raz na rok.

12.1.3. SpóÅ‚ka przeprowadza weryfikacjÄ™ zmian co do iloÅ›ci i zakresu przetwarzania danych w ramach procedur zarzÄ…dzania zmianÄ… (privacy by design).

12.2. Minimalizacja dostępu

12.2.1. SpóÅ‚ka stosuje ograniczenia dostÄ™pu do danych osobowych: prawne (zobowiÄ…zania do poufnoÅ›ci, zakresy upoważnieÅ„), fizyczne (strefy dostÄ™pu, zamykanie pomieszczeÅ„) i logiczne (ograniczenia uprawnieÅ„ do systemów przetwarzajÄ…cych dane osobowe i zasobów sieciowych, w których rezydujÄ… dane osobowe).

12.2.2. SpóÅ‚ka stosuje kontrolÄ™ dostÄ™pu fizycznego.

12.2.3. SpóÅ‚ka dokonuje aktualizacji uprawnieÅ„ dostÄ™powych przy zmianach w skÅ‚adzie personelu i zmianach ról osób, oraz zmianach podmiotów przetwarzajÄ…cych.

12.2.4. SpóÅ‚ka dokonuje okresowego przeglÄ…du ustanowionych użytkowników systemów i aktualizuje ich nie rzadziej niż raz na rok.

12.2.5. SzczegóÅ‚owe zasady kontroli dostÄ™pu fizycznego i logicznego zawarte sÄ… w procedurach bezpieczeÅ„stwa fizycznego i bezpieczeÅ„stwa informacji SpóÅ‚ki.

12.3. Minimalizacja czasu

12.3.1. SpóÅ‚ka wdraża mechanizmy kontroli cyklu życia danych osobowych w SpóÅ‚ce, w tym weryfikacji dalszej przydatnoÅ›ci danych wzglÄ™dem terminów i punktów kontrolnych wskazanych w Rejestrze.

12.3.2. Dane, których zakres przydatnoÅ›ci ulega ograniczeniu wraz z upÅ‚ywem czasu sÄ… usuwane z systemów produkcyjnych SpóÅ‚ki, jak też z akt podrÄ™cznych i gÅ‚ównych. Dane takie mogÄ… być archiwizowane oraz znajdować siÄ™ na kopiach zapasowych systemów i informacji przetwarzanych przez SpóÅ‚kÄ™. Procedury archiwizacji i korzystania z archiwów, tworzenia i wykorzystania kopii zapasowych uwzglÄ™dniajÄ… wymagania kontroli nad cyklem życia danych, a w tym wymogi usuwania danych.

13. Bezpieczeństwo

SpóÅ‚ka zapewnia stopieÅ„ bezpieczeÅ„stwa odpowiadajÄ…cy ryzyku naruszenia praw i wolnoÅ›ci osób fizycznych wskutek przetwarzania danych osobowych przez SpóÅ‚kÄ™.

13.1. Analizy ryzyka i adekwatnoÅ›ci Å›rodków bezpieczeÅ„stwa

13.1.1. SpóÅ‚ka przeprowadza i dokumentuje analizy adekwatnoÅ›ci Å›rodków bezpieczeÅ„stwa danych osobowych. W tym celu:

(1) SpóÅ‚ka zapewnia odpowiedni stan wiedzy o bezpieczeÅ„stwie informacji, cyberbezpieczeÅ„stwie i ciÄ…gÅ‚oÅ›ci dziaÅ‚ania - wewnÄ™trznie lub ze wsparciem podmiotów wyspecjalizowanych.

(2) SpóÅ‚ka kategoryzuje dane oraz czynnoÅ›ci przetwarzania pod kÄ…tem ryzyka, które przedstawiajÄ….

(3) SpóÅ‚ka przeprowadza analizy ryzyka naruszenia praw lub wolnoÅ›ci osób fizycznych dla czynnoÅ›ci przetwarzania danych lub ich kategorii. SpóÅ‚ka analizuje możliwe sytuacje i scenariusze naruszenia ochrony danych osobowych uwzglÄ™dniajÄ…c charakter, zakres, kontekst i cele przetwarzania, ryzyko naruszenia praw lub wolnoÅ›ci osób fizycznych o różnym prawdopodobieÅ„stwie wystÄ…pienia i wadze zagrożenia.

(4) SpóÅ‚ka ustala możliwe do zastosowania organizacyjne i techniczne Å›rodki bezpieczeÅ„stwa i ocenia koszt ich wdrażania. W tym SpóÅ‚ka ustala przydatność i stosuje takie Å›rodki i podejÅ›cie jak:

a) pseudonimizacja,

b) szyfrowanie danych osobowych,

c) inne Å›rodki cyberbezpieczeÅ„stwa skÅ‚adajÄ…ce siÄ™ na zdolność do ciÄ…gÅ‚ego zapewnienia poufnoÅ›ci, integralnoÅ›ci, dostÄ™pnoÅ›ci i odpornoÅ›ci systemów i usÅ‚ug przetwarzania,

d) Å›rodki zapewnienia ciÄ…gÅ‚oÅ›ci dziaÅ‚ania i zapobiegania skutkom katastrof, czyli zdolnoÅ›ci do szybkiego przywrócenia dostÄ™pnoÅ›ci danych osobowych i dostÄ™pu do nich w razie incydentu fizycznego lub technicznego.

13.2. Oceny skutków dla ochrony danych

13.2.1. SpóÅ‚ka dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych tam, gdzie zgodnie z analizÄ… ryzyka ryzyko naruszenia praw i wolnoÅ›ci osób jest wysokie.

13.2.2. SpóÅ‚ka stosuje metodykÄ™ oceny skutków przyjÄ™tÄ… w SpóÅ‚ce.

13.3. Środki bezpieczeństwa

13.3.1. SpóÅ‚ka stosuje Å›rodki bezpieczeÅ„stwa ustalone w ramach analiz ryzyka i adekwatnoÅ›ci Å›rodków bezpieczeÅ„stwa oraz ocen skutków dla ochrony danych.

13.3.2. Åšrodki bezpieczeÅ„stwa danych osobowych stanowiÄ… element Å›rodków bezpieczeÅ„stwa informacji i zapewnienia cyberbezpieczeÅ„stwa w SpóÅ‚ce i sÄ… bliżej opisane w procedurach przyjÄ™tych przez SpóÅ‚kÄ™ dla tych obszarów.

13.4. Zgłaszanie naruszeń

13.4.1. SpóÅ‚ka stosuje procedury pozwalajÄ…ce na identyfikacjÄ™, ocenÄ™ i zgÅ‚oszenie zidentyfikowanego naruszenia ochrony danych UrzÄ™dowi Ochrony Danych w terminie 72 godzin od ustalenia naruszenia.

14. PrzetwarzajÄ…cy

14.1. SpóÅ‚ka posiada zasady doboru i weryfikacji przetwarzajÄ…cych dane na rzecz SpóÅ‚ki opracowane w celu zapewnienia, aby przetwarzajÄ…cy dawali wystarczajÄ…ce gwarancje wdrożenia odpowiednich Å›rodków organizacyjnych i technicznych dla zapewnienia bezpieczeÅ„stwa, realizacji praw jednostki i innych obowiÄ…zków ochrony danych spoczywajÄ…cych na SpóÅ‚ce.

14.2. SpóÅ‚ka przyjęła minimalne wymagania co do umowy powierzenia przetwarzania danych stanowiÄ…ce ZaÅ‚Ä…cznik nr 2 do Polityki – „Wzór umowy powierzenia przetwarzania danych”.

14.3. SpóÅ‚ka rozlicza przetwarzajÄ…cych z wykorzystania podprzetwarzajÄ…cych, jak też z innych wymagaÅ„ wynikajÄ…cych z Zasad powierzenia danych osobowych.

15. Eksport danych

15.1. SpóÅ‚ka rejestruje w Rejestrze przypadki eksportu danych, czyli przekazywania danych poza Europejski Obszar Gospodarczy (EOG w 2017 r. = Unia Europejska, Islandia, Lichtenstein i Norwegia).

15.2. Aby uniknąć sytuacji nieautoryzowanego eksportu danych w szczególnoÅ›ci w zwiÄ…zku z wykorzystaniem publicznie dostÄ™pnych usÅ‚ug chmurowych (shadow IT), SpóÅ‚ka okresowo weryfikuje zachowania użytkowników oraz w miarÄ™ możliwoÅ›ci udostÄ™pnia zgodne z prawem ochrony danych rozwiÄ…zania równoważne.

16. Projektowanie prywatności

16.1. SpóÅ‚ka zarzÄ…dza zmianÄ… majÄ…cÄ… wpÅ‚yw na prywatność w taki sposób, aby umożliwić zapewnienie odpowiedniego bezpieczeÅ„stwa danych osobowych oraz minimalizacji ich przetwarzania.

16.2. W tym celu zasady prowadzenia projektów przez SpóÅ‚kÄ™ odwoÅ‚ujÄ… siÄ™ do zasad bezpieczeÅ„stwa danych osobowych i minimalizacji, wymagajÄ…c oceny wpÅ‚ywu na prywatność i ochronÄ™ danych, uwzglÄ™dnienia i zaprojektowana bezpieczeÅ„stwa i minimalizacji przetwarzania danych od poczÄ…tku projektu lub inwestycji.

17. Postanowienia końcowe

17.1. Polityka ochrony danych osobowych wchodzi w życie w dniu 01.02.2020

bottom of page