Administrator danych osobowych / Administrator / ADO: osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

W rozumieniu niniejszej Polityki ochrony danych osobowych Administratorem danych osobowych jest AMAZEMET Sp. z o. o. . z siedzibą w Warszawie, al. Jana Pawła II 27, 00-867 Warszawa.

Administrator systemów informatycznych / ASI: osoba fizyczna lub prawna, wspierająca ADO
w zapewnieniu zgodności działania infrastruktury informatycznej z zasadami ochrony danych osobowych.

EOG / Europejski Obszar Gospodarczy: państwa członkowskie Unii Europejskiej (UE) oraz Norwegia, Lichtenstein i Islandia.

EROD / Europejska Rada Ochrony Danych Osobowych: niezależny organ europejski, który działa na rzecz spójnego stosowania zasad ochrony danych w całej Unii Europejskiej oraz promuje współpracę pomiędzy organami ochrony danych UE. Europejska Rada Ochrony Danych składa się z przedstawicieli krajowych organów ochrony danych i Europejskiego Inspektora Ochrony Danych (EIOD) i zgodnie z art. 70 RODO wydaje wytyczne, zalecenia oraz określa najlepsze praktyki, by zapewnić spójne stosowanie RODO.

KOD (Koordynator ds. ochrony danych): osoba fizyczna, wspierająca ADO w realizacji obowiązków, wynikających z przepisów o ochronie danych osobowych, w tym RODO i Ustawy.

Obszar przetwarzania danych osobowych: teren, na którym ADO dokonuje przetwarzania danych osobowych w formie papierowej lub elektronicznej.

Organ nadzorczy: podmiot odpowiedzialny za nadzór nad przestrzeganiem przepisów RODO. Organem nadzorczym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych.

Podmiot przetwarzający / procesor: osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu i na rzecz ADO.

Prezes Urzędu Ochrony Danych Osobowych / Prezes UODO: organ właściwy do spraw ochrony danych osobowych w Polsce; organ nadzorczy w rozumieniu RODO.

Przepisy o ochronie danych osobowych: obowiązujące przepisy prawa, dotyczące ochrony danych osobowych. Są nimi w szczególności RODO, Ustawa oraz przepisy z branży ADO.

RODO: rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie
o ochronie danych).

Polityka ochrony danych osobowych: niniejszy dokument.

Ustawa: ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.

1. Niniejsza Polityka ochrony danych osobowych jest polityką ochrony danych w rozumieniu art. 24 ust. 2 RODO.
2. Polityka ochrony danych osobowych została opracowana z uwzględnieniem:
   • 1) powszechnie obowiązujących przepisów prawa, związanych z ochroną danych osobowych i bezpieczeństwem informacji, w szczególności RODO,
   • 2) wytycznych Prezesa UODO i innych organów zaangażowanych w ochronę danych osobowych,
   • 3) dobrych praktyk, wytycznych lub standardó branży, którą reprezentuje AMAZEMET Sp. z o. o.
3. Polityka ochrony danych osobowych służy zapewnieniu takiego poziomu bezpieczeństwa przetwarzanych przez Administratora danych osobowych, która uchroni je przed:

• • 1) dostępem osób nieupoważnionych
  • 2) nieuprawnioną zmnianą, utratą, uszkodzeniem lub zniszczeniem.

4. Polityka ochrony danych osobowych jest poddawana okresowym przeglądom. W razie potrzeby dokonuje się stosownych zmian jej treści, uwzględniając w szczególności:

• • 1) przepisy lub wytyczne, o któych mowa w ust. 2 powyżej,
  • 2) aktualny stan wiedzy technicznej,
  • 3) możliwości logistyczne, kadrowe i finansowe Administratora

5. Integralną część Polityki ochrony danych osobowych stanowią załączniki do niej (wskazane
   w rozdziale 8 poniżej). Ponadto ADO może wprowadzać – lub dopuszczać do stosowania – dodatkowe wytyczne, regulaminy lub instrukcje, mające na celu realizację zasad ochrony danych osobowych, wskazanych w Polityce ochrony danych osobowych.

6. Polityka ochrony danych osobowych jest dokumentem wewnętrznym AMAZEMET Sp. z o. o.

Jej treść nie może być udostępniana osobom lub podmiotom nieupoważnionym.

1. ADO zapewnia realizację następujących zasad wykorzystania danych osobowych:The PDC ensures the implementation of the following principles of personal data use:

• • 1) zasada zgodności z prawem, rzetelności i przejrzystości;
    Przetwarzanie danych osobowych musi być zgodne z prawem, rzetelne i przejrzyste dla osoby, której dane dotyczą. Musi istnieć podstawa przetwarzania danych (np. obowiązek prawny, konieczność wykonania umowy, uzasadniony interes lub zgoda osoby, której dane dotyczą), a wszystkie informacje i komunikaty związane z przetwarzaniem danych (skierowane do osób, których dane dotyczą w momencie gromadzenia danych) muszą być łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.
  • 2) zasada celowości (ograniczenie celu);
    Przetwarzanie danych osobowych może odbywać się w konkretnym (sprecyzowanym), wyraźnym (łatwym do zrozumienia) i prawnie uzasadnionym celu (nie może naruszać przepisów prawa). Przetwarzanie danych nie może być kontynuowane, gdy cel w jakim zostały pozyskane zostanie osiągnięty.
  • 3) zasada minimalizacji danych;
    Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Administrator jest uprawniony do przetwarzania danych wyłącznie w zakresie w jakim jest to niezbędne do osiągnięcia celu, w którym są one przetwarzane. Dane nadmiarowe, które nie są potrzebne w konkretnym procesie przetwarzania, są anonimizowane lub usuwane.
  • 4) zasada prawidłowości danych;
    Przetwarzane dane osobowe muszą być prawidłowe (prawdziwe, kompletne i aktualne). Dane, które są nieprawidłowe w świetle celów ich przetwarzania, powinny być niezwłocznie usunięte lub sprostowane.
  • 5) zasada ograniczenia przechowywania danych;
    Dane osobowe mogą być przechowywane w formie umożliwiającej identyfikację danej osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do realizacji celów, w których dane te są przetwarzane. Dane, których okres przechowywania upłynął (i nie ma innych podstaw prawnych do ich przetwarzania), powinny zostać zanonimizowane lub usunięte. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, Administrator ustala termin ich usuwania lub okresowego przeglądu.
  • 6) zasada integralności i poufności;
    Dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
  • 7) zasada rozliczalności;
    Administrator jest odpowiedzialny za przestrzeganie przepisów o ochronie danych osobowych i musi być w stanie wykazać ich przestrzeganie.

2. ADO wykazuje przestrzeganie zasad ochrony danych osobowych w szczególności poprzez:

• • 1) opracowanie i wdrożenie Polityki ochrony danych osobowych,
  • 2) opracowanie i wdrożenie dodatkowych wytycznych, procedur, regulaminów i instrukcji
  • 3) stosowanie papierowych lub elektronicznych wykazów, ewidencji, notatek służbowych lub korespondencji.

1. ADO decyduje o celach i środkach przetwarzania danych osobowych.
2. ADO podejmuje działania, mające na celu zapewnienie:

• • 1) odpowiedniego poziomu bezpieczeństwa danych osobowych,
  • 2) zgodności przetwarzania danych osobowych z zasadami, wskazanymi w rozdziale 1.3 powyżej

3. Działania ADO, o których mowa w ust. 2 powyżej, obejmują w szczególności:

• • 1) wdrażanie odpowiednich rozwiązań organizacyjnych, zabezpieczeń fizycznych i rozwiązań informatycznych (wskazanych w rozdziale 5 i załącznikach do Polityki ochrony danych osobowych),
  • 2) nadawanie upoważnień osobom, które w celach służbowych potrzebują dostępu do danych osobowych,
  • 3) zapewnienie, by KOD był właściwie i niezwłocznie włączny we wszystkie sprawy dotyczące ochrony danych osobowych.

4. Jeżeli osoba, której dane dotyczą, wykaże ADO, że dane osobowe jej dotyczące są niekompletne, nieaktualne, nieprawdziwe, zebrane z naruszeniem prawa lub zbędne do realizacji celu, dla którego je zebrano – ADO jest zobowiązany do podjęcia niezbędnych kroków, mających na celu naprawę tego stanu rzeczy.
5. ADO prowadzi rejestr czynności przetwarzania, zgodnie z art. 30 ust. 1 RODO. Wzór rejestru stanowi załącznik nr 12 do Polityki ochrony danych osobowych.
6. ADO dokonuje analizy ryzyka czynności przetwarzania danych osobowych, zgodnie z art. 32 ust. 2 ROD. ADO dokonuje także oceny skutków, zgodnie z art. 35 ust. 1 RODO, jeżeli w wyniku analizy zostanie ustalone, że czynność przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych albo gdy taki obowiązek wynika z przepisów prawa lub wytycznych organu nadzorczego. Analiza ryzyka i ocena skutków dokonywane są zgodnie
   z procedurą, stanowiącą załącznik nr 1 do Polityki ochrony danych osobowych.
7. Jeżeli doszło do naruszenia ochrony danych osobowych, ADO niezwłocznie podejmuje odpowiednie kroki, mające na celu realizację obowiązków opisanych w art. 33-34 RODO. Procedura postępowania z naruszeniami została opisana w rozdziale 6 i załączniku nr 3 do Polityki ochrony danych osobowych.
8. Administrator może podjąć decyzję w zakresie wyznaczenia inspektora ochrony danych lub wyznaczyć osobę wykonującą zadania z zakresu ochrony danych osobowych.
9. Zadanie z zakresu ochrony danych osobowych będą wykonywane przez Koordynatora ds. ochrony danych

1. Do zadań KOD należy wspieranie ADO oraz innych osób i podmiotów zaangażowanych w ochronę danych osobowych, w szczególności poprzez:

• • 1) informowanie o obowiązkach związanych z ochroną danych osobowych i doradzanie w tej sprawie.
  • 2) monitorowanie przestrzegania przepisów oraz polityk w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personel oraz powiązane z tym audyty
  • 3) kompleksową obsługę naruszeń ochrony danych
  • 4) w przypadkach tego wymagających przeprowadzenie dodatkowych audytów zakończeonych raportem i zestawem rekomendacji,
  • 5) nadzór nad zgodnością realizowanych procesów przetwarzania z wymaganiami RODO,
  • 6) opracowanie treści umów, klauzul lub innych dokumentów z zakresu ochrony danych osobowych oraz opiniowanie regulacji wewnętrznych w zakresie zgodności z przepisami o ochronie danych osobowych,
  • 7) doradztwo w zakresie bezpieczeństwa sieci i systemów informatycznych, w zakresie zgodności z przepisami o ochronie danych osobowych,
  • 8) bieżące wsparcie pracowników ADO w zakresie przetwarzania danych osobowych,
  • 9) opracowywanie lub opiniowanie opracowań i aktualizacji polityk ochrony i procedur przetwarzania danych osobowych,
  • 10) prowadzenie rejestru czynności przetwarzania poprzez jego przygotowanie i cykliczną weryfikację,
  • 11) prowadzenie rejestru kategorii czynności przetwarzania poprzez jego przygotowanie i cykliczną weryfikację,
  • 12) przygotowywanie odpowiedzi dla osób, których dane dotyczą w zakresie spraw związanych z przetwarzaniem danych osobowych,
  • 13) konsultacje w projektach wymagających uwzględnienia ochrony danych osobowych w fazie projektowania i przytworzeniu mechanizmów domyślnej ochrony danych,
  • 14) doradztwo w zakresie realizacji oceny skutków dla ochrony danych,
  • 15) monitorowanie poprawności przeprowadzenia oceny skutków dla ochrony danych oraz powziętych na jej podstawie działań,
  • 16) rekomendacje dot. ograniczenia/usunięcia nieprawidłowości w zakresie ochrony danych osobowych,
  • 17) wsparcie ADO w postępowaniach administracyjnych i sądowych dot. ochrony danych osobowych
  • 18) wspieranie ADO w realizacji obowiązków wskazanych w Polityce ochrony danych osobowych i innych dokumentach, wskazanych w rozdziale 1.3 powyżej

1. The PDC may appoint a person cooperating with the PDC (an employee hired as an IT specialist) as the ASI or entrust the performance of the ASI’s duties to an external entity (providing IT services on the basis of a civil law contract).
2. Do zadań ASI należy zapewnienie przestrzegania zasad ochrony danych osobowych, przetwarzanych za pomocą aplikacji, programów, systemów lub urządzeń wykorzystywanych przez ADO, w szczególności przez realizację zadań i działań wskazanych w załączniku nr 8
   do Polityki ochrony danych osobowych.
3. ASI podlega bezpośrednio najwyższemu kierownictwu ADO.
4. Jeżeli ADO nie wyznaczy ASI, za realizację obowiązków wskazanych w ust. 2 powyżej odpowiada najwyższe kierownictwo ADO lub osoba wskazana przez ADO. Wprowadzone u ADO uregulowania, dotyczące ASI, stosuje się wówczas odpowiednio do najwyższego kierownictwa ADO lub osoby wskazanej przez ADO.

1. Do przetwarzania danych u ADO dopuszczone są jedynie osoby upoważnione przez ADO.
2. Upoważnienie jest nadawane zgodnie ze wzorem, stanowiącym załącznik nr 15 do Polityki ochrony danych osobowych oraz procedurą, stanowiącą załącznik nr 14 do Polityki ochrony danych osobowych. ADO może dopuścić, po konsultacji z KOD, nadanie upoważnienia w inny sposób, np. przez zawarcie treści upoważnienia w umowie będącej podstawą współpracy z daną osobą.
3. Po nadaniu upoważnienia do przetwarzania danych osobowych osoba upoważniona otrzymuje od ASI (lub osoby wskazanej przez ASI) dostęp do aplikacji, programów, systemów lub urządzeń niezbędnych do wykonywania jej obowiązków. W trakcie pracy osoba upoważniona jest zobowiązana do przestrzegania zaleceń związanych z pracą w systemach, na komputerach i innych urządzeniach, opisanych w załączniku nr 9 do Polityki ochrony danych osobowych.
4. Osoba upoważniona do przetwarzania danych osobowych jest zobowiązana do:

• • 1) przestrzegania:
    • a) Polityki ochrony danych osobowych,
    • b) innych obowiązujących u ADO wytycznych, regulaminów lub instrukcji dotyczących ochrony danych osobowych,
    • c) poleceń ADO, KOD lub ASI związanych z ochroną danych osobowych
  • 2) zachowania w tajemnicy zarówno danych osobowych, jak i sposonów ich zabezpieczenia,

5. Działanie lub zaniechanie osoby upoważnionej, w wyniku którego doszło do naruszenia przestrzegania procedur lub poleceń, wskazanych w ust. 4 powyżej, może:

• • 1) mieć konsekwencje dyscyplinarne,
  • 2) zachowania w tajemnicy zarówno danych osobowych, jak i sposobów ich zabezpieczania,
  • 3) zgłaszania naruszeń lub podejrzeń naruszeń bezpieczeństwa danych osobowych, zgodnie z procedurą wskazaną w rozdziale 6 Polityki ochrony danych osobowych.

6. Po zakończeniu współpracy z ADO:

• • 1) mieć konsekwencje dyscyplinarne,
  • 2) zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych (w przypadku współpracy na podstawie Kodeksu pracy),

1. Osoby współpracujące z ADO, które w związku z realizacją swoich obowiązków przebywają na obszarze przetwarzania danych osobowych, i których zakres obowiązków nie uzasadnia nadania upoważnienia do przetwarzania danych osobowych, podpisują oświadczenie o poufności, którego wzór stanowi załącznik nr 5 do Polityki ochrony danych osobowych.
2. Osoby, o których mowa w ust. 1 powyżej, w przypadku wejścia w posiadanie danych osobowych lub informacji o ich zabezpieczeniach, są zobowiązane do zachowania tajemnicy w tym zakresie, zarówno w trakcie współpracy z ADO, jak i po jej zakończeniu.
3. Osoby, o których mowa w ust. 1 powyżej, w razie powzięcia informacji o naruszeniu lub podejrzeniu naruszenia ochrony danych osobowych, są zobowiązane do zawiadomienia o tym KOD lub bezpośredniego przełożonego.
4. Jeżeli osoby, o których mowa w ust. 1 powyżej, realizują swoje obowiązki w imieniu i na rzecz kontrahenta, którego łączy z ADO umowa o świadczenie usług, obowiązek wskazany w ust. 1 powyżej może być zastąpiony odpowiednim zobowiązaniem umownym.

1. Przetwarzanie danych osobowych przez ADO jest dopuszczalne w razie istnienia przynajmniej jednej z podstaw, wskazanych w:

• • 1) art. 6 ust. 1 RODO – w zakresie danych osobowych zwykły
  • 2) art. 9 ust. 2 RODO – w zakresie szczególnych kategorii danych,
  • 3) art. 10 RODO – w zakresie danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa.

2. W zakresie przetwarzania danych w oparciu o podstawy wskazane w ust. 1 powyżej ADO wykorzystuje wzory zgód, oświadczeń itp. treści oraz procedur związanych z ich stosowaniem, przygotowane lub zatwierdzone do stosowania przez KOD.
3. W razie wątpliwości dotyczących podstaw prawnych dla przetwarzania danych osobowych ADO dokonuje konsultacji z KOD. Jeżeli:

• • 1) ADO nie dokonuje jeszcze przetwarania danych, kótrego dotyczy wątpliwość – przetwarzanie danych może mieć miejsce dopiero po rozstrzygnięciu wątpliwości,
  • 2) ADO dokonuje już przetwarzania danych, któego dotyczy wątpliwość – do czasu rozstrzygnięcia wątpliwości ADO podejmuje kroki mające na acelu wstrzymanie porzetwarzania danych osobowych.

1. Wobec osób, których dane osobowe ADO przetwarza, powinien być realizowany obowiązek informacyjny – na zasadach określonych w art. 13-14 RODO. W uzasadnionych sytuacjach, uzgodnionych z KOD lub osobą wykonującą zadania z zakresu ochrony danych osobowych, dopuszczalne jest warstwowe spełnianie obowiązku informacyjnego. ADO wykorzystuje w tym zakresie wzory dokumentów (klauzul informacyjnych i procedur z nimi związanych), opracowane lub zatwierdzone do stosowania przez KOD.
2. ADO przyjmuje wnioski z art. 15-22 RODO, związane z prawami osób, których dane dotyczą. Przy realizacji zadań związanych z obsługą wniosków, ADO dba w szczególności o:

• • 1) potwierdzenie tożsamości i uprawnień wnioskodawców,
  • 2) przekazywanie informacji w sposób jasny, czytelny i zrozumiały,
  • 3) łatwość dostęu do danych,
  • 4) udzielenie odpowiedzi na wnioski w terminach wskazanych w art. 12 ust. 3 RODO

3. Procedura realizacji wniosków z art. 15-22 RODO stanowi załącznik nr 10 do Polityki ochrony danych osobowych
4. ADO dokumentuje sposób realizacji praw osób, których dane dotyczą. Dokumentowanie może następować w szczególności przez gromadzenie korespondencji związanej z wnioskami oraz prowadzenie Rejestru realizacji uprawnień podmiotów danych, zgodnie ze wzorem stanowiącym Załącznik nr 11 do Polityki ochrony danych osobowych.

1. ADO jest zobowiązany do przeprowadzenia testu równowagi w przypadku przetwarzania danych osobowych na podstawie prawnie uzasadnionego interesu, tj. przesłanki z art. 6 ust. 1 pkt. f) RODO.
2. Test równowagi powinien zostać przeprowadzony przed rozpoczęciem przetwarzania danych osobowych, a jeżeli taki proces przetwarzania już trwa – w najszybszym możliwym terminie.
3. W teście równowagi należy uwzględnić zasady należytej ochrony interesów i praw podstawowych osób, których dane dotyczą, w tym w szczególności: czy istnieją inne przesłanki legalizujące, czy interes ADO jest uzasadniony, czy przetwarzanie jest konieczne do osiągnięcia celu, czyje interesy przeważają, czynniki gwarantujące równowagę lub przewagę interesów ADO, lub czy będzie możliwa realizacja praw osób, których dane dotyczą. Test równowagi przeprowadza się w oparciu o wzór, który stanowi załącznik nr 18 do Polityki ochrony danych osobowych.
4. Jeżeli w ramach jednego procesu opartego na prawnie uzasadnionym interesie jest realizowanych kilka osobnych czynności określonych w rejestrze czynności przetwarzania, dopuszczalne jest przeprowadzenie jednego wspólnego testu równowagi.
5. ADO dokumentuje sposób realizacji testu równowagi.

3.4 Taking data protection into account during the design phase, default data protection (privacy by design and by default)

1. Ochrona danych osobowych stanowi element obowiązkowo podlegający badaniu przy wdrażaniu nowych usług, produktów, narzędzi lub rozwiązań. Podczas projektowania każdej z nowych usług, produktów, narzędzi lub rozwiązań, a przed ich wdrożeniem, ADO uwzględnia ochronę danych osobowych, jeśli projekt wiąże się z ich przetwarzaniem.
2. ADO wdraża odpowiednie środki techniczne, organizacyjne i informatyczne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.
3. W przypadku gdy narzędzie lub projekt będzie wiązało się z ochroną danych osobowych, ADO każdorazowo wdraża odpowiednie środki techniczne, organizacyjne i informatyczne, (takie jak np. pseudonimizacja), zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą.
4. Przekazywanie danych osobowych w ramach współpracy

z podmiotami zewnętrznymi

W sytuacji w której,

1. ADO przekazuje dane osobowe podmiotowi zewnętrznemu, gdzie ADO decyduje o celach

i środkach wykorzystania danych osobowych – ADO stosuje wytyczne z rozdziału 4.1.1 poniżej,

2. podmiot zewnętrzny przekazuje dane osobowe ADO, gdzie podmiot zewnętrzny decyduje

o celach i środkach wykorzystania danych osobowych – ADO stosuje wytyczne z rozdziału 4.1.2 poniżej,

3. ADO przekazuje dane osobowe podmiotowi zewnętrznemu, gdzie każda ze stron realizuje własne cele wykorzystania danych osobowych – ADO stosuje wytyczne z rozdziału 4.2 poniżej,
4. podmiot zewnętrzny przekazuje dane osobowe ADO, gdzie każda ze stron realizuje własne cele wykorzystania danych osobowych – ADO stosuje wytyczne z rozdziału 4.2 poniżej,
5. ADO wspólnie z podmiotem zewnętrznym lub podmiotami zewnętrznymi wspólnie decydują

o celach wykorzystania danych osobowych – ADO stosuje wytyczne z rozdziału 4.3 poniżej.

1. Ochrona danych osobowych stanowi element obowiązkowo podlegający badaniu przy wdrażaniu nowych usług, produktów, narzędzi lub rozwiązań. Podczas projektowania każdej z nowych usług, produktów, narzędzi lub rozwiązań, a przed ich wdrożeniem, ADO uwzględnia ochronę danych osobowych, jeśli projekt wiąże się z ich przetwarzaniem.
2. ADO wdraża odpowiednie środki techniczne, organizacyjne i informatyczne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.
3. W przypadku gdy narzędzie lub projekt będzie wiązało się z ochroną danych osobowych, ADO każdorazowo wdraża odpowiednie środki techniczne, organizacyjne i informatyczne, (takie jak np. pseudonimizacja), zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą.

W sytuacji w której,

1. ADO przekazuje dane osobowe podmiotowi zewnętrznemu, gdzie ADO decyduje o celach
   i środkach wykorzystania danych osobowych – ADO stosuje wytyczne z rozdziału 4.1.1 poniżej,
2. podmiot zewnętrzny przekazuje dane osobowe ADO, gdzie podmiot zewnętrzny decyduje
   o celach i środkach wykorzystania danych osobowych – ADO stosuje wytyczne z rozdziału 4.1.2 poniżej,
3. ADO przekazuje dane osobowe podmiotowi zewnętrznemu, gdzie każda ze stron realizuje własne cele wykorzystania danych osobowych – ADO stosuje wytyczne z rozdziału 4.2 poniżej,
4. podmiot zewnętrzny przekazuje dane osobowe ADO, gdzie każda ze stron realizuje własne cele wykorzystania danych osobowych – ADO stosuje wytyczne z rozdziału 4.2 poniżej,
5. ADO wspólnie z podmiotem zewnętrznym lub podmiotami zewnętrznymi wspólnie decydują
   o celach wykorzystania danych osobowych – ADO stosuje wytyczne z rozdziału 4.3 poniżej.

4.1.1 ADO jako administrator danych

W sytuacji, gdy ADO powierza przetwarzanie danych osobowych podmiotowi zewnętrznemu jako podmiotowi przetwarzającemu, stosuje się następujące wytyczne:

1. przed rozpoczęciem współpracy ADO weryfikuje, czy podmiot zewnętrzny zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych,
   aby przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Weryfikacja może nastąpić w szczególności poprzez zobowiązanie podmiotu zewnętrznego
   do wypełnienia ankiety, stanowiącej załącznik nr 6 do Polityki ochrony danych osobowych,

2. powierzenie przetwarzania danych osobowych następuje w drodze podpisania umowy powierzenia, aneksu do umowy głównej lub dodania odpowiedniej treści fragmentu do umowy głównej. Wzór umowy powierzenia stanowi załącznik nr 7 do Polityki ochrony danych osobowych (w porozumieniu z KOD możliwe jest wykorzystanie innego wzoru umowy powierzenia,
   w szczególności przekazanego przez drugą stronę umowy).

W sytuacji, gdy podmiot zewnętrzny powierza przetwarzanie danych osobowych ADO jako podmiotowi przetwarzającemu, stosuje się następujące wytyczne:

1. powierzanie przetwarzania danych osobowych następuje w drodze podpisania umowy powierzenia, aneksu do umowy głównej lub dodania odpowiedniej treści fragmentu do umowy głównej. Wzór umowy powierzenia stanowi załącznik nr 7a do Polityki ochrony danych osobowych (w porozumieniu z KOD możliwe jest wykorzystanie innego wzoru umowy powierzenia, w szczególności przekazanego przez drugą stronę umowy),
2. ADO umieszcza informację o fakcie powierzenia przetwarzania w rejestrze kategorii czynności przetwarzania. Wzór rejestru stanowi załącznik nr 13 do Polityki ochrony danych osobowych.

W sytuacji, w której ADO lub podmiot zewnętrzny udostępniają sobie dane osobowe, udostępnienie danych osobowych wymaga podpisania umowy udostępnienia, aneksu do umowy głównej lub dodania odpowiedniej treści fragmentu do umowy głównej. Treść umowy oraz inne obowiązki ADO związane
z udostępnieniem są wcześniej konsultowane przez ADO z KOD.

W sytuacji, gdy ADO staje się współadministratorem danych osobowych, określenie zasad wykorzystania danych osobowych wymaga zawarcia umowy o współadministrowaniu, aneksu do umowy głównej lub dodania odpowiedniej treści fragmentu do umowy głównej. Treść umowy oraz inne obowiązki ADO związane ze współadministrowaniem są wcześniej konsultowane przez ADO z KOD.

1. ADO w ramach dokonywanych operacji na danych osobowych, jest zobowiązany do dokonania analizy czy nie dochodzi do transferu danych poza obszar EOG, a jeśli dochodzi, podejmuje stosowne działania wynikające Polityki ochrony danych.
2. Transfer danych osobowych poza obszar EOG może odbywać się zarówno w formie powierzenia, współadministrowania, jak i udostępnienia danych osobowych.
3. Do transferu danych osobowych poza obszar EOG dochodzi wówczas, gdy

• • 1) następuje fizyczne przekazanie danych osobowych z terytorium EOG do państwa; lub
  • 2) podmiot z terytorium państwa trzeciego ma dostęp do danych osobowych przechowywanych na obszarze EOG (czyli dane osobowe fizycznie nie muszą opuścić EOG); lub
  • 3) następuje reeksport danych osobowych, a więc sytuacja, w której podmiot z państwa trzeciego powierza podmiotowi z obszaru EOG przetwarzanie danych osobowych, a następnie podmiot z obszaru EOG transferuje zwrotnie te dane osobowe do państwa trzeciego. W takiegj sytuacji w zakresie reeksportu dochodzi do transferu danych poza obszar EOG.

4. W przypadku ustalenia, iż w danym procesie przetwarzania danych dochodzi do transferu danych osobowych poza obszar EOG, ADO dokonuje oceny skutków ryzyka transferu danych (TIA – transfer impact assesment). Pierwszym krokiem TIA jest ustalenie przesłanki legalizacyjnej dla takiego transferu danych, zgodnie z art. 45-47 RODO:

• • a) w pierwszej kolejności należy potwierdzić, czy transfer danych poza obszar EOG następuje do krajów, wobec których Komisja Europejska wydała decyzję stwierdzającą odpowiedni poziom ochrony,
  • b) w razie braku decyzji, o której mowa w pkt 1) powyżej, preferowaną przez ADO przesłanką legalizacyjną są standardowe klauzule ochrony danych przyjęte przez Komisję Europejską zgodnie ze wzorem ustawionym w treści Decyzji Wykonawczej Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecichna podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, a także każdej innej decyzji Komisji Europejskiej obowiązującej w przyszłości, w której Komisja przyjmuje nowe wzory standardowych klauzul umownych.

5. Dalszej ocena skutków ryzyka transferu danych poza obszar EOG (TIA) odbywa się w oparciu o plan działania ustanowiony w treści Zaleceń EROD 01/2020 dotyczących środków uzupełniających narzędzia przekazywania w celu zapewnienia zgodności z unijnym stopniem ochrony danych osobowych przyjętych w dniu 10 listopada 2020 r. (a także innych wytycznych EROD dotyczących transferów międzynarodowych, przyjętych w przyszłości).

6. Stopień ochrony danych przy zidentyfikowanych procesach transferu danych poza obszar EOG, ADO ocenia cyklicznie w odpowiednich odstępach czasu, a w każdym przypadku, gdy nastąpiły zmiany, które mogą wpłynąć na stopień ochrony danych osobowych.

7. ADO w przypadku zidentyfikowania transferu danych poza obszar EOG, podaje w klauzuli informacyjnej niezbędne informacje, umieszcza także umieścić odpowiednią informację
w prowadzonym przez siebie rejestrze czynności przetwarzania, zgodnie z wymogiem art. 30 ust. 1 lit. e) RODO.

ADO stosuje w szczególności następujące środki organizacyjne

1. wdrożenie i stosowanie postanowień Polityki ochrony danych osobowych,
2. wdrożenie i stosowanie innych wytycznych, regulaminów, procedur i instrukcji, mających na celu realizację zasad ochrony danych osobowych i bezpieczeństwa informacji,
3. zobowiązanie osób zatrudnionych do zachowania w tajemnicy zarówno danych osobowych,
   jak i sposobów ich zabezpieczenia.
4. wydzielenie dwóch stref bezpieczeństwa w siedzibie ADO, obejmujących pomieszczenia tworzące obszar przetwarzania danych osobowych:

4. • strefa pierwsza:
     • a) pomieszczenie z serwerem, w którym mogą przebywać wyłącznie upoważnienie pracownicy obsługi informatycznej; inne osoby upoważnione do przetwarzania danych osobowych mogą przebywać w tym pomieszczeniu tylko w towarzystwie pracownika obsługi informatycznej. Osoby postronne nie mają dostępu do tego pomieszczenia;
     • b) pomieszczenie informatyków, w którym mogą przebywać wyłącznie upoważnieni pracownicy obsługi informatycznej; inne osoby upoważnione do przetwarzania danych osobowych mogą przebywać w tym pomieszczeniu tylko w towarzystwie pracownika obsługi informatycznej. Osoby postronne nie mają dostępu do tego pomieszczenia;
     • c) pomieszczenie kasy, w którym może przebywać wyłącznie pracownik pełniący funkcję kasjera; inne osoby upoważnione do przetwarzania danych osobowych mogą przebywać w tym pomieszczeniu tylko w towarzystwie kasjera. Osoby postronne nie mają dostępu do tego pomieszczenia;
     • d) pomieszczenia archiwum, w którym może przebywać wyłącznie pracownik pełniący funkcję archiwisty; inne osoby upoważnione do przetwarzania danych osobowych mogą przebywać w tym pomieszczeniu tylko w towarzystwie archiwisty. Osoby postronne nie mają dostępu do tego pomieszczania.
   • strefa druga:
     • a) pozostałe pomieszczenia, do których dostęp mają wszystkie osoby upoważnione do przetwarzania danych osobowych, zgodnie z zakresem obowiązków służbowych. Osoby postronne mają dostęp do pomieszczeń tylko w obecności pracownika posiadającego upoważnienie do przetwarzania danych osobowych lub bez nadzoru pracownika – po uprzednim uzyskaniu zgody najwyższego kierownictwa ADO.
5. zapewnienie kontroli nad działaniem osób upoważnionych do przetwarzania danych osobowych i osób przebywających w obszarze przetwarzania danych osobowych,
6. zapewnienie kontroli nad działaniami osób postronnych, tymczasowo przebywających w obszarze przetwarzania danych osobowych.

1. ADO stosuje w szczególności następujące zabezpieczenia fizyczne:

• • 1) obszar przetwarzania danych jest zabezpieczony przed dostępem osób nieupoważnionych poprzez zastosowanie zamków patentowych, elektronicznych kart dostępu, alarmu przeciwwłamaniowego oraz wideodomofonu
  • 2) zapewnienie osobom zatrudnionym możliwości zamykania na klucz wszystkich pomieszczeń, w których przetwarzane są dane osobowe,
  • 3) zapewnienie osobom zatrudnionym dostępu do szafek, szuflad i szaf zamykanych na klucz,
  • 4) dostęp do niszczarek dokumentów papierowych.

2. W przypadku niszczenia przez ADO większej liczby papierowych lub elektronicznych nośników potwierdzeniem dokonania zniszczenia zgodnie z procedurami bezpieczeństwa jest protokół, którego wzór stanowi załącznik nr 16 do Polityki ochrony danych osobowych.
3. Szczegółowe informacje na temat stosowanych u ADO zabezpieczeń fizycznych znajdują się
   w załączniku nr 17 do Polityki bezpieczeństwa.

1. ADO stosuje w szczególności następujące rozwiązania informatyczne:

• 1) nadawanie i monitorowanie uprawnień w zakresie dostępu do systemu informatycznego, zgodnie z przyjętą procedurą,
• 2) uwierzytelnianie osób pracujących w aplikacjach, programach lub systemach informatycznych (w szczególności z wykorzystaniem loginów i haseł),
• 3) aplikacje, programy lub systemy chroniące przed złośliwym oprogramowaniem,
• 4) szyfrowanie danych przesyłanych przez sieć publiczną,
• 5) środki gwarantujące ciągłą pracę systemów informatycznych,
• 6) środki gwarantujące możliwość odtworzenia danych w razie wystąpienia zdarzenia niepożądanego,
• 7) monitorowanie dostępu do systemu informatycznego, w tym prowadzenie rejestru awarii i naruszeń bezpieczeństwa systemów informatycznych ADO.

2. Szczegółowe informacje na temat stosowanych u ADO rozwiązań informatycznych znajdują się w załączniku nr 8 do Polityki ochrony danych osobowych.

1. Każda osoba upoważniona do przetwarzania danych osobowych jest odpowiedzialna za ich bezpieczeństwo.
2. Każda osoba współpracująca z ADO, podejrzewająca lub stwierdzająca naruszenie ochrony danych osobowych, zobowiązana jest do niezwłocznego zgłoszenia takiego naruszenia. Zgłoszenia dokonuje się na formularzu, którego wzór stanowi załącznik nr 2 do Polityki ochrony danych osobowych lub w inny, uzgodniony z KOD sposób.
3. Zasady postępowania w przypadku podejrzenia lub stwierdzenia naruszenia ochrony danych osobowych opisuje załącznik nr 3 do Polityki ochrony danych osobowych.
4. ADO dokumentuje naruszenia ochrony danych poprzez prowadzenie Ewidencji incydentów, zgodnie z Załącznikiem nr 4 do Polityki Ochrony Danych.

1. Polityka ochrony danych osobowych jest dokumentem wewnętrznym i osoby, które uzyskały wgląd w jej treść, zobowiązane są do zachowania jej w poufności.
2. Polityka ochrony danych osobowych może być udostępniana podmiotom trzecim wyłącznie na podstawie obowiązujących przepisów prawa lub w związku z ważnym interesem Administratora, w formie papierowej.
3. Polityka ochrony danych osobowych obowiązuje od dnia jej wprowadzenia w sposób przyjęty
   u Administratora. Wszelkie zmiany Polityki ochrony danych osobowych obowiązują od dnia ich wprowadzenia w sposób przyjęty u Administratora.
4. Z dniem wprowadzenia Polityki ochrony danych osobowych traci ważność wcześniej obowiązująca w Administratora dokumentacja ochrony danych osobowych.
5. W sprawach nieuregulowanych w Polityce ochrony danych osobowych mają zastosowanie przepisy o ochronie danych osobowych

1. Analiza ryzyka i ocena skutków – wytyczne
2. Formularz zgłoszenia naruszenia
3. Naruszenia – wytyczne
4. Ewidencja incydentów
5. Oświadczenie o poufności – wzór
6. Powierzenie –ankieta dla podmiotu przetwarzającego
7. Umowa powierzenia – wzór (ADO jako administrator danych)
7a Umowa powierzenia – wzór (ADO jako podmiot przetwarzający)
8. Instrukcja zarządzania systemem informatycznym
9. Praca w systemach, na komputerach i innych urządzeniach
10. Procedura realizacji wniosków z RODO
11.Rejestr realizacji uprawnień podmiotów danych – wzór
12. Rejestr czynności przetwarzania (RCP) – wzór
13. Rejestr kategorii czynności przetwarzania (RKCP) –wzór
14. Upoważnienie do przetwarzania danych osobowych – procedura
15. Upoważnienie do przetwarzania danych osobowych – wzór
16. Wzór protokołu likwidacji dokumentów, nośników lub sprzętu
17. Zabezpieczenia fizyczne
18.Test równowagi – wzór