POLITYKA PRYWATNOŚCI

 

1. Postanowienia ogólne

  1. Niniejsza Polityka ochrony danych osobowych (dalej: „Polityka”) określa zasady ochrony danych osobowych oraz stosowane w tym celu środki, obowiązujące w organizacji działalności gospodarczej Viviana Stanley-Kałuża prowadzonej przez Vivianę Stanley-Kałużę pod adresem ul. Prawnicza 24 02-495 Warszawa, wpisanej do Centralnej Ewidencji Informacji o Działalności Gospodarczej, posiadającego NIP: 5223202074, numer REGON: 388805881 (dalej: „Administrator”).
  2. Postanowienia Polityki obejmują wszystkie dane osobowe przetwarzane przez Administratora, niezależnie od podstaw i celów ich przetwarzania, a także ich nośników.
  3. Do przestrzegania postanowień Polityki zobowiązane są następujące osoby (dalej łącznie: „Członkowie Personelu”):
    1. pracownicy Administratora;
    2. osoby współpracujące z Administratorem na podstawie umowy zlecenia, umowy o świadczenie usług, umowy o dzieło albo innej umowy cywilnoprawnej, niezależnie od tego, czy prowadzą one działalność gospodarczą;
    3. stażyści, praktykanci i wolontariusze.
  4. Administrator zobowiązany jest zapoznać Członków Personelu z Polityką oraz innymi dokumentami dotyczącymi ochrony danych osobowych, obowiązującymi w organizacji Administratora.
  5. Nieprzestrzeganie przez Członków Personelu postanowień Polityki oraz innych dokumentów dotyczącymi ochrony danych osobowych może stanowić podstawę ich odpowiedzialności dyscyplinarnej, karnej, administracyjnej lub cywilnej.
  6. Polityka jest dokumentem wewnętrznym i nie może być ujawniana podmiotom trzecim bez uprzedniej zgody Administratora.

 

2. Definicje

Użyte w Polityce wyrazy pisane wielką literą mają następujące znaczenie:

  1. Administrator – termin zdefiniowany w § 1 ust. 1 Polityki;
  2. Członkowie Personelu – termin zdefiniowany w § 1 ust. 3 Polityki;
  3. Dane wrażliwe – dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej oraz dane dotyczące wyroków skazujących i czynów zabronionych;
  4. Ocena skutków – termin zdefiniowany w § 8 ust. 1 Polityki;
  5. Osoba wspierająca – osoba, której Administrator powierzył wykonywanie całości lub części swoich obowiązków w zakresie ochrony danych osobowych, w szczególności: Inspektor Ochrony Danych, Administrator Systemów Informatycznych, Pełnomocnik;
  6. Podmiot przetwarzający – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora;
  7. Polityka – termin zdefiniowany w § 1 ust. 1 Polityki;
  8. PUODO – Prezes Urzędu Ochrony Danych Osobowych;
  9. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 94/46/WE (Ogólne rozporządzenie o ochronie danych.

 

3. Zasady przetwarzania ochrony danych osobowych

  1. Administrator zobowiązany jest:
    1. przetwarzać dane osobowe zgodnie z prawem, rzetelnie i przejrzyście;
    2. pobierać dane osobowe wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach;
    3. przetwarzać dane osobowe wyłącznie w zakresie niezbędnym do realizacji celów przetwarzania;
    4. dbać o prawidłowość przetwarzanych danych osobowych i w razie potrzeby dokonywać ich aktualizacji, sprostowania lub usunięcia;
    5. przetwarzać dane osobowe wyłącznie przez czas niezbędny do realizacji celów przetwarzania;
    6. stosować środki ochrony danych osobowych zabezpieczające te dane przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.
  2. Tworząc system ochrony danych osobowych w swojej organizacji, Administrator:
    1. identyfikuje ryzyka związane z przetwarzaniem danych osobowych oraz ich wpływ na prawa i wolności osób, których dane dotyczą;
    2. zobowiązany jest szanować prawa osób, których dane dotyczą, oraz ułatwić im realizowanie przysługujących im praw;
    3. przestrzega przepisów aktów prawa powszechnie obowiązującego;
    4. dąży do zapewnienia maksymalnego bezpieczeństwa przetwarzania danych osobowych;
    5. wyczerpująco dokumentuje czynności podejmowane w celu wykonania przewidzianych przez prawo obowiązków w zakresie ochronnych danych osobowych;
    6. projektuje nowe systemy i rozwiązania z uwzględnieniem ochrony danych osobowych jako ich istotnego wymogu;
    7. wdraża jedynie takie środki ochrony danych osobowych, które zapewniają domyślne przetwarzanie jedynie tych danych osobowych, które są niezbędne do realizacji celu przetwarzania, a także zapobiegają domyślnemu udostępnianiu danych osobowych osobom trzecim.

 

4. Obowiązki Administratora

  1. Administrator zobowiązany jest:
    1. wdrożyć i stosować odpowiednie środki ochrony danych osobowych, zabezpieczające je w szczególności przez udostępnieniem osobie nieupoważnionej, a także ich zmianą, utratą, uszkodzeniem lub zniszczeniem;
    2. zarządzać wykorzystywanymi systemami informatycznymi;
    3. prowadzić dokumentację związaną z ochroną danych osobowych, w szczególności:
      • wydawać i przechowywać upoważnienia do przetwarzania danych osobowych,
      • prowadzić rejestr czynności przetwarzania,
      • prowadzić rejestr kategorii czynności przetwarzania (jeżeli jego prowadzenia wymagają przepisy RODO);
    4. podnosić poziom wiedzy i umiejętności Członków Personelu w zakresie ochrony danych osobowych, w szczególności poprzez organizację szkoleń;
    5. nadzorować powierzanie i udostępnianie przetwarzanych danych osobowych podmiotom trzecim oraz dbać o zgodność tych czynności z przepisami prawa;
    6. przekazywać osobom, których dane dotyczą, informacje wymagane przez przepisy RODO;
    7. obsługiwać żądania dotyczące danych osobowych wnoszone przez osoby, których dane dotyczą;
    8. dokonywać Oceny skutków (jeżeli wymagają jej przepisy RODO);
    9. podejmować działania przewidziane w Polityce na wypadek naruszenia ochrony danych osobowych.
  2. Wykonywanie całości lub części obowiązków wskazanych w ust. 1 powyżej, Administrator może powierzyć Osobie lub Osobom wspierającym, w szczególności:
    1. Inspektorowi Ochrony Danych;
    2. Administratorowi Systemów Informatycznych;
    3. Pełnomocnikowi.
  3. Dokonując powierzenia, o którym mowa w ust. 2 powyżej, Administrator zobowiązany jest wydać Osobie wspierającej pisemny dokument określający szczegółowy zakres powierzonych obowiązków.
  4. Powierzenie, o którym mowa ust. 2 powyżej, nie zwalnia Administratora z odpowiedzialności wobec podmiotów trzecich za działania i zaniechania Osoby Wspierającej.

 

5. Obowiązek informacyjny

  1. Wykonanie obowiązku informacyjnego polega na przekazaniu przez Administratora osobie, której dane osobowe dotyczą, następujących informacji:
    1. dane Administratora;
    2. dane kontaktowe Inspektora Ochrony Danych (jeżeli został wyznaczony);
    3. cele przetwarzania danych osobowych;
    4. podstawy prawne przetwarzania danych osobowych;
    5. prawnie uzasadnione interesy realizowane przez Administratora (jeżeli przetwarza dane na tej podstawie);
    6. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
    7. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o podstawie takiego przekazania;
    8. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
    9. prawa przysługujące osobie, której dane osobowe dotyczą, w związku z przetwarzaniem tych danych;
    10. określenie czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane osobowe dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
    11. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane osobowe dotyczą;
    12. źródło pochodzenia danych osobowych (jeżeli nie zostały one pobrane bezpośrednio od osoby, której dotyczą).
  2. Administrator zobowiązany jest wykonać obowiązek informacyjny:
    1. w przypadku pobierania danych osobowych bezpośrednio od osoby, której dotyczą – w chwili ich pobierania;
    2. w przypadku pobierania danych osobowych z innego źródła:
      • w rozsądnym terminie po pozyskaniu danych osobowych, nie później jednak niż w ciągu miesiąca, mając na uwadze konkretne okoliczności przetwarzania danych osobowych,
      • najpóźniej przy pierwszym kontakcie z osobą, której dane dotyczą, jeżeli dane osobowe mają być stosowane do komunikacji z tą osobą,
      • najpóźniej przy pierwszym ujawnieniu danych osobowych, jeżeli planuje się je ujawnić innemu odbiorcy.
    3. W razie zmiany choćby jednej z informacji wskazanych w ust. 1 powyżej, w szczególności celów przetwarzania danych osobowych, Administrator zobowiązany jest niezwłocznie zawiadomić o tym osobę, której dane osobowe dotyczą.
    4. Informacje przekazywane przez Administratora powinny być:
      1. sformułowane jasnym i prostym językiem;
      2. zwięzłe;
      3. zrozumiałe;
      4. przejrzyste;
      5. łatwo dostępne.

 

6. Powierzenie przetwarzania danych osobowych

  1. Powierzenie przetwarzania danych osobowych Podmiotowi przetwarzającemu, wymaga:
    1. zawarcia przez Administratora i Podmiot przetwarzający umowy powierzenia w formie pisemnej;
    2. odnotowania powierzenia w rejestrze czynności przetwarzania.
  2. Administrator może powierzyć przetwarzanie danych osobowych wyłącznie Podmiotowi przetwarzającemu spełniającemu wymagania przewidziane w przepisach RODO oraz dającemu rękojmię należytego wykonania umowy powierzenia.

 

7. Środki ochrony danych osobowych

  1. Środki ochrony danych osobowych stosowane przez Administratora mają na celu zapewnienie:
    1. poufności danych osobowych;
    2. ochrony danych osobowych przed nieautoryzowaną zmianą lub zniszczeniem;
    3. niewątpliwej identyfikacji Członka Personelu dokonującego konkretnej czynności przetwarzania;
    4. dostępności danych osobowych wyłącznie dla osób upoważnionych;
    5. ochrony danych osobowych przed zagrożeniami zidentyfikowanymi przez Administratora.
  2. Wdrażając środki ochronnych danych osobowych, Administrator bierze pod uwagę:
    1. aktualny stan wiedzy technicznej;
    2. ryzyko naruszenia praw i wolności osób, których dane osobowe dotyczą;
    3. charakter, zakres, kontekst i cele przetwarzania;
    4. koszty wdrożenia tych środków.
  3. Środki ochrony danych osobowych dzielą się na:
    1. środki ochrony fizycznej;
    2. środki ochrony informatycznej i telekomunikacyjnej;
    3. środki ochrony w ramach oprogramowania i baz danych;
    4. środki personalne;
    5. środki organizacyjne.
  4. Administrator prowadzi i na bieżąco aktualizuje Wykaz środków ochrony danych osobowych, zawierający wyliczenie środków wdrożonych w jego organizacji.
  5. W celu zapewnienia ochrony danych osobowych w toku bieżącej działalności Administratora, Administrator ustanawia Regulamin bezpieczeństwa dla Członków Personelu.

 

8. Ocena skutków dla ochrony danych osobowych

  1. W przypadku, gdy dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (dalej: „Ocena skutków”).
  2. Administrator dokonuje Oceny skutków w szczególności w przypadku, gdy planowane przetwarzanie ma polegać na:
    1. dokonywaniu systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, opierającej się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, która ma być podstawą wydawania decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
    2. przetwarzaniu na dużą skalę Danych wrażliwych;
    3. systematycznego monitorowaniu na dużą skalę miejsc dostępnych publicznie.
  3. Jeżeli Ocena skutków wykaże, że przetwarzanie danych osobowych w razie niewdrożenia odpowiednich środków minimalizujących powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator jest zobowiązany odbyć konsultacje z PUODO przed rozpoczęciem przetwarzania.

 

9. Postępowanie w przypadku naruszenia ochrony danych osobowych

  1. Członkowie Personelu zobowiązani są niezwłocznie zawiadomić Administratora o każdym wykrytym naruszeniu ochrony danych osobowych lub próbie jego dokonania, w szczególności:
    1. otrzymaniu podejrzanej wiadomości e-mail;
    2. dostrzeżonych śladach włamania do lokalu Administratora;
    3. dostrzeżonym braku dokumentów papierowych lub elektronicznych nośników danych;
    4. nieprawidłowym działaniu systemu informatycznego.
  2. Zawiadomienie, o którym mowa w ust. 1 powyżej, dokonywane jest w sposób gwarantujący jego najszybsze przekazanie, w szczególności za pomocą telefonu lub poczty elektronicznej.
  3. Po otrzymaniu zawiadomienia, o którym mowa w ust. 1 powyżej, Administrator niezwłocznie ustala wystąpienie naruszenia lub jego brak.
  4. W razie ustalenia wystąpienia naruszenia, Administrator niezwłocznie:
    1. podejmuje działania zmierzające do powstrzymania dalszych naruszeń i usunięcia ich skutków;
    2. podejmuje decyzję w przedmiocie zawiadomienia o naruszeniu PUODO lub osób, których dane dotyczą. Decyzja, o której mowa w niniejszej lit. b podejmowana jest na podstawie analizy prawdopodobieństwa naruszenia praw lub wolności osób, których dotyczą dane osobowe dotknięte naruszeniem.
  5. Decyzję o zawiadomieniu PUODO o naruszeniu Administrator podejmuje nie później niż 72 godziny od chwili ustalenia wystąpienia naruszenia.
  6. Administrator może odstąpić od zawiadomienia POUDO o naruszeniu jedynie w przypadku, gdy posiadane informacje dotyczące naruszenia wskazują na niskie prawdopodobieństwo naruszenia praw lub wolności osób, których dotyczą dane osobowe dotknięte naruszeniem.
  7. Zawiadomienie PUODO o naruszeniu musi co najmniej:
    1. opisywać charakter naruszenia, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dotyczą dane osobowe dotknięte naruszeniem, oraz kategorie i przybliżoną liczbę wpisów danych osobowych dotkniętych naruszeniem;
    2. zawierać imię i nazwisko oraz dane kontaktowe Administratora lub Inspektora Ochrony Danych;
    3. opisywać możliwe konsekwencje naruszenia;
    4. opisywać środki zastosowane lub proponowane przez Administratora w celu powstrzymania naruszenia i usunięcia ich skutków;
    5. w przypadku wysłania po upływie 72 godzin od ustalenia wystąpienia naruszenia – wyjaśnienie przyczyn opóźnienia.
  8. Zawiadomienia PUODO o naruszeniu dokonuje się za pomocą formularza dostępnego na stronie internetowej PUODO.
  9. W przypadku, gdy naruszenie powoduje wysokie prawdopodobieństwo naruszenia praw lub wolności osób, których dotyczą dane osobowe dotknięte naruszeniem, Administrator zawiadamia o naruszeniu także te osoby. Zawiadomienie, o którym mowa w zdaniu poprzedzającym, zawiera elementy wskazane w ust. 7 lit. a-d powyżej.
  10. Administrator nie ma obowiązku dokonywania zawiadomienia, o którym mowa w ust. 9 powyżej, w przypadku, gdy:
    1. wdrożone środki ochrony danych osobowych uniemożliwiają osobom nieuprawnionym odczyt danych osobowych dotkniętych naruszeniem;
    2. po wystąpieniu naruszenia zostały zastosowane odpowiednie środki, które wyeliminowały wysokie prawdopodobieństwo naruszenia praw lub wolności osób, których dotyczą dane osobowe dotknięte naruszeniem;
    3. wymagałoby to niewspółmiernie dużego wysiłku.
  11. W przypadku, o którym mowa w ust. 10 lit. b, Administrator wydaje publiczny komunikat lub stosuje inny, podobny środek, zapewniający skuteczne dotarcie informacji o naruszeniu do osób, których dotyczą dane osobowe dotknięte naruszeniem.
  12. Zawiadomienie, o którym mowa w ust. 9 powyżej, dokonywane jest w sposób gwarantujący jego najszybsze przekazanie, w szczególności za pomocą telefonu lub poczty elektronicznej.
  13. W przypadku żądania przez PUODO lub osobę, której dotyczą dane osobowe dotknięte naruszeniem, dodatkowych informacji o naruszeniu, Administrator zobowiązany jest udzielać ich bez zbędnej zwłoki.
  14. Po zakończeniu usuwania lub minimalizacji skutków naruszenia, Administrator zobowiązany jest podjąć działania zapobiegające wystąpieniu podobnych naruszeń w przyszłości, w szczególności:
    1. przeprowadzić audyt wdrożonych środków ochrony danych osobowych;
    2. dokonać ponownej analizy ryzyka zaistnienia naruszenia i jego skutków dla ochrony danych osobowych;
    3. ulepszyć stosowane środki ochrony danych osobowych lub wdrożyć nowe;
    4. wyciągnąć konsekwencje dyscyplinarne względem Członków personelu w razie ich odpowiedzialności za naruszenie.
  15. Administrator odnotowuje wszelkie działania podejmowane w związku z naruszeniem w Rejestrze naruszeń ochrony danych osobowych oraz zabezpiecza dokumentację dotyczącą naruszenia.

 

10. Postanowienia końcowe

  1. W sprawach nieuregulowanych postanowieniami Polityki stosuje się przepisy aktów prawa powszechnie obowiązującego dotyczących ochrony danych osobowych. W przypadku sprzeczności postanowień Polityki z przepisami aktów prawa powszechnie obowiązującego dotyczących ochrony danych osobowych, stosuje się przepisy tych aktów.
  2. Administrator może w każdym czasie dokonać zmiany Polityki. W przypadku zmiany Polityki, Administrator zobowiązany jest zapoznać Członków Personelu z aktualnym brzmieniem Polityki nie później niż 3 dni przed wejściem zmian w życie.
  3. Aktualna wersja Polityki obowiązuje od dnia 11.2022 r.