Polityka prywatności

Polityka bezpieczeństwa w zakresie przetwarzania danych osobowych obowiązująca w Matys Development spółka z ograniczoną odpowiedzialnością spółka komandytowa  

 I. WSTĘP

Administrator danych

Matys Development spółka z ograniczoną odpowiedzialnością spółka komandytowa z siedzibą w Szczecinie przy ulicy Wyzwolenia 70, 71 – 506 Szczecin, REGON 528456487, NIP 8513311028 wpisana do krajowego rejestru sądowego prowadzonego przed Sądem Rejonowym Szczecin – Centrum w Szczecinie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem 0001102341 jest Administratorem danych osobowych, adres do doręczeń: ul. Wyzwolenia 70, 71 – 506 Szczecin nr. tel. 91 817 18 15, email: biuro@matysdevelopment.pl

Ustanawia się „Politykę bezpieczeństwa w zakresie przetwarzania danych osobowych” (zwaną dalej: Polityką danych osobowych), której głównym celem jest określenie zasad i kierunków działań oraz okazanie wsparcia dla zapewnienia bezpieczeństwa danych osobowych zarządzanych przez administratora danych.

Polityka danych osobowych określa sposób, w jaki dane osobowe są zarządzane, zabezpieczane i przetwarzane, zarówno w formie papierowej jak i elektronicznej. Do tworzenia i rozwijania zasad Polityki danych osobowych wykorzystywane są obowiązujące w tym zakresie przepisy prawa, normy i standardy oraz doświadczenia płynące ze sprawdzonych rozwiązań praktycznych

Procedury i zasady określone w niniejszym dokumencie stosuje się do wszystkich osób upoważnionych do przetwarzania danych osobowych, zarówno zatrudnionych, współpracujących w innej formie, jak i innych, np. wolontariuszy, praktykantów, stażystów. 

II. DEFINICJE

Matys development sp. z o.o. – Matys Development spółka z ograniczoną odpowiedzialnością z siedzibą w Szczecinie przy ulicy Wyzwolenia 70, 71 – 506 Szczecin, REGON 528382300, NIP 8513310690 wpisana do krajowego rejestru sądowego prowadzonego przed Sądem Rejonowym Szczecin – Centrum w Szczecinie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem 0001100550, reprezentowana przez Prezesa Zarządu Macieja Daniela Matysika, która jest komplementariuszem spółki Matys development sp. z o.o. sp. k.

Matys development sp. z o.o. sp. k. (Spółka) – Matys Development spółka z ograniczoną odpowiedzialnością spółka komandytowa z siedzibą w Szczecinie przy ulicy Wyzwolenia 70,
71 – 506 Szczecin, REGON 528456487, NIP 8513311028 wpisana do krajowego rejestru sądowego prowadzonego przed Sądem Rejonowym Szczecin – Centrum w Szczecinie,
XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem 0001102341, której komplementariuszem uprawnionym do reprezentacji Spółki jest Matys development sp. z o.o.  

Polityka danych osobowych – Polityka bezpieczeństwa w zakresie przetwarzania danych osobowych.

RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

UODO – ustawa o ochronie danych osobowych z dnia 10 maja 2018 r. 

Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Szczególne kategorie danych osobowych (inaczej dane szczególne – dawniej wrażliwe) – oznacza dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne (przetwarzane w celu identyfikacji osoby), dane dotyczących zdrowia, seksualności lub orientacji seksualnej.

Bezpieczeństwo danych osobowych – zapewnienie odpowiedniego poziomu poufności, integralności i dostępności danych osobowych, ochrona danych osobowych przed nieautoryzowanym dostępem, modyfikacją, zatajeniem, kradzieżą i zniszczeniem itp.

Dostępność danych osobowych – właściwość zapewniająca, że osoby upoważnione mają dostęp do danych osobowych i związanych z nią aktywów wtedy, gdy istnieje taka potrzeba.

Integralność danych osobowych – właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany.

Poufność – „funkcja” bezpieczeństwa wskazująca obszar, w którym dane nie powinny być udostępniane lub ujawniane nieuprawnionym osobom, procesom lub innym podmiotom.

Administrator (ADO – Administrator Danych Osobowych) – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania; Administrator danych to taki podmiot, który decyduje o celach i sposobach przetwarzania danych. 

IOD – Inspektor Ochrony Danych – osoba wyznaczona przez Administratora Danych, która nadzoruje proces ochrony danych osobowych

Administrator Systemu Informatycznego (ASI) – osoba, firma lub jednostka opiekująca się od strony informatycznej systemem lub programem informatycznym, sprawująca nad nim nadzór operacyjny, upoważniona do nadawania oraz zdejmowania praw dostępu do jego zasobów, na podstawie zatwierdzonych wniosków..

Osoba upoważniona (Użytkownik) – osoba posiadająca upoważnienie nadane przez Administratora Danych i dopuszczona do przetwarzania danych osobowych w zakresie w nim wskazanym.

Osoba zatrudniona – osoba wykonującą wewnątrz firmy Administratora działania na rzecz Administratora na podstawie zawartej umowy o pracę 

Osoba trzecia – to każda osoba nieupoważniona i przez to nieuprawniona do przetwarzania danych osobowych lub zbiorów tych danych. 

System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania danych osobowych i narzędzi programowych zastosowanych
w celu przetwarzania danych.

Zabezpieczenie danych w systemie informatycznym – rozumie się przez to wdrożenie
i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.

Zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

Zgoda osoby, której dane dotyczą – jest to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych

Usuwanie danych – to zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwala na ustalenie tożsamości osoby, której dane dotyczą.

Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;

Pseudonimująca – oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami  technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

Podmiot przetwarzający (Procesor) – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

Klient – osoba, firma kupująca, korzystająca z usług lub załatwiająca sprawę w Matys Development sp. z o. o. sp. k.

Naruszenie ochrony danych osobowych (Incydent) – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

Organ nadzoru – (PUODO) oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51 RODO i art. 34 UODO odpowiedzialny za monitorowanie stosowania RODO, w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii.

Token – rodzaj indywidualnego Kodu Identyfikującego Użytkownika, który jest niezmienny i  składa się 8 znaków. Token nie może być związany z imieniem, nazwiskiem, datą urodzin, miejscem urodzenia. Token nie ulega zmianie, w przypadku zapomnienia należy postępować jak z nową przyjętym pracownikiem, współpracownikiem.

III. CEL I STRATEGIA OCHRONY DANYCH OSOBOWYCH

Celem wszystkich działań w zakresie zapewnienia bezpieczeństwa danych osobowych jest osiągnięcie takiego poziomu organizacyjnego i technicznego, który:

• zapewni zachowanie poufności, integralności i dostępności danych osobowych,
• zagwarantuje odpowiedni poziom bezpieczeństwa przetwarzanych danych osobowych,
• ograniczy występowanie zagrożeń dla bezpieczeństwa danych osobowych,
• zapewni gotowość do podjęcia działań w sytuacjach kryzysowych.

W celu osiągnięcia ochrony danych osobowych przeprowadzona jest identyfikacja zbiorów danych osobowych, systemów, w których są one przetwarzane oraz obszarów, w których są przetwarzane.

Wyznaczone cele w zakresie ochrony danych osobowych powinny być osiągnięte poprzez: 

1. określenie danych osobowych chronionych ze względu na wymogi prawne,
2. wprowadzenie podziału danych osobowych na zbiory i zarządzanie nimi,
3. określenie organizacyjnych i technicznych wymogów bezpieczeństwa przetwarzania zbiorów danych osobowych,
4. utworzenie struktur organizacyjnych odpowiedzialnych za zarządzanie bezpieczeństwem i przetwarzaniem danych osobowych,
5. standaryzację procedur postępowania oraz opracowanie niezbędnej dokumentacji w postaci zasad zarządzania bezpieczeństwem danych osobowych i systemów ich przetwarzania,
6. wdrożenie rozwiązań technicznych zapewniających wymagany poziom bezpieczeństwa przetwarzanych danych osobowych,
7. monitorowanie działania zabezpieczeń wdrożonych w celu ochrony danych osobowych i ich przetwarzania,
8. propagowanie zasad bezpieczeństwa danych osobowych wśród kierownictwa
   i pracowników,
9. opracowanie i wdrożenie systemu szkolenia pracowników w zakresie bezpieczeństwa przetwarzania danych osobowych i bezpieczeństwa systemów IT.

IV.  INSPEKTOR OCHRONY DANYCH OSOBOWYCH, KOORDYNATOR DS. OCHRONY DANYCH

Na dzień przyjmowania niniejszego dokumentu, Administrator nie stwierdził, aby na podstawie art. 37 ust. 1 RODO był obowiązany do powołania Inspektora Ochrony Danych Osobowych. Nie został powołany również Administrator Systemu Informatycznego. 

Administrator wyznaczy inspektora ochrony danych osobowych („Inspektor”) w przypadku, jeżeli główna działalność Administratora będzie polegać na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO lub Administrator spełni pozostałe wymagania określone powszechnie obowiązującym przepisami (w szczególności w odniesieniu do ilości zatrudnionych). 

V. ZAKRES POLITYKI BEZPIECZEŃSTWA

1. Zgodność z wymogami prawa
   Dane osobowe chronione są zgodnie z wymogami: 
   • Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych
   • Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
2. Zasady ogólne

Oczekuje się, że każdy pracownik przetwarzający dane osobowe będzie unikał wszelkich działań, które mogą narazić interes organizacji, jej klientów lub jakiegokolwiek innego użytkownika. 

Niedopuszczalne są między innymi:

1. nieuzasadnione działania prowadzące do obniżenia dostępności zasobów informatycznych wykorzystywanych do przetwarzania danych osobowych,
2. naruszenie integralności danych osobowych,
3. ujawnianie danych osobowych osobom nieuprawnionym/nieupoważnionym do ich otrzymania,
4. wszelkie działania niezgodne z prawem.

Celowe działanie na szkodę, utrudnianie lub zakłócanie normalnego funkcjonowania obszaru i/lub systemu, ujawnianie danych osobowych, świadome łamanie lub pogwałcenie zasad ujętych w niniejszej Polityce bezpieczeństwa danych osobowych, będą traktowane jako naruszenie podstawowych obowiązków wynikających z zawartej z daną osobą umowy.

Osoby, którym nadano upoważnienia do przetwarzania danych są zobowiązane do postępowania zgodnie z Polityką bezpieczeństwa w zakresie przetwarzania danych osobowych oraz innymi dokumentami, które odwołują się do szeroko rozumianego bezpieczeństwa danych osobowych jaki obowiązuje w Matys Development sp. z o.o. sp. k 

Administrator, przy przetwarzaniu danych osobowych, stosuje następujące zasady: 

1. zasadę zgodności z prawem, rzetelności i przejrzystości – dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą; 
2. zasadę ograniczenia celu przetwarzania – dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
3. zasadę minimalizacji danych – dane osobowe musza być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
4. zasadę prawidłowości – dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;
5. zasadę ograniczonego przechowywania – dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;
6. zasadę integralności i poufności – dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych;
7. zasadę rozliczalności – Administrator jest odpowiedzialny za przestrzeganie przepisów i wykazanie ich stosowania. 

Administrator uwzględniania ochronę danych w fazie projektowania przetwarzania danych osobowych oraz stosuje domyślną ochronę danych zgodnie z przepisami RODO i UODO oraz stosując środki techniczne i organizacyjne opisane w niniejszym dokumencie.

3. Struktura operacyjna w zakresie ochrony danych osobowych

Administrator Danych Osobowych (ADO): 

Administrator danych jest zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, w szczególności przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieupoważnioną, przetwarzaniem z naruszeniem wymagań prawnych oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Administrator Danych Osobowych:

1) prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne;

2) informuje podmioty przetwarzające oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

3) monitoruje przestrzeganie RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

4) udziela na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;

5) współpracuje z organem nadzorczym;

6) pełni funkcję punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach;

7) pełni role punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia;

8) prowadzi rejestr czynności przetwarzania danych osobowych;

9) nie przetwarza szczególnych kategorii danych;

10) odpowiada za bieżącą eksploatację systemów informatycznych zgodnie
z procedurami oraz zapisami umowy pomiędzy stronami, a w szczególności za:

a) wszystkie czynności związane z ich funkcjonowaniem i modernizacją,

b) realizowanie rejestrowania i wyrejestrowywanie z systemu użytkowników oraz prowadzenie rejestru użytkowników wraz z dostępami do systemów informatycznych i poziomu dostępu

c) realizację przydzielania uprawnień do poszczególnych funkcji systemu oraz konfigurację trybu i częstotliwości zmiany haseł,

d) wykonywanie lub monitorowanie procedury kopii zapasowych, w tym zmianę nośników oraz ich właściwe przechowywanie, sprawdzanie poprawności zapisu i likwidację. 

4. Poufność przetwarzania danych osobowych 

1. Przetwarzanie danych osobowych odbywa się wyłącznie z upoważnienia Administratora. Dostęp do danych osobowych mogą mieć osoby, które: a/ są zatrudnione przez Administratora lub b/ zawarły z Administratorem umowę powierzenia przetwarzania danych osobowych lub c/ są upoważnione do przetwarzania danych na podstawie obowiązującego na terytorium Rzeczypospolitej Polskiej aktu prawnego lub d/ są współadministratorami danych osobowych.
2. W przypadku osób zatrudnionych dostęp do przetwarzania danych osobowych mają wyłącznie osoby, które zostały upoważnienie przez Administratora do przetwarzania danych osobowych oraz zostały poinformowane przez Administratora o zasadach przetwarzania danych osobowych
   u Administratora, w szczególności poprzez zapoznanie się z dokumentacją wdrożoną u Administratora w zakresie ochrony danych osobowych, w tym z niniejszym dokumentem.
3. W celu utrzymania odpowiedniego poziomu wiedzy osób upoważnionych do przetwarzania danych osobowych Administrator zapewnia uprzednią informację o zmianach dokumentacji z zakresu przetwarzania danych osobowych i w miarę potrzeby szkolenia z zakresu ochrony danych osobowych. 
4. W celu zapewnienia poufności danych osobowych przetwarzanych u Administratora, Administrator pozyskuje oświadczenia o zachowaniu poufności od osób zatrudnionych oraz osób, które nie są upoważnione do przetwarzania danych osobowych, jednak z uwagi na dostęp do pomieszczeń Administratora mogą mieć dostęp do danych osobowych (np. dotyczy osób sprzątających, które mają dostęp do danych osobowych). 

VI. UMOWY Z PODMIOTAMI ZEWNĘTRZNYMI

Umowy z podmiotami zewnętrznymi działającymi w imieniu lub na rzecz Matys Development Sp. z o.o. sp. k., w wyniku których nastąpi powierzenie przetwarzania danych osobowych w sposób bezpośredni lub pośredni muszą zawierać zapisy zgodne z RODO oraz innymi aktami prawnymi w zakresie ochrony danych osobowych w formie umowy powierzenia przetwarzania danych osobowych lub zapisów do umowy. 

VII. UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH

W Matys Development sp. z o.o. sp. k. do przetwarzania danych osobowych upoważnia się osoby, których zakres odpowiedzialności i obowiązków wiąże się z koniecznością dostępu do danych osobowych w zakresie niezbędnym do pełnienia tych obowiązków.

Każda osoba przetwarzająca dane osobowe zarządzane przez administratora danych posiada odpowiednie upoważnienie zawierające:

• imię i nazwisko,
• data nadania upoważnienia,
• data ustania upoważnienia (dla upoważnień nadawanych okresowo),
• zakres danych, które osoba może przetwarzać (zbiór danych), 
• jeśli dane przetwarzane są elektronicznie – identyfikator w systemie informatycznym.

Opcjonalnie telefon prywatny, e-mail prywatny a w przypadku braku podania tych danych, podanie Tokenu.

VIII. UDOSTĘPNIENIE DANYCH OSOBOWYCH STRONOM TRZECIM

Udostępnianie danych osobowych podmiotom upoważnionym z mocy prawa:

1. do podmiotów upoważnionych z mocy prawa zalicza się podmioty (Sądy, Prokuratura, itp.), którym Matys Development sp. z o.o. sp. k. zobowiązana jest udostępniać dane osobowe na podstawie obowiązujących przepisów prawa,
2. w przypadku udostępniania danych podmiotom upoważnionym z mocy prawa należy udzielić pisemnej odpowiedzi zgodnie z zakresem informacji, o które wystąpił dany podmiot, w terminie do 30 dni od daty wpływu pisma.

Udostępnianie danych osobowych podmiotom nieupoważnionym z mocy prawa:

1. podmioty nieupoważnione z mocy prawa to podmioty inne niż wymienione
   w pkt. 1, muszą złożyć wniosek o udostępnienie w formie pisemnej, 
2. po przeprowadzeniu analizy wiarygodności potrzeby posiadania danych osobowych Administrator podejmuje decyzję odnośnie zasadności udzielenia informacji, a następnie udziela odpowiedzi,

Udostępnianie danych osobowych:

1. przed udostępnieniem danych należy sprawdzić czy osoba wnosząca
   o udzielenie informacji jest uprawniona do ich otrzymania,
2. w przypadku stwierdzenia, że osoba wnosząca o udzielenie informacji nie jest uprawniona do ich otrzymania, powinno się odmówić udzielenia informacji.

IX.  OBOWIĄZEK INFORMACYJNY

1. Administrator, zbierając dane osobowe, przekazuje osobom fizycznym informacje,
   o których mowa w art. 13 i 14 RODO z uwzględnieniem UODO. Administrator podejmuje odpowiednie środki, by w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą wszelkich informacji. Jeżeli osoba, której dane dotyczą tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą. 
2. W przypadku zbierania przez Administratora danych osobowych od osoby, której dane dotyczą, Administrator przekazuje informację, o której mowa w art. 13 RODO podczas pozyskiwania danych, chyba że osoba, której dane dotyczą dysponuje już tymi informacjami. 
3. W przypadku pozyskania przez Administratora danych osobowych w sposób inny niż od osoby, której dane dotyczą, Administrator podaje informację: 
   • w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych,
   • jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
   • jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
4. Postanowienia powyższe nie mają zastosowania, gdy – i w zakresie, w jakim:
   • osoba, której dane dotyczą, dysponuje już tymi informacjami;
   • udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; 
   • pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą lub;
   • dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii Europejskiej lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

5. Administrator udostępnia dane osobowe jedynie w zakresie, w jakim jest to niezbędne do realizacji celu przetwarzania danych osobowych na podstawie przepisów prawa (o czym mowa w rozdziale VIII.) lub na podstawie umowy powierzenia przetwarzania danych osobowych: podmiotom prywatnym, z których usług Administrator korzysta (np. usługi księgowe, usługi prawne). 
6. W przypadku zawierania umów powierzenia przetwarzania danych osobowych, Administrator korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz chroniło prawa osób, których dane dotyczą. 
7. W przypadku sprostowania, usunięcia danych osobowych lub ograniczenia przetwarzania, które Administrator wykona zgodnie z art. 16, 17 i 18 RODO, Administrator informuje każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. 

X. OGÓLNE ZASADY PROWADZENIE KOMUNIKACJI Z OSOBĄ, KTÓREJ DANE DOTYCZĄ

1. Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem prowadzić z osobą, której dane dotyczą wszelką komunikację na podstawie art. 15 – 22 oraz 34 RODO, tj. w przypadku wykonywania przez tę osobę:
   • prawa dostępu do danych osobowych (art. 15 RODO),
   • prawa do sprostowania danych (art. 16 RODO),
   • prawa do usunięcia danych („prawa do bycia zapomnianym”) (art. 17 RODO),
   • prawa do ograniczenia przetwarzania (art. 18 RODO),
   • prawa do przenoszenia danych (art. 20 RODO),
   • prawa do sprzeciwu (art. 21 RODO),
   • prawa do niepodlegania zautomatyzowanemu przetwarzaniu, w tym profilowaniu (art. 22 RODO),

oraz w przypadku powiadomienia osoby, której dane dotyczą o sprostowaniu lub usunięciu lub ograniczeniu przetwarzania danych (art. 19 RODO) oraz zawiadomienia o naruszeniu ochrony danych osobowych (art. 34 RODO). 

2. Administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na podstawie przepisów RODO wskazanych ust. 1 powyżej. 
3. Administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem zgłoszonym przez osobę, której dane dotyczą na podstawie art. 15 – 22 RODO. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania Administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy. 
4. Jeżeli Administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

XI. OPIS STRUKTURY ZBIORÓW DANYCH OSOBOWYCH WSKAZUJĄCY ZWARTOŚĆ POSZCZEGÓLNYCH PÓL INFORMACYJNYCH

Lp.	Nazwa zbioru	Zawartość pól informacyjnych	Podstawa Prawna Przetwarzania
1.	Pracownicy i byli pracownicy	imię, nazwisko, data urodzenia, miejsce zamieszkania, wykształcenie, doświadczenie zawodowe, stosunek do służby wojskowej, telefon, e-mail, wynagrodzenie, numer konta, informacje z rejestru karnego, oznaczenie płci; rodzaj posiadanych uprawnień, dane o poprzednich zatrudnienia; wysokość oraz składowe wynagrodzenia; dane członków rodziny: imię, nazwisko, PESEL, adres; okresy korzystania z urlopów związanych z macierzyństwem; okresy korzystania z świadczeń rehabilitacyjnych; okresy korzystania z urlopów bezpłatnych.	Kodeks pracy – w tym m.in. art. 221 § 2-4 oraz art. 94 pkt 9a KP (ostatnia podstawa prawna wskazuje obowiązek prowadzenia przez pracodawcę dokumentacji pracowniczej),Rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczejRozporządzeniu Ministra Zdrowia i Opieki Społecznej z dnia 30 maja 1996 r. w sprawie prowadzenia badań lekarskich pracowników, zakresu profilaktycznej opieki zdrowotnej nad pracownikami oraz orzeczeń lekarskich wydawanych do celów przewidzianych w Kodeksie pracy,ustawa z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych- np. w zakresie przepisów określających zasady zgłaszania przez pracodawcę swoich pracowników do objęcia obowiązkowym ubezpieczeniem społecznym,ustawa z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych- np. w zakresie przepisów określających zasady zgłaszania pracowników do urzędu skarbowego przez pracodawcę jako płatnika składek,
2	Kandydaci do pracy	imię, nazwisko, data urodzenia, miejsce zamieszkania, doświadczenie zawodowe, stosunek do służby wojskowej, telefon, e-mail, oznaczenie płci; numer i seria dowodu osobistego, umiejętności, zainteresowania, e-mail, obywatelstwo, znajomość języków obcych,	Zgoda kandydata – wyrażona klauzulą dotyczącą przetwarzania danych osobowych art. 221 Kodeksu Pracy (KP) oraz Rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej
3	Nadawcy i odbiorcy korespondencji	Imię i nazwisko, adres, telefon, e-mail, Inne dane zawarte w korespondencji	Zgoda – wyrażona klauzulą dotyczącą przetwarzania danych osobowych Przetwarzanie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą
4	BHP	Imię i nazwisko, imiona rodziców, adres zamieszkania, data urodzin i miejsce, PESEL, numer i seria dowodu osobistego, data zatrudnienia, miejsca pracy, data wypadku, orzeczenia lekarskie, dokumentacja opisująca okoliczności, miejsca i przyczyn wypadku, dokumenty dotyczące właściciela pojazdu, notatka urzędowa o wypadku (kolizji drogowej), numer rejestracyjny samochodu, numer konta, prawo jazdy	art. 2375 Kodeksu pracy oraz Rozporządzenie Ministra Gospodarki i Pracy w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy z dnia 27 lipca 2004 r. – w zakresie odnoszącym się do zasad wykorzystywania danych osobowych w ramach przeprowadzanych szkoleń BHP.Z kolei art. 234, a także akty wykonawcze wydane na podstawie art. 237 § 1 oraz 2 KP, w szczególności Rozporządzenie Rady Ministrów w sprawie ustalania okoliczności i przyczyn wypadków przy pracy z dnia 1 lipca 2009 r., a także Rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 24 maja 2019 r. w sprawie wzoru protokołu ustalenia okoliczności i przyczyn wypadku przy pracy, reguluje zasady i zakres przetwarzanych danych osobowych w ramach ustalania przyczyn i okoliczności wypadku.Innymi podstawami prawnymi mającymi wpływ na zakres i sposób przetwarzania danych w opisywanym zbiorze jest również Rozporządzenie Ministra Pracy i Polityki Społecznej w sprawie szczegółowych zasad oraz trybu uznawania zdarzenia za wypadek w drodze do pracy lub z pracy, sposobu jego dokumentowania, wzoru karty wypadku w drodze do pracy lub z pracy oraz terminu jej sporządzenia z dnia 24 grudnia 2002 r., czy też Rozporządzenie Rady Ministrów z dnia 30 czerwca 2009 r. w sprawie chorób zawodowych.
5	Osoby fizyczne będące stroną umów cywilno – prawnych	Imię, nazwisko, data urodzenia, miejsce zamieszkania, wykształcenie, NIP, telefon, e-mail, numer konta, oznaczenie płci; numer prawa wykonywania zawodu; dane o wynagrodzeniu;	Podstawę prawną przetwarzania danych w tym zbiorze stanowi w pierwszej kolejności art. 6 RODO, ale dodatkowo zastosowanie mają również przepisy ustawy z dnia 29 września 1994 r. o rachunkowości (określające m.in. jak długo ze względów podatkowych należy przechowywać dokumentację związaną z zawarciem konkretnej umowy cywilnoprawnej) czy też ustawa z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych.
6	Pełnomocnictwa	Imię i nazwisko, adres zamieszkania, telefon, Pesel, Nr dowodu	Zgoda – wyrażona klauzulą dotyczącą przetwarzania danych osobowych
7	Monitoring wizyjny	obrazu twarzy, sylwetki, zapisanej wypowiedzi	art. 6 ust. 1 lit. f) RODO
8	Rozmowy telefoniczne	Imię i nazwisko, pesel, adres zamieszkania, dane kontaktowe	Zgoda – wyrażona klauzulą dotyczącą przetwarzania danych osobowych

XII. OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIANIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH

1. Wyznaczono 2 strefy miejsc tworzący obszar przetwarzania danych

Strefa publiczna – (to pomieszczenia, w których przetwarzanie danych osobowych jest incydentalnie, to miejsce spotkań z kontrahentami, miejsca oczekiwania klientów – typu portiernia, poczekalnia, korytarz)

Strefy przetwarzania danych – strefa podstawa – (to pomieszczenia, w których ma miejsce przetwarzanie danych osobowych, polegające np. na modyfikacji, przekazywaniu, zbieraniu, utrwalaniu, przechowywaniu, opracowywaniu, udostępnianiu, usuwaniu danych osobowych w tym również elektronicznym) typu: biura pracowników, biuro obsługi klientów, pomieszczania administracji)

Do obiektów i pomieszczeń strefy podstawowej, w której przetwarzane są dane osobowe jest ograniczony dostęp osób trzecich, poprzez zamykanie pomieszczeń na klucz; szafy, regały w których jest dokumentacja zawierająca dane osobowe są zamykane, 

1. Dane osobowe przechowywane w wersji tradycyjnej (papierowej) są przechowywane po zakończeniu pracy w zamykanych na klucz meblach biurowych, biurkach, szafach, zalecane jest również by pomieszczenia były zamykane na klucz. Klucze winny być zabezpieczone przed dostępem osób nieupoważnionych do przetwarzania danych osobowych.
2. Dane osobowe w wersji papierowej, a także wydruki i kopie, niszczone są w niszczarkach. 
3. Drukowanie, kserowanie dokumentów zawierających dane osobowe winny być odbierane z drukarki, ksera zaraz po wykonaniu tych operacji.
4. Dla danych osobowych przetwarzanych w systemach informatycznych stosuje się następujące zasady:
   • kontrola dostępu do zbiorów danych osobowych,
   • indywidualne identyfikatory użytkowników (pracowników przetwarzających dane osobowe),
   • W celu zabezpieczenia danych osobowych przed ich utratą lub uszkodzeniem, zniekształceniem

3. wdrożono zasady zarządzania kopiami zapasowymi dla wszystkich systemów,
4. wszystkie systemy informatyczne wyposażono w awaryjne zasilanie,
5. wdrożono oprogramowanie antywirusowe,
6. zastosowano środki fizyczne chroniące urządzenia przed osobami nieupoważnionymi oraz zagrożeniami ze strony sił natury.
7. Użytkowników systemów przetwarzających dane osobowe, w tym administratorów systemów teleinformatycznych, obowiązuje następująca polityka haseł:

• minimalna długość hasła wynosi 8 (osiem) znaków,
• zmiana hasła następuje nie rzadziej niż co 30 dni,
• hasło zawiera małe i wielkie litery oraz cyfry lub znaki specjalne.

7. Jeżeli system informatyczny środkami technicznymi nie wymusza ww. zasad, użytkownik zobowiązany jest do przestrzegania powyższych zasad, a tym samym do okresowej zmiany hasła i dobrania odpowiedniej jego długości.
8. W przypadku naprawy, przekazania, likwidacji nośnika (dysk twardy, płyta kompaktowa, dyskietka, taśma magnetyczna), który zawiera dane osobowe podmiotowi nieupoważnionemu do przetwarzania danych, należy zapewnić trwałe wymazanie informacji stanowiących dane osobowe. W przypadku, gdy konieczne jest przekazanie nośników z danymi osobowymi firmie trzeciej należy zgłosić taką potrzebę Administratorowi, który ma za zadanie zapewnić bezpieczeństwo na zgodność z zasadami i wymaganiami prawnymi w zakresie ochrony danych osobowych przekazywanych nośników. Winna być zawarta umowa powierzenia przetwarzania danych.
9. W przypadku korzystania z komputerów przenośnych zawierających dane osobowe poza obszarem przetwarzania danych wyszczególnionym w niniejszej polityce należy zachować szczególną ostrożność podczas używania komputera, w szczególności należy stosować mechanizmy szyfrowania plików, baz danych lub dysków. Po ustaniu konieczności przetwarzania danych na komputerze przenośnym, należy je trwale usunąć.
10. Ekrany komputerów, na których przetwarzane są dane osobowe, są chronione wygaszaczami zabezpieczonymi hasłem. 
11. Monitory należy ustawić tak, aby ograniczyć dostęp do danych osobom nieupoważnionym do przetwarzania danych.
12. Nowo przyjmowani pracownicy, współpracownicy którzy w ramach swoich obowiązków będą przetwarzali dane osobowe, muszą zostać upoważnieni do przetwarzania danych z wykazu zbiorów i są zobowiązani do zapoznania z Podstawowymi zasadami bezpieczeństwa informacji, które zobowiązani są przestrzegać.
13. Wdrożono zabezpieczenia przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej poprzez wykorzystywanie komputerów przenośnych, ups-ów, jak również poprzez prowadzeni back-up danych z komputerów koordynatorów.

XIII.  ZGŁASZANIE NARUSZENIA OCHRONY DANYCH OSOBOWYCH ORGANOWI NADZORCZEMU 

1. W przypadku powzięcia informacji, przez jakąkolwiek osobę zatrudnioną u Administratora lub przez któregokolwiek z odbiorców danych, o jakimkolwiek incydencie, który może doprowadzić do naruszenia ochrony danych osobowych (lub podejrzeniu takiego naruszenia) od jakiejkolwiek osoby lub z jakiegokolwiek źródła, w tym od podmiotu przetwarzającego, osoba, która powzięła taką informacje niezwłocznie informuje o tym fakcie Administratora. Incydentem, o którym mowa powyżej może być jakiekolwiek zdarzenie, które zagraża bezpośrednio lub pośrednio bezpieczeństwu przetwarzania danych osobowych, w tym np. naruszenie bezpieczeństwa fizycznego pomieszczeń lub sprzętów (w szczególności podejrzenie włamania, zalania, zagubienia nośnika z danymi osobowymi) lub próby wyłudzenia danych osobowych przez osoby nieupoważnione.
2. W przypadku stwierdzenia naruszenia ochrony danych osobowych, Administrator, po przeprowadzeniu analizy bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
3. Zgłoszenia dokonuje się do organu nadzorczego. Zgłoszenia dokonuje Administrator. 
4. Zgłoszenie organowi nadzorczemu musi co najmniej:

1. opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
2. zawierać imię i nazwisko oraz dane kontaktowe osoby upoważnionej w imieniu Administratora do kontaktu z organem nadzorczym, od której można uzyskać więcej informacji;
3. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
4. opisywać środki zastosowane lub proponowane przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

5. Jeżeli – i w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki. 
6. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania postanowień niniejszego Rozdziału. 

XIV. ZAWIADOMIENIE OSOBY, KTÓREJ DANE DOTYCZĄ O NARUSZENIU OCHRONY DANYCH OSOBOWYCH

1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
2. Zawiadomienie, o którym mowa w ust. 1 niniejszego Rozdziału, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d) RODO, tj. 

1. zawierać imię i nazwisko oraz dane kontaktowe osoby upoważnionej do kontaktu w takim przypadku przez  Administratora lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
2. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
3. opisywać środki zastosowane lub proponowane przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
4. Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach:

1. Administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
2. Administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;
3. wymagałoby ono niewspółmiernie dużego wysiłku; w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
4. Jeżeli Administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3.

XV. OCENA SKUTKÓW DLA OCHRONY DANYCH

1. W przypadku, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele, z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.
2. Do oceny skutków dla ochron danych osobowych zastosowanie mają przepisy art. 35 RODO oraz procedury wydane przez upoważnione do tego organy. 
3. W razie potrzeby, przynajmniej gdy zmienia się ryzyko wynikające z operacji przetwarzania, Administrator dokonuje przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych.
4. Jeżeli ocena skutków dla ochrony danych, o której mowa w powyżej, wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby Administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania Administrator konsultuje się z organem nadzorczym. 

XVI. PRZEGLĄDY I AKTUALIZACJE POLITYKI

Polityka bezpieczeństwa podlega przeglądowi pod kątem aktualności i stosowalności nie rzadziej niż raz w roku w odstępach 12 – miesięcznych. Przeglądu dokonuje Administrator. 

Polityka bezpieczeństwa podlega aktualizacji każdorazowo w przypadku:

1. likwidacji, utworzenia lub zmiany zawartości informacyjnej zbioru,
2. zmiany lokalizacji zbioru,
3. zmiany systemów informatycznych przetwarzających dane osobowe,
4. zmiany przepisów prawa dotyczącego ochrony danych osobowych, wymagającej aktualizacji polityki,
5. innych znaczących zmian dotyczących danych osobowych w funkcjonowaniu organizacji.

XVII. POSTANOWIENIA KOŃCOWE

Niniejsza Polityka Bezpieczeństwa wchodzi w życie z dniem 24 kwietnia 2024 r. 

XVIII. ZAŁĄCZNIKI

1. Upoważnienie do przetwarzania danych osobowych
2. Wzór klauzuli informacyjnej dotyczącej przetwarzania danych osobowych
3. Rejestr osób upoważnionych do przetwarzania danych osobowych
4. Oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych
5. Zasady obowiązujące pracowników i zleceniobiorców przy przetwarzaniu danych
6. Wzór umowy powierzenia przetwarzania danych osobowych
7. Rejestr czynności przetwarzania danych osobowych 
8. Rejestr naruszeń ochrony danych osobowych
9. Wykaz budynków, pomieszczeń tworzący obszar przetwarzania danych
10. Wykaz programów używanych do przetwarzania danych osobowych 
11. Wykaz zbiorów danych osobowych