Polityka Prywatności
POLITYKA OCHRONY DANYCH OSOBOWYCH
Administrator Danych Osobowych:
Biuro Styl 2000 Marlena Wybieralska
Spis treści
- 1 – Definicje 4
- 2 – Postanowienia Ogólne 5
- 3 – Inspektor Ochrony Danych Osobowych 6
- 4 – Zasady Ochrony Danych Osobowych 7
- 5 – Środki techniczne i organizacyjne 7
- 6 – Rejestr Czynności Przetwarzania 11
- 7 – Rejestr kategorii czynności przetwarzania 12
- 8 – Privacy by design / Privacy by default 12
- 9 – Osoby upoważnione 12
- 10 – Powierzenie przetwarzania danych osobowych 13
- 11 – Żądania osoby, której dane dotyczą 14
- 12 – Zgłaszanie naruszeń 16
- 13 – Postanowienia końcowe 17
- 1 – Definicje
Poniższym pojęciom występującym w niniejszej Dokumentacji nadano znaczenie zgodne z definicjami zawartymi w niniejszym paragrafie:
Administrator Danych Osobowych, Administrator lub ADO – firma Biuro Styl 2000 Marlena Wybieralska, siedziba 62-023 Gądki ul. Jaryszki 9A nr NIP 9720226174, nr REGON 639616841
- Analiza Ryzyka –Analiza ryzyka związanego z przetwarzaniem danych przez ADO, przeprowadzona zgodnie z art. 32 ust. 2 RODO;
- Dane dzieci – dane osobowe odnoszące się do osób, które nie ukończyły 16 roku życia;
- Dane wrażliwe – dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby, a także dane osobowe dotyczące wyroków skazujących i naruszeń prawa;
- IOD lubInspektor Ochrony Danych Osobowych – Inspektor Ochrony Danych w rozumieniu przepisów Rozporządzenia;
- Obszar Przetwarzania – budynki, pomieszczenia lub części pomieszczeń w których przetwarzane są dane osobowe, w szczególności siedziba ADO;
- Organ Nadzorczy – organ nadzorczy w rozumieniu przepisów RODO, w szczególności polski Urząd Ochrony Danych Osobowych;
- Osoba upoważniona – pracownik lub współpracownik ADO, który został upoważniony do przetwarzania danych osobowych;
- Polityka – niniejsza polityka ochrony danych osobowych;
- Procesor – podmiot, któremu ADO powierzył przetwarzanie danych osobowych;
- Rejestr Czynności Przetwarzania – rejestr czynności przetwarzania danych osobowych, o którym mowa w art. 30 RODO ust. 1;
- RozporządzenielubRODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – czyli ogólne rozporządzenie o ochronie danych.;
- Ustawa – polska ustawa o ochronie danych osobowych wraz z właściwymi przepisami wykonawczymi wydanymi na jej podstawie;
- 2 – Postanowienia Ogólne
- Niniejsza dokumentacja stanowi wykaz środków technicznych i organizacyjnych podjętych przez Administratora Danych Osobowych, aby przetwarzanie odbywało się zgodnie z RODO.
- Podjęcie odpowiednich środków zostało poprzedzone przeprowadzeniem analizy ryzyka. Treść dokumentacji zawiera opis środków stosowanych przez Administratora w celu zapewnienia odpowiednich standardów ochrony danych.
- W celu zapewnienia najwyższych standardów ochrony danych osobowych przetwarzanych Administrator w szczególności:
- Przeprowadził Analizę Ryzyka;
- Opracował i wdrożył Politykę;
- Prowadzi Rejestr Czynności Przetwarzania;
- Nadaje i cofa upoważnienia do przetwarzania danych osobowych wszystkim osobom mającym mieć dostęp do przetwarzanych danych osobowych lub mających przetwarzać dane osobowe;
- Prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych;
- W przypadku powierzenia przetwarzania danych osobowych – zawiera stosowne umowy powierzenia.
- Administrator nie występuje w charakterze podmiotu przetwarzającego i nie przyjmuje danych do przetwarzania w imieniu innych administratorów.
- Działalność Administratora, będącego podmiotem prywatnym, polega przede wszystkim na [Działalność w zakresie specjalistycznego projektowania, Sprzedaż detaliczna pozostałej żywności prowadzona w wyspecjalizowanych sklepach, Sprzedaż detaliczna kosmetyków i artykułów toaletowych prowadzona w wyspecjalizowanych sklepach, Sprzedaż detaliczna prowadzona przez domy sprzedaży wysyłkowej lub Internet].
- Administrator nie prowadzi działalności regulowanej, w tym działalności wymagającej zezwoleń, licencji czy koncesji.
- W ramach swojej działalności Administrator nie przetwarza danych osobowych w sposób, który wymagałby przeprowadzenia oceny skutków przetwarzania w rozumieniu przepisów Rozporządzenia.
- 3 – Inspektor Ochrony Danych Osobowych
- Przepisy prawa powszechnie obowiązującego w Polsce, w tym przepisy prawa Unii Europejskiej, nie wymagają wyznaczenia przez ADO Inspektora Ochrony Danych. Oznacza to w szczególności, że:
- ADO nie jest organem lub podmiotem publicznym;
- główna działalność ADO nie polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
- główna działalność ADO nie polega na przetwarzaniu na dużą skalę Danych wrażliwych.
- W ramach swojej działalności ADO może wprawdzie przetwarzać Dane wrażliwe w odniesieniu do swoich pracowników, jednakże będzie to czynił jedynie w tym zakresie, w jakim jest do tego zobowiązany przez przepisy prawa powszechnie obowiązującego i nie stanowi to głównej działalności ADO.
- Administrator odstępuje od dobrowolnego powołania Inspektora Ochrony Danych Osobowych.
- 4 – Zasady Ochrony Danych Osobowych
- Administrator Danych Osobowych przetwarza dane osobowe mając przede wszystkim na celu ochronę danych osobowych oraz poszanowanie praw i wolności osób, których dane osobowe dotyczą, w szczególności stosuje następujące zasady:
-
- Zasadę legalności – zgodnie z którą dane przetwarzane są wyłącznie zgodnie z prawem, w oparciu o właściwą podstawę prawną wynikającą z RODO;
- Zasadę celowości – zgodnie z którą dane przetwarzane są wyłącznie w celu, w jakim zostały prawidłowo zebrane;
- Zasadę adekwatności – zgodnie z którą przetwarzane są wyłącznie dane niezbędne do spełnienia celu przetwarzania;
- Zasadę merytorycznej poprawności – zgodnie z którą przetwarzane są w szczególności dane zgodne ze stanem faktycznym;
- Zasadę rozliczalności – zgodnie z którą dane przetwarzane są w sposób umożliwiający wykazanie zgodności przetwarzania z prawem;
- Zasadę przejrzystego przetwarzania – zgodnie z którą dane przetwarzane są w sposób transparentny dla osób, których dane dotyczą.
- ADO stale monitoruje przestrzeganie zasad przetwarzania danych osobowych.
- 5 – Środki techniczne i organizacyjne
- Administrator Danych Osobowych stosuje następujące środki techniczne mające na celu zapewnienie prawidłowego przetwarzania danych osobowych, w szczególności zapewnienie poufności, dostępności, integralności i rozliczalności przetwarzanych danych:
- Wszystkie pomieszczenia, w których przetwarzane są dane osobowe, są zabezpieczone przy użyciu drzwi zamykanych na klucz lub inny rodzaj zamka zapewniający dostęp do pomieszczenia tylko osobom wyposażonym w klucz lub właściwe urządzenia lub informacje dostępowe;
- Dane osobowe zapisane na trwałych nośnikach, a w szczególności na papierze, przechowuje się wyłącznie w zamkniętych pomieszczeniach w sposób uniemożliwiający zapoznanie się z nimi przez osoby niepowołane
- Dokumenty i nośniki zawierające dane osobowe niszczone są w sposób uniemożliwiający ich odtworzenie, szczególności przy użyciu dedykowanych do tego niszczarek, spełniających właściwe normy bezpieczeństwa;
- Dla każdego użytkownika systemów teleinformatycznych służących do przetwarzania danych osobowych rejestrowany jest odrębny login (identyfikator);
- Dostęp do urządzeń teleinformatycznych służących do przetwarzania danych osobowych (w szczególności komputerów osobistych, smartfonów, tabletów) zabezpieczony jest przy użyciu loginu (identyfikatora) i hasła;
- Wszelkie urządzenia teleinformatyczne służące przetwarzaniu danych osobowych, które mogą być wynoszone poza Obszary Przetwarzania (np. komputery przenośne, smartfony, tablety) są szyfrowane i zabezpieczone w sposób uniemożliwiający dostęp do danych w przypadku zgubienia tych urządzeń;
- Urządzenia teleinformatyczne posiadają zainstalowane aktualne oprogramowanie antywirusowe, a systemy i oprogramowanie jest na bieżąco aktualizowane – celem zabezpieczenia przed nieuprawnionym dostępem przy użyciu oprogramowania szpiegującego;
- Dostęp zdalny do systemów informatycznych realizowany jest przy użyciu połączeń szyfrowanych (VPN, SSH);
- Serwery oraz stacje robocze, na których przetwarzane są dane osobowe wyposażone są w urządzenia podtrzymujące zasilanie, np. zasilacze UPS lub sprawne baterie;
- Na monitorach urządzeń używanych do pracy zastosowane są filtry prywatyzujące, które uniemożliwiają lub znacznie utrudniają osobom postronnym zapoznanie się z treścią znajdującą się na monitorze – treść ta jest dobrze widoczna jedynie dla osoby siedzącej dokładnie naprzeciwko ekranu. W ten sposób minimalizowane jest ryzyko uzyskania dostępu do danych osobowych wyświetlanych na monitorze przez osoby niepowołane;
- Stosowane są funkcje systemowe blokujące dostęp do systemu po czasie bezczynności nie dłuższym niż 5 minut (np. wygaszacze ekranu zabezpieczone hasłem);
- Wszystkie sieci Wi-Fi oraz gniazdka Ethernet zabezpieczone są przed dostępem osób nieupoważnionych.
- ADO stosuje w szczególności następujące środki w celu zabezpieczenia miejsca przetwarzania danych osobowych:
- alarm;
- drzwi zamykane na klucz;
- drzwi antywłamaniowe;
- strefy ograniczonego dostępu;
- Gaśnica
- metalowa szafa zamykana na zamek;
- czujniki dymu.
- Administrator Danych Osobowych stosuje następujące środki organizacyjne mające na celu zapewnienie poufności, integralności i rozliczalności przetwarzanych danych:
- Została opracowana i wdrożona Polityka;
- Administrator stosuje politykę czystego biurka i czystej drukarki, zgodnie z którą na biurkach i urządzeniach (w szczególności drukarkach i kopiarkach) nie powinny znajdować się nieużywane, lub pozostawione bez właściwego nadzoru osoby upoważnionej do przetwarzania danych osobowych, dokumenty i nośniki zawierające dane osobowe;
- Dane osobowe przetwarzane są wyłącznie przez osoby posiadające właściwe upoważnienia nadane przez ADO lub osoby, którym powierzono przetwarzanie danych;
- Osoby upoważnione zostały przeszkolone z zasad ochrony danych osobowych oraz prawidłowego stosowania Polityki i przepisów RODO oraz Ustawy;
- Każda Osoba upoważniona posiada własne dane uwierzytelniające pozwalające jej uzyskać dostęp do danych (login, hasło);
- Przetwarzanie danych osobowych odbywa się w warunkach zabezpieczających te dane przed dostępem osób nieupoważnionych i ich kompromitacją;
- Osoby nieupoważnione mogą przebywać w Obszarach Przetwarzania danych osobowych jedynie w obecności Osób upoważnionych, dbających o zapewnienie bezpieczeństwa przetwarzanych danych osobowych;
- Zabrania się wynoszenia danych osobowych poza Obszar Przetwarzania bez zgody ADO oraz zapewnienia odpowiednich i zgodnych z Polityką warunków bezpieczeństwa przetwarzania danych osobowych jakie obowiązują w Obszarze Przetwarzania, w szczególności zabronione jest wynoszenie danych zapisanych na nośnikach nieszyfrowanych;
- Zachowuje się szczególną ostrożność podczas transportu, przechowywania i użytkowania nośników zawierających dane osobowe.
- Dozwolone jest stosowanie oprogramowania do zarządzania hasłami.
- Nośniki danych osobowych (komputery, dyski twarde, smartfony, urządzenia typu pendrive, itp.) takie jak przechowuje się w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym jak i zabezpieczający je przed uszkodzeniem powodowanym oddziaływaniem czynników zewnętrznych, w szczególności stosując środki zabezpieczeń wskazane w niniejszej Polityce.
- ADO stosuję następującą politykę tworzenia kopii zapasowych oraz ich przechowywania:
- Kopie zapasowe danych osobowych wykonuje się cyklicznie, w zależności od przyrostu danych objętych kopią;
- Osoba sporządzająca kopie zapasowe jest zobowiązana do ich oznaczenia oraz sprawdzenia spójności danych i możliwości ich ponownego odtworzenia;
- Kopie zapasowe danych osobowych w wersji elektronicznej mogą być przechowywane na zewnętrznym nośniku danych, w szczególności w sposób zapewniający ich zabezpieczenie przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem, w tym przed oddziaływaniem czynników zewnętrznych, np. w sejfie lub przez podmiot zewnętrzny, któremu powierzono przetwarzanie danych osobowych;
- Kopie zapasowe przechowuje się przez okres konieczny do zapewnienia właściwego zabezpieczania przetwarzanych danych, każdorazowo określany przez ADO indywidualnie w zależności od charakteru kopii, z uwzględnieniem właściwych przepisów prawa, np. w zakresie przechowywania dokumentów księgowych;
- Po upływie okresu przechowywania kopie zapasowe są trwale niszczone lub anonimizowane.
- 6 – Rejestr Czynności Przetwarzania
- ADO prowadzi Rejestr Czynności Przetwarzania w celu zapewnienia odpowiednich standardów ochrony danych osobowych, a także w celu doprecyzowania i uporządkowania przetwarzanych danych.
- ADO prowadzi Rejestr Czynności Przetwarzania, w którym wyróżnia takie kategorie jak: kategorie osób, których dane są przetwarzane, kategorie przetwarzanych danych, cel przetwarzania danych, kategorie odbiorców, którym dane są/będą ujawnione, a także planowane terminy usunięcia kategorii przetwarzanych danych. Rejestr Czynności Przetwarzania umożliwia ADO sprawowanie należytej kontroli nad przetwarzanymi danymi.
- ADO udostępnia Rejestr czynności przetwarzania na żądanie organu nadzorczego.
- 7 – Rejestr kategorii czynności przetwarzania
- Administrator nie występuje jako podmiot przetwarzający i nie prowadzi rejestru kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO.
- 8 – Privacy by design / Privacy by default
- Wszelkie projekty i rozwiązania prowadzone przez ADO są projektowane z uwzględnieniem przepisów RODO.
- Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, ADO wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą.
- ADO wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. ADO wypełnia obowiązek w odniesieniu do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji dane osoby nieokreślonej liczbie osób fizycznych.
- 9 – Osoby upoważnione
- ADO zapewnia regularne szkolenie Osób upoważnionych w zakresie ochrony danych osobowych.
- Szkolenie Osób upoważnionych może odbywać się w szczególności:
- W trybie samoszkolenia – poprzez zobowiązanie Osoby uprawnionej do stałego podnoszenia kwalifikacji zawodowych;
- W ramach szkoleń wewnętrznych organizowanych przez ADO;
- Poprzez bieżące przekazywanie przez ADO Osobom upoważnionym najważniejszych informacji związanych z ochroną danych osobowych;
- Poprzez zapewnienie możliwości uczestnictwa w szkoleniach, warsztatach, webinarach i innych kursach organizowanych przez podmioty zewnętrzne.
- Na stanowiskach z dostępem do danych osobowych nie następuje częsta rotacja. Takie rozwiązanie pozwala na zachowanie należytych standardów w zakresie ochrony danych przetwarzanych w Przedsiębiorstwie ADO.
- Osoby mające dostęp do danych osobowych nie są uprawnione do przechowywania takich danych na prywatnych urządzeniach. Prowadzi to do zwiększenia poziomu bezpieczeństwa danych osobowych i wyklucza ryzyko niestosowania odpowiednich środków zabezpieczających w urządzeniach prywatnych, a także utraty urządzenia prywatnego z dostępem do danych osobowych, co wpływa na zminimalizowanie zagrożenia.
- Osoby mające dostęp do danych osobowych otrzymują od Administratora stosowne upoważnienia.
- Uprawnienia do przetwarzania danych osobowych nadaje się według następującej procedury:
- Upoważnienia do przetwarzania danych osobowych nadaje ADO;
- Przed nadaniem upoważnienia do przetwarzania danych osobowych ADO zapoznaje osobę upoważnioną z zasadami przetwarzania danych osobowych;
- Osoba posiadająca upoważnienie do przetwarzania danych osobowych podpisuje oświadczenie o zachowaniu poufności danych osobowych do których ma dostęp;
- Uprawnienie rejestrowane jest przez ADO, niezwłocznie po jego nadaniu, ponadto ADO odnotowuje w rejestrze upoważnień fakt cofnięcia upoważnienia;
- 10 – Powierzenie przetwarzania danych osobowych
-
- Dane osobowe mogą być powierzone do przetwarzania przez podmiot zewnętrzny.
- W przypadku potrzeby powierzenia przetwarzania danych osobowych podmiotom zewnętrznym, ADO:
- wybierze tylko takie podmioty, które zapewniają gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, tak by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą;
- powierzy przetwarzanie na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego.
- Umowa lub instrument prawny powinny zawierać co najmniej elementy wymagane przez RODO.
- 11 – Żądania osoby, której dane dotyczą
- W przypadku gdy osoba, której dane dotyczą, zgłosi do ADO żądanie dotyczące:
- dostępu do treści swoich danych osobowych,
- sprostowania swoich danych osobowych,
- usunięcia swoich danych osobowych,
- żądania ograniczenia przetwarzania swoich danych,
- wniesienia sprzeciwu wobec przetwarzania swoich danych,
- żądania przeniesienia swoich danych osobowych,
– żądanie to będzie podlegało weryfikacji przez Osobę upoważnioną.
- Weryfikacja uwzględnia przede wszystkim:
- dążenie do uzyskania niebudzącej wątpliwości informacji o tym, że żądanie pochodzi od osoby, której dane dotyczą;
- dążenie do uzyskania niebudzącej wątpliwości informacji o tym, że zachodzą określone w prawie przesłanki, uzasadniające spełnienie żądania.
- Osoba upoważniona może w szczególności sprawdzić, czy żądanie zostało wysłane z adresu e-mail przypisanego do konta danego użytkownika w usługach ADO.
- W przypadku, gdy weryfikacja tożsamości osoby występującej z żądaniem nie przyniesie rezultatu w postaci uzyskania wiarygodnej informacji o tym, że żądanie pochodzi od osoby, której dane dotyczą, lub Osoba upoważniona poweźmie uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, Osoba upoważniona zwróci się z prośbą do osoby, której dane dotyczą, o przedstawienie dowodów na potwierdzenie swojej tożsamości, z uwzględnieniem rodzaju żądania tej osoby i skutków, jakie może pociągnąć za sobą spełnienie tego żądania.
- W przypadku, gdy osoba zgłaszająca żądanie nie przedstawi dowodów na potwierdzenie swojej tożsamości, lub dowody te nie uwiarygadniają tożsamości tej osoby, Osoba upoważniona odmawia realizacji żądania, informując o tym osobę zgłaszającą żądanie, wskazując podstawę odmowy.
- Osoba upoważniona wykonuje swoje obowiązki wynikające z niniejszego paragrafu w sposób pozwalający na wykazanie ich spełnienia, np. poprzez wiadomości e-mail wysłane do osoby, której dane dotyczą.
- Udzielenie informacji o działaniach podjętych w związku z żądaniem osoby, której dane dotyczą:
- następuje bez zbędnej zwłoki, jednak nie później niż w ciągu 1 miesiąca od otrzymania tego żądania;
- dotyczy zarówno spełnienia żądania, jak i odmowy jego spełnienia;
- jest wolne od opłat.
- Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.
- W przypadku, gdyby Osoba upoważniona nie podjęła działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie, jednak nie później niż w terminie miesiąca od otrzymania żądania, informuje osobę, której dane dotyczą, o:
- powodach niepodjęcia działań;
- możliwości wniesienia skargi do organu nadzorczego;
- możliwości skorzystania ze środków ochrony prawnej przed sądem.
- W przypadku zgłoszenia przez osobę, której dane dotyczą, żądania o skomplikowanym charakterze lub w przypadku zgłoszenia żądań w liczbie powodującej trudności z ich rozpoznaniem w terminie miesiąca od otrzymania, Osoba upoważniona uprawniona jest do przedłużenia terminu na udzielenie informacji osobie, której dane dotyczą, maksymalnie o 2 miesiące. W takim przypadku, w ciągu miesiąca od otrzymania żądania, Osoba upoważniona poinformuje osobę, której dane dotyczą, o przedłużeniu terminu i o jego przyczynach.
- W przypadku zgłoszenia przez osobę, której dane dotyczą, żądań ewidentnie nieuzasadnionych lub nadmiernych, w szczególności ze względu na swój ustawiczny charakter, Osoba upoważniona może:
- pobrać od osoby, której dane dotyczą, rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań;
- odmówić podjęcia działań w związku z żądaniem.
- Osoba upoważniona podejmuje powyższe decyzje z uwzględnieniem faktu, że spoczywa na niej obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter.
- 12 – Zgłaszanie naruszeń
-
- W przypadku naruszenia ochrony danych osobowych, ADO bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je odpowiedniemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
- Zgłoszenie spełnia wymogi określone w RODO.
- Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin ADO dołącza wyjaśnienie przyczyn opóźnienia.
- Administrator dokumentuje wszelkie przypadki naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
- Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ADO bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu, na warunkach wskazanych w RODO, chyba że:
- ADO wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
- ADO zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w niniejszym ustępie;
- zawiadomienie wymagałoby niewspółmiernie dużego wysiłku
– w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
-
- ADO prowadzi rejestr naruszeń ochrony danych osobowych.
- 13 – Postanowienia końcowe
- Niniejsze zasady powinny być przestrzegane przez ADO oraz Osoby upoważnione do przetwarzania danych.
- ADO przeprowadza cykliczną, wewnętrzną, nie rzadziej niż raz na dwa lata, weryfikację zgodności Polityki, a w szczególności zawartych w niej procedur, z aktualnymi praktykami rynkowymi w zakresie ochrony danych osobowych, w szczególności analizuje Politykę pod kątem poprawienia bezpieczeństwa przetwarzanych danych w związku z aktualnym stanem techniki i zasadnością wprowadzenia takich działań.
- Integralną część niniejszej dokumentacji stanowią Rozporządzenie oraz Ustawa, wraz z załącznikami – w aktualnym brzmieniu.