Polityka Prywatności

 

POLITYKA OCHRONY DANYCH OSOBOWYCH

Administrator Danych Osobowych:

Biuro Styl 2000 Marlena Wybieralska  

Spis treści

  • 1 – Definicje 4
  • 2 – Postanowienia Ogólne 5
  • 3 – Inspektor Ochrony Danych Osobowych 6
  • 4 – Zasady Ochrony Danych Osobowych 7
  • 5 – Środki techniczne i organizacyjne 7
  • 6 – Rejestr Czynności Przetwarzania 11
  • 7 – Rejestr kategorii czynności przetwarzania 12
  • 8 – Privacy by design / Privacy by default 12
  • 9 – Osoby upoważnione 12
  • 10 – Powierzenie przetwarzania danych osobowych 13
  • 11 – Żądania osoby, której dane dotyczą 14
  • 12 – Zgłaszanie naruszeń 16
  • 13 – Postanowienia końcowe 17

 

  • 1 – Definicje

Poniższym pojęciom występującym w niniejszej Dokumentacji nadano znaczenie zgodne z definicjami zawartymi w niniejszym paragrafie:

Administrator Danych Osobowych, Administrator lub ADO – firma Biuro Styl 2000 Marlena Wybieralska, siedziba 62-023 Gądki ul. Jaryszki 9A nr NIP 9720226174, nr REGON 639616841

  1. Analiza Ryzyka –Analiza ryzyka związanego z przetwarzaniem danych przez ADO, przeprowadzona zgodnie z art. 32 ust. 2 RODO;
  2. Dane dzieci – dane osobowe odnoszące się do osób, które nie ukończyły 16 roku życia;
  3. Dane wrażliwe – dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby, a także dane osobowe dotyczące wyroków skazujących i naruszeń prawa;
  4. IOD lubInspektor Ochrony Danych Osobowych – Inspektor Ochrony Danych w rozumieniu przepisów Rozporządzenia;
  5. Obszar Przetwarzania – budynki, pomieszczenia lub części pomieszczeń w których przetwarzane są dane osobowe, w szczególności siedziba ADO;
  6. Organ Nadzorczy – organ nadzorczy w rozumieniu przepisów RODO, w szczególności polski Urząd Ochrony Danych Osobowych;
  7. Osoba upoważniona – pracownik lub współpracownik ADO, który został upoważniony do przetwarzania danych osobowych;
  8. Polityka – niniejsza polityka ochrony danych osobowych;
  9. Procesor – podmiot, któremu ADO powierzył przetwarzanie danych osobowych;
  10. Rejestr Czynności Przetwarzania – rejestr czynności przetwarzania danych osobowych, o którym mowa w art. 30 RODO ust. 1;
  11. RozporządzenielubRODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – czyli ogólne rozporządzenie o ochronie danych.;
  12. Ustawa – polska ustawa o ochronie danych osobowych wraz z właściwymi przepisami wykonawczymi wydanymi na jej podstawie;

 

  • 2  – Postanowienia Ogólne
  1. Niniejsza dokumentacja stanowi wykaz środków technicznych i organizacyjnych podjętych przez Administratora Danych Osobowych, aby przetwarzanie odbywało się zgodnie z RODO.
  2. Podjęcie odpowiednich środków zostało poprzedzone przeprowadzeniem analizy ryzyka. Treść dokumentacji zawiera opis środków stosowanych przez Administratora w celu zapewnienia odpowiednich standardów ochrony danych.
  3. W celu zapewnienia najwyższych standardów ochrony danych osobowych przetwarzanych Administrator w szczególności:
    1. Przeprowadził Analizę Ryzyka;
    2. Opracował i wdrożył Politykę;
    3. Prowadzi Rejestr Czynności Przetwarzania;
    4. Nadaje i cofa upoważnienia do przetwarzania danych osobowych wszystkim osobom mającym mieć dostęp do przetwarzanych danych osobowych lub mających przetwarzać dane osobowe;
    5. Prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych;
    6. W przypadku powierzenia przetwarzania danych osobowych – zawiera stosowne umowy powierzenia.
  4. Administrator nie występuje w charakterze podmiotu przetwarzającego i nie przyjmuje danych do przetwarzania w imieniu innych administratorów.
  5. Działalność Administratora, będącego podmiotem prywatnym, polega przede wszystkim na [Działalność w zakresie specjalistycznego projektowania, Sprzedaż detaliczna pozostałej żywności prowadzona w wyspecjalizowanych sklepach, Sprzedaż detaliczna kosmetyków i artykułów toaletowych prowadzona w wyspecjalizowanych sklepach, Sprzedaż detaliczna prowadzona przez domy sprzedaży wysyłkowej lub Internet].
  6. Administrator nie prowadzi działalności regulowanej, w tym działalności wymagającej zezwoleń, licencji czy koncesji.
  7. W ramach swojej działalności Administrator nie przetwarza danych osobowych w sposób, który wymagałby przeprowadzenia oceny skutków przetwarzania w rozumieniu przepisów Rozporządzenia.

 

  • 3 – Inspektor Ochrony Danych Osobowych
  1. Przepisy prawa powszechnie obowiązującego w Polsce, w tym przepisy prawa Unii Europejskiej, nie wymagają wyznaczenia przez ADO Inspektora Ochrony Danych. Oznacza to w szczególności, że:
  2. ADO nie jest organem lub podmiotem publicznym;
  3. główna działalność ADO nie polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  4. główna działalność ADO nie polega na przetwarzaniu na dużą skalę Danych wrażliwych.
  5. W ramach swojej działalności ADO może wprawdzie przetwarzać Dane wrażliwe w odniesieniu do swoich pracowników, jednakże będzie to czynił jedynie w tym zakresie, w jakim jest do tego zobowiązany przez przepisy prawa powszechnie obowiązującego i nie stanowi to głównej działalności ADO.
  6. Administrator odstępuje od dobrowolnego powołania Inspektora Ochrony Danych Osobowych.
  • 4 – Zasady Ochrony Danych Osobowych
  1. Administrator Danych Osobowych przetwarza dane osobowe mając przede wszystkim na celu ochronę danych osobowych oraz poszanowanie praw i wolności osób, których dane osobowe dotyczą, w szczególności stosuje następujące zasady:
    1. Zasadę legalności – zgodnie z którą dane przetwarzane są wyłącznie zgodnie z prawem, w oparciu o właściwą podstawę prawną wynikającą z RODO;
    2. Zasadę celowości – zgodnie z którą dane przetwarzane są wyłącznie w celu, w jakim zostały prawidłowo zebrane;
    3. Zasadę adekwatności – zgodnie z którą przetwarzane są wyłącznie dane niezbędne do spełnienia celu przetwarzania;
    4. Zasadę merytorycznej poprawności – zgodnie z którą przetwarzane są w szczególności dane zgodne ze stanem faktycznym;
    5. Zasadę rozliczalności – zgodnie z którą dane przetwarzane są w sposób umożliwiający wykazanie zgodności przetwarzania z prawem;
    6. Zasadę przejrzystego przetwarzania – zgodnie z którą dane przetwarzane są w sposób transparentny dla osób, których dane dotyczą.
  2. ADO stale monitoruje przestrzeganie zasad przetwarzania danych osobowych.
  • 5 – Środki techniczne i organizacyjne
  1. Administrator Danych Osobowych stosuje następujące środki techniczne mające na celu zapewnienie prawidłowego przetwarzania danych osobowych, w szczególności zapewnienie poufności, dostępności, integralności i rozliczalności przetwarzanych danych:
    1. Wszystkie pomieszczenia, w których przetwarzane są dane osobowe, są zabezpieczone przy użyciu drzwi zamykanych na klucz lub inny rodzaj zamka zapewniający dostęp do pomieszczenia tylko osobom wyposażonym w klucz lub właściwe urządzenia lub informacje dostępowe;
    2. Dane osobowe zapisane na trwałych nośnikach, a w szczególności na papierze, przechowuje się wyłącznie w zamkniętych pomieszczeniach w sposób uniemożliwiający zapoznanie się z nimi przez osoby niepowołane
    3. Dokumenty i nośniki zawierające dane osobowe niszczone są w sposób uniemożliwiający ich odtworzenie, szczególności przy użyciu dedykowanych do tego niszczarek, spełniających właściwe normy bezpieczeństwa;
    4. Dla każdego użytkownika systemów teleinformatycznych służących do przetwarzania danych osobowych rejestrowany jest odrębny login (identyfikator);
    5. Dostęp do urządzeń teleinformatycznych służących do przetwarzania danych osobowych (w szczególności komputerów osobistych, smartfonów, tabletów) zabezpieczony jest przy użyciu loginu (identyfikatora) i hasła;
    6. Wszelkie urządzenia teleinformatyczne służące przetwarzaniu danych osobowych, które mogą być wynoszone poza Obszary Przetwarzania (np. komputery przenośne, smartfony, tablety) są szyfrowane i zabezpieczone w sposób uniemożliwiający dostęp do danych w przypadku zgubienia tych urządzeń;
    7. Urządzenia teleinformatyczne posiadają zainstalowane aktualne oprogramowanie antywirusowe, a systemy i oprogramowanie jest na bieżąco aktualizowane – celem zabezpieczenia przed nieuprawnionym dostępem przy użyciu oprogramowania szpiegującego;
    8. Dostęp zdalny do systemów informatycznych realizowany jest przy użyciu połączeń szyfrowanych (VPN, SSH);
    9. Serwery oraz stacje robocze, na których przetwarzane są dane osobowe wyposażone są w urządzenia podtrzymujące zasilanie, np. zasilacze UPS lub sprawne baterie;
    10. Na monitorach urządzeń używanych do pracy zastosowane są filtry prywatyzujące, które uniemożliwiają lub znacznie utrudniają osobom postronnym zapoznanie się z treścią znajdującą się na monitorze – treść ta jest dobrze widoczna jedynie dla osoby siedzącej dokładnie naprzeciwko ekranu. W ten sposób minimalizowane jest ryzyko uzyskania dostępu do danych osobowych wyświetlanych na monitorze przez osoby niepowołane;
    11. Stosowane są funkcje systemowe blokujące dostęp do systemu po czasie bezczynności nie dłuższym niż 5 minut (np. wygaszacze ekranu zabezpieczone hasłem);
    12. Wszystkie sieci Wi-Fi oraz gniazdka Ethernet zabezpieczone są przed dostępem osób nieupoważnionych.
  2. ADO stosuje w szczególności następujące środki w celu zabezpieczenia miejsca przetwarzania danych osobowych:
    1. alarm;
    2. drzwi zamykane na klucz;
    3. drzwi antywłamaniowe;
    4. strefy ograniczonego dostępu;
    5. Gaśnica
    6. metalowa szafa zamykana na zamek;
    7. czujniki dymu.
  3. Administrator Danych Osobowych stosuje następujące środki organizacyjne mające na celu zapewnienie poufności, integralności i rozliczalności przetwarzanych danych:
    1. Została opracowana i wdrożona Polityka;
    2. Administrator stosuje  politykę czystego biurka i czystej drukarki, zgodnie z którą na biurkach i urządzeniach (w szczególności drukarkach i kopiarkach) nie powinny znajdować się nieużywane, lub pozostawione bez właściwego nadzoru osoby upoważnionej do przetwarzania danych osobowych, dokumenty i nośniki zawierające dane osobowe;
    3. Dane osobowe przetwarzane są wyłącznie przez osoby posiadające właściwe upoważnienia nadane przez ADO lub osoby, którym powierzono przetwarzanie danych;
    4. Osoby upoważnione zostały przeszkolone z zasad ochrony danych osobowych oraz prawidłowego stosowania Polityki i przepisów RODO oraz Ustawy;
    5. Każda Osoba upoważniona posiada własne dane uwierzytelniające pozwalające jej uzyskać dostęp do danych (login, hasło);
    6. Przetwarzanie danych osobowych odbywa się w warunkach zabezpieczających te dane przed dostępem osób nieupoważnionych i ich kompromitacją;
    7. Osoby nieupoważnione mogą przebywać w Obszarach Przetwarzania danych osobowych jedynie w obecności Osób upoważnionych, dbających o zapewnienie bezpieczeństwa przetwarzanych danych osobowych;
    8. Zabrania się wynoszenia danych osobowych poza Obszar Przetwarzania bez zgody ADO oraz zapewnienia odpowiednich i zgodnych z Polityką warunków bezpieczeństwa przetwarzania danych osobowych jakie obowiązują w Obszarze Przetwarzania, w szczególności zabronione jest wynoszenie danych zapisanych na nośnikach nieszyfrowanych;
    9. Zachowuje się szczególną ostrożność podczas transportu, przechowywania i użytkowania nośników zawierających dane osobowe.
    10. Dozwolone jest stosowanie oprogramowania do zarządzania hasłami.
  4. Nośniki danych osobowych (komputery, dyski twarde, smartfony, urządzenia typu pendrive, itp.)  takie jak przechowuje się w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym jak i zabezpieczający je przed uszkodzeniem powodowanym oddziaływaniem czynników zewnętrznych, w szczególności stosując środki zabezpieczeń wskazane w niniejszej Polityce.
  5. ADO stosuję następującą politykę tworzenia kopii zapasowych oraz ich przechowywania:
    1. Kopie zapasowe danych osobowych wykonuje się cyklicznie, w zależności od przyrostu danych objętych kopią;
    2. Osoba sporządzająca kopie zapasowe jest zobowiązana do ich oznaczenia oraz sprawdzenia spójności danych i możliwości ich ponownego odtworzenia;
    3. Kopie zapasowe danych osobowych w wersji elektronicznej mogą być przechowywane na zewnętrznym nośniku danych, w szczególności w sposób zapewniający ich zabezpieczenie przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem, w tym przed oddziaływaniem czynników zewnętrznych, np. w sejfie lub przez podmiot zewnętrzny, któremu powierzono przetwarzanie danych osobowych;
    4. Kopie zapasowe przechowuje się przez okres konieczny do zapewnienia właściwego zabezpieczania przetwarzanych danych, każdorazowo określany przez ADO indywidualnie w zależności od charakteru kopii, z uwzględnieniem właściwych przepisów prawa, np. w zakresie przechowywania dokumentów księgowych;
    5. Po upływie okresu przechowywania kopie zapasowe są trwale niszczone lub anonimizowane.
  • 6 – Rejestr Czynności Przetwarzania
  1. ADO prowadzi Rejestr Czynności Przetwarzania w celu zapewnienia odpowiednich standardów ochrony danych osobowych, a także w celu doprecyzowania i uporządkowania przetwarzanych danych.
  2. ADO prowadzi Rejestr Czynności Przetwarzania, w którym wyróżnia takie kategorie jak: kategorie osób, których dane są przetwarzane, kategorie przetwarzanych danych, cel przetwarzania danych, kategorie odbiorców, którym dane są/będą ujawnione, a także planowane terminy usunięcia kategorii przetwarzanych danych. Rejestr Czynności Przetwarzania umożliwia ADO sprawowanie należytej kontroli nad przetwarzanymi danymi.
  3. ADO udostępnia Rejestr czynności przetwarzania na żądanie organu nadzorczego.
  • 7 – Rejestr kategorii czynności przetwarzania
  1. Administrator nie występuje jako podmiot przetwarzający i nie prowadzi rejestru kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO.
  • 8 – Privacy by design / Privacy by default
  1. Wszelkie projekty i rozwiązania prowadzone przez ADO są projektowane z uwzględnieniem przepisów RODO.
  2. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, ADO wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą.
  3. ADO wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. ADO wypełnia obowiązek w odniesieniu do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji dane osoby nieokreślonej liczbie osób fizycznych.

 

  • 9 – Osoby upoważnione
  1. ADO zapewnia regularne szkolenie Osób upoważnionych w zakresie ochrony danych osobowych.
  2. Szkolenie Osób upoważnionych może odbywać się w szczególności:
    1. W trybie samoszkolenia – poprzez zobowiązanie Osoby uprawnionej do stałego podnoszenia kwalifikacji zawodowych;
    2. W ramach szkoleń wewnętrznych organizowanych przez ADO;
    3. Poprzez bieżące przekazywanie przez ADO Osobom upoważnionym najważniejszych informacji związanych z ochroną danych osobowych;
    4. Poprzez zapewnienie możliwości uczestnictwa w szkoleniach, warsztatach, webinarach i innych kursach organizowanych przez podmioty zewnętrzne.
  3. Na stanowiskach z dostępem do danych osobowych nie następuje częsta rotacja. Takie rozwiązanie pozwala na zachowanie należytych standardów w zakresie ochrony danych przetwarzanych w Przedsiębiorstwie ADO.
  4. Osoby mające dostęp do danych osobowych nie są uprawnione do przechowywania takich danych na prywatnych urządzeniach. Prowadzi to do zwiększenia poziomu bezpieczeństwa danych osobowych i wyklucza ryzyko niestosowania odpowiednich środków zabezpieczających w urządzeniach prywatnych, a także utraty urządzenia prywatnego z dostępem do danych osobowych, co wpływa na zminimalizowanie zagrożenia.
  5. Osoby mające dostęp do danych osobowych otrzymują od Administratora stosowne upoważnienia.
  6. Uprawnienia do przetwarzania danych osobowych nadaje się według następującej procedury:
  7. Upoważnienia do przetwarzania danych osobowych nadaje ADO;
  8. Przed nadaniem upoważnienia do przetwarzania danych osobowych ADO zapoznaje osobę upoważnioną z zasadami przetwarzania danych osobowych;
  9. Osoba posiadająca upoważnienie do przetwarzania danych osobowych podpisuje oświadczenie o zachowaniu poufności danych osobowych do których ma dostęp;
  10. Uprawnienie rejestrowane jest przez ADO, niezwłocznie po jego nadaniu, ponadto ADO odnotowuje w rejestrze upoważnień fakt cofnięcia upoważnienia;
  • 10 – Powierzenie przetwarzania danych osobowych
    1. Dane osobowe mogą być powierzone do przetwarzania przez podmiot zewnętrzny.
    2. W przypadku potrzeby powierzenia przetwarzania danych osobowych podmiotom zewnętrznym, ADO:
    3. wybierze tylko takie podmioty, które zapewniają gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, tak by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą;
    4. powierzy przetwarzanie na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego.
    5. Umowa lub instrument prawny powinny zawierać co najmniej elementy wymagane przez RODO.
  • 11 – Żądania osoby, której dane dotyczą
  1. W przypadku gdy osoba, której dane dotyczą, zgłosi do ADO żądanie dotyczące:
  2. dostępu do treści swoich danych osobowych,
  3. sprostowania swoich danych osobowych,
  4. usunięcia swoich danych osobowych,
  5. żądania ograniczenia przetwarzania swoich danych,
  6. wniesienia sprzeciwu wobec przetwarzania swoich danych,
  7. żądania przeniesienia swoich danych osobowych,

– żądanie to będzie podlegało weryfikacji przez Osobę upoważnioną.

  1. Weryfikacja uwzględnia przede wszystkim:
  2. dążenie do uzyskania niebudzącej wątpliwości informacji o tym, że żądanie pochodzi od osoby, której dane dotyczą;
  3. dążenie do uzyskania niebudzącej wątpliwości informacji o tym, że zachodzą określone w prawie przesłanki, uzasadniające spełnienie żądania.
  4. Osoba upoważniona może w szczególności sprawdzić, czy żądanie zostało wysłane z adresu e-mail przypisanego do konta danego użytkownika w usługach ADO.
  5. W przypadku, gdy weryfikacja tożsamości osoby występującej z żądaniem nie przyniesie rezultatu w postaci uzyskania wiarygodnej informacji o tym, że żądanie pochodzi od osoby, której dane dotyczą, lub Osoba upoważniona poweźmie uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, Osoba upoważniona zwróci się z prośbą do osoby, której dane dotyczą, o przedstawienie dowodów na potwierdzenie swojej tożsamości, z uwzględnieniem rodzaju żądania tej osoby i skutków, jakie może pociągnąć za sobą spełnienie tego żądania.
  6. W przypadku, gdy osoba zgłaszająca żądanie nie przedstawi dowodów na potwierdzenie swojej tożsamości, lub dowody te nie uwiarygadniają tożsamości tej osoby, Osoba upoważniona odmawia realizacji żądania, informując o tym osobę zgłaszającą żądanie, wskazując podstawę odmowy.
  7. Osoba upoważniona wykonuje swoje obowiązki wynikające z niniejszego paragrafu w sposób pozwalający na wykazanie ich spełnienia, np. poprzez wiadomości e-mail wysłane do osoby, której dane dotyczą.
  8. Udzielenie informacji o działaniach podjętych w związku z żądaniem osoby, której dane dotyczą:
    1. następuje bez zbędnej zwłoki, jednak nie później niż w ciągu 1 miesiąca od otrzymania tego żądania;
    2. dotyczy zarówno spełnienia żądania, jak i odmowy jego spełnienia;
    3. jest wolne od opłat.
  9. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.
  10. W przypadku, gdyby Osoba upoważniona nie podjęła działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie, jednak nie później niż w terminie miesiąca od otrzymania żądania, informuje osobę, której dane dotyczą, o:
    1. powodach niepodjęcia działań;
    2. możliwości wniesienia skargi do organu nadzorczego;
    3. możliwości skorzystania ze środków ochrony prawnej przed sądem.
  11. W przypadku zgłoszenia przez osobę, której dane dotyczą, żądania o skomplikowanym charakterze lub w przypadku zgłoszenia żądań w liczbie powodującej trudności z ich rozpoznaniem w terminie miesiąca od otrzymania, Osoba upoważniona uprawniona jest do przedłużenia terminu na udzielenie informacji osobie, której dane dotyczą, maksymalnie o 2 miesiące. W takim przypadku, w ciągu miesiąca od otrzymania żądania, Osoba upoważniona poinformuje osobę, której dane dotyczą, o przedłużeniu terminu i o jego przyczynach.
  12. W przypadku zgłoszenia przez osobę, której dane dotyczą, żądań ewidentnie nieuzasadnionych lub nadmiernych, w szczególności ze względu na swój ustawiczny charakter, Osoba upoważniona może:
    1. pobrać od osoby, której dane dotyczą, rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań;
    2. odmówić podjęcia działań w związku z żądaniem.
  • Osoba upoważniona podejmuje powyższe decyzje z uwzględnieniem faktu, że spoczywa na niej obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter.

 

  • 12 – Zgłaszanie naruszeń
    1. W przypadku naruszenia ochrony danych osobowych, ADO bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je odpowiedniemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
    2. Zgłoszenie spełnia wymogi określone w RODO.
    3. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin ADO dołącza wyjaśnienie przyczyn opóźnienia.
    4. Administrator dokumentuje wszelkie przypadki naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
    5. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ADO bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu, na warunkach wskazanych w RODO, chyba że:
  1. ADO wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
  2. ADO zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w niniejszym ustępie;
  3. zawiadomienie wymagałoby niewspółmiernie dużego wysiłku

– w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

    1. ADO prowadzi rejestr naruszeń ochrony danych osobowych.

 

  • 13 – Postanowienia końcowe
  1. Niniejsze zasady powinny być przestrzegane przez ADO oraz Osoby upoważnione do przetwarzania danych.
  2. ADO przeprowadza cykliczną, wewnętrzną, nie rzadziej niż raz na dwa lata, weryfikację zgodności Polityki, a w szczególności zawartych w niej procedur, z aktualnymi praktykami rynkowymi w zakresie ochrony danych osobowych, w szczególności analizuje Politykę pod kątem poprawienia bezpieczeństwa przetwarzanych danych w związku z aktualnym stanem techniki i zasadnością wprowadzenia takich działań.
  3. Integralną część niniejszej dokumentacji stanowią Rozporządzenie oraz Ustawa, wraz z załącznikami – w aktualnym brzmieniu.