Polityka prywatności

 

I.                   POSTANOWIENIA OGÓLNE

 

§ 1.

Przedmiot Polityki

1.     Przedsiębiorstwo Usługowo Handlowe WITEK Anna WITEK z siedzibą w Mysłów 69, 59-420 Bolków jest Administratorem Danych Osobowych w rozumieniu art. 4 pkt 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE L z dnia 4 maja 2016 r.).

2.     W celu zapewnienia przetwarzania danych osobowych przez Administratora Danych Osobowych zgodnie z obowiązującym prawem, a w szczególności zapewnienia najwyższej ochrony przetwarzanych danych osobowych, Administrator Danych Osobowych przyjmuje niniejszą Politykę.

3.     Niniejsza Polityka jest zgodna z:

a)     rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE L z dnia 4 maja 2016 r. — dalej: RODO);

b)     ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych - dalej: u.o.d.o.;

c)     ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (t. j. Dz. U. 2017 poz. 1219, z późn. zm. — dalej: u.ś.u.d.e.);

d)     ustawą z dnia 26 czerwca 1974 r. — Kodeks pracy (t. j. Dz. U. 2018 poz. 108, z późn. zm. — dalej: k.p.);

4.     Polityka stanowi część składową systemu ochrony danych osobowych obowiązującego w P.U.H. WITEK z siedzibą w Mysłowie jako Administratora Danych Osobowych.

 

§ 2.

Słowniczek

 

Na potrzeby niniejszej Polityki przyjmuje się następujące definicje użytych pojęć:

a)     Administrator Danych Osobowych- P.U.H. WITEK Anna Witek z siedzibą w Mysłów 69, 59-420 Bolków numer NIP: 6111796318, REGON: 020686170, Administrator Systemów Informatycznych- osoba wyznaczona przez Administratora Danych Osobowych, odpowiedzialna za funkcjonowanie i bezpieczeństwo systemów informatycznych

b)     Dane niezidentyfikowane- Dane osobowe, których Administrator Danych Osobowych nie identyfikuje w odniesieniu do konkretnych podmiotów danych (np. zapis z monitoringu, korespondencja e-mailowa zawierająca dane osób trzecich)

c)     Dane osobowe- wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

d)     Dane dzieci- dane osobowe osób fizycznych poniżej 16. roku życia

e)     Dane karne- dane osobowe dotyczące wyroków skazujących i czynów zabronionych lub powiązanych środków bezpieczeństwa;

f)       Dane szczególne- dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych; dane genetyczne; dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej; dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby fizycznej;

g)     Dane zwykłe- dane osobowe, które nie są danymi szczególnymi;

h)     Dostępność- zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią aktywów wtedy, kiedy jest to potrzebne

i)       Incydent- zdarzenie mogące wpłynąć na bezpieczeństwo danych osobowych w zakresie dostępności, integralności, poufności lub odporności systemów i usług przetwarzania. Incydent może prowadzić do naruszenia ochrony danych osobowych, ale nie musi;

j)       Inspektor Ochrony Danych (IOD)- osoba wyznaczona przez Administratora Danych Osobowych do wypełniania zadań przewidzianych w art. 39 ust. 1 RODO;

k)     Integralność- zapewnienie dokładności i kompletności informacji oraz metod przetwarzania;

l)       Naruszenie ochrony danych osobowych- naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

m)   Odbiorca danych osobowych- osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną (osobą) trzecią. Nie uznaje się za odbiorców organów publicznych, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii Europejskiej lub prawem państwa członkowskiego;

n)     Odporność- zdolność systemów informatycznych do prawidłowego funkcjonowania mimo dużego obciążenia

o)     Osoba upoważniona- osoba upoważniona przez Administratora Danych Osobowych do przetwarzania danych osobowych w określonym przez niego zakresie;

p)     Państwo trzecie- państwo nienależące do Unii Europejskiej oraz Europejskiego Obszaru Gospodarczego;

q)     Podmiot danych- osoba fizyczna, której dane osobowe dotyczą;

r)       Podmiot przetwarzający- osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora Danych Osobowych;

s)       Polityka- niniejsza „Polityka ochrony danych osobowych w P.U.H. WITEK . z siedzibą w Mysłów;

t)       Poufność- zapewnienie, że dane osobowe są dostępne jedynie dla osób upoważnionych;

u)     Profilowanie- dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;

v)     Przetwarzanie danych osobowych- operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

w)   Pseudonimizacja- przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

x)     Rozliczalność- wykazanie przez Administratora Danych Osobowych, że przestrzega przepisów dotyczących ochrony danych osobowych w prowadzonych procesach przetwarzania danych osobowych;

y)     Strona (osoba) trzecia- osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż:

– osoba, której dane dotyczą, Administrator Danych Osobowych i współadministrator danych osobowych, podmiot przetwarzający, osoba upoważniona;

z)     System informatyczny- zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych;

aa)   System ochrony danych osobowych- całokształt środków technicznych, organizacyjnych i prawnych wraz z niezbędną dokumentacją, wdrożonych przez Administratora Danych Osobowych, służących zapewnieniu, że przetwarzanie danych osobowych będzie odbywało się zgodnie z przepisami z zakresu ochrony danych osobowych;

bb) Zagrożenie- potencjalna możliwość wystąpienia incydentu;

cc)   Zbiór danych osobowych- uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

dd) Zgoda- dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

 

II.               ZASADY OCHRONY DANYCH OSOBOWYCH

 

§ 3.

Zasady ochrony danych osobowych

1.                 Administrator Danych Osobowych przetwarza dane osobowe w oparciu o następujące zasady:

a)                 zasada zgodności z prawem, rzetelności i przejrzystości — dane osobowe są przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;

b)                 zasada ograniczenia celu — dane osobowe są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;

c)                 zasada minimalizacji danych — dane osobowe są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;

d)                 zasada prawidłowości — dane osobowe są prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;

e)                 zasada czasowości — dane osobowe są przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;

f)                   zasada integralności i poufności — dane osobowe są przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

2.  Administrator Danych Osobowych jest zobowiązany zidentyfikować ryzyka towarzyszące przetwarzaniu danych osobowych oraz ustalić ich wpływ na operacje związane z danymi osobowymi, a w szczególności na prawa i wolności osób fizycznych;

3.  Administrator Danych Osobowych, jak również wszystkie osoby zaangażowane w procesy przetwarzania danych osobowych, są zobowiązani ułatwić osobom fizycznym realizację ich praw związanych z ochroną danych osobowych;

4.  Administrator Danych Osobowych, jak również wszystkie osoby zaangażowane w procesy przetwarzania danych osobowych, są zobowiązani przeprowadzać jakiekolwiek operacje związane z danymi osobowymi przy zachowaniu pełnej zgodności z obowiązującym prawem;

5.  Administrator Danych Osobowych jest zobowiązany zapewnić bezpieczeństwo przetwarzania danych osobowych, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze;

6.  Administrator Danych Osobowych, jak również wszystkie osoby zaangażowane w procesy przetwarzania danych osobowych, są zobowiązani dokumentować sposób spełnienia obowiązków wynikających z przepisów z zakresu ochrony danych osobowych.

 

 

III.             PODMIOTY TWORZĄCE SYSTEM OCHRONY DANYCH OSOBOWYCH

 

§ 4.

Osoby upoważnione

1.     Przetwarzania danych osobowych w ramach struktury Administratora Danych Osobowych mogą dokonywać wyłącznie osoby upoważnione przez Administratora Danych Osobowych.

2.     Administrator Danych Osobowych zapewnia, aby żadna z osób upoważnionych nie miała dostępu do większej ilości danych osobowych i procesów przetwarzania danych osobowych niż jest to konieczne do prawidłowego wypełniania obowiązków i zadań.

3.     Procedura nadawania, zmiany i odbierania upoważnień stanowi Załącznik nr 1.

4.     Osoba upoważniona do przetwarzania danych osobowych przed przystąpieniem do czynności ma obowiązek:

a)     zapoznać się z dokumentami z zakresu ochrony danych osobowych, w szczególności z niniejszą Polityką — w zakresie ustalonym przez Administratora Danych Osobowych;

b)     odbyć szkolenie z zakresu ochrony danych osobowych;

c)     złożyć oświadczenie na piśmie o zapoznaniu się z dokumentami z zakresu ochrony danych osobowych oraz o odbyciu szkolenia z zakresu ochrony danych osobowych;

d)     złożyć oświadczenie na piśmie o przestrzeganiu zasad ochrony danych osobowych oraz ustalonych procedur.

5.     Wzory oświadczeń, o których mowa w ust. 4, stanowią Załącznik nr 2.

6.     Oświadczenia, o których mowa w ust. 4, są dołączane do umowy zawartej z osobą upoważnioną lub do akt osobowych osoby upoważnionej.

7.     Administrator Danych Osobowych zapewnia osobom upoważnionym dostęp do dokumentów z zakresu ochrony danych, z wyjątkiem tych dokumentów, które nie powinny być dostępne dla wszystkich osób upoważnionych.

8.     Obowiązki określone w ust. 4 nie dotyczą osób, które są dopuszczane do przetwarzania danych osobowych incydentalnie (np. w celu naprawy sprzętu). W takiej sytuacji należy wskazać w treści zawartej umowy obowiązek przestrzegania ochrony danych osobowych oraz przekazać najważniejsze informacje na temat ochrony danych osobowych. W zależności od sytuacji z takimi osobami można zawrzeć również umowę powierzenia.

9.     Administrator Danych Osobowych prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych.

10. Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych stanowi Załącznik nr 3.

 

§ 5.

Podmioty przetwarzające

1.     Administrator Danych Osobowych może powierzyć przetwarzanie danych osobowych podmiotowi przetwarzającemu w zależności od własnych potrzeb.

2.     Administrator Danych Osobowych jest zobowiązany powierzać przetwarzanie danych osobowych tylko takim podmiotom przetwarzającym, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Zakazane jest korzystanie z usług podmiotów przetwarzających, które takich gwarancji nie dają.

3.     Wzór umowy powierzenia przetwarzania danych osobowych stanowi Załącznik nr 4.

W przypadku korzystania przez podmiot przetwarzający z usług innego podmiotu przetwarzającego, który nie daje analogicznych gwarancji, o jakich mowa w ust. 2, Administrator Danych Osobowych jest zobowiązany wnieść sprzeciw, a w innych przypadkach — może wnieść sprzeciw, jeżeli istnieją ku niemu podstawy.

4.     Administrator Danych Osobowych jest zobowiązany kontrolować przestrzeganie przez podmiot przetwarzający przepisów RODO przez cały okres trwania umowy.

5.     W przypadku naruszania przez podmiot przetwarzający przepisów RODO Administrator Danych Osobowych jest zobowiązany niezwłocznie zaprzestać współpracy z podmiotem przetwarzającym.

6.     Administrator Danych Osobowych prowadzi ewidencję podmiotów przetwarzających, z którymi zawarł umowy o powierzenie przetwarzania danych osobowych.

7.     Wzór ewidencji podmiotów przetwarzających stanowi Załącznik nr 5.

 

§ 6.

Administrator Danych Osobowych jako podmiot przetwarzający

1.     W związku z prowadzoną działalnością Administrator Danych Osobowych może być podmiotem przetwarzającym dla innego administratora danych osobowych.

2.     W przypadkach wskazanych w ust. 1 Administrator Danych Osobowych zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

3.     W przypadkach wskazanych w ust. 1 Administrator Danych Osobowych wywiązuje się z obowiązków przewidzianych w umowie powierzenia przetwarzania danych osobowych, którą zawiera z innym administratorem danych osobowych.

4.     W przypadkach wskazanych w ust. 1 Administrator Danych Osobowych prowadzi rejestr wszystkich kategorii czynności przetwarzania. Wzór rejestru wszystkich kategorii czynności przetwarzania stanowi Załącznik nr 6.

 

 

§ 7.

Odbiorcy danych osobowych

1.       Administrator Danych Osobowych ujawnia dane osobowe odbiorcom danych osobowych wyłącznie po zweryfikowaniu podstawy prawnej takiego ujawnienia.

2.       W przypadku braku podstawy prawnej, o której mowa w ust. 1, Administrator Danych Osobowych odmawia ujawnienia danych osobowych jakiemukolwiek odbiorcy danych osobowych.

3.       Administrator Danych Osobowych prowadzi ewidencję odbiorców danych osobowych. Wzór ewidencji odbiorców danych osobowych stanowi Załącznik nr 7.

4.       Administrator Danych Osobowych prowadzi rejestr żądań udostępnień danych osobowych. Wzór rejestru żądań udostępnień danych osobowych stanowi Załącznik nr 8.

 

 

IV.             PRZETWARZANIE DANYCH OSOBOWYCH

 

§ 8.

Zarządzanie ryzykiem

 

1.     Administrator Danych Osobowych wdraża i utrzymuje procedurę zarządzania ryzykiem.

2.     Administrator Danych Osobowych jest zobowiązany uwzględniać ryzyko w planowanych i prowadzonych procesach przetwarzania danych osobowych.

3.     Procedura zarządzania ryzykiem stanowi Załącznik nr 9.

 

§ 9.

Ocena skutków dla ochrony danych osobowych

 

1.     W przypadkach wskazanych w art. 35 ust. 1 RODO, art. 35 ust. 3 RODO oraz w odniesieniu do operacji przetwarzania znajdujących się w wykazie publikowanym przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie art. 35 ust. 4 RODO Administrator Danych Osobowych jest zobowiązany przeprowadzić ocenę skutków dla ochrony danych osobowych.

2.     Ocena skutków dla ochrony danych osobowych nie jest wymagana w odniesieniu do operacji przetwarzania znajdujących się w wykazie publikowanym przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie art. 35 ust. 5 RODO.

3.     Procedura przeprowadzania oceny skutków dla ochrony danych osobowych stanowi Załącznik nr 10.

 

 

 

 

§ 10.

Uprzednie konsultacje z Prezesem Urzędu Ochrony Danych Osobowych

 

Jeżeli z oceny skutków dla ochrony danych osobowych wynika, że przetwarzanie powodowałoby wysokie ryzyko, gdyby Administrator Danych Osobowych nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania Administrator Danych Osobowych jest zobowiązany skonsultować się z Prezesem Urzędu Ochrony Danych Osobowych. Procedura przeprowadzania uprzednich konsultacji z Prezesem Urzędu Ochrony Danych Osobowych stanowi Załącznik nr 11.

 

 

§ 11.

Privacy by design i privacy by default

1.     Administrator Danych Osobowych jest zobowiązany uwzględniać ochronę danych osobowych w fazie projektowania nowych systemów, programów, aplikacji, usług, a także w fazie projektowania nowych procesów i sposobów przetwarzania danych osobowych (privacy by design).

2.     Administrator Danych Osobowych jest zobowiązany zapewnić domyślną ochronę danych osobowych, tj. domyślnie mogą być przetwarzane tylko te dane osobowe, które są niezbędne do osiągnięcia konkretnego celu przetwarzania (privacy by default). Rezygnacja z prywatności lub jej ograniczenie mogą nastąpić tylko na wyraźne żądanie podmiotu danych. Procedura privacy by design i privacy by default stanowi Załącznik nr 12.

 

§ 12.

Inwentaryzacja

 

1.     Administrator Danych Osobowych szczegółowo inwentaryzuje posiadane dane osobowe oraz procesy z nimi związane, ze szczególnym uwzględnieniem:

a)     danych szczególnych;

b)     danych karnych;

c)     danych dzieci;

d)     danych osobowych poddanych profilowaniu i zautomatyzowanemu podejmowaniu decyzji.

2.     W celu zapewnienia pełnej kontroli nad przetwarzaniem danych osobowych oraz zapewnienia bezpieczeństwa przetwarzania danych osobowych Administrator Danych Osobowych prowadzi:

a)     ewidencję zbiorów danych osobowych — wzór ewidencji zbiorów danych osobowych stanowi Załącznik nr 13;

b)     ewidencję pomieszczeń — wzór ewidencji pomieszczeń stanowi Załącznik nr 14;

c)     ewidencję stacji roboczych, urządzeń przenośnych i nośników — wzór ewidencji stacji roboczych, urządzeń przenośnych i nośników stanowi Załącznik nr 15;

d)     ewidencję programów komputerowych (aplikacji) — wzór ewidencji programów komputerowych (aplikacji) stanowi Załącznik nr 16.

3.     Administrator Danych Osobowych kontroluje przetwarzanie danych niezidentyfikowanych, o których mowa w art. 11 ust. 1 RODO, w szczególności w odniesieniu do nagrań (wizualnych, dźwiękowych, audiowizualnych), korespondencji elektronicznej i wszelkich innych strumieni, które potencjalnie mogą zawierać dane osobowe.

 

 

§ 13.

Rejestr czynności przetwarzania danych osobowych

 

1.     Administrator Danych Osobowych prowadzi i aktualizuje rejestr czynności przetwarzania danych osobowych, który jest najważniejszym dokumentem w zakresie ochrony danych osobowych.

2.     Rejestr czynności przetwarzania danych osobowych służy:

a)     inwentaryzowaniu i monitorowaniu sposobu przetwarzania danych osobowych;

b)     dokumentowaniu czynności przetwarzania danych osobowych;

c)     wykazaniu realizacji zasady rozliczalności.

3.     Wzór rejestru czynności przetwarzania danych osobowych stanowi Załącznik nr 17.

 

§ 14.

Identyfikacja i weryfikacja podstaw prawnych przetwarzania danych osobowych

 

1.     Administrator Danych Osobowych jest zobowiązany przetwarzać dane osobowe wyłącznie w oparciu o konkretną podstawę prawną.

2.     Administrator Danych Osobowych jest zobowiązany w odniesieniu do każdej czynności przetwarzania danych osobowych zidentyfikować i zweryfikować podstawę prawną przetwarzania danych osobowych.

3.     Wykaz podstaw prawnych stanowi Załącznik nr 18.

4.     Administrator Danych Osobowych jest zobowiązany monitorować zmiany legislacyjne i w miarę konieczności aktualizować wykaz, o którym mowa w ust. 3.

5.     Administrator Danych Osobowych jest zobowiązany wskazać w wykazie, o którym mowa w ust. 3, swoje prawnie uzasadnione interesy, legalizujące przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. f RODO.

6.     Osoby upoważnione do przetwarzania danych osobowych mają obowiązek znać podstawy prawne, w oparciu o które wykonują czynności związane z danymi osobowymi.

 

§ 15.

Przetwarzanie danych osobowych na podstawie zgody

 

1.     Administrator Danych Osobowych przetwarza dane osobowe na podstawie zgody tylko wówczas, gdy nie ma innej podstawy przetwarzania danych osobowych. Nie należy uzyskiwać zgody na przetwarzanie danych osobowych związanych z zawarciem i wykonaniem umowy lub w odniesieniu do takich danych osobowych, których obowiązek przetwarzania wynika z przepisów prawa.

2.     Przed podjęciem decyzji o przetwarzaniu danych osobowych na podstawie zgody Administrator Danych Osobowych jest zobowiązany zweryfikować, czy dane osobowe są adekwatne do założonego celu przetwarzania.

3.     Zabronione jest wywieranie przymusu w celu uzyskania zgody, w szczególności poprzez odmowę wykonania umowy w przypadku niewyrażenia zgody na przetwarzanie danych osobowych.

4.     Zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie je odróżnić od pozostałych kwestii.

5.     Zgody muszą być formułowane w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

6.     Wykaz stosowanych klauzul zgód stanowi Załącznik nr 19.

7.     Zgoda może być cofnięta w każdym momencie. Administrator Danych Osobowych zapewnia, aby wycofanie zgody było równie proste, jak jej złożenie.

8.     Administrator Danych Osobowych jest zobowiązany zapewnić system zarządzania zgodami, który pozwoli zweryfikować, czy dana osoba udzieliła zgody na przetwarzanie danych osobowych, czy i kiedy ją wycofała.

 

§ 16.

Profilowanie i zautomatyzowane podejmowanie decyzji

 

1.      Jeżeli Administrator Danych Osobowych podejmuje czynności profilowania lub zautomatyzowanego podejmowania decyzji, jest zobowiązany zapewnić, aby te czynności odbywały się zgodnie z prawem.

2.     Procedurę określającą zasady profilowania i zautomatyzowanego podejmowania decyzji określa Załącznik nr 20.

 

§ 17.

Minimalizacja

 

1.     Administrator Danych Osobowych jest zobowiązany przestrzegać zasady minimalizacji.

2.     W celu zapewnienia realizacji zasady minimalizacji Administrator Danych Osobowych w szczególności:

a)      weryfikuje ilość przetwarzanych danych osobowych

b)     weryfikuje zakres przetwarzanych danych osobowych

c)     ogranicza dostęp do danych osobowych poprzez stosowanie środków prawnych (umowy z klauzulami poufności, system upoważnień), środków fizycznych (kontrola dostępu osób do budynków, pomieszczeń i systemów) oraz środków logicznych (kontrola uprawnień w systemach informatycznych i dostępu do systemów informatycznych);

d)     ogranicza czas przetwarzania danych osobowych

3.     Wykaz okresów przetwarzania danych osobowych stanowi Załącznik nr 21.

4.     Procedura usuwania i niszczenia danych osobowych stanowi Załącznik nr 22.

 

§ 18

Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych

 

1.     Administrator Danych Osobowych jest zobowiązany kontrolować, czy przekazuje jakiekolwiek dane osobowe do państw trzecich lub organizacji międzynarodowych, w szczególności w przypadku korzystania z usług innych podmiotów.

2.     Administrator Danych Osobowych jest zobowiązany zidentyfikować i zweryfikować podstawę prawną przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych.

3.     Wykaz podstaw prawnych przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych stanowi Załącznik nr 23.

4.     Administrator Danych Osobowych jest zobowiązany monitorować zmiany legislacyjne i w miarę konieczności aktualizować wykaz, o którym mowa w ust. 3.

5.     Przypadki przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych są odnotowywane w rejestrze czynności przetwarzania danych osobowych.

W celu zapewnienia maksymalnej wygody użytkowników przy korzystaniu z witryny ta strona stosuje pliki cookies.
Kliknij "Zgadzam się", aby ta informacja nie wyświetlała się więcej.