Rozdział I
Postanowienia ogólne
§1
- Polityka ochrony danych (zwana dalej „Polityką”) określa zasady dotyczące przetwarzania i zabezpieczenia danych osobowych w HABZA Group Sp. z o.o. (dalej HABZA) zgodnie z wymaganiami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – zwanego dalej RODO).
- Niniejszy dokument stanowi wykonanie obowiązku, o którym mowa w art. 24 ust. 2 RODO.
- Przedmiotem ochrony na podstawie Polityki są dane osobowe, agregowane zarówno w systemach informatycznych, jak również na nośnikach papierowych i elektronicznych. Miejsca agregowania danych osobowych podlegają zabezpieczeniu określonemu na podstawie niniejszej Polityki.
- Polityka ma zastosowanie do wszystkich danych osobowych przetwarzanych w HABZA w ramach realizowanych przez nią procesów biznesowych.
- Obowiązek ochrony danych osobowych przetwarzanych w HABZA dotyczy wszystkich osób, które mają do nich dostęp bez względu na zajmowane stanowisko oraz miejsce wykonywania pracy, jak również charakter stosunku pracy.
- Każda osoba, która ma mieć dostęp do danych osobowych, będzie mogła je przetwarzać wyłącznie na podstawie otrzymanego upoważnienia.
- Osoby mające dostęp do danych osobowych są zobowiązane do zapoznania się z Polityką i innymi powiązanymi z nią dokumentami oraz stosowanie zawartych w nich regulacji.
- Polityka zachowuje zgodność z innymi wewnętrznymi regulacjami z obszaru bezpieczeństwa informacji i systemów informatycznych obowiązującymi HABZA.
- Nadzór nad opracowaniem i aktualizacją Polityki sprawuje Inspektor ochrony danych.
- Zarząd HABZA zatwierdza w drodze uchwały Politykę i jej aktualizacje.
- Dokumentem powiązanym z niniejszą Polityką jest „Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w HABZA Group Sp. z o.o.”.
§2
Występujące w niniejszej Polityce zwroty oznaczają:
Administrator danych osobowych(ADO)–HABZA, reprezentowana przez Zarząd lub prokurentów.
Administrator Systemu Informatycznego (ASI)– osoba wyznaczana przez ADO odpowiedzialna za przestrzeganie zasad ochrony danych osobowych w danym systemie informatycznym i nadzorująca przetwarzanie danych osobowych w systemie informatycznym.
Dane osobowe – wszelkie informacje, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Dane osobowe wrażliwe – szczególne kategorie danychokreślone w art. 9 RODO,w tym:dane ujawniającepochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych; dane genetyczne, dane biometryczne przetwarzanew celu jednoznacznego zidentyfikowania osoby fizycznej; dane dotyczącezdrowia, seksualności lub orientacji seksualnej osoby; jak również dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa, o których mowa w art. 10 RODO.
HABZA – HABZA Group sp. z o.o.z siedzibą przy ul. Grójeckiej 1/3, 02-019 Warszawa,podmiotem wpisanym do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS 0000421956, REGON 146137326, NIP 5252532265.
Inspektor ochrony danych (Inspektor)– osoba wyznaczona przez Administratora danych na podstawie art. 37 RODO, która realizuje zadania monitorowania przestrzegania przepisów o ochronie danych osobowych w HABZA, określone w art. 39 RODO.
Komórka organizacyjna (KO) – Dział, Zespół, samodzielne stanowisko – wynikające z przyjętej w HABZA struktury organizacyjnej.
Naruszenie ochrony danych osobowych–naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Obszar przetwarzania danych osobowych– pomieszczenia lub części pomieszczeń we wszystkich lokalizacjach HABZA, w których są przetwarzane dane osobowe, zarówno w formie papierowej, jak i w systemie informatycznym.
Odbiorca danych– podmiot, któremu udostępniane są dane osobowe.
Osoba upoważniona – osoba upoważniona do przetwarzania danych osobowych przez Administratora danych lub osobę przez niego upoważnioną, mająca bezpośredni dostęp do danych, przetwarzanych w systemie informatycznym lub w dokumentacji papierowej.
Podmiot przetwarzający– podmiot, któremu HABZApowierza czynności przetwarzanie danych osobowych w swoim imieniu.
Profilowanie –oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Przetwarzanie danych osobowych– operacjalub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takajak:zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
PUODO – Prezes Urzędu Ochrony Danych Osobowych.
RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
UODO– ustawa o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000)
Zasób danych osobowych – wszystkie dane osobowe, niezależnie od sposobu ich utrwalenia, zarówno w formie elektronicznej – w systemie informatycznym oraz na nośnikach (płyty CD/DVD/BD, pamięci flash i inne) jak i papierowej przetwarzane przez komórkę organizacyjną w celu realizacji jej zadań.
Zgodana przetwarzanie danych–dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
Rozdział II
Zarządzanie przetwarzaniem danych osobowych oraz ich bezpieczeństwem
§1
- Zarząd jest odpowiedzialny za przetwarzanie i ochronę danych osobowych w HABZA, zgodnie przepisami prawa, w tym za zaakceptowanie niniejszej Polityki.
- Zarząd może wyznaczyć Inspektora ochrony danych, który wykonuje zadania w zakresie monitorowania zasad przetwarzania danych osobowych w HABZA.
- Zarząd może wyznaczyć inne osoby, które wchodzą w skład Zespołu Inspektora i wspomagają wykonywanie zadań monitorowania ochrony danych w HABZA.
§2
- Kierownik Działu jest odpowiedzialni za zarządzanie procesami przetwarzania danych osobowych w swoich komórkach. Do obowiązków kierowników należy:
- zarządzanie czynnościami przetwarzania danych osobowych w ramach zadań, realizowanych przez swoje komórki organizacyjne;
- występowanie z wnioskami do odpowiedniego ASIo nadanie, zmianę lub cofnięcie uprawnień pracownikom do określonych zasobów danych osobowych przetwarzanych w systemie informatycznym, zgodnie z zakresem upoważnienia do przetwarzania danych osobowych;
- zapoznanie podległych pracowników i innych osób (np. współpracowników, przedstawicieli kontrahentów) z zasadami przetwarzania i ochrony danych w podległej Działu;
- wypełnianie obowiązków dotyczących zabezpieczenia obszaru przetwarzanych danych osobowych w podległej Działu;
- zgłaszanie do ADO lub Inspektora zamiaru rozpoczęcia nowego procesu przetwarzania danych osobowych lub zmiany w czynnościach przetwarzania danych realizowanych w Działu (dotyczy to papierowych i elektronicznych zasobów danych, w tym agregowanych w plikach aplikacji biurowych typu MS Word i MS Excel);
- w przypadku zbierania danych osobowych, konsultowanie Prawnikiem oraz Inspektorem podstaw prawnych przetwarzania danych osobowych, w tym zbierania i archiwizowanie zgód osób na przetwarzanie ich danych osobowych wymaganych przypadkach.
- ustalanie w porozumieniu z Informatykiem zasad tworzenia kopii zapasowych plików z danymi osobowymi, znajdującymi się na stacjach roboczych użytkowników w podległej komórce organizacyjnej;
- realizacja procesu udostępniania danych osobowych innemu podmiotowi lub osobie, której dane dotyczą;
- realizacja procesów związanych z powierzaniem przetwarzania danych osobowych przez HABZAinnym podmiotom – zgodnie z zawartymi umowami powierzenia przetwarzania danych osobowych.
§3
- Kadrowiec/osoba zajmująca się zatrudnieniem jest odpowiedzialna za:
- przygotowanie upoważnienia do przetwarzania danych osobowych do podpisu wraz
z umową o pracę/zlecenia/dzieło; - przechowywanie nadanych upoważnień do przetwarzania danych osobowych oraz oświadczeń o zachowaniu tajemnicy danych osobowych i sposobów ich zabezpieczania wraz z aktami osobowymi pracowników lub umowami zlecenia.
- prowadzenie aktualnej ewidencji osób upoważnionych do przetwarzania danych osobowych.
§4
- Informatyk jest odpowiedzialny za zarządzanie systemem informatycznym służącym do przetwarzania danych osobowych wHABZA.
- Szczegółowy podział i zakres odpowiedzialności za nadzór nad poszczególnymi procesami i procedurami dotyczącymi systemów informatycznych jest określony w „Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w w HABZA Group Sp. z o.o.”.
- Informatykściśle współpracuje z ADO lub Inspektorem w zakresie zapewnienia bezpieczeństwa systemów informatycznych przetwarzających dane osobowe.
Rozdział III
Upoważnianie osób do przetwarzania danych osobowych
§1
- Wszystkie osoby, które wykonują czynności związane z przetwarzaniem danych osobowych w HABZA, w ramach wykonywania zadań służbowych na stanowiskach pracy lub prac zleconych, muszą posiadać pisemne upoważnienie do przetwarzania danych osobowych oraz podpisać oświadczenie o zachowaniu tajemnicy danych oraz sposobów ich zabezpieczenia
- Upoważnienia do przetwarzania danych osobowych nadaje Kadrowiec/osoba zajmująca się zatrudnieniem na podstawie pełnomocnictwa ZarząduHABZA.
- Upoważnienia do przetwarzania danych są przygotowywane i przechowywane przez Kadry.
- Kadrowiec/osoba zajmująca się zatrudnieniem prowadzi ewidencje osób upoważnionych do przetwarzania danych osobowych w HABZA
- Każda osoba upoważniona do przetwarzania danych osobowych przechodzi szkolenie z zasad ochrony danych w
- Szkolenia wstępne i okresowe dla osób upoważnionych przeprowadzi ADO lub Inspektor wg ustalonego planu. Szkolenie to może być w formie e-learningu.
Rozdział IV
Podstawowe zasady, które powinny przestrzegać osoby upoważnione do przetwarzania danych osobowych
- Osoba upoważniona do przetwarzania danych osobowych w HABZAjest zobowiązana do:
- zapoznania się z obowiązującymi przepisami prawa z zakresu ochrony danych osobowych oraz dokumentacją dotyczącą ochrony danych osobowych wHABZA;
- przechodzenia okresowych szkoleń z obszaru ochrony danych osobowych;
- przetwarzania danych osobowych wyłącznie w celu i zakresie wynikającym z nałożonych obowiązków służbowych;
- zachowania wyjątkowej staranności przy przetwarzaniu danych osobowych, w szczególności danych wrażliwych w celu ochrony interesów osób, których dane dotyczą;
- stosowania określonych w HABZAprocedur i środków przetwarzania oraz zabezpieczania danych osobowych;
- podporządkowania się poleceniom Zarządu, Inspektora oraz Dyrektora Działu w zakresie ochrony danych osobowych;
- zachowania w poufności danych osobowych oraz danych objętych tajemnicą ubezpieczeniową;
- zabezpieczenia danych osobowych przed: ich utratą, uszkodzeniem lub zniszczeniem, zmianą lub ich udostępnieniem osobom nieupoważnionym;
- dopilnowania, aby przebywanie osób nieupoważnionych w pomieszczeniach, w których przetwarzane są dane osobowe, miało miejsce wyłącznie w obecności osoby upoważnionej;
- dopilnowania, aby przeznaczone do usunięcia dokumenty, zawierające dane osobowe niszczone były w stopniu uniemożliwiającym ich odczytanie – zabronione jest wyrzucanie dokumentów do koszy na śmieci bez ich właściwej anonimizacji;
- przestrzegania procedur właściwego użytkowania systemów informatycznych, w których przetwarza się dane osobowe, w tym do nieujawniania innym użytkownikom swoich loginów i haseł;
- zachowania należytej staranności podczas przekazywania danych osobowych drogą telefoniczną (konieczność właściwej identyfikacji rozmówcy, konieczność ustalenia, czy rozmówca jest uprawniony do pozyskania danych osobowych, przekazywanie jedynie niezbędnych informacji);
- przesyłania danych osobowych za pomocą sieci Internet jedyne z użyciem metod kryptograficznych (szyfrowanie danych, kanały bezpiecznej transmisji);
- niewysyłania za pomocą wiadomości e-mail danych osobowych na prywatne adresy, niekopiowanie danych na inne nośniki bez uzasadnionej potrzeby biznesowej;
- zachowania należytej ostrożności przy transporcie dokumentów oraz nośników informatycznych, zawierających dane osobowe, po za obszarem przetwarzania w HABZA.
- niepozostawiania dokumentów, zawierających dane osobowe na urządzeniach wielofunkcyjnych (drukowanie, kopiowanie);
- nieopuszczania stanowiska bez zabezpieczenia dokumentów papierowych, zawierających dane osobowe (zasada „czystego biurka”) oraz bez zabezpieczania dostępu do danych przetwarzanych w systemie informatycznym (zasada „czystego ekranu”);
- informowania o zdarzeniu operacyjnym dotyczącym danych osobowych, zgodnie z obowiązującymi w tym zakresie procedurami;
- zaprzestania przetwarzania danych osobowych po ustaniu stosunku zatrudnienia.
Rozdział V
Prowadzenie rejestrów czynności przetwarzania danych osobowych
§1
- W HABZAsą prowadzone rejestry czynności przetwarzania danych osobowych zgodnie z wymaganiami art. 30 RODO, zarówno w stosunku do:
- danych których Spółka jest administratorem;
- danych, które zostały powierzone Spółce do przetwarzania przez inne podmioty.
- Za prowadzenie rejestrów odpowiedzialny jest ADO lub Inspektor.
- ADO lub Inspektor inwentaryzuje procesy przetwarzania danych osobowych w HABZA, przypisując do nich określone czynności przetwarzania danych.
- ADO lub Inspektor okresowo dokonuje przeglądów procesów przetwarzania danych w celach aktualizacji prowadzonych rejestrów.
- Kierownik Działu mają obowiązek na bieżąco informować Inspektora o procesach przetwarzania danych osobowych realizowanych w swoich Dziale oraz o wszelkich zmianach w tych procesach, w szczególności dotyczących:
- celów przetwarzania danych, w tym realizowanych czynności;
- kategorii osób, których dane są przetwarzane;
- zakresów przetwarzanych danych;
- podmiotów przetwarzających, którym dane są powierzane;
- odbiorców danych, którym dane są udostępniane.
Rozdział VI
Realizacja obowiązków przy przetwarzaniu danych osobowych
§1
- Osoby odpowiedzialne w HABZAza procesy, w których zbierane są dane osobowe, mają obowiązek zachowania szczególnej staranności przy ich zbieraniu, w tym:
- sprawdzać czy są spełnione podstawy prawne na pozyskiwanie danych osobowych, zgodnie z art. 6 RODO oraz art. 9 – 10 RODO;
- zbierać dane osobowe dla określonych, zgodnych z prawem celów realizowanych w HABZA;
- zbierać dane w zakresie adekwatnym do celów w jakich dane będą przetwarzane w HABZA.
- W przypadku konieczności odbierania zgody na przetwarzanie danych osobowych, należy zapewnić dobrowolności jej pozyskania oraz powiadamiać o prawie do odwołania takiej zgody.
- Za stosowanie właściwych oświadczeń zgody przy zbieraniu danych osobowych odpowiada ADO lub Inspektor.
- Oświadczenia dotyczące odbierania zgody na przetwarzanie danych osobowych muszą być konsultowane z Prawnikiem oraz Inspektorem ochrony danych.
- ADO lub Inspektor w porozumieniu z Prawnikiem może ustalić obowiązujące wzory oświadczeń zgody dla poszczególnych procesów przetwarzania danych realizowanych w HABZA.
§2
- Osoby, które wykonują zadania związane ze zbieraniem danych osobowych są odpowiedzialne za realizację obowiązków informacyjnych określonych w art. 13 i 14 RODO.
- Osoby te są zobowiązane sprawdzać czy na formularzach lub innego typu dokumentach (w formie papierowej lub elektronicznej) dedykowanych do zbierania danych, jest zamieszczona stosowna klauzula informacyjna.
- Odpowiednie klauzule informacyjne powinny być również odczytywane lub odtwarzane w przypadku zbierania danych osobowych przez telefon.
- Za stosowanie właściwych klauzuli informacyjnych przy zbieraniu danych osobowych odpowiada Kierownik Działu odpowiedzialnej za proces zbierania danych.
- Klauzule informacyjne muszą być konsultowane z Prawnikiem oraz ADO lub Inspektorem ochrony danych.
- ADO lub Inspektor w porozumieniu z Prawnikiem może ustalić obowiązujące wzory klauzul informacyjnych dla poszczególnych procesów przetwarzania danych realizowanych w HABZA.
§3
- Dane osobowe zbierane w ramach procesów realizowanych w HABZAsą przetwarzane przez czas określony przez właściwe przepisy prawa oraz „Polityce retencji danych w HABZA Group Sp. z o.o.”.
- Za określenie odpowiednich czasów retencji danych osobowych w procesach przetwarzania danych w HABZAodpowiada ADO lub Inspektor.
- Dane osobowe, dla których okres przetwarzania nie wynika z obowiązujących przepisów prawa i dla których nie jest możliwe określenie z góry tego okresu, są przetwarzane tak długo, jak długo istnieje jednocześnie podstawa prawna oraz cel dla ich przetwarzania.
- Ustanie celu przetwarzania danych jest równoznaczne z koniecznością usunięcia danych osobowych.
- Dane osobowe przetwarzane wyłącznie w oparciu o przesłankę zgody na przetwarzanie danych osobowych są usuwane zawsze niezwłocznie po wycofaniu takiej zgody.
- W każdej komórce organizacyjnej HABZAodpowiedzialnej za określony proces lub procesy przetwarzania danych osobowych, co najmniej jeden raz w każdym roku kalendarzowym odbywa się weryfikacja zasobów danych osobowych prowadzonych w formie papierowej jak i elektronicznej, obejmująca:
- sprawdzenie, czy dane osobowe, dla których upłyną okres przechowywania wynikający z przepisów prawa lub „Polityki retencji danych w HABZA Group Sp. z o.o.” zostały usunięte;
- sprawdzenie, czy w odniesieniu do danych osobowych, których czas przechowywania nie został określony w „Polityce retencji danych w HABZA Group Sp. z o.o.”, nadal istnieje podstawa prawna oraz cel przetwarzania danych osobowych.
- W przypadku ustalenia w trakcie weryfikacji, o której mowa w ust. 6, że okres przetwarzania danych osobowych upłynął bądź nie istnieje podstawa prawna lub cel do dalszego przetwarzania danych osobowych, dane osobowe powinny zostać trwale usunięte z nośników papierowych, elektronicznych oraz systemów informatycznych.
- Szczegółowe zasady usuwania lub anonimizacji danych w systemach informatycznych są ustalane i realizowane przez
§4
- Osoby, które udostępniają w imieniu HABZAdane osobowe do podmiotu zewnętrznego (w formie papierowej lub elektronicznej), przed ich udostępnieniem mają obowiązek sprawdzić czy istnieją podstawy prawne umożliwiające wykonanie tych czynność, w tym:
- wymóg prawa dotyczący udostępnienia danych;
- zgoda osoby na udostępnienie danych innemu podmiotowi;
- zapis w umowie z podmiotem współpracującym, przy spełnieniu warunku, że udostępnienie nie narusza praw i wolności osoby, której dane dotyczą;
- pisemny wniosek o udostępnienie danych od podmiotu uprawnionego, ze wskazaniem podstawy prawnej do otrzymywania danego rodzaju danych osobowych.
- Każda sytuacja dotycząca udostępnienia danych osobowych musi być konsultowana z Prawnikiem oraz ADO lub Inspektorem ochrony danych.
§5
- W sytuacji powierzania czynności przetwarzania danych osobowych zewnętrznemu podmiotowi (podmiotowi przetwarzającemu), należy zawrzeć z nim umowę powierzenia przetwarzania danych osobowych zgodnie z art. 28 ust. 3 RODO.
- W trakcie dokonywania wyboru podmiotu przetwarzającego należy zweryfikować czy podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi przepisów RODO i chroniło prawa osób, których dane dotyczą.
- Za weryfikację podmiotu przetwarzającego odpowiada ADO lub Inspektor danych osobowych, która następnie konsultuje jej wynik z Inspektorem ochrony danych.
- Osoby, które przygotowują w imieniu HABZAumowę z podmiotem zewnętrznym, któremu zlecone zostanie wykonywanie czynności związanych z przetwarzaniem danych osobowych zobowiązane są skonsultować odpowiednie zapisy dotyczące powierzenia przetwarzania danych z Prawnikiem oraz ADO lub Inspektorem ochrony danych.
- Kontrola podmiotów przetwarzających, którym zostały powierzone czynności przetwarzania danych osobowych należących do HABZAjest przeprowadzana przez Inspektora lub inne wyznaczone osoby zgodnie z zapisami zawartymi w umowach powierzenia przetwarzania danych osobowych w odniesieniu do uprawnienia określonego w art. 28 ust. 3 lit. h RODO.
§6
- W sytuacji przekazywania danych osobowych do podmiotu znajdującego się w państwie trzecim (poza Europejskim Obszarem Gospodarczym) należy taką sytuację skonsultować z Prawnikiem oraz ADO lub Inspektorem ochrony danych.
- Prawnik w porozumieniu z ADO lub Inspektorem ochrony danych może ustalić wzory zapisów do umów w ramach, których dochodzi do transferu danych do państwa trzeciego lub organizacji międzynarodowej.
Rozdział VII
Realizacja praw osób, których dane dotyczą
§1
- Każdej osobie, której dane osobowe są przetwarzane przez HABZA przysługują prawa określone w art. 15 – 22 RODO, w tym:
- prawo dostępu do danych jej dotyczących;
- prawo do sprostowania danych;
- prawo do usunięcia danych;
- prawo do ograniczenia przetwarzania;
- prawo do przenoszenia danych;
- prawo do sprzeciwu na przetwarzanie jej danych;
- prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu.
- W sytuacji powierzania danych podmiotom przetwarzającym lub udostępniania danych innym administratorom danych należy ich powiadamiać o każdym sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych, które było wynikiem realizacji wniosku otrzymanego od osoby, której dane dotyczą.
- Szczegółowe zasady postępowania są uregulowane w „Instrukcji postępowania w sprawie rozpatrywania żądań osób, których dane dotyczą w HABZA Group Sp. z o.o.”.
Rozdział VIII
Dobór środków technicznych i organizacyjnych dotyczących przetwarzania
i zabezpieczania danych osobowych
§1
- Dobór środków technicznych i organizacyjnych dotyczących przetwarzania i zabezpieczania danych osobowych HABZArealizowany jest w oparciu o szacowanie ryzyka naruszenia praw i wolności osób, których dane dotyczą.
- Przy doborze zabezpieczeń należy i oceniać ryzyko zarówno w kontekście skutków dla osoby, której dane dotyczą w tym np. dyskryminacja, pozbawienie przysługujących praw, szkody majątkowe i niemajątkowe), jak również ryzyko w kontekście skutków HABZA w przypadku niepodjęcia działań związanych zapewnienie przetwarzania danych osobowych zgodnie z RODO.
- Ustalone wymagania dotyczące zabezpieczenia danych osobowych w odniesieniu do danego procesu przetwarzania danych osobowych są odnotowywane przez ADO lub Inspektora ochrony danych w prowadzonym rejestrze czynności przetwarzania danych osobowych.
§2
- Planowanie realizacji nowych procesów związanych z przetwarzaniem danych osobowych, w tym w szczególności nowych systemów informatycznych służących do przetwarzania danych osobowych, musi uwzględniać zasady ochrony danych w fazie projektowania („privacy by design”)oraz domyślnej ochrony danych („privacy by default”).
- Zasady dotyczące realizacji wymagań w zakresie „privacy by design”oraz „privacy by default”realizowane są zgodnie z przepisami RODO.
§3
- W przypadku realizacji procesów przetwarzania danych osobowych w HABZA, które ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, przed rozpoczęciem przetwarzania należy dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych zgodnie z art. 35 RODO.
- Zasady dokonywania oceny skutków w HABZA określone są w „Procedurze Oceny Skutków dla Ochrony Danych (DPIA)”.
- Wykonanie oceny skutków dla danego procesu przetwarzania danych jest konsultowane
z Inspektorem ochrony danych, który stwierdza czy w danym przypadku takie działanie jest konieczne. - Inspektor ochrony danych w prowadzonym rejestrze czynności przetwarzania danych osobowych, wskazuje procesy dla których należy przeprowadzać ocenę skutków oraz odnotowuje jej przeprowadzenie.
- Jeżeli dokonana ocena skutków dla ochrony danych wykaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby nie zostały zastosowane środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania należy skonsultować się z PUODO.
- W przypadku konieczności przeprowadzenia konsultacji z organem nadzorczym Inspektor ochrony danych przygotowuje odpowiedni wniosek o konsultacje zgodnie z art. 36 RODO i kontaktuje się w tej sprawie z organem.
Rozdział IX
Postępowanie w sytuacji naruszenia ochrony danych
§1
- W sytuacji powzięcia informacji o naruszeniu lub podejrzeniu naruszenia ochrony danych osobowych należy postępować zgodnie z zasadami opisanymi w „Instrukcji postępowania w przypadku zagrożeń i incydentów zagrażających bezpieczeństwu danych osobowych”.
- ADO lub Inspektor ochrony danych przygotowuje wykaz sytuacji, które można uznać za naruszenie ochrony danych osobowych, z uwzględnieniem naruszenia prawa i wolności osób, których dane dotyczą.
- Zgłoszenia naruszenia ochrony danych osobowych przez osobę, której dane dotyczą lub inną osobę zewnętrzną są przyjmowane i rozpatrywane przez ADO lub Inspektora ochrony danych.
- W sytuacji potwierdzenia wystąpienia zdarzenia jest przeprowadzane szacowanie ryzyka naruszenia praw i wolności osób, których może dotyczyć zgłoszone zdarzenie, w tym ocena skutków zdarzenia na prywatność osób.
- Szacowanie ryzyka dotyczące sytuacji naruszenia ochrony danych jest przeprowadzane przez ADO lub Inspektora ochrony danych.
§2
- W sytuacji stwierdzenia wystąpienia naruszenia ochrony danych osobowych oraz prawdopodobieństwa zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych, informacja o naruszeniu powinna zostać zgłoszona do PUODO.
- Zgłoszenie naruszenia przygotowuje ADO lub Inspektor w terminie 72 godzin po stwierdzeniu naruszenia, zgodnie z wymaganiami art. 33 RODO.
- Zgłoszenie przekazywane jest do PUODO w formie elektronicznej za pomocą systemu informatycznego zgodnie z trybem określonym przez organ.
§3
- W sytuacji gdy stwierdzone naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, o naruszeniu należy zawiadomić wszystkie osoby, których dane dotyczą.
- ADO lub Inspektor ochrony danych analizuje czy w odniesieniu do wymogów art. 34 ust. 3 RODO zawiadomienie osób, których dane dotyczą, będzie wymagane.
- Zawiadomienie o naruszeniu przygotowuje ADO lub Inspektor po potwierdzeniu konieczności jego realizacji.
§4
Wszystkie stwierdzone naruszenie ochrony danych osobowych są dokumentowane przez ADO lub Inspektora ochrony danych.
Rozdział X
Rozliczalność zgodności realizacji obowiązków RODO
§1
- W celu weryfikacji zastosowanych w HABZA środków technicznych i organizacyjnych, zapewniających przetwarzanie danych osobowych zgodnie z RODO, wykonuję się ich monitorowanie.
- Monitorowanie ochrony danych osobowych prowadzone jest:
- na bieżąco przez ADO lub Inspektora, w których przetwarzane są dane osobowe;
- poprzez audyty okresowe i doraźne (w sytuacji wystąpienia incydentów naruszenia ochrony danych) wykonywane przez Inspektora;
- podczas audytów wewnętrznych.
- Wyniki monitorowania ochrony danych osobowych Inspektor przedstawia Zarządowi w „Sprawozdaniu z działalności Inspektora za dany rok” opracowywanym w pierwszym kwartale roku następnego.
- ADO lub Inspektor okresowo analizuje zgodność dokumentacji przetwarzania danych osobowych przyjętej w HABZA z przepisami oraz nadzoruje jej aktualizację.
Rozdział XI
Odpowiedzialność karna za naruszenie zasad ochrony danych
§1
- Naruszenie przepisów o ochronie danych osobowych jest zagrożone sankcjami karnymi, określonymi w art. 101 – 102 UODO oraz w art. 130, 266 – 269, 287 Kodeksu karnego.
- Niezależnie od odpowiedzialności przewidzianej w przepisach, o których mowa w pkt 1, naruszenie zasad ochrony danych osobowych, obowiązującychHABZA, może zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych i skutkować odpowiedzialnością na podstawie przepisów prawa pracy.
Rozdział XII
Postanowienia końcowe
§1
- Polityka jest dokumentem wewnętrznym i nie może być udostępniania osobom nieupoważnionym w żadnej formie.
- Kierownicy komórek organizacyjnych są obowiązani zapoznać z treścią Polityki swoich pracowników i współpracowników.
§2
- W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie przepisy RODO oraz UODO.
- Pracownicy i współpracownicy HABZA zobowiązani są do bezwzględnego stosowania zasad określonych w Polityce.