§1POSTANOWIENIA OGÓLNE

Niniejsza Polityka została wdrożona u Sławomira Mrugacza prowadzącego działalność gospodarczą pod firmą MRU-CAR Sławomir Mrugacz z siedzibą w Wadowicach przy ul. Janiny Brzostowskiej 9, posiadającego numery NIP 5512171144 i stanowi instrument ochrony danych osobowych, o którym mowa w art. 24 ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej także jako: RODO.


§2 DEFINICJE

Administrator Danych (także: Administrator) – Marek Zadora prowadzący działalność gospodarczą pod firmą MRU-CAR Sławomir Mrugacz z siedzibą w Wadowicach przy ul. Janiny Brzostowskiej 9, posiadający numery, NIP 5512171144;
2. dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
3. informatyczne nośniki danych – materiały lub urządzenia służące do zapisywania, przechowywania i odczytywania danych osobowych w postaci cyfrowej lub analogowej,
4. integralność danych – właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
5. poufność danych – właści­wość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom;
6. przetwarzanie danych osobowych – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
7. RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
8. rozliczalność danych – właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;
9. integralność systemu - nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej;
10. usuwanie danych – zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwala na ustalenie tożsamości osoby, której dane dotyczą (”anonimizacja”).


§3 CEL OPRACOWANIA POLITYKI

1. Niniejsza Polityka została opracowana w celu:
a) rzetelnego i zgodnego z prawem przetwarzania danych osobowych przez Administratora;
b) ułatwienia zbudowania i konsekwentnego utrzymywania systemu bezpieczeństwa podczas korzystania z systemów informatycznych i tradycyjnych metod przetwarzania danych osobowych;
c) ochrony danych osobowych przetwarzanych przez Administratora, a zwłaszcza ochrony przed: uzyskaniem dostępu do danych przez osoby nieupoważnione, zabraniem przez osoby nieuprawnione, przed zmianą, uszkodzeniem lub zniszczeniem oraz przed przetwarzaniem z naruszeniem przepisów określających zasady postępowania przy przetwarzaniu danych osobowych.
2. Podjęte działania i środki zostały ukierunkowane odpowiednio w stosunku do zakresu, potrzeb i sposobu przetwarzania danych w ramach działalności Sławomira Mrugacza prowadzącego działalność pod firmą MRU-CAR Sławomir Mrugacz.
3. Treść niniejszej Polityki w szczególności uwzględnia okoliczność, że Administrator nie powołał Inspektora Ochrony Danych Osobowych ze względu na fakt, że:
a) nie zachodzą podstawy do jego obligatoryjnego powołania w myśl art. 37 ust.1 RODO;
b) po przeprowadzeniu analizy sposobów i zakresu przetwarzania danych osobowych, Administrator uznał, że nie ma takiej potrzeby.
4. Polityka pełni funkcję przewodnią dla wszystkich osób, które w związku ze współpracą z Sławomirem Mrugaczem w ramach prowadzonej przez niego działalności wykonują zadania związane z przetwarzaniem danych osobowych w rozumieniu niniejszej Polityki. Otrzymując upoważnienie do przetwarzania danych osobowych osoby te zapoznają się z niniejszym dokumentem i zobowiązują się do przestrzegania jego postanowień.
5. Uzupełnieniem systemu ochrony danych osobowych u Administratora jest:
a) Polityka Prywatności;
b) Procedura mająca zastosowanie w razie wystąpienia naruszeń ochrony danych osobowych;
c) Stosowanie umów o powierzenie przetwarzania danych osobowych zobowiązujących podmioty przetwarzające dane osobowe w imieniu Administratora do zapewnienia odpowiedniego poziomu bezpieczeństwa danych;
d) Prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych w imieniu Administratora;
e) Przeszkolenie osób upoważnionych do przetwarzania danych osobowych w imieniu Administratora w zakresie zasad i sposobów przetwarzania oraz ochrony danych osobowych, jak również zobowiązanie ich do zachowania poufności danych;
f) Stosowanie odpowiednich klauzul informacyjnych przy zawieraniu umów z klientami i kontrahentami. Poza powyższym, wszystkie podmioty współpracujące z Administratorem w ramach prowadzonej przez niego działalności gospodarczej - niezależnie od podstawy tej współpracy - zawierając umowy dotyczące współpracy zobowiązują się przestrzegać zasad ochrony danych osobowych.


§4 CEL POLITYKI BEZPIECZEŃSTWA

1. Zastosowane zabezpieczenia mają służyć osiągnięciu celów, o których mowa w §3 powyżej i zapewnić:
a) integralność i poufność danych rozumiane jako przetwarzanie w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych;
b) rozliczalność danych rozumianą jako przyjęcie na siebie przez Administratora odpowiedzialności za przestrzeganie zasad ochrony danych osobowych oraz zobowiązanie do wykazania przestrzegania tych przepisów;
c) integralność systemu.
2. Administrator zapewnia także przejrzystość przetwarzania poprzez rzetelne informowanie osób, których dane dotyczą o zasadach przetwarzania oraz utrzymywanie dialogu z tymi osobami. Administrator dba aby informacje były przekazywane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie oraz jasnym i prostym językiem.


§5 ZAKRES STOSOWANIA POLITYKI BEZPIECZEŃSTWA

1. Polityka ma zastosowanie w stosunku do wszelkich danych osobowych przetwarzanych u Administratora, niezależnie od formy ich przetwarzania i od tego, czy mogą być one przetwarzane w zbiorach danych, a w szczególności do:
a) danych osobowych przetwarzanych w systemie informatycznym Administratora, danych osobowych zapisanych na informatycznych nośnikach danych oraz danych przetwarzanych w tradycyjnej formie papierowej;
b) danych osobowych przetwarzanych zarówno w zestawach, jak i pojedynczych informacji osobowych.
2. Polityka będzie weryfikowana i dostosowywana w celu zapewnienia odpowiedniego poziomu bezpieczeństwa nie rzadziej niż raz w roku.


§6 KATEGORIE OSÓB, KTÓRYCH DANE SĄ PRZETWARZANE I SPOSÓB PRZETWARZANIA

1. Administrator przetwarza następujące kategorie danych osobowych:
a) dane osobowe zleceniobiorców świadczących usługi dla Administratora,
b) dane osobowe klientów Administratora,
c) dane osobowe kontrahentów i dostawców Administratora,
d) dane osobowe innych niż ww. osób tylko w zakresie incydentalnego przetwarzania, którego zakres jest wyznaczony jednorazową potrzebą.
2. Dane osobowe przetwarzane są:
a) w formie tradycyjnej – papierowych zbiorów danych;
b) w systemie informatycznym - na stacjonarnym stanowisku komputerowym posiadającym dostęp do Internetu, a korespondencja e-mail na komputerze przenośnym z dostępem do Internetu.
3. Administrator stale przechowuje dokumentację zawierającą dane osobowe kontrahentów i dostawców oraz zleceniobiorców (m.in. rejestry osób upoważnionych do przetwarzania danych osobowych). Umowy ze zleceniobiorcami są przechowywane wyłącznie przez podmiot przetwarzający (biuro rachunkowe).
4. Pozostałą dokumentację zawierającą dane osobowe Administrator przechowuje przez okres miesiąca kalendarzowego, z końcem którego dokumentacja za ten miesiąc przekazywana jest podmiotowi przetwarzającemu (biuro rachunkowe) i następnie tylko przez ten podmiot jest przechowywana.


§7 OBSZAR PRZETWARZANIA DANYCH OSOBOWYCH

1. Obszar przetwarzania danych osobowych w ramach działalności Administratora tworzą pomieszczenia zajmowane przez Administratora w budynku, w którym znajduje się siedziba Administratora, tj. pod adresem: ul. Janiny Brzostowskiej 9 w Wadowicach.
2. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe i tworzących obszar przetwarzania danych osobowych stanowi załącznik nr 1 do niniejszej Polityki.
3. Wewnątrz obszaru przetwarzania danych osobowych osoby nieupoważnione przez Administratora mogą przebywać wyłącznie pod kontrolą osoby upoważnionej do przetwarzania danych osobowych i za zgodą Administratora.
4. Pomieszczenia, w których przetwarzane są dane osobowe są zamykane na klucz na czas nieobecności w nich osób upoważnionych do przetwarzania danych osobowych, w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym.
5. Klucze do pomieszczeń, w których przechowywane są dane osobowe po otwarciu pomieszczeń przechowywane są w zamkniętej na klucz szafie. Po opuszczeniu i zamknięciu pomieszczeń klucze przechowuje Administrator lub upoważniona przez niego osoba.


§8 ZABEZPIECZENIE DANYCH

Dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych osobowych Administrator stosuje następujące środki:
1. techniczne:
a) ochrona danych osobowych przetwarzanych w ramach systemu informatycznego przez kontrolę dostępu do zasobów systemu - uwierzytelnienie użytkownika.
Po uruchomieniu komputera wymagane jest podanie identyfikatora użytkownika i hasła zawierającego co najmniej 8 znaków, w tym duże i małe litery, cyfrę i jeden znak dodatkowy. Hasło i login zapewniają dostęp do systemu informatycznego jedynie upoważnionym użytkownikom, którym udzielono dostępu. Użytkownicy obowiązani są nie ujawniać hasła innym osobom;
b) bezpieczne zasilanie urządzeń przetwarzających dane chroniące dane przed utratą lub uszkodzeniem;
c) archiwizacja danych;
d) zastosowanie wygaszaczy ekranów na stanowiskach, na których przetwarzane są dane osobowe;
e) zastosowanie mechanizmu blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika – po opuszczeniu stanowiska pacy na ponad 10 minut wymagane jest ponowne zalogowanie się;
f) ochrona antywirusowa stosowana w przypadku zarówno komputera stacjonarnego, jak i przenośnego;
g) bieżąca i regularna aktualizacja oprogramowania antywirusowego gwarantująca aktualność bazy sygnatur szkodliwego oprogramowania;
h) w przypadku dostępu do systemu informatycznego z sieci zewnętrznej - zapory sieciowe, a także inne programy i rozwiązania techniczne zapewniające kontrolę przepływu danych pomiędzy sieciami i w samej sieci;
i) korzystanie z usług podmiotu profesjonalnie zajmującego się zabezpieczeniem stacji komputerowych;
j) niszczenie zbędnych dokumentów i nośników.
Administrator dokonuje regularnych przeglądów stanu przechowywanych nośników danych. Nośniki danych, które przeznaczone są do wycofania z użytku z różnych przyczyn, w tym z powodu: zapisania na nich w sposób nieodwracalny (nośniki optyczne, dokumenty papierowe) danych osobowych podlegających usunięciu w związku z osiągnięciem celu ich przetwarzania, sprzeciwu co do ich przetwarzania, decyzji administracyjnej itp., upływu okresu ich eksploatacji lub z powodu uszkodzenia; niszczone są mechanicznie w obrębie obszaru przetwarzania danych osobowych w sposób trwale uniemożliwiający odczytanie całości oraz części danych osobowych, które znajdowały się na nośniku.
2. organizacyjne:
a) zapoznawanie osób upoważnionych do przetwarzania danych osobowych z dokumentacją ochrony danych osobowych obowiązującą u Administratora, w tym z niniejszą Polityką;
b) publikowanie informacji o zagrożeniach i incydentach;
c) prowadzenie postępowań wyjaśniających w przypadku stwierdzenia naruszenia ochrony danych osobowych;
d) doskonalenie zabezpieczeń zasobów systemu informatycznego;
e) prowadzenie wydzielonych archiwów dla dokumentów papierowych i nośników komputerowych;
f) przechowywanie dokumentów i nośników informatycznych w odpowiednio zabezpieczonych szafach;
g) powierzenie przetwarzania danych osobowych w zakresie rachunkowości podmiotowi przetwarzającemu zapewniającemu odpowiedni stopień ochrony powierzonych danych, w tym także przechowywanie przez podmiot przetwarzający tych danych;
h) zastosowanie procedur postępowania w razie wystąpienia naruszeń danych osobowych;
i) opracowywanie i aktualizowanie Polityki i pozostałych dokumentów z zakresu ochrony danych osobowych obowiązujących u Administratora.
6. ochrony fizycznej:
a) przetwarzanie danych osobowych w wydzielonych pomieszczeniach;
b) przestrzeganie zasady ograniczonego dostępu do danych tylko dla wykonania czynności objętych poleceniami Administratora .
7. bezpieczeństwa osobowego:
a) obowiązek zapoznania się przez wszystkie osoby współpracujące z Administratorem z zasadami ochrony danych osobowych obowiązującymi u niego;
b) minimalizacja dostępu do danych osobowych przez zleceniobiorców świadczących usługi dla Administratora (zakres upoważnienia dopasowany indywidualnie do zadań wykonywanych przez każdego zleceniobiorcę);
c) zobowiązanie się zleceniobiorców do zachowania w tajemnicy danych osobowych oraz sposobów ich przetwarzania i zabezpieczania;
d) przetwarzanie danych osobowych wyłącznie przez osoby, które zostały do tego upoważnione;
e) prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych;
f) nadzór nad powierzonym przetwarzaniem danych osobowych i przetwarzaniem danych w ramach udzielonego upoważnienia;
g) bieżąca kontrola pracy systemu informatycznego, zgodnie z aktualnie obowiązującą w tym zakresie wiedzą;
h) informowanie Administratora o zaobserwowanych nieprawidłowościach i korzystanie z pomocy podmiotów profesjonalnie zajmujących się zabezpieczeniem i serwisowaniem stacji komputerowych;
i) obowiązek raportowania do Administratora wszelkich naruszeń, zauważonych podatności i innych słabych punktów systemu zabezpieczeń oraz przypadków błędnego działania sprzętu i oprogramowania.


§8 UPOWAŻNIENIE DO PRZETWARZANIA DANYCH

1. Administrator udziela upoważnienia do przetwarzania danych osobowych współpracującym z nim zleceniobiorcom, określając jednocześnie zakres upoważnienia.
2. Upoważnienia udzielane są w zakresie niezbędnym do wykonania czynności w ramach umowy o świadczenie usług dla Administratora. Przy udzielaniu upoważnień Administrator kieruje się zasadą minimalizacji i udostępnia dane osobowe zleceniobiorcom w minimalnym możliwym zakresie.
3. Przed przystąpieniem do wykonywania zadań Administrator lub osoba przez niego upoważniona zapoznaje ww. osoby z obowiązującymi przepisami dotyczącymi ochrony danych osobowych oraz z obowiązującą u Administratora Polityką.
4. Wszystkie osoby upoważnione do przetwarzania danych osobowych mają obowiązek uprzedniego złożenia oświadczenia o zachowaniu w poufności informacji podlegających u Administratora ochronie oraz o znajomości i zobowiązaniu się do bezpiecznego i zgodnego z prawem przetwarzania i zabezpieczania danych osobowych.
5. Wzór upoważnienia, o którym mowa w ust. 1 wraz z oświadczeniem, o którym mowa w ust. 4 powyżej stanowi załącznik nr 2 do Polityki.
6. Uprawnienia użytkownika umożliwiające dostęp do danych osobowych przetwarzanych w systemie informatycznym mogą być nadawane wyłącznie osobom upoważnionym do przetwarzania danych osobowych.
7. Administrator przechowuje kopie upoważnień oraz prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, która obejmuje następujące dane:
a) imię i nazwisko osoby upoważnionej,
b) potwierdzenie nadania upoważnienia do przetwarzania danych osobowych,
c) daty nadania i ustania upoważnienia do przetwarzania danych osobowych,
d) zakres upoważnienia.
8. Ewidencja osób upoważnionych do przetwarzania danych osobowych i mających dostęp do obszaru przetwarzania danych osobowych aktualizowana jest na bieżąco, a raz w roku dokonywany jest całościowy przegląd tej ewidencji.
9. Ewidencja osób upoważnionych do przetwarzania danych osobowych stanowi załącznik nr 3 do Polityki.


§9 OBOWIĄZKI ADMINISTRATORA DANYCH

1. Do zadań Administratora należy w szczególności:
a) opracowanie i prowadzenie dokumentacji ochrony danych osobowych, monitorowanie jej przestrzegania i wdrażanie niezbędnych zmian;
b) określanie zasad i celów przetwarzania danych osobowych;
c) realizowanie zaleceń pokontrolnych Urzędu Ochrony Danych Osobowych;
d) wyciąganie stosownych konsekwencji wobec osób naruszających zasady ochrony danych osobowych obowiązujące u Administratora;
e) kontrola sposobu przetwarzania danych osobowych;
f) bieżąca kontrola poziomu i stanu bezpieczeństwa danych osobowych;
g) podejmowanie profilaktycznych i doraźnych czynności mających na celu zapobieżenie naruszeniom bezpieczeństwa danych osobowych;
h) podejmowanie stosownych działań celem zabezpieczenia danych osobowych i usunięcia naruszenia oraz jego skutków w razie wystąpienia naruszenia ochrony danych osobowych;
i) przyznawanie upoważnień do przetwarzania danych osobowych;
j) komunikacja z osobami, których dane dotyczą i przekazywanie im informacji w sposób zwięzły, przejrzysty, zrozumiały i łatwo dostępny;
k) ułatwianie osobom, których dane dotyczą wykonywania ich praw;
l) udzielanie osobom, których dane dotyczą wymaganych prawem informacji;
m) tworzenie warunków organizacyjnych i technicznych umożliwiających spełnienie wymogów wynikających z dokumentacji ochrony danych osobowych obowiązującej u Administratora i powszechnie obowiązujących przepisów.


§10 OBOWIĄZKI OSÓB UPOWAŻNIONYCH

1. Obowiązki osoby upoważnionej przez Administratora do przetwarzania danych osobowych w jego imieniu obejmują m.in.:
a) znajomość i przestrzeganie Polityki oraz innych obowiązujących procedur związanych z przetwarzaniem danych osobowych u Administratora, a także zaleceń i poleceń Administratora lub osoby przez niego upoważnionej bez względu na podległość służbową w strukturze organizacyjnej Administratora lub rodzaj stosunku prawnego wiążącego osobę upoważnioną z Administratorem;
b) uczestniczenie we wszystkich szkoleniach organizowanych przez Administratora i na jego polecenie;
c) znajomość i przestrzeganie przepisów prawa w zakresie ochrony danych osobowych;
d) przetwarzanie danych osobowych wyłącznie w celu i zakresie wyznaczonym przez Administratora;
e) zapewnienie poufności i integralności przetwarzanych przez siebie danych osobowych;
f) podejmowanie profilaktycznych i doraźnych czynności mających na celu zapobieżenie naruszeniom bezpieczeństwa danych osobowych;
g) w razie wystąpienia naruszenia bezpieczeństwa danych osobowych – natychmiastowe powiadomienie o tym fakcie Administratora oraz podejmowanie stosownych działań celem zabezpieczenia danych osobowych i usunięcia naruszenia oraz jego skutków;
h) w przypadku naruszenia lub uzasadnionego podejrzenia naruszenia postanowień niniejszej Polityki skutkującego faktycznym lub potencjalnym naruszeniem bezpieczeństwa danych osobowych - powstrzymanie się od rozpoczęcia lub kontynuowania jakichkolwiek czynności mogących spowodować zatarcie śladów bądź dowodów związanych z danym incydentem, podjęcie niezbędnych działań w celu zapobieżenia eskalacji naruszenia oraz niezwłoczne powiadomienie o danym incydencie Administratora.
2. Obowiązki użytkownika systemu informatycznego obejmują m.in:
a) korzystanie z systemu informatycznego z zachowaniem zasad bezpieczeństwa i ściśle według wskazań i zaleceń Administratora lub osoby przez niego upoważnionej;
b) zapewnienie pełnej poufności własnego identyfikatora i hasła umożliwiających dostęp do systemu informatycznego, w szczególności przestrzeganie zakazu zapisywania haseł na papierze, w telefonach komórkowych lub na niezaszyfrowanych nośnikach danych, chyba że zapewnia się bezpieczne przechowywanie danego hasła;
c) dokonywanie zmiany hasła nie rzadziej niż co 3 miesiące, z zastrzeżeniem, iż nie należy haseł powtarzać bądź stosować w sposób cykliczny haseł dotychczasowych;
d) przetwarzanie danych w systemie informatycznym z zastosowaniem mechanizmu blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika (blokady);
e) wyłączanie komputera w momencie zakończenia w danym dniu pracy z komputerem;
f) nieudostępnianie osobom nieupoważnionym do przetwarzania danych osobowych sprzętu (np. dysków, napędów) należących do Administratora;
g) w przypadku pracy na komputerach przenośnych w obszarze przetwarzania danych osobowych stosowania zasad bezpieczeństwa obowiązujących przy pracy na sprzęcie o charakterze stacjonarnym;
h) w przypadku pracy na komputerach i urządzeniach przenośnych poza obszarem przetwarzania danych osobowych stosowania dodatkowo następujących zasad bezpieczeństwa:
unikania pozostawiania komputera i urządzenia przenośnego poza bezpośrednim nadzorem użytkownika, w szczególności poza zasięgiem umożliwiającym fizyczny kontakt z urządzeniem, chyba że dane urządzenie znajduje się w danym momencie w mieszkaniu użytkownika;
unikania przewożenia komputerów i urządzeń przenośnych w samochodach osobowych w kabinie pasażerskiej, na motocyklach lub rowerem;
unikania przechowywania kilku egzemplarzy przenośnych urządzeń w jednym miejscu (np. w jednej torbie, kieszeni);
unikania korzystania z komputerów i urządzeń przenośnych w miejscach publicznych w sposób niedyskretny;
unikania udostępniania komputerów i urządzeń przenośnych innym osobom celem skorzystania z nich;
i) w razie wystąpienia anomalii lub podejrzanego działania komputerów – natychmiastowe powiadomienie o tym fakcie Administratora lub osobę przez niego upoważnioną oraz podjęcie stosownych działań celem zabezpieczenia danych osobowych.


§11 NARUSZENIE OCHRONY DANYCH OSOBOWYCH

1. Zasady postępowania w przypadku naruszenia ochrony danych osobowych reguluje Procedura mająca zastosowanie w razie wystąpienia naruszeń ochrony danych osobowych, stanowiąca załącznik nr 4 do niniejszej Polityki.
2. Administrator prowadzi dokumentację wszystkich naruszeń ochrony danych osobowych (także tych niewymagających zgłoszenia). Przechowywana dokumentacja obejmuje także korespondencję pomiędzy osobą, której dane dotyczą a Administratorem oraz Administratorem a organem nadzoru.
3. Dokumentacja, o której mowa w ust. 2 powyżej obejmuje m.in. Rejestr naruszeń ochrony danych osobowych oraz Raport z naruszenia stanowiące załączniki do Procedury mającej zastosowanie w razie wystąpienia naruszeń ochrony danych osobowych.
4. W odniesieniu do osób współpracujących z Administratorem, w tym także zleceniobiorców, naruszenie zasad ochrony danych osobowych obowiązujących u Administratora stanowi nienależyte wykonanie obowiązków z umowy o świadczenie usług i może skutkować odpowiedzialnością odszkodowawczą.


§12 PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ

1. W przypadku zbierania danych osobowych i/lub zmiany celów przetwarzania dotychczas zebranych danych osobowych, Administrator dopełnia obowiązku informacyjnego w stosunku do osób, których dane są przetwarzane poprzez podanie wymaganych prawem informacji.
2. Uprawnienia przysługujące osobom, których dane Administrator przetwarza określa Polityka prywatności. Polityka prywatności jest dokumentem jawnym, którego treść służy poinformowaniu osób, których dane dotyczą o przysługujących im prawach. Polityka prywatności jest dostępna na stronie internetowej Administratora oraz w jego siedzibie.
3. Sposób realizacji uprawnień przysługującym osobom, których dane są przetwarzane określają poniższe postanowienia.
4. Realizacja żądania następuje w języku, w jakim Administrator przetwarza dane osobowe.
5. Administrator dokumentuje i przechowuje korespondencję z osobą, której dane są przetwarzane mającą za przedmiot korzystanie z jej uprawnień.
6. Jeśli osoba, której dane są przetwarzane nie sprecyzowała zakresu danych osobowych lub czynności, których żąda, Administrator zwraca się do takiej osoby o odpowiednie uszczegółowienie żądania.
7. Realizacja praw, o których mowa w ust. 2 powyżej jest wolna od opłat, chyba że żądania są ewidentnie nieuzasadnione lub nadmierne.
8. Administrator ma prawo do odmowy realizacji żądania osoby, której dane osobowe przetwarza, w szczególności gdy: realizacja uprawnienia mogłaby spowodować ujawnienie tajemnicy przedsiębiorstwa i/lub żądanie ma być zrealizowane w formacie lub w formie niestosowanej przez Administratora.
9. Administrator może odmówić żądaniu usunięcia danych osobowych, w przypadku przetwarzania danych osobowych na podstawie zgody, gdy zgoda nie jest jedyną przesłanką przetwarzania konkretnych danych osobowych przez Administratora.
10. Administrator realizuje żądania osoby, której dane są przetwarzane bez zbędnej zwłoki – w terminie miesiąca od otrzymania żądania. W przypadku, gdy żądane jest bardzo rozbudowane, złożone lub skomplikowane termin ten może zostać przedłużony o kolejny miesiąc, o czym Administrator informuje osobę, która zgłosiła mu żądanie.


§13 POWIERZENIE PRZETWARZANIA DANYCH

1. Administrator może powierzyć przetwarzanie danych osobowych w drodze umowy wyłącznie podmiotom, z którymi współpracuje w ramach prowadzonej przez siebie działalności gospodarczej, w tym biurom księgowym oraz podmiotom świadczącym usługi IT.
2. Przesłankami powierzenia przez Administratora przetwarzania danych osobowych innemu podmiotowi są każdorazowo:
a) związek funkcjonalny ze stosunkiem prawnym łączącym Administratora z podmiotem przetwarzającym i
b) niezbędność powierzenia danych osobowych dla zapewnienia wykonania usługi lub umowy.
3. Administrator może także powierzyć dane podmiotom przetwarzającym, względem których przekazania danych wymagają obowiązujące przepisy prawa.
4. W ramach powierzenia przetwarzania danych osobowych Administrator korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych.
5. Administrator zawiera z podmiotami, o których mowa w ust. 1 i 3 powyżej umowę o powierzenie przetwarzania danych osobowych regulującą zasady powierzenia przetwarzania danych, zobowiązując je do zapewnienia odpowiednich zabezpieczeń przekazanych danych.


§14 PRZEPŁYW DANYCH POMIĘDZY SYSTEMAMI

Sposób przepływu danych pomiędzy różnymi systemami informatycznymi określa załącznik nr 5 do Polityki - Wykaz zbiorów danych i systemów zastosowanych do ich przetwarzania.


§15 ZMIANA REGULACJI DOTYCZĄCYCH OCHRONY DANYCH OSOBOWYCH

Zmiana niniejszej Polityki oraz innych dokumentów określających zasady ochrony danych osobowych należy do wyłącznej decyzji Administratora.


§16 ROZPOWSZECHNIANIE I ZARZĄDZANIE DOKUMENTEM POLITYKI

1. Niniejszy dokument zawiera informacje dotyczące zabezpieczeń wykorzystywanych w ramach prowadzenia działalności przez Administratora.
2. Treść Polityki stanowi tajemnicę przedsiębiorstwa w rozumieniu art. 11 ust. 4 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (t.j. Dz. U. z 2003 r. Nr 153, poz. 1503 ze zm.) W związku z powyższym, osoby, które przetwarzają dane osobowe w imieniu Administratora obowiązane są zapoznać się z treścią niniejszego dokumentu i zachować go w poufności, także po ustaniu współpracy z Administratorem przez okres 15 lat.
3. Wybrane elementy niniejszej Polityki mogą zostać udostępnione podmiotom trzecim za zgodą Administratora wyrażoną w formie pisemnej pod rygorem nieważności po zawarciu stosownej umowy o zachowaniu poufności.
4. W sprawach nieuregulowanych niniejszą Polityką zastosowanie ma RODO oraz polskie przepisy dotyczące ochrony danych osobowych.
5. Administrator odpowiedzialny jest za zarządzanie Polityką, w tym również za jej aktualizację, utrzymywanie spójności z innymi dokumentami oraz rozpowszechnianie.
6. Integralną część niniejszej Polityki stanowią następujące załączniki:
a) załącznik nr 1 - Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe i tworzących obszar przetwarzania danych osobowych,
b) załącznik nr 2 – Wzór upoważnienia do przetwarzania danych osobowych wraz oświadczeniem o zachowaniu ich w poufności,
c) załącznik nr 3 –Ewidencja osób upoważnionych do przetwarzania danych osobowych,
d) załącznik nr 4 - Procedura mająca zastosowanie w razie wystąpienia naruszeń ochrony danych osobowych,
e) załącznik nr 5 - Wykaz zbiorów danych i systemów zastosowanych do ich przetwarzania.
7. Dokumentami powiązanymi z niniejszą Polityką są Polityka prywatności, wzory umów powierzenia przetwarzania danych osobowych oraz wzory klauzul informacyjnych stosowanych przez Administratora.