Administrator – Dansoft OÜ z siedzibą w Männimäe, Pudisoo küla, Kuusalu vald, Harju maakond – działając w oparciu
o art. 24 Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia
27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich
danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1), w celu
zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanych danych
osobowych, wprowadza niniejszym wewnętrzny system regulacji z zakresu danych
osobowych. Opracowany on został na podstawie:
Polityka Bezpieczeństwa Ochrony Danych Osobowych określa reguły przetwarzania
danych osobowych oraz sposobów ich zabezpieczenia, jako zestaw praw, zasad
i zaleceń regulujących sposób ich zarządzania, ochrony i dystrybucji
w Dansoft OÜ z siedzibą w Männimäe, Pudisoo küla, Kuusalu vald, Harju maakond.
Polityka zawiera informacje dotyczące rozpoznawania procesów przetwarzania
danych osobowych oraz wprowadzonych zabezpieczeń techniczno-organizacyjnych,
zapewniających ochronę przetwarzanych danych osobowych.
Zgodnie z RODO podmiot przetwarzający dane osobowe powinien kierować się
następującymi zasadami:
Zasad przejrzystości wymaga od Administratora danych podania osobie,
której dane dotyczą dla jakich celów przedmiotowe dane są zbierane,
wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim
stopniu te dane osobowe są lub będą przetwarzane. Ponadto zasada ta
wymaga, by wszelkie informacje i wszelkie komunikaty związane
z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe
oraz sformułowane jasnym i prostym językiem.
Wszelkie informacje te mogą być przekazywane w formie elektronicznej
a w stosownych wypadkach dodatkowo wizualizowane, na przykład za pomocą
strony internetowej, gdy są kierowane do ogółu społeczeństwa. Dotyczy to
w szczególności sytuacji, gdy duża liczba podmiotów i złożoność
technologiczna działań sprawiają, że osobie, której dane dotyczą, trudno
jest dowiedzieć się i zrozumieć, czy dotyczące jej dane osobowe są
zbierane, przez kogo oraz w jakim celu, na przykład w przypadku reklamy
w internecie.
Gdy przetwarzanie dotyczy dziecka – powinny być sformułowane tak jasnym
i prostym językiem, by dziecko mogło je bez trudu zrozumieć.
Przetwarzanie danych osobowych do celów innych niż cele, w których dane te
zostały pierwotnie zebrane, powinno być dozwolone wyłącznie w przypadkach,
gdy jest zgodne z celami, w których dane osobowe zostały pierwotnie
zebrane. Za przypadki, o których jest mowa powyżej badania naukowe,
historyczne lub cele statystyczne.
Natomiast jeżeli Administrator danych planuje przetwarzać dane osobowe
w celu innym niż cel, w których dane osobowe zostały zebrane, powinien on
przed takim dalszym przetwarzaniem poinformować osobę, której dane
dotyczą, o innym celu oraz dostarczyć jej w tym zakresie innych
niezbędnych informacji.
Chodzi tu w szczególności o zapewnienie ograniczenia okresu przechowywania
danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko
w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć
innymi sposobami. Aby zapobiec przechowywaniu danych osobowych przez okres
dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich
usuwania lub okresowego przeglądu.
W celu realizacji nałożonych na Administratora danych obowiązków
zobowiązany jest on podjąć wszelkie rozsądne działania, aby dane osobowe,
które są nieprawidłowe w świetle celów ich przetwarzania, zostały
niezwłocznie usunięte lub sprostowane.
Powyższa zasada oraz obowiązki z niej wynikające nałożone na
Administratora Danych wymagają w szczególności zapewnienia ograniczenia
okresu przechowywania danych do ścisłego minimum. Aby zapobiec
przechowywaniu danych osobowych przez okres dłuższy, niż jest to
niezbędne, administrator powinien ustalić termin ich usuwania lub
okresowego przeglądu.
Celem Polityki Bezpieczeństwa Danych Osobowych jest określenie oraz wdrożenie
zasad bezpieczeństwa i ochrony danych osobowych przetwarzanych w Dansoft OÜ
z siedzibą w Männimäe, Pudisoo küla, Kuusalu vald, Harju maakond, a w szczególności:
Administrator danych zezwala na przetwarzanie danych osobowych przez
pracowników bądź inne osoby jedynie wówczas, gdy zostało uprzednio udzielone
imienne upoważnienie do przetwarzania, w zakresie przewidzianym
w upoważnieniu. Niedopuszczalnym jest przetwarzanie danych osobowych przez
osoby nieupoważnione lub przetwarzanie w większym zakresie niż określony
w upoważnieniu.
Administrator danych udziela upoważnienia w formie pisemnej oraz prowadzi
rejestr upoważnień. Rejestr podlega bieżącej kontroli przeprowadzanej co
12 miesięcy. Kontrola obejmuje aktualność i prawidłowość danych ujętych
w rejestrze, w tym w zakresie faktycznego zakresu przetwarzania danych zgodnie
z upoważnieniami.
Upoważnienie wydawane jest po uprzednim zapoznaniu pracownika bądź osoby
przetwarzającej dane osobowe w przedsiębiorstwie, której upoważnienie ma
zostać nadane po odebraniu od niej oświadczenia o poufności. Upoważnienie
wydawane jest na okres nie dłuższy niż 24 miesiące i może zostać przez
Administratora danych w każdym czasie odwołane. Odwołanie upoważnienia
następuje każdorazowo w przypadku, gdy:
Do obowiązków osób upoważnionych do przetwarzania danych osobowych należy:
Administrator danych przetwarza dane wyłącznie w przypadku, gdy spełniony jest
co najmniej jeden z poniższych warunków:
Pracownik bądź inna osoba w przedsiębiorstwie posiadający upoważnienie do
przetwarzania danych osobowych winna w toku podejmowanych czynności, na
bieżąco monitorować czy przetwarzane przez niego dane spełniają ww. kryteria
legalności.
W przypadkach, gdy koniecznym jest uzyskanie zgody na przetwarzanie danych
osobowych, Administrator danych zapewnia, ażeby osoba udzielająca zgody miała
pełną świadomość skutków udzielenia zgody.
Za skutecznie udzielenie zgody na przetwarzanie danych uważa się złożenie
oświadczenia o wyrażeniu zgody, które spełnia poniższe kryteria:
Przed uzyskaniem zgody od osoby, której dane dotyczą, Administrator danych
informuje, że zgoda może być odwołana w każdym czasie.
Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej
treści.
Administrator jest w stanie wykazać, że osoba, której dane dotyczą, wyraziła
zgodę na operację przetwarzania. Administrator danych prowadzi ewidencje
udzielonych zgód na przetwarzanie danych osobowych podmiotu. Jeżeli zgoda
udzielona została ustnie, celem spełnienia zasady rozliczalności, członek
personelu Administratora danych sporządza notatkę służbową wskazującą przez
kogo i w jakim zakresie udzielona została zgoda.
Wzór zgody na przetwarzanie danych o sobowych stanowi załącznik do niniejszej
Polityki.
Administrator danych uprawniony jest do przetwarzania danych osobowych
również wówczas, gdy wynika to z:
Administrator danych szczegółowo określa podstawę przetwarzania przez niego
danych osobowych, w tym wskazuje swój uzasadniony interes.
Administrator danych może zlecić innemu podmiotowi przetwarzanie danych
osobowych w celu realizacji określonego zadania. W sytuacji powierzenia
przetwarzania danych osobowych podmiotowi zewnętrznemu, w umowie powierzenia
przetwarzania danych osobowych określa się przede wszystkim cel i zakres
przetwarzania danych osobowych
Administrator danych zobowiązany jest do zapewnienia realizacji praw osób,
których dane dotyczą, podejmuje w tym celu następujące działania:
Niezależnie od podstawy przetwarzania danych osobowych, osoba, które dane
dotyczą uzyskuje stosowne informacje. Treść klauzuli informacyjnej uzależniona
jest od sposobu pozyskania danych.
Jeżeli dane pozyskiwane są bezpośrednio od osoby, której dotyczą Administrator
danych udziela informacji zgodnie z załącznikiem – Klauzula informacyjna
– art. 13 RODO
Jeżeli dane osoby, której dane dotyczą pozyskiwane są od osoby trzeciej,
Administrator udziela informacji zgodnie z załącznikiem – Klauzula informacyjna
– art. 14 RODO
Administrator może odstąpić od udzielenia informacji objętych klauzulami
jeżeli osoba, której dane dotyczą je posiada, a Administrator danych jest
w stanie tą okoliczność wykazać.
Odstąpienie od udzielenia informacji wymaga indywidualnej decyzji
Administratora danych i zostaje stosownie udokumentowane.
Informacje o przetwarzaniu danych osobowych dotyczących osoby, której dane
dotyczą, należy przekazać tej osobie w momencie zbierania danych, a jeżeli
danych nie uzyskuje się od osoby, której dane dotyczą, lecz z innego źródła
– w rozsądnym terminie, nie dłuższym niż 30 dni.
W przypadku kiedy dane osobowe stosowane są wyłącznie do komunikacji z osobą,
której dotyczą w związku z realizacją umowy zawartej z podmiotem trzecim
będącym Administratorem danych osoby, Dansoft OÜ najpóźniej przy pierwszej
takiej komunikacji z osobą, informuje o przetwarzaniu danych oraz udziela
stosownych, dalszych informacji.
Administrator danych zapewnia realizację praw osoby, której dane dotyczą
poprzez poinformowanie jej o przysługujących prawach i sposobach ich
realizacji, na następujących zasadach.
Każda osoba, której dane są przez Administratora danych przetwarzane ma
możliwość zgłoszenia żądania:
Żądania określone w pkt 1 – 4 oraz 6, zostają zgłoszone przez osobę uprawnioną
w formie pisemnej lub elektronicznej.
Wszelkie zgłoszenia rozpoznane są niezwłocznie, w terminie nie dłuższym niż
30 dni. Jeżeli z przyczyn niezawinionych przez Administratora zachowanie ww.
terminu nie jest możliwe, Administrator danych zawiadamia zgłaszającego
o planowanym rozpatrzeniu zgłoszenia. Powyższy termin może zostać przedłużony
maksymalnie do 3 miesięcy łącznie, z uwagi na skomplikowany charakter żądania
lub znaczną liczbę żądań.
Administrator danych informuje również o nieuwzględnieniu żądania i wskazuje
podstawy takiej decyzji.
Jeśli zgłaszający przekazał żądanie za pomocą komunikacji drogą elektroniczną,
kanał ten zostaje zachowany, chyba że osoba, której dane dotyczą, zażąda innej
formy komunikacji.
Każdy pracownik Administratora danych lub inna osoba przetwarzająca dane
osobowe w przedsiębiorstwie, posiadająca uprawnienia do przetwarzania danych
obowiązana jest na żądanie osoby, której dane dotyczą, do udzielenia
informacji o jej prawach i sposobach ich realizacji.
Administrator danych prowadzi dokumentację dotyczącą wniesionych żądań
w formie elektronicznej. Dokumentacja obejmuje wszystkie czynności podjęte
w ramach postępowania z wniosków osób, których dane dotyczą, a po jego
zakończeniu przechowywana jest przez okres 1 roku
Każda osobo, której dane dotyczą ma prawo pozyskania informacji czy
Administrator danych przetwarza jej dane osobowe, a jeżeli tak to w jakim
zakresie i na jakich zasadach. W celu zapewnienia realizacji przedmiotowego
uprawnienia, Administrator danych zapewnia, żeby każda osoba, której dane
dotyczą mogła uzyskać informację o przetwarzaniu jej danych poprzez zgłoszenie
żądania w tym zakresie.
Zapytanie o przetwarzanie danych może zostać zgłoszone w formie pisemnej lub
elektronicznej jednakże jeżeli obejmuje wniosek o udzielenie informacji
o celach przetwarzania, kategorii przetwarzanych danych, informacji
o odbiorcach danych i innych szczegółowych informacji, lub żądanie
udostępnienia kopii danych, Administrator danych poprzedzi odpowiedź,
dokonując czynności weryfikacyjnych mających na celu zidentyfikowanie czy
otrzymane zgłoszenie zostało przedłożone rzeczywiście przez osobę, której dane
dotyczą.
Osoba, której dane dotyczą ma prawo do następujących informacji dotyczących
przetwarzania jego danych przez Administratora danych w poniższym zakresie:
Niezależnie od żądania informacyjnego, osoba, której dane są przetwarzane
przez Administratora danych ma prawo żądania uzyskania do tych danych
bezpośredniego dostępu. Realizacja tego prawa następuje poprzez udostępnienie
przez Administratora kopii danych.
Podmiot danych, którego dane osobowe są przetwarzane przez Administratora
danych ma prawo weryfikacji aktualności i poprawności przetwarzanych swoich
danych osobowych.
Za nieprawidłowe uznawane są takie dane, które odbiegają od danych
rzeczywistych, w szczególności wówczas gdy dane:
Podmiot danych wskazuje w żądaniu dane, które są nieprawidłowe podając
jednocześnie właściwą wersje danych. Celem weryfikacji, Administrator może
zobowiązać Podmiot danych do złożenia stosownego oświadczenia.
Podmiot danych uprawniony jest do żądania sprostowania lub uzupełnienia
danych.
Na czas prowadzenia czynności wyjaśniających przez Administratora, Podmiot
danych może żądać ograniczenia przetwarzania danych w zakresie objętym
wnioskiem.
Podmiot danych, którego dane osobowe są przetwarzane przez Administratora
danych:
oraz
ma prawo wniesienia żądania przeniesienia jego danych osobowych.
Spełnienie ww. warunków musi nastąpić łącznie.
Prawo osoby, której dane dotyczą wyraża się:
Dane zostają przekazane w ujednoliconym, powszechnie używanym formacie
nadającym się do odczytu maszynowego tj. formie pliku .docx lub wydruku
komputerowego, w zależności od formy wystąpienia z żądaniem
Tym samym Administrator danych zapewnia Podmiotowi danych, gwarancje
ponownego i pełnego wykorzystania danych osobowych zapisanych w formacie
udostępnianego pliku.
Osoba, której dane dotyczą ma prawo zgłosić żądanie ograniczenia przetwarzania
danych jego dotyczycących, w przypadku:
Ograniczenie przetwarzania następuje od chwili wniesienia żądania, przez czas
konieczny do przeprowadzenia postępowania wyjaśniającego przez Administratora
danych.
W czasie ograniczenia przetwarzania danych, Administrator uprawniony jest
wyłącznie do ich przechowywania. Pozostałe operacje na danych wymagają zgody
osoby, której dane dotyczą. Dopuszczalnym jest jednak przetwarzanie danych
w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw
innej osoby fizycznej lub prawnej.
Administrator ogranicza przetwarzanie danych osobowych poprzez:
Osoba, której dane dotyczą ma prawo zgłosić żądanie usunięcia danych jego
dotyczycących, przetwarzanych przez Administratora danych, w następujących
sytuacjach:
Dane nie podlegają usunięciu jeżeli ich przetwarzanie jest niezbędne:
Administrator danych jako podmiot działający w sektorze prywatnym ze
szczególną uwagą weryfikuje wystąpienie okoliczności ujętych w pkt 2 i 5.
Jeżeli żądanie usunięcia danych dotyczy danych udostępnionych przez
Administratora danych podmiotom trzecim, Administrator zawiadamia powyższe
podmioty, które przetwarzają takie dane osobowe o usunięciu wszelkich łączy do
tych danych, kopii lub powieleń tych kopii.
Osoba, które dane dotyczą ma prawo do wniesienia sprzeciwu dotyczącego
przetwarzania danych jego dotyczycących, wyłącznie wówczas gdy:
Prawo do wniesienia sprzeciwu nie jest ograniczone czasowo, Podmiot danym może
wnieść sprzeciw w każdym czasie.
Pomimo wniesienia sprzeciwu Administrator danych jest uprawniony ich
przetwarzania wyłącznie wówczas, gdy:
Ciężar wykazania, istnienia ważnych prawnie uzasadnionych interesów
Administratora danych spoczywa na nim samym.
Administrator danych wdraża odpowiednie środki techniczne, fizyczne
i organizacyjne, celem zapewnienia właściwego poziomu bezpieczeństwa
przetwarzanych danych osobowych.
W oparciu o przeprowadzoną analizę ryzyka naruszenia praw lub wolności osób
związaną z przetwarzaniem danych, uwzgledniającą różny stopień
prawdopodobieństwie wystąpienia i wagę zagrożenia, Administrator wprowadził
stosowne zabezpieczenia.
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres
i cele przetwarzania oraz ww. ryzyko, Administrator danych wprowadził poziomy
zabezpieczeń:
Zabezpieczenia tego poziomu obowiązują na wszystkich stanowiskach, na których
dochodzi do przewarzania danych, niezależnie od zakresu przetwarzania
i częstotliwości.
Poziom standardowy zabezpieczeń obejmuje przetwarzanie danych standardowych
oraz danych których ryzyko przetwarzania nie przekracza ustalonego poziomu
granicznego.
Każdy pracownik bądź inna osoba przetwarzająca dane osobowe
w przedsiębiorstwie upoważniona do ich przetwarzania obowiązana jest stosować
następujące zasady:
Udostępnienie danych osobowych w firmie dopuszcza się na podstawie jednej
z podstaw prawnych określonych w RODO lub na podstawie przepisów innych ustaw.
Administrator danych prowadzi ewidencję udostępniania danych osobowych
instytucjom i osobom spoza przedsiębiorstwa.
Przez naruszenie ochrony danych (incydent) należy rozumieć każde zdarzenie
skutkujące lub mogące skutkować (naruszenie potencjalne):
Naruszenie może wystąpić na każdym etapie przetwarzania danych, w toku
zbierania, utrwalania, przechowywania, opracowywania, zmieniania,
udostępniania i usuwania.
Naruszenie może wystąpić w obszarze przetwarzania danych w wersji papierowej
jak i w systemie informatycznym.
Każdy pracownik lub inna osoba przetwarzająca dane osobowe w przedsiębiorstwie
Administratora danych niezwłocznie po powzięciu informacji lub uzasadnionego
podejrzenia o incydencie obowiązana jest:
Administrator danych niezwłocznie po zawiadomieniu podejmuje działania:
Z przebiegu zdarzenia oraz przyjętych środków minimalizujących wystąpienie
zdarzenia w przyszłości sporządzana zostaje stosowna dokumentacja. Wnioski
w niej ujęte uwzględniane zostają w toku prac aktualizacyjnych nad systemem
bezpieczeństwa danych Administratora danych
Administrator danych prowadzi rejestr wszystkich ujawnionych naruszeń ochrony
danych, w tym naruszeń nie podlegających notyfikacji lub zawiadomieniu osoby,
której dane dotyczą
Każdorazowo w przypadku stwierdzenia naruszenia ochrony danych osobowych
Administrator danych zawiadamia organ nadzorczy. Zawiadomienie następuje
niezwłocznie, nie później jednak niż w terminie 72 godzin od stwierdzenia
naruszenia.
Niezachowanie ww. terminu dopuszczalne jest wyłącznie w drodze wyjątku,
w szczególnie uzasadnionych przypadkach. Wówczas zawiadomienie zawiera
wyjaśnienie przyczyn opóźnienia.
Obowiązek notyfikacji nie dotyczy naruszenia ochrony danych jeżeli
prawdopodobieństwo, by naruszenie to skutkowało ryzykiem naruszenia praw lub
wolności osób fizycznych jest znikome. Decyzję w tym zakresie podejmuje
Administrator danych
Wzór formularza zawiadomienie zawarty stanowi załącznik do niniejszej Polityki
– Zawiadomienie o naruszeniu.
Wzór formularza zawiadomienie stanowi załącznik do niniejszej Polityki –
Zawiadomienie o naruszeniu
Przedmiotowa Polityka Bezpieczeństwa Ochrony Danych Osobowych stanowi dokument
wewnętrzny Administratora danych, z którego treścią zapoznani zostają wszyscy
pracownicy Administratora danych
Nie może ona zostać udostępniona osobom nieupoważnionym, chyba, że jest to
konieczne dla realizacji obowiązków Administratora danych wynikających
z przepisów prawa lub w celu realizacji umowy. Każdorazowa decyzja
o udostępnieniu Polityki lub wyciągu z niej poprzedzona zgodą Administratora
udzieloną na piśmie.
Każdy z pracowników Administratora danych zobowiązany jest złożyć oświadczenie
o tym, iż został zapoznany z obowiązującymi przepisami oraz przyjętymi
regulacjami znajdującymi się w niniejszej Polityce, a także o zobowiązaniu się
do ich przestrzegania.
W sprawach nieuregulowanych w przyjętej Polityce i dokumentacji wewnętrznej
Administratora danych z zakresu bezpieczeństwa danych zastosowanie mają
przepisy RODO oraz krajowych aktów prawa powszechnie obowiązującego.