Polityka prywatności

SPIS TREŚCI

  1. Wprowadzenie
  2. Zbiór podstawowych definicji
  3. Zasady ochrony danych osobowych
  4. Cele Polityki Bezpieczeństwa
  5. Przetwarzanie danych osobowych
  6. Prawa osób, których dane dotyczą
  7. Reguły bezpieczeństwa przetwarzania danych osobowych
  8. Udostępnienie danych osobowych
  9. Procedura postępowania na wypadek naruszeń
  10. Postanowienia końcowe
  11. Załączniki

1. Wprowadzenie

Administrator – Dansoft OÜ z siedzibą w Männimäe, Pudisoo küla, Kuusalu vald, Harju maakond – działając w oparciu
o art. 24 Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia
27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich
danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1), w celu
zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanych danych
osobowych, wprowadza niniejszym wewnętrzny system regulacji z zakresu danych
osobowych. Opracowany on został na podstawie:

  • Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia
    27 kwietnia 2016 r.
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia
    27 kwietnia 2016 r. (dalej RODO)

Polityka Bezpieczeństwa Ochrony Danych Osobowych określa reguły przetwarzania
danych osobowych oraz sposobów ich zabezpieczenia, jako zestaw praw, zasad
i zaleceń regulujących sposób ich zarządzania, ochrony i dystrybucji
w Dansoft OÜ z siedzibą w Männimäe, Pudisoo küla, Kuusalu vald, Harju maakond.

Polityka zawiera informacje dotyczące rozpoznawania procesów przetwarzania
danych osobowych oraz wprowadzonych zabezpieczeń techniczno-organizacyjnych,
zapewniających ochronę przetwarzanych danych osobowych.

2. Zbiór podstawowych definicji

  1. Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej
    do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”);
    możliwa do zidentyfikowania osoba fizyczna to osoba, którą można
    bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie
    identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny,
    dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka
    szczególnych czynników określających fizyczną, fizjologiczną, genetyczną,
    psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
  2. Przetwarzanie danych osobowych – oznacza operację lub zestaw operacji
    wykonywanych na danych osobowych lub zestawach danych osobowych w sposób
    zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie,
    organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie,
    pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie,
    rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub
    łączenie, ograniczanie, usuwanie lub niszczenie.
  3. Ograniczenie przetwarzania danych osobowych – oznacza oznaczenie
    przechowywanych danych osobowych w celu ograniczenia ich przyszłego
    przetwarzania.
  4. Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania
    danych osobowych, które polega na wykorzystaniu danych osobowych do oceny
    niektórych czynników osobowych osoby fizycznej, w szczególności do analizy
    lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej
    sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań,
    wiarygodności, zachowania, lokalizacji lub przemieszczania się.
  5. Pseudoanimizacja – oznacza przetworzenie danych osobowych w taki
    sposób, by nie można ich było już przypisać konkretnej osobie, której dane
    dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe
    informacje są przechowywane osobno i są objęte środkami technicznymi
    i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub
    możliwej do zidentyfikowania osobie fizycznej.
  6. Zbiór danych – oznacza uporządkowany zestaw danych osobowych
    dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten
    jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub
    geograficznie.
  7. Administrator danych osobowych – oznacza osobę fizyczną lub prawną,
    organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie
    z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele
    i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie
    państwa członkowskiego, to również w prawie Unii lub w prawie państwa
    członkowskiego może zostać wyznaczony administrator lub mogą zostać
    określone konkretne kryteria jego wyznaczania.
  8. Podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ
    publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe
    w imieniu administratora.
  9. Odbiorca – oznacza osobę fizyczną lub prawną, organ publiczny,
    jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od
    tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane
    osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem
    państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie
    tych danych przez te organy publiczne musi być zgodne z przepisami
    o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.
  10. Strona trzecia – oznacza osobę fizyczną lub prawną, organ publiczny,
    jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator,
    podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub
    podmiotu przetwarzającego – mogą przetwarzać dane osobowe.
  11. Zgoda na przetwarzanie danych osobowych – oznacza zgodę osoby, której
    dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie
    woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego
    działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej
    danych osobowych.
  12. Naruszenie ochrony danych osobowych – oznacza naruszenie
    bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem
    zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub
    nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych
    lub w inny sposób przetwarzanych.
  13. Dane genetyczne – oznaczają dane osobowe dotyczące odziedziczonych
    lub nabytych cech genetycznych osoby fizycznej, które ujawniają
    niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które
    wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej
    osoby fizycznej.
  14. Dane biometryczne – oznaczają dane osobowe, które wynikają ze
    specjalnego przetwarzania technicznego, dotyczą cech fizycznych,
    fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub
    potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek
    twarzy lub dane daktyloskopijne.
  15. Dane dotyczące zdrowia – oznaczają dane osobowe o zdrowiu fizycznym
    lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki
    zdrowotnej – ujawniające informacje o stanie jej zdrowia.
  16. Przedstawiciel – oznacza osobę fizyczną lub prawną mającą miejsce
    zamieszkania lub siedzibę w Unii, która została wyznaczona na piśmie przez
    administratora lub podmiot przetwarzający na mocy art. 27 RODO do
    reprezentowania administratora lub podmiotu przetwarzającego w zakresie ich
    obowiązków wynikających z niniejszego rozporządzenia.
  17. Przedsiębiorca – oznacza osobę fizyczną lub prawną prowadzącą
    działalność gospodarczą, niezależnie od formy prawnej, w tym spółki osobowe
    lub zrzeszenia prowadzące regularną działalność gospodarczą.
  18. Organ nadzorczy – oznacza niezależny organ publiczny ustanowiony
    przez państwo członkowskie zgodnie z art. 51 RODO.

3. Zasady ochrony danych osobowych

Zgodnie z RODO podmiot przetwarzający dane osobowe powinien kierować się
następującymi zasadami:

  1. Zasada zgodności, rzetelności i przejrzystości z prawemArt. 5 ust. 1 lit a) RODO wysuwa ogólny postulat, który wymaga od
    Administratora danych przetwarzania danych zgodnie z prawem, rzetelnie
    i w sposób przejrzysty dla osoby, której dane dotyczą.

    Zasad przejrzystości wymaga od Administratora danych podania osobie,
    której dane dotyczą dla jakich celów przedmiotowe dane są zbierane,
    wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim
    stopniu te dane osobowe są lub będą przetwarzane. Ponadto zasada ta
    wymaga, by wszelkie informacje i wszelkie komunikaty związane
    z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe
    oraz sformułowane jasnym i prostym językiem.

    Wszelkie informacje te mogą być przekazywane w formie elektronicznej
    a w stosownych wypadkach dodatkowo wizualizowane, na przykład za pomocą
    strony internetowej, gdy są kierowane do ogółu społeczeństwa. Dotyczy to
    w szczególności sytuacji, gdy duża liczba podmiotów i złożoność
    technologiczna działań sprawiają, że osobie, której dane dotyczą, trudno
    jest dowiedzieć się i zrozumieć, czy dotyczące jej dane osobowe są
    zbierane, przez kogo oraz w jakim celu, na przykład w przypadku reklamy
    w internecie.

    Gdy przetwarzanie dotyczy dziecka – powinny być sformułowane tak jasnym
    i prostym językiem, by dziecko mogło je bez trudu zrozumieć.

  2. Zasada ograniczenia celu przetwarzania danych osobowychPowyższa zasad nakłada na Administratora danych obowiązek zbierania danych
    w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane
    dalej w sposób niezgodny z tymi celami.

    Przetwarzanie danych osobowych do celów innych niż cele, w których dane te
    zostały pierwotnie zebrane, powinno być dozwolone wyłącznie w przypadkach,
    gdy jest zgodne z celami, w których dane osobowe zostały pierwotnie
    zebrane. Za przypadki, o których jest mowa powyżej badania naukowe,
    historyczne lub cele statystyczne.

    Natomiast jeżeli Administrator danych planuje przetwarzać dane osobowe
    w celu innym niż cel, w których dane osobowe zostały zebrane, powinien on
    przed takim dalszym przetwarzaniem poinformować osobę, której dane
    dotyczą, o innym celu oraz dostarczyć jej w tym zakresie innych
    niezbędnych informacji.

  3. Zasada minimalizacji danychZgodnie z przepisami RODO od Administratora danych wymaga się by
    adekwatnie, stosownie oraz w sposób ograniczony do swoich celów gromadził
    i przechowywał dane osobowe.

    Chodzi tu w szczególności o zapewnienie ograniczenia okresu przechowywania
    danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko
    w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć
    innymi sposobami. Aby zapobiec przechowywaniu danych osobowych przez okres
    dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich
    usuwania lub okresowego przeglądu.

  4. Zasada prawidłowości danychNa Administratorze danych ciąży obowiązek by dane osobowe przez niego
    posiadane były prawidłowe natomiast w przypadku ich niezgodności
    zobowiązany jest on do ich aktualizacji.

    W celu realizacji nałożonych na Administratora danych obowiązków
    zobowiązany jest on podjąć wszelkie rozsądne działania, aby dane osobowe,
    które są nieprawidłowe w świetle celów ich przetwarzania, zostały
    niezwłocznie usunięte lub sprostowane.

  5. Zasada ograniczenia przechowania danychAdministrator danych zobligowany jest do przechowywania danych w formie
    umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie
    dłuższy, niż jest to niezbędne do celów, w których dane te są
    przetwarzane. Dane osobowe można przechowywać przez okres dłuższy, o ile
    będą one przetwarzane wyłącznie do celów archiwalnych w interesie
    publicznym, do celów badań naukowych lub historycznych lub do celów
    statystycznych.

    Powyższa zasada oraz obowiązki z niej wynikające nałożone na
    Administratora Danych wymagają w szczególności zapewnienia ograniczenia
    okresu przechowywania danych do ścisłego minimum. Aby zapobiec
    przechowywaniu danych osobowych przez okres dłuższy, niż jest to
    niezbędne, administrator powinien ustalić termin ich usuwania lub
    okresowego przeglądu.

  6. Zasada integralności i poufności danychAdministrator danych przetwarzając dane osobowe powinien zapewnić im
    odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub
    niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem
    lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub
    organizacyjnych. Oznacza to ochronę przed nieuprawnionym dostępem do nich
    i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym
    korzystaniem z tych danych i z tego sprzętu.
  7. Zasada rozliczalnościAdministrator musi wykazać, że określone decyzje odnoszące się do procesów
    przetwarzania danych osobowych zostały przeanalizowane z punktu widzenia
    zgodności z ogólnymi zasadami przetwarzania danych, a przede wszystkim, że
    są z nimi zgodne.

4. Cele Polityki Bezpieczeństwa

Celem Polityki Bezpieczeństwa Danych Osobowych jest określenie oraz wdrożenie
zasad bezpieczeństwa i ochrony danych osobowych przetwarzanych w Dansoft OÜ
z siedzibą w Männimäe, Pudisoo küla, Kuusalu vald, Harju maakond, a w szczególności:

  1. zapewnienie spełnienia wymagań prawnych;
  2. zapewnienie poufności, integralności oraz rozliczalności danych osobowych
    przetwarzanych w firmie;
  3. podnoszenie świadomości osób przetwarzających dane osobowe;
  4. zaangażowanie osób przetwarzających dane osobowe firmy w ich ochronę.

5. Przetwarzanie danych osobowych

Nadawanie upoważnień do przetwarzania danych osobowych

Administrator danych zezwala na przetwarzanie danych osobowych przez
pracowników bądź inne osoby jedynie wówczas, gdy zostało uprzednio udzielone
imienne upoważnienie do przetwarzania, w zakresie przewidzianym
w upoważnieniu. Niedopuszczalnym jest przetwarzanie danych osobowych przez
osoby nieupoważnione lub przetwarzanie w większym zakresie niż określony
w upoważnieniu.

Administrator danych udziela upoważnienia w formie pisemnej oraz prowadzi
rejestr upoważnień. Rejestr podlega bieżącej kontroli przeprowadzanej co
12 miesięcy. Kontrola obejmuje aktualność i prawidłowość danych ujętych
w rejestrze, w tym w zakresie faktycznego zakresu przetwarzania danych zgodnie
z upoważnieniami.

Upoważnienie wydawane jest po uprzednim zapoznaniu pracownika bądź osoby
przetwarzającej dane osobowe w przedsiębiorstwie, której upoważnienie ma
zostać nadane po odebraniu od niej oświadczenia o poufności. Upoważnienie
wydawane jest na okres nie dłuższy niż 24 miesiące i może zostać przez
Administratora danych w każdym czasie odwołane. Odwołanie upoważnienia
następuje każdorazowo w przypadku, gdy:

  1. Upoważniony dopuścił się naruszenia zasad przetwarzania danych osobowych,
    a naruszenie miało charakter umyślny i zawiniony.
  2. Upoważniony zaprzestał czasow o albo na stałe wykonywać obowiązki związane
    z przetwarzaniem danych osobowych (np. zmiana stanowiska, rozwiązanie umowy
    o pracę).

Do obowiązków osób upoważnionych do przetwarzania danych osobowych należy:

  • zapoznanie się z przepisami prawa w zakresie ochrony danych osobowych oraz
    postanowieniami Polityki Bezpieczeństwa Ochrony Danych Osobowych
  • przetwarzania danych osobowych wyłącznie w zakresie ustalonym indywidualnie
    przez Administratora Danych Osobowych w pisemnym upoważnieniu i tylko w celu
    wykonywania nałożonych obowiązków służbowych;
  • niezwłoczne informowanie Administratora Danych o wszelkich
    nieprawidłowościach dotyczących bezpieczeństwa danych osobowych
    przetwarzanych w przedsiębiorstwie
  • w przypadku stwierdzenia naruszenia, jeśli to możliwe zobowiązana jest do
    podjęcia niezbędnych, koniecznych działań minimalizujących skutki naruszenia
  • ochronę danych osobowych oraz środków wykorzystywanych do przetwarzania
    danych osobowych przed nieuprawnionym dostępem, ujawnieniem, modyfikacją,
    zniszczeniem lub zniekształceniem;
  • korzystanie z systemów informatycznych firmy w sposób zgodny ze wskazówkami
    zawartymi w instrukcjach obsługi urządzeń
  • bezterminowe zachowanie w tajemnicy danych osobowych oraz sposobów ich
    zabezpieczenia;
  • zachowanie szczególnej staranności w trakcie wykonywania operacji
    przetwarzania danych osobowych w celu ochrony interesów osób, których dane
    dotyczą.
  • przestrzegania tzw. zasady czystego biurka poprzez:
    • Niepozostawianie w obszarze stanowiska pracy dokumentów i nośników
      podczas nieobecności przy stanowisku;
    • Nieprzechowywanie niezabezpieczonych dokumentów i nośników, które nie są
      konieczne do realizacji bieżącej czynności na stanowisku pracy;
    • Zabezpieczanie dokumentów i nośników przed nieuprawnionym dostępem
  • Niszczenia dokumentów i nośników danych w taki sposób, ażeby zaznajomienie
    było niemożliwe – za wykorzystaniem niszczarek lub innych metod bezpiecznej
    utylizacji

Podstawa przetwarzania danych osobowych

Administrator danych przetwarza dane wyłącznie w przypadku, gdy spełniony jest
co najmniej jeden z poniższych warunków:

  1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych
    osobowych w jednym lub większej liczbie określonych celów.
  2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba,
    której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane
    dotyczą, przed zawarciem umowy.
  3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na
    Administratorze.
  4. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych
    interesów realizowanych przez administratora lub przez stronę trzecią.

Pracownik bądź inna osoba w przedsiębiorstwie posiadający upoważnienie do
przetwarzania danych osobowych winna w toku podejmowanych czynności, na
bieżąco monitorować czy przetwarzane przez niego dane spełniają ww. kryteria
legalności.

Zgoda na przetwarzanie danych osobowych

W przypadkach, gdy koniecznym jest uzyskanie zgody na przetwarzanie danych
osobowych, Administrator danych zapewnia, ażeby osoba udzielająca zgody miała
pełną świadomość skutków udzielenia zgody.

Za skutecznie udzielenie zgody na przetwarzanie danych uważa się złożenie
oświadczenia o wyrażeniu zgody, które spełnia poniższe kryteria:

  1. zgoda udzielona została dobrowolnie i świadomie przez osobę, której dane
    dotyczą;
  2. zgoda wskazuje, w jakim zakresie dozwolone jest przetwarzanie danych przez
    Administratora danych, tj. jakie kategorie danych obejmuje.
  3. zgoda wskazuję, w jakim celu dozwolone jest przetwarzanie danych przez
    Administratora danych.

Przed uzyskaniem zgody od osoby, której dane dotyczą, Administrator danych
informuje, że zgoda może być odwołana w każdym czasie.

Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej
treści.

Administrator jest w stanie wykazać, że osoba, której dane dotyczą, wyraziła
zgodę na operację przetwarzania. Administrator danych prowadzi ewidencje
udzielonych zgód na przetwarzanie danych osobowych podmiotu. Jeżeli zgoda
udzielona została ustnie, celem spełnienia zasady rozliczalności, członek
personelu Administratora danych sporządza notatkę służbową wskazującą przez
kogo i w jakim zakresie udzielona została zgoda.

Wzór zgody na przetwarzanie danych o sobowych stanowi załącznik do niniejszej
Polityki.

Przetwarzanie danych osobowych na podstawie przepisu prawa, umowy,
uzasadnionego interesu

Administrator danych uprawniony jest do przetwarzania danych osobowych
również wówczas, gdy wynika to z:

  1. Przepisu prawa, który nakłada na niego obowiązek określonego działania
  2. Zawartej umowy, celem jej realizacji
  3. W związku z realizacją uzasadnionego interesu Administratora danych

Administrator danych szczegółowo określa podstawę przetwarzania przez niego
danych osobowych, w tym wskazuje swój uzasadniony interes.

Powierzenie przetwarzania danych osobowych

Administrator danych może zlecić innemu podmiotowi przetwarzanie danych
osobowych w celu realizacji określonego zadania. W sytuacji powierzenia
przetwarzania danych osobowych podmiotowi zewnętrznemu, w umowie powierzenia
przetwarzania danych osobowych określa się przede wszystkim cel i zakres
przetwarzania danych osobowych

6. Prawa osób, których dane dotyczą

Administrator danych zobowiązany jest do zapewnienia realizacji praw osób,
których dane dotyczą, podejmuje w tym celu następujące działania:

  1. Wdraża procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw,
    poprzez udzielenie informacji o powołanych u Administratora danych
    stanowiskach z zakresu bezpieczeństwa danych, w tym podania danych
    kontaktowych do osób pełniących stosowne funkcje
  2. Wdraża kanały komunikacji z osobami, których dane dotyczą
  3. Uświadamia wszystkich pracowników i inne osoby przetwarzające dane w
    przedsiębiorstwie o prawach osób, których dane dotyczą i sposobach ich
    realizacji;
  4. Informuje osoby, których dane dotyczą o przysługujących im prawach
    i sposobach ich realizacji, w szczególności poprzez stosowanie klauzuli
    informacyjnych
  5. Udostępnia do powszechnej wiadomości, wyciąg z niniejszej Polityki
    obejmujący rozdział 6 – Prawa osób, których dane dotyczą,
    w ogólnodostępnym miejscu

Obowiązki informacyjne

Niezależnie od podstawy przetwarzania danych osobowych, osoba, które dane
dotyczą uzyskuje stosowne informacje. Treść klauzuli informacyjnej uzależniona
jest od sposobu pozyskania danych.

Jeżeli dane pozyskiwane są bezpośrednio od osoby, której dotyczą Administrator
danych udziela informacji zgodnie z załącznikiem – Klauzula informacyjna
– art. 13 RODO

Jeżeli dane osoby, której dane dotyczą pozyskiwane są od osoby trzeciej,
Administrator udziela informacji zgodnie z załącznikiem – Klauzula informacyjna
– art. 14 RODO

Administrator może odstąpić od udzielenia informacji objętych klauzulami
jeżeli osoba, której dane dotyczą je posiada, a Administrator danych jest
w stanie tą okoliczność wykazać.

Odstąpienie od udzielenia informacji wymaga indywidualnej decyzji
Administratora danych i zostaje stosownie udokumentowane.

Informacje o przetwarzaniu danych osobowych dotyczących osoby, której dane
dotyczą, należy przekazać tej osobie w momencie zbierania danych, a jeżeli
danych nie uzyskuje się od osoby, której dane dotyczą, lecz z innego źródła
– w rozsądnym terminie, nie dłuższym niż 30 dni.

W przypadku kiedy dane osobowe stosowane są wyłącznie do komunikacji z osobą,
której dotyczą w związku z realizacją umowy zawartej z podmiotem trzecim
będącym Administratorem danych osoby, Dansoft OÜ najpóźniej przy pierwszej
takiej komunikacji z osobą, informuje o przetwarzaniu danych oraz udziela
stosownych, dalszych informacji.

Uprawnienia osoby, której dane dotyczą

Administrator danych zapewnia realizację praw osoby, której dane dotyczą
poprzez poinformowanie jej o przysługujących prawach i sposobach ich
realizacji, na następujących zasadach.

Każda osoba, której dane są przez Administratora danych przetwarzane ma
możliwość zgłoszenia żądania:

  1. dostępu do swoich danych,
  2. sprostowania swoich danych,
  3. przeniesienia swoich danych,
  4. usunięcia lub ograniczenia przetwarzania swoich danych (tzw. prawo do bycia
    zapomnianym)
  5. wniesienia skargi do organu nadzorczego
  6. wniesienia sprzeciwu

Żądania określone w pkt 1 – 4 oraz 6, zostają zgłoszone przez osobę uprawnioną
w formie pisemnej lub elektronicznej.

Wszelkie zgłoszenia rozpoznane są niezwłocznie, w terminie nie dłuższym niż
30 dni. Jeżeli z przyczyn niezawinionych przez Administratora zachowanie ww.
terminu nie jest możliwe, Administrator danych zawiadamia zgłaszającego
o planowanym rozpatrzeniu zgłoszenia. Powyższy termin może zostać przedłużony
maksymalnie do 3 miesięcy łącznie, z uwagi na skomplikowany charakter żądania
lub znaczną liczbę żądań.

Administrator danych informuje również o nieuwzględnieniu żądania i wskazuje
podstawy takiej decyzji.

Jeśli zgłaszający przekazał żądanie za pomocą komunikacji drogą elektroniczną,
kanał ten zostaje zachowany, chyba że osoba, której dane dotyczą, zażąda innej
formy komunikacji.

Każdy pracownik Administratora danych lub inna osoba przetwarzająca dane
osobowe w przedsiębiorstwie, posiadająca uprawnienia do przetwarzania danych
obowiązana jest na żądanie osoby, której dane dotyczą, do udzielenia
informacji o jej prawach i sposobach ich realizacji.

Administrator danych prowadzi dokumentację dotyczącą wniesionych żądań
w formie elektronicznej. Dokumentacja obejmuje wszystkie czynności podjęte
w ramach postępowania z wniosków osób, których dane dotyczą, a po jego
zakończeniu przechowywana jest przez okres 1 roku

Prawo dostępu i informacji

Każda osobo, której dane dotyczą ma prawo pozyskania informacji czy
Administrator danych przetwarza jej dane osobowe, a jeżeli tak to w jakim
zakresie i na jakich zasadach. W celu zapewnienia realizacji przedmiotowego
uprawnienia, Administrator danych zapewnia, żeby każda osoba, której dane
dotyczą mogła uzyskać informację o przetwarzaniu jej danych poprzez zgłoszenie
żądania w tym zakresie.

Zapytanie o przetwarzanie danych może zostać zgłoszone w formie pisemnej lub
elektronicznej jednakże jeżeli obejmuje wniosek o udzielenie informacji
o celach przetwarzania, kategorii przetwarzanych danych, informacji
o odbiorcach danych i innych szczegółowych informacji, lub żądanie
udostępnienia kopii danych, Administrator danych poprzedzi odpowiedź,
dokonując czynności weryfikacyjnych mających na celu zidentyfikowanie czy
otrzymane zgłoszenie zostało przedłożone rzeczywiście przez osobę, której dane
dotyczą.

Osoba, której dane dotyczą ma prawo do następujących informacji dotyczących
przetwarzania jego danych przez Administratora danych w poniższym zakresie:

  1. Wskazanie celów przetwarzania danych
  2. Wskazanie kategorii przetwarzanych danych osobowych
  3. Podanie informacji o odbiorcach lub kategoriach odbiorców danych
  4. Wskazanie okresu przechowywania danych osobowych, a gdy nie jest to możliwe,
    kryteria ustalania tego okresu,
  5. Udzielenie informacji o przysługujących uprawnieniach podmiotowi danych,
    w tym informacji o prawie wniesienia skargi do organu nadzorczego,
  6. Wskazanie informacji o źródle danych, jeżeli Administrator pozyskał dane od
    innej osoby niż zgłaszający Podmiot danych.
  7. Poinformowania o zautomatyzowanym podejmowaniu decyzji (jeżeli takie
    administrator realizuje wobec tej osoby), w tym o profilowaniu oraz istotne
    informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych
    konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Niezależnie od żądania informacyjnego, osoba, której dane są przetwarzane
przez Administratora danych ma prawo żądania uzyskania do tych danych
bezpośredniego dostępu. Realizacja tego prawa następuje poprzez udostępnienie
przez Administratora kopii danych.

Sprostowanie danych

Podmiot danych, którego dane osobowe są przetwarzane przez Administratora
danych ma prawo weryfikacji aktualności i poprawności przetwarzanych swoich
danych osobowych.

Za nieprawidłowe uznawane są takie dane, które odbiegają od danych
rzeczywistych, w szczególności wówczas gdy dane:

  1. Zapisane są błędnie (omyłki pisarskie);
  2. Są nieaktualne (nastąpiła zmiana okoliczności np. zmiana nazwiska);
  3. Są niepełnie (nie uwzględniają określonej kategorii danych).

Podmiot danych wskazuje w żądaniu dane, które są nieprawidłowe podając
jednocześnie właściwą wersje danych. Celem weryfikacji, Administrator może
zobowiązać Podmiot danych do złożenia stosownego oświadczenia.

Podmiot danych uprawniony jest do żądania sprostowania lub uzupełnienia
danych.

Na czas prowadzenia czynności wyjaśniających przez Administratora, Podmiot
danych może żądać ograniczenia przetwarzania danych w zakresie objętym
wnioskiem.

Przeniesienie danych

Podmiot danych, którego dane osobowe są przetwarzane przez Administratora
danych:

  1. w sposób zautomatyzowany (za pomocą systemów informatycznych)

oraz

  1. na podstawie udzielonej zgody na przetwarzanie danych lub na podstawie
    zawartej umowy

ma prawo wniesienia żądania przeniesienia jego danych osobowych.

Spełnienie ww. warunków musi nastąpić łącznie.

Prawo osoby, której dane dotyczą wyraża się:

  1. w obowiązku Administratora danych do przekazania żądającemu kopii danych,
    które uprzednio zostały Administratorowi przekazane w związku z zawarciem
    i realizacją umowy lub na podstawie zgody.

Dane zostają przekazane w ujednoliconym, powszechnie używanym formacie
nadającym się do odczytu maszynowego tj. formie pliku .docx lub wydruku
komputerowego, w zależności od formy wystąpienia z żądaniem

  1. w obowiązku przesłania przez Administratora bezpośrednio innemu podmiotowi,
    danych dotyczących zgłaszającego – o ile jest to technicznie możliwe.

Tym samym Administrator danych zapewnia Podmiotowi danych, gwarancje
ponownego i pełnego wykorzystania danych osobowych zapisanych w formacie
udostępnianego pliku.

Usunięcie lub ograniczenie przetwarzania

Osoba, której dane dotyczą ma prawo zgłosić żądanie ograniczenia przetwarzania
danych jego dotyczycących, w przypadku:

  1. kwestionowania prawidłowość danych
  2. osoba, której dane dotyczą sprzeciwia się usunięciu danych jego dotyczących
  3. podmiot danych wniósł sprzeciw wobec przetwarzania jego danych osobowych

Ograniczenie przetwarzania następuje od chwili wniesienia żądania, przez czas
konieczny do przeprowadzenia postępowania wyjaśniającego przez Administratora
danych.

W czasie ograniczenia przetwarzania danych, Administrator uprawniony jest
wyłącznie do ich przechowywania. Pozostałe operacje na danych wymagają zgody
osoby, której dane dotyczą. Dopuszczalnym jest jednak przetwarzanie danych
w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw
innej osoby fizycznej lub prawnej.

Administrator ogranicza przetwarzanie danych osobowych poprzez:

  1. czasowe przeniesienie wybranych danych osobowych do innego systemu
    przetwarzania,
  2. blokadę dostępu do wybranych danych.

Osoba, której dane dotyczą ma prawo zgłosić żądanie usunięcia danych jego
dotyczycących, przetwarzanych przez Administratora danych, w następujących
sytuacjach:

  1. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub
    w inny sposób przetwarzane;
  2. osoba, której dane dotyczą cofnęła zgodę, na której opiera się przetwarzanie
    zgodnie i brak jest innej podstawy prawnej przetwarzania;
  3. osoba, której dane dotyczą wniosła skuteczny sprzeciw wobec przetwarzania
    jego danych;
  4. dane osobowe były przetwarzane niezgodnie z prawem;
  5. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku
    prawnego przewidzianego w przepisach prawa powszechnie obowiązującego;
  6. dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa
    informacyjnego, o których mowa w art. 8 ust. 1. RODO

Dane nie podlegają usunięciu jeżeli ich przetwarzanie jest niezbędne:

  1. do korzystania z prawa do wolności wypowiedzi i informacji;
  2. do wywiązania się przez Administratora danych z prawnego obowiązku
    wymagającego przetwarzania lub do wykonania zadania realizowanego
    w interesie publicznym lub w ramach sprawowania władzy publicznej
    powierzonej Administratorowi;
  3. z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego;
  4. do celów archiwalnych w interesie publicznym, do celów badań naukowych lub
    historycznych lub do celów statystycznych;
  5. do ustalenia, dochodzenia lub obrony roszczeń.

Administrator danych jako podmiot działający w sektorze prywatnym ze
szczególną uwagą weryfikuje wystąpienie okoliczności ujętych w pkt 2 i 5.

Jeżeli żądanie usunięcia danych dotyczy danych udostępnionych przez
Administratora danych podmiotom trzecim, Administrator zawiadamia powyższe
podmioty, które przetwarzają takie dane osobowe o usunięciu wszelkich łączy do
tych danych, kopii lub powieleń tych kopii.

Sprzeciw Podmiotu danych

Osoba, które dane dotyczą ma prawo do wniesienia sprzeciwu dotyczącego
przetwarzania danych jego dotyczycących, wyłącznie wówczas gdy:

  1. Administrator danych przetwarza dane w celu wykonania zadania realizowanego
    w interesie publicznym lub w ramach sprawowania władzy publicznej
    powierzonej administratorowi,
  2. Administrator danych przetwarza dane w celu realizacji jego prawnie
    uzasadnionych interesów.

Prawo do wniesienia sprzeciwu nie jest ograniczone czasowo, Podmiot danym może
wnieść sprzeciw w każdym czasie.

Pomimo wniesienia sprzeciwu Administrator danych jest uprawniony ich
przetwarzania wyłącznie wówczas, gdy:

  1. występują istotne i prawnie uzasadnione podstawy do przetwarzania, nadrzędne
    wobec interesów, praw i wolności osoby, której dane dotyczą,
  2. przetwarzanie związane jest z koniecznością ustalenia, dochodzenia lub
    obrony roszczeń.

Ciężar wykazania, istnienia ważnych prawnie uzasadnionych interesów
Administratora danych spoczywa na nim samym.

7. Reguły bezpieczeństwa przetwarzania danych osobowych

Administrator danych wdraża odpowiednie środki techniczne, fizyczne
i organizacyjne, celem zapewnienia właściwego poziomu bezpieczeństwa
przetwarzanych danych osobowych.

W oparciu o przeprowadzoną analizę ryzyka naruszenia praw lub wolności osób
związaną z przetwarzaniem danych, uwzgledniającą różny stopień
prawdopodobieństwie wystąpienia i wagę zagrożenia, Administrator wprowadził
stosowne zabezpieczenia.

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres
i cele przetwarzania oraz ww. ryzyko, Administrator danych wprowadził poziomy
zabezpieczeń:

  1. Poziom standardowy, obejmujący:
    1. organizacyjne środki zabezpieczania danych,
    2. techniczne środki zabezpieczania danych,
    3. fizyczne środki zabezpieczania danych

Zabezpieczenia tego poziomu obowiązują na wszystkich stanowiskach, na których
dochodzi do przewarzania danych, niezależnie od zakresu przetwarzania
i częstotliwości.

Poziom standardowy zabezpieczeń obejmuje przetwarzanie danych standardowych
oraz danych których ryzyko przetwarzania nie przekracza ustalonego poziomu
granicznego.

Każdy pracownik bądź inna osoba przetwarzająca dane osobowe
w przedsiębiorstwie upoważniona do ich przetwarzania obowiązana jest stosować
następujące zasady:

  1. Organizacyjne środki zabezpieczania danychPrzetwarzanie danych odbywa się przy zachowaniu poniższych zasad:
    1. Przetwarzanie danych następuje wyłącznie przez osoby posiadające
      upoważnienie i zaznajomione z zasadami przetwarzania danych przyjętymi
      przez Administratora danych
    2. Administrator danych zapewnia, ażeby osoby, za pomocą których dokonywane
      jest przetwarzanie danych zostały przeszkolone z zakresu bezpieczeństwa
      danych osobowych
    3. Obszarami przechowywania danych osobowych są serwery Dansoft OÜ
    4. Zabranie się przenoszenia danych poza wyznaczone obszary,
      w szczególności poza serwisy wskazane w pkt 3 powyżej. Odstępstwo od tej
      zasady każdorazowo poprzedzone jest decyzją Administratora oraz
      zastosowanie odpowiednich środków zabezpieczeń.
    5. Udostępnianie lub powierzanie danych osobowych odbywa się wyłącznie
      w oparciu o zawarte umowy powierzenia lub porozumienia.
  2. Techniczne środki zabezpieczania danychDane osobowe znajdujące się w obszarach, o których mowa w art. 7 ust. 1
    pkt 3 zabezpieczone są przy użyciu następujących środków technicznych:

    • Certyfikaty SSL
    • Cloudflare
    • Certyfikaty ISO 27001 i 20000
    • 2FA (dwustopniowa wryfikacja)
    • Hasło

8. Udostępnienie danych osobowych

Udostępnienie danych osobowych w firmie dopuszcza się na podstawie jednej
z podstaw prawnych określonych w RODO lub na podstawie przepisów innych ustaw.
Administrator danych prowadzi ewidencję udostępniania danych osobowych
instytucjom i osobom spoza przedsiębiorstwa.

9. Procedura postępowania na wypadek naruszeń

Postępowanie w przedmiocie naruszenia ochrony danych osobowych

Przez naruszenie ochrony danych (incydent) należy rozumieć każde zdarzenie
skutkujące lub mogące skutkować (naruszenie potencjalne):

  1. Utratą całkowitą lub częściową danych osobowych, w tym uszkodzeniem danych;
  2. Nieuprawnionym dostępem do danych, zarówno nieuprawnionym udostępnieniem
    jak i nieuprawnionym pozyskaniem;
  3. Nieuprawnioną modyfikacją danych

Naruszenie może wystąpić na każdym etapie przetwarzania danych, w toku
zbierania, utrwalania, przechowywania, opracowywania, zmieniania,
udostępniania i usuwania.

Naruszenie może wystąpić w obszarze przetwarzania danych w wersji papierowej
jak i w systemie informatycznym.

Każdy pracownik lub inna osoba przetwarzająca dane osobowe w przedsiębiorstwie
Administratora danych niezwłocznie po powzięciu informacji lub uzasadnionego
podejrzenia o incydencie obowiązana jest:

  1. Powiadomić Administratora danych o incydencie określając:
    • Czas i miejsce zdarzenia
    • Istotne informacje o zdarzeniu
  2. Podjąć działania zaradcze mające na celu minimalizację skutków incydentu

Administrator danych niezwłocznie po zawiadomieniu podejmuje działania:

  1. Wyjaśniające przyczynę i przebieg zdarzenia
  2. Ustalające udział osób trzecich w zdarzeniu
  3. Zabezpieczające ślady i dowody zdarzenia
  4. Ustalające szacunkowy zasięg skutków zdarzenia, w tym:
    • Ilość danych narażonych incydentem;
    • Kategorie danych narażonych incydentem.
  5. Ochronne przed wystąpieniem zdarzenia w przyszłości.

Z przebiegu zdarzenia oraz przyjętych środków minimalizujących wystąpienie
zdarzenia w przyszłości sporządzana zostaje stosowna dokumentacja. Wnioski
w niej ujęte uwzględniane zostają w toku prac aktualizacyjnych nad systemem
bezpieczeństwa danych Administratora danych

Administrator danych prowadzi rejestr wszystkich ujawnionych naruszeń ochrony
danych, w tym naruszeń nie podlegających notyfikacji lub zawiadomieniu osoby,
której dane dotyczą

Obowiązek notyfikacji organu nadzorczego

Każdorazowo w przypadku stwierdzenia naruszenia ochrony danych osobowych
Administrator danych zawiadamia organ nadzorczy. Zawiadomienie następuje
niezwłocznie, nie później jednak niż w terminie 72 godzin od stwierdzenia
naruszenia.

Niezachowanie ww. terminu dopuszczalne jest wyłącznie w drodze wyjątku,
w szczególnie uzasadnionych przypadkach. Wówczas zawiadomienie zawiera
wyjaśnienie przyczyn opóźnienia.

Obowiązek notyfikacji nie dotyczy naruszenia ochrony danych jeżeli
prawdopodobieństwo, by naruszenie to skutkowało ryzykiem naruszenia praw lub
wolności osób fizycznych jest znikome. Decyzję w tym zakresie podejmuje
Administrator danych

Wzór formularza zawiadomienie zawarty stanowi załącznik do niniejszej Polityki
Zawiadomienie o naruszeniu.

Zawiadomienie osoby, której dane dotyczą

Wzór formularza zawiadomienie stanowi załącznik do niniejszej Polityki –
Zawiadomienie o naruszeniu

10. Postanowienia końcowe

Przedmiotowa Polityka Bezpieczeństwa Ochrony Danych Osobowych stanowi dokument
wewnętrzny Administratora danych, z którego treścią zapoznani zostają wszyscy
pracownicy Administratora danych

Nie może ona zostać udostępniona osobom nieupoważnionym, chyba, że jest to
konieczne dla realizacji obowiązków Administratora danych wynikających
z przepisów prawa lub w celu realizacji umowy. Każdorazowa decyzja
o udostępnieniu Polityki lub wyciągu z niej poprzedzona zgodą Administratora
udzieloną na piśmie.

Każdy z pracowników Administratora danych zobowiązany jest złożyć oświadczenie
o tym, iż został zapoznany z obowiązującymi przepisami oraz przyjętymi
regulacjami znajdującymi się w niniejszej Polityce, a także o zobowiązaniu się
do ich przestrzegania.

W sprawach nieuregulowanych w przyjętej Polityce i dokumentacji wewnętrznej
Administratora danych z zakresu bezpieczeństwa danych zastosowanie mają
przepisy RODO oraz krajowych aktów prawa powszechnie obowiązującego.