Polityka Ochrony Danych Osobowych

Niniejszy dokument zatytułowany „Polityka ochrony danych osobowych” (dalej: Polityka) stanowi mapę wymogów, zasad i regulacji ochrony danych osobowych w CREDO FINANSE Spółka z ograniczoną odpowiedzialnością (dalej: Credo).

Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s.1), dalej: RODO.

Polityka zawiera:

• opis zasad ochrony danych obowiązujących w przedsiębiorstwie,
• odwołanie do załączników uszczegóławiających (wzorcowe procedury lub instrukcje dotyczące poszczególnych obszarów zakresu ochrony danych osobowych wymagających doprecyzowania w odrębnych dokumentach).

Odpowiedzialny za wdrożenie i utrzymanie niniejszej Polityki jest Zarząd CREDO FINANSE Sp. z o.o.

Za nadzór i monitorowanie przestrzegania Polityki odpowiada Zarząd CREDO FINANSE Sp. z o.o.

Za stosowanie niniejszej Polityki odpowiedzialny jest Zarząd CREDO FINANSE Sp. z o.o., a także wszyscy członkowie personelu Credo.

Credo powinno zapewnić zgodność postępowania kontrahentów Credo z niniejszą Polityką w odpowiednim zakresie, gdy dochodzi do przekazania im danych osobowych przez Credo.

I. SŁOWNICZEK

1. Polityka – niniejsza Polityka Ochrony Danych Osobowych, o ile co innego nie wynika wyraźnie z kontekstu.
2. RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s.1).
3. Administrator Danych – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. CREDO FINANSE Spółka z ograniczoną odpowiedzialnością uznawana jest za Administratora Danych w zakresie przewidzianym przez RODO.
4. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
5. Dane szczególnych kategorii – dane wymienione w art. 9 ust. 1 RODO, tj. dane osobowe ujawniające pochodzenia rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego identyfikowania osoby fizycznej lub dane dotyczące zdrowia seksualności lub orientacji seksualnej.
6. Dane karne – dane wymienione w art. 10 RODO, tj. dane dotyczące wyroków skazujących i naruszeń prawa.
7. Osoba – osoba, której dane dotyczą, o ile co innego nie wynika wyraźnie z kontekstu.
8. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji narzędzi programowych zastosowanych w celu przetwarzania danych.
9. Użytkownik – osoba upoważniona przez Administratora Danych do Przetwarzania danych osobowych.
10. Zbiór danych – każdy uporządkowany zestaw danych o charakterze osobowym, dostępny według określonych kryteriów.
11. Przetwarzanie danych – dowolna zautomatyzowana lub niezautomatyzowana operacja lub zestaw operacji wykonywanych na danych osobowych lub w zestawach danych osobowych i obejmuje zbieranie, rejestrowanie, organizowanie, strukturyzowanie, przechowywanie, adaptację lub zmianę, wyszukiwanie, konsultacje, wykorzystanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, wyrównanie lub połączenie, ograniczenie, usunięcie lub zniszczenie danych osobowych.
12. Podmiot przetwarzający – osoba fizyczna lub prawna, organ publiczny, agencja lub jakikolwiek inny organ przetwarzający dane osobowe w imieniu Administratora. CREDO FINANSE Spółka z ograniczoną odpowiedzialnością uznawana jest za Administratora w zakresie przewidzianym przez RODO.
13. Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym (Użytkownika) w razie Przetwarzania danych osobowych w takim systemie.
14. Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym (Użytkownikowi) w razie przetwarzania danych osobowych w takim systemie.
15. Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu (Użytkownika).
16. Anonimizacja – zmiana danych osobowych w wyniku której dane te tracą charakter danych osobowych.
17. Pseudonimizacja – przetwarzanie danych osobowych w taki sposób (np. poprzez zastępowanie nazw liczbami), że danych osobowych nie można już przypisać do określonego podmiotu danych bez użycia dodatkowych informacji (np. Listy referencyjnej nazwisk i numerów), pod warunkiem, że takie dodatkowe informacje są przechowywane oddzielnie i podlegają środkom technicznym i organizacyjnym w celu zapewnienia, że dane osobowe nie są przypisane do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
18. Profilowanie – dowolna forma zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
19. IOD lub Inspektor – osoba formalnie wyznaczona przez Credo jako Administratora lub Podmiot przetwarzający w celu informowania i doradzania Administratorowi/Podmiotowi przetwarzającemu/pracownikom w zakresie obowiązującego prawa o ochronie danych i niniejszej Polityki oraz w celu monitorowania ich przestrzegania oraz działania jako punkt kontaktowy dla osób przetwarzanych i organu nadzorczego.
20. RCPD – Rejestr Czynności Przetwarzania Danych Osobowych.
21. RKPD – Rejestr Kategorii Przetwarzania Danych Osobowych.
22. Credo – CREDO FINANSE Spółka z ograniczoną odpowiedzialnością z siedzibą we Wrocławiu przy ul. Jana Czochralskiego 19 lok. 1, 50-231 Wrocław.
23. Aktywa – środki materialne i niematerialne mające wpływ na przetwarzanie danych osobowych.
24. Naruszenie (Incydent) ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych:
    
    1. Zagrożenie – potencjalne naruszenie (potencjalny incydent);
    2. Skutki – rezultaty niepożądanego incydentu (straty w wypadku wystąpienia zagrożenia);
    3. Ryzyko – prawdopodobieństwo, że określone zagrożenie wystąpi i spowoduje straty lub zniszczenie zasobów.

II. POSTANOWIENIA OGÓLNE

1. Polityka dotyczy wszystkich danych osobowych przetwarzanych w Credo niezależnie od formy ich przetwarzania (przetwarzane tradycyjnie zbiory ewidencyjne, systemy informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane w zbiorach danych.
2. Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w siedzibie Credo.
3. Polityka jest udostępniana do wglądu osobom posiadającym upoważnienie do przetwarzania danych osobowych, a także osobom, którym ma zostać nadane upoważnienie do przetwarzania danych osobowych, celem zapoznania się z jej treścią.
4. Dla skutecznej realizacji Polityki Credo występując zarówno jako Administrator, jak i Podmiot przetwarzający zapewnia:
   
   1. odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne,
   2. kontrolę i nadzór nad Przetwarzaniem danych osobowych,
   3. monitorowanie zastosowanych środków ochrony.
5. Monitorowanie zastosowanych środków ochrony obejmuje m.in. działania Użytkowników, naruszanie zasad dostępu do danych, zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi.
6. Credo zapewnia, że czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem danych osobowych są zgodne z niniejszą Polityką oraz odpowiednimi przepisami prawa.

III. DANE OSOBOWE PRZETWARZANE U ADMINISTRATORA DANYCH

1. Credo przetwarza dane osobowe zarówno jako Administrator, jak i Podmiot przetwarzający.
2. Credo nie podejmuje czynności przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania zostaną podjęte czynności określone w art. 35 i nast. RODO.
3. W przypadku planowania nowych czynności przetwarzania Credo dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony danych w fazie ich projektowania.
4. Credo, przetwarzając dane osobowe jako Administrator prowadzi rejestr czynności przetwarzania.
5. Credo, przetwarzając dane osobowe jako Podmiot przetwarzający prowadzi rejestr kategorii przetwarzania.

IV. OBSZAR PRZETWARZANIA DANYCH OSOBOWYCH

Dane osobowe przetwarzane są na terenie Rzeczpospolitej Polskiej, w szczególności przetwarzanie danych obejmuje pomieszczenia biurowe zlokalizowane w siedzibie Credo przy ul. Jana Czochralskiego 19 lok. 1 we Wrocławiu oraz przy ul. Rzecznej 23A w Kiełczowie.

1. Dodatkowo obszar, w którym przetwarzane są Dane osobowe, stanowią wszystkie komputery przenośne oraz inne nośniki danych znajdujące się poza obszarem wskazanym powyżej.

V. ZASADY OGÓLNE OCHRONY DANYCH OSOBOWYCH W CREDO

Za filary ochrony danych osobowych Credo przyjmuje:

• legalność – Credo dba o ochronę prywatności i przetwarza dane zgodnie z prawem,
• bezpieczeństwo – Credo zapewnia odpowiedni poziom bezpieczeństwa danych, podejmując stale działania w tym zakresie,
• prawa jednostki – Credo umożliwia osobom, których dane przetwarza, wykonywanie swoich praw i prawa te realizuje,
• rozliczalność – Credo dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej chwili móc wykazać zgodność.

Credo przetwarza dane osobowe z poszanowaniem następujących zasad:

• w oparciu o podstawę prawną i zgodnie z prawem (legalizm),
• rzetelnie i uczciwie (rzetelność),
• w sposób przejrzysty dla osoby, której dane dotyczą (transparentność),
• w konkretnych celach i w niezbędnym dla realizacji celów czasie (minimalizacja),
• w niezbędnym zakresie (adekwatność),
• z dbałością o prawidłowość danych (prawidłowość),
• nie dłużej niż potrzeba (czasowość),
• zapewniając odpowiedni poziom bezpieczeństwa danych (bezpieczeństwo).

System ochrony danych osobowych w Credo składa się z następujących elementów:

• Inwentaryzacja danych. Credo dokonuje identyfikacji zasobów danych osobowych w firmie, klas danych, zależności pomiędzy zasobami danych, identyfikacji sposobów wykorzystania danych, w tym:
  • przypadków przetwarzania danych szczególnych kategorii i danych karnych,
  • przypadków przetwarzania danych osób, których Credo nie identyfikuje (dane niezidentyfikowane),
  • przypadków przetwarzania danych dzieci,
  • profilowania,
  • współadministrowania danymi.

  Credo opracowuje, prowadzi i utrzymuje Rejestr Czynności Przetwarzania Danych Osobowych w Credo (RCPD lub Rejestr) oraz Rejestr Kategorii Przetwarzania Danych w Credo stanowiące narzędzie rozliczania zgodności z ochroną danych w Credo.

• Inspektor Ochrony Danych Osobowych w przypadku, gdy zaistnieją przesłanki do jego powołania. Administrator zapewnia zachowanie zasady rozliczalności. Administrator może powierzyć kontrolę nad zasadami rozliczalności Inspektorowi Ochrony Danych, o ile zostanie on powołany.
• Podstawy prawne. Credo zapewnia, identyfikuje, weryfikuje podstawy prawne przetwarzania danych i rejestruje je w Rejestrach, w tym:
  • utrzymuje system zarządzania zgodami na przetwarzanie danych i komunikacji na odległość,
  • inwentaryzuje i uszczegóławia uzasadnienie przypadków, gdy Credo przetwarza dane osobowe na podstawie prawnie uzasadnionego interesu Credo.
• Obsługa praw jednostki. Credo spełnia obowiązki informacyjne względem Osób, których dane osobowe przetwarza oraz zapewnia obsługę ich praw, realizując otrzymane w tym zakresie żądania, w tym:
  • obowiązki informacyjne – Credo przekazuje Osobom wymagane prawem informacje przy zbieraniu danych i w innych sytuacjach organizuje i zapewnia udokumentowanie realizacji tych obowiązków,
  • możliwość wykonania żądań – Credo weryfikuje i zapewnia możliwość efektywnego wykonania każdego typu żądania przez siebie i swoich przetwarzających,
  • obsługi żądań – Credo zapewnia odpowiednie nakłady i procedury, aby żądania osób były realizowane w terminach i w sposób wymagany przez RODO i dokumentowane,
  • zawiadomienie o naruszeniach – Credo stosuje procedury pozwalające na ustalenie konieczności zawiadomienia osób dotkniętych zidentyfikowanym naruszeniem ochrony danych.

  Credo prowadzi rejestr żądań osób, których dane dotyczą.

• Minimalizacja. Credo posiada zasady i metody zarządzania minimalizacją, w tym:
  • zasady zarządzania adekwatnością danych,
  • zasady reglamentacji i zarządzania dostępem do danych,
  • zasady zarzadzania okresem przechowywania danych i weryfikacji dalszej przydatności.
• Bezpieczeństwo. Credo zapewnia odpowiedni poziom bezpieczeństwa danych, w tym:
  • Przeprowadza, gdy będzie to konieczne, analizy ryzyka dla czynności przetwarzania danych lub ich kategorii,
  • przeprowadza oceny skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw i wolności osób jest wysokie,
  • dostosowuje środki ochrony danych do ustalonego ryzyka,
  • posiada system zarzadzania bezpieczeństwem informacji i danych osobowych,
  • stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych organowi nadzorczemu, zarządza incydentami,
  • stosuje procedury nadawania upoważnień,
  • stosuje procedury postępowania z incydentami,
  • regularnie mierzy, testuje i ocenia skuteczność środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa przetwarzania.
• Przetwarzający. Credo posiada zasady doboru przetwarzających dane na rzecz Credo, wymogów co do warunków przetwarzania (umowa powierzenia), zasad weryfikacji wykonywania umów powierzenia.
• Eksport danych. Credo posiada zasady weryfikacji, Credo co do zasady nie przekazuje danych do państw trzecich lub do organizacji międzynarodowych ale zapewnia zgodnych z prawem warunków takiego przekazywania, jeśli ma ono miejsce.
• Privacy by design. Credo zarządza zmianami wpływającymi na prywatność. W tym celu procedury uruchamiania nowych projektów i inwestycji w Credo będą uwzględniać konieczność oceny wpływu zmiany na ochronę danych, analizę ryzyka, zapewnienie prywatności (a w tym zgodności celów przetwarzania, bezpieczeństwa danych i minimalizacji) już w fazie projektowania zmiany, inwestycji, czy na początku nowego projektu.
• Przetwarzanie transgraniczne. Credo posiada zasady weryfikacji, czy i kiedy zachodzą przypadki przetwarzania transgranicznego oraz zasady ustalania wiodącego organu nadzorczego i głównej jednostki organizacyjnej w rozumieniu RODO.

VI. INWENTARYZACJA

W celu dokonania analizy ryzyka Credo identyfikuje dane osobowe, które należy zabezpieczyć.

Dane szczególnych kategorii i dane karne

Credo identyfikuje przypadki, w których przetwarza lub może przetwarzać dane szczególnych kategorii lub dane karne, oraz utrzymuje dedykowane mechanizmy zapewnienia zgodności z prawem przetwarzania takich danych. W przypadku zidentyfikowania przypadków przetwarzania danych szczególnych kategorii lub danych karnych Credo postępuje z przyjętymi zasadami w tym zakresie.

Dane niezidentyfikowane

Credo identyfikuje przypadki, w których przetwarza lub może przetwarzać dane niezidentyfikowane, i utrzymuje mechanizmy ułatwiające realizacją praw osób, których dotyczą dane niezidentyfikowane.

Profilowanie

Credo identyfikuje przypadki, w których dokonuje profilowania przetwarzania danych i utrzymuje mechanizmy zapewniające zgodność tego procesu z prawem. W przypadku zidentyfikowania przypadków profilowania i zautomatyzowanego podejmowania decyzji Credo postępuje zgodnie z przyjętymi zasadami w tym zakresie.

Współadministrowanie

Credo identyfikuje przypadki współadministrowania danymi i postępuje w tym zakresie zgodnie z przyjętymi zasadami, w tym regulacjami umów współadministrowania.

VII. REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH i REJESTR KATEGORII CZYNNOŚCI PRZETWARZANIA

RCPD stanowi formę dokumentowania czynności przetwarzania danych, pełni rolę mapy przetwarzania danych i jest jednym z kluczowych elementów umożliwiających realizację zasady rozliczalności.

Credo prowadzi RCPD, w którym inwentaryzuje i monitoruje sposób, w jaki wykorzystywane są dane osobowe, w stosunku do których Credo przysługuje status Administratora.

Wzór RCPD stanowi Załącznik nr 3 do Polityki Wzór Rejestru zawiera również nieobowiązkowe kolumny, w których Credo według potrzeb rejestruje informacje w miarę potrzeb i możliwości, z uwzględnieniem, iż pełniejsza treść Rejestru ułatwia zarządzanie zgodności ochrony danych i rozliczenie się z niej.

Credo w zakresie, w jakim pełni funkcję Podmiotu przetwarzającego dane osobowe prowadzi Rejestr Kategorii Przetwarzania Danych Osobowych, którego wzór stanowi załącznik nr 4 do niniejszej Polityki.

VIII. INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Zgodnie z art. 39 RODO, jeżeli Credo powoła Inspektora Ochrony Danych Osobowych do jego zadań będzie należeć:

• informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy rozporządzenia RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie,
• monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
• udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO,
• współpraca z organem nadzorczym – Prezesem Urzędu Ochrony Danych Osobowych,
• pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

W przypadku niepowołania Inspektora Danych Osobowych, powyżej wskazane obowiązki odpowiednio stanowią obowiązki wykonywane przez Administratora (Zarząd CREDO FINANSE Sp. z o.o.).

IX. PODSTAWY PRZETWARZANIA

Credo dokumentuje w Rejestrach podstawy prawne przetwarzania danych dla poszczególnych czynności przetwarzania.

Wskazując w dokumentach ogólną podstawę prawną (zgoda, umowa, obowiązek prawny, żywotne interesy, zadanie publiczne, uzasadniony cel), Credo dookreśla podstawę w precyzyjny i czytelny sposób, gdy jest to niezbędne.

Credo wdraża metody zarządzania zgodami umożliwiające rejestrację i weryfikację posiadania zgody osoby na przetwarzanie jej konkretnych danych w konkretnym celu, zgody na komunikację na odległość oraz rejestrację, odmowy zgody, cofnięcie zgody i podobnych czynności (sprzeciw, ograniczenie itp.).

X. SPOSÓB OBSŁUGI PRAW JEDNOSTKI I OBOWIĄZKÓW INFORMACYJNYCH.

Credo dba o czytelności i styl przekazywanych informacji i komunikacji z Osobami, których dane przetwarza.

Credo ułatwia Osobom korzystanie z ich praw poprzez różne działania, w tym zamieszczenie na stronie internetowej Credo informacji lub odwołania (linków) do informacji o prawach osób, sposobie skorzystania z nich w Credo, w tym wymaganiach dotyczących identyfikacji, metodach kontaktu z Credo w tym celu, ewentualnym „cenniku” żądań dodatkowych.

Credo dba o dotrzymywanie prawnych terminów realizacji obowiązków względem Osób.

Credo wprowadza adekwatne metody identyfikacji i uwierzytelniania Osób dla potrzeb realizacji praw jednostki i obowiązków informacyjnych.

W celu realizacji praw jednostki Credo zapewnia procedury i mechanizmy pozwalające zidentyfikować dane konkretnych osób przetwarzane przez Credo, zintegrować te dane, wprowadzać do nich zmiany i usuwać w sposób zintegrowany.

Credo dokumentuje realizację obowiązków informacyjnych, zawiadomień i żądań Osób.

XI. OBOWIĄZKI INFORMACYJNE

Credo określa zgodnie z prawem sposoby wykonywania obowiązków informacyjnych.

Credo informuję Osobę o:

• przedłużeniu o ponad miesiąc terminu na rozpatrzenie żądania tej Osoby,
• przetwarzaniu jej danych, przy pozyskiwaniu danych tej Osoby,
• przetwarzaniu jej danych, przy pozyskiwaniu danych o tej osobie i niebezpośrednio od niej,
• planowanej zamianie celu przetwarzania,
• przed uchyleniem ograniczenia przetwarzania,
• prawie sprzeciwu względem przetwarzania danych najpóźniej przy pierwszym kontakcie z tą osobą.

Credo określa sposób informowania Osób o przetwarzaniu danych niezidentyfikowanych tam, gdzie jest to możliwe.

Credo informuje odbiorców danych, w tym Podmiot przetwarzający o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych, chyba że będzie wymagało to niewspółmiernie dużego wysiłku lub będzie niemożliwe.

Credo bez zbędnej zwłoki zawiadamia Osobę o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie naruszenie praw i wolności tej osoby.

XII. ŻĄDANIA OSÓB

Prawa osób trzecich

Realizując prawa Osób, Credo wprowadza proceduralne gwarancje ochrony praw i wolności osób trzecich. W szczególności w przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania Osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób (np. prawa związane z ochroną danych osobowych, prawa własności intelektualnej, tajemnicę handlową, dobra osobiste). Credo może zwrócić się do Osoby w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmowa zadośćuczynienia żądaniu.

Nieprzetwarzanie

Credo informuje Osobę o tym, że nie przetwarza jej danych osobowych, jeżeli Osoba zgłosiła żądanie.

Odmowa

Credo informuje Osobę, w ciągu miesiąca od zgłoszenia żądania o odmowie rozpatrzenia żądania i o prawach Osoby z tym związanych.

Dostęp do danych

Na żądanie osoby dotyczące dostępu do jej danych, Credo informuje Osobę, czy przetwarza jej dane oraz informuje Osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO (zakres odpowiada obowiązkowi informacyjnemu przy zbieraniu danych), a także udziela osobie dostępu do danych jej dotyczących. Dostęp do danych realizowany jest przez wydanie kopii danych.

Sprostowanie danych

Credo dokonuje sprostowania nieprawidłowych danych na żądanie osoby. Credo ma prawo odmówić sprostowania danych, chyba że Osoba w rozsądny sposób wykaże nieprawidłowości danych, których sprostowania się domaga. W przypadku sprostowania danych, Credo informuje Osobę o odbiorcach danych, na jej żądanie.

Uzupełnienie danych

Credo uzupełnia i aktualizuje dane na żądanie Osoby. Credo ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych. Credo uzupełniając dane może polegać na oświadczeniu Osoby, chyba że będzie to niewystarczające w świetle przyjętych przez Credo procedur, prawa lub zaistnieją podstawy, aby uznać oświadczenie za niewiarygodne.

Usunięcie danych

Na żądanie Osoby Credo usuwa dane, gdy:

• dane nie są niezbędne do celów, w których zostały zebrane, ani przetwarzane w innych zgodnych z prawem celach,
• zgoda na przetwarzania danych została cofnięta, a nie ma innej podstawy prawnej przetwarzania,
• osoba wniosła skuteczny sprzeciw względem przetwarzania danych,
• dane przetwarzane były niezgodnie z prawem,
• konieczność usunięcia danych wynika z obowiązku prawnego.

Credo określa sposób obsługi prawa do usunięcia danych w taki sposób, aby zapewnić efektywną realizację tego prawa przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpieczeństwa, a także weryfikację, czy nie zachodzą wyjątki, o których mowa w art. 17 ust. 3 RODO.

Jeżeli dane podlegające usunięciu zostały upublicznione przez Credo, Credo podejmuje rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe o potrzebie usunięcia danych i dostępu do nich.

W przypadku usunięcia danych, Credo informuje Osobę o odbiorcach danych na żądanie tej Osoby.

Ograniczenie przetwarzania

Credo dokonuje ograniczenia przetwarzania danych, na żądanie Osoby, gdy:

• osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość,
• przetwarzanie jest niezgodne z prawem, a Osoba sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
• Credo nie potrzebuje już danych osobowych, ale są one potrzebne Osobie, do ustalenia, dochodzenia lub obrony roszczeń,
• osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacja – do czasu stwierdzenia, czy po stronie Credo zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.

W trakcie ograniczenia przetwarzania Credo przechowuje dane, natomiast nie przetwarza ich (nie wykorzystuje, nie przekazuje) bez zgody Osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego.

Credo informuje Osobę przed uchyleniem ograniczenia przetwarzania.

W przypadku ograniczenia przetwarzania danych Credo informuje Osobę o odbiorcach danych na żądanie tej Osoby.

Przenoszenie danych

Na żądanie Osoby Credo wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła ona Credo, przetwarzanie na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z nią zawartej w systemach informatycznych Credo.

Sprzeciw w szczególnej sytuacji

Jeżeli osoba zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez Credo w oparciu o uzasadniony interes Credo lub o powierzone Credo zadanie w interesie publicznym, Credo uwzględni sprzeciw, o ile nie zachodzą po stronie Credo ważne prawnie uzasadnione podstaw do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw lub podstawy do ustalania, dochodzenia lub obrony roszczeń.

Sprzeciw względem marketingu bezpośredniego

Jeżeli Osoba zgłosi sprzeciw względem przetwarzania jej danych przez Credo na potrzeby marketingu bezpośredniego, Credo uwzględni sprzeciw i zaprzestanie takiego przetwarzania.

XIII. MINIMALIZACJA

Credo dba o minimalizację przetwarzanych danych, pod kątem: (i) adekwatności danych do celów (ilość danych i zakres przetwarzania), (ii) dostępu do danych, (iii) czasu przechowywania danych.

Minimalizacja zakresu

Credo weryfikuje zakres pozyskiwanych danych, zakres ich przetwarzania i ilość przetwarzanych danych pod kątem adekwatności do celów przetwarzania w ramach wdrożenia RODO.

Credo dokonuje okresowego przeglądu ilości przetwarzanych danych i zakresu ich przetwarzania nie rzadziej niż raz na rok.

Credo przeprowadza weryfikację zmian co do ilości i zakresu przetwarzania danych w ramach procedur zarządzania zmianą (privacy by design).

Minimalizacja dostępu

Credo stosuje ograniczenia dostępu do danych osobowych: prawne (zobowiązania do poufności, zakresy upoważnień), fizyczne (strefy dostępu, zamykanie pomieszczeń) i logiczne (ograniczenia uprawnień do systemów przetwarzających dane osobowe i zasobów sieciowych, w których rezydują dane osobowe).

Credo stosuje kontrolę dostępu fizycznego.

Credo dokonuje aktualizacji uprawnień dostępowych przy zmianach w składzie personelu i zmianach ról osób oraz zmiana podmiotów przetwarzających.

Credo dokonuje okresowego przeglądu ustanowionych użytkowników systemów i aktualizuje ich nie rzadziej niż raz na rok.

Szczegółowe zasady kontroli dostępu fizycznego i logicznego zawarte są w procedurach bezpieczeństwa fizycznego oraz bezpieczeństwa informacji i danych osobowych Credo.

Minimalizacja czasu

Credo wdraża mechanizmy kontroli cyklu życia danych osobowych w Credo, w tym weryfikacji dalszej przydatności danych względem terminów i punktów kontrolnych wskazanych w Rejestrze.

Dane, których zakres przydatności ulega ograniczeniu wraz z upływem czasu, są usuwane z systemów Credo, akt podręcznych i głównych. Dane takie mogą być archiwizowane oraz znajdować się na kopiach zapasowych systemów i informacji przetwarzanych przez Credo. Procedury archiwizacji i korzystania z archiwów, tworzenia i wykorzystywania kopii zapasowych uwzględniają wymagania kontroli nad cykle życia danych, a w tym wymogi usuwania danych.

XIV. BEZPIECZEŃSTWO

Credo zapewnia stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania danych osobowych przez Credo.

Analiza ryzyka

Procedura opisuje sposób przeprowadzenia analizy ryzyka w celu zabezpieczenia danych osobowych adekwatnie do zidentyfikowanych zagrożeń wynikających z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.

Przyjęto, że analiza ryzyka przeprowadzana jest dla zbioru lub grupy zbiorów (kategorii osób) lub dla procesów przetwarzania (np. dla zbioru pracowników, zbioru klientów, dla procesu wysyłania informacji handlowej z bazy marketingowej banku).

W ramach przeprowadzenia analizy ryzyka Administrator przetwarzający dane osobowe zobowiązany jest do spełnienia wobec nich obowiązków prawnych. W szczególności należy zapewnić, że:

• dane te są legalnie przetwarzane (na podstawie art. 6, 9 RODO);
• dane te są adekwatne w stosunku do celów przetwarzania;
• dane te są przetwarzane przez określony czas (retencja danych);
• wobec tych osób wykonano tzw. obowiązek informacyjny (art. 12, 13 i 14) wraz ze wskazaniem ich praw (np. prawa dostępu do danych, przenoszenia, sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu, odwołania zgody);
• opracowano klauzule informacyjne dla powyższych osób;
• istnieją umowy powierzenia z podmiotami przetwarzającymi.

1.1. Wyznaczenie zagrożeń

Administrator jest odpowiedzialny za określenie listy zagrożeń, które mogą wystąpić w przetwarzaniu danych w zbiorze, dla kategorii osób lub w procesie przetwarzania.
Zagrożenia powinny być identyfikowane w odniesieniu do uprzednio zidentyfikowanych aktywów.

Wyliczenie ryzyka dla zagrożeń

• Administrator określa Prawdopodobieństwo wystąpienia poszczególnych zagrożeń w zbiorze lub w procesie przetwarzania.
• Administrator określa Skutki wystąpienia incydentów (materializacji zagrożeń), uwzględniając straty finansowe, utratę reputacji, sankcje/skutki karne.
• Administrator wylicza Ryzyka dla wszystkich zagrożeń i ich skutków.

1.3 Porównanie wyliczonych ryzyk ze skalą i określenie dalszego postępowania z ryzykiem

1.3.1. Administrator porównuje wyliczone ryzyka ze skalą i podejmuje decyzje dotyczące dalszego postępowania z ryzykiem.

1.4. Reakcja na wartość ryzyka

• Akceptacja ryzyka – zabezpieczenia są właściwe – brak potrzeby stosowania dodatkowych zabezpieczeń.
• Działania obniżające ryzyko, które może zastosować Administrator.
• Przeniesienie – przerzucenie ryzyka (outsourcing, ubezpieczenie).
• Unikanie – eliminacja działań powodujących ryzyko (np. zakaz wynoszenia komputerów przenośnych poza obszar organizacji bez wyraźnego upoważnienia).
• Redukcja – zastosowanie zabezpieczeń w celu obniżenia ryzyka (np. zaszyfrowanie pendrive’ów z danymi wynoszonych poza firmę).

Analizę ryzyka przeprowadza się w formie elektronicznej (Word, Excel).

Ponowna analiza ryzyka

Ponowna analiza ryzyka przeprowadzana jest cyklicznie lub po znaczących zmianach w przetwarzaniu danych (np. przetwarzanie nowych zbiorów, nowych procesów przetwarzania, zmiany prawne).

Plan postępowania z ryzykiem.
Wszędzie, gdzie Administrator decyduje się obniżyć ryzyko, wyznacza listę zabezpieczeń do wdrożenia, termin realizacji i osoby odpowiedzialne.
Administrator zobowiązany jest do monitorowania wdrożenia zabezpieczeń.

Oceny skutków dla ochrony danych

Credo dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych tam, gdzie zgodnie z analizą ryzyka ryzyko naruszenia praw i wolności Osób jest wysokie.

Środki bezpieczeństwa

Credo stosuje środki bezpieczeństwa ustalone w ramach analizy ryzyka i adekwatności środków bezpieczeństwa oraz ocen skutków dla ochrony danych.

Środki bezpieczeństwa danych osobowych stanowią element środków bezpieczeństwa informacji i zapewnienia cyberbezpieczeństwa w Credo i są bliżej opisane w procedurach przyjętych przez Credo dla tych obszarów.

Instrukcja postępowania z incydentami

Procedura definiuje katalog podatności i incydentów zagrażających bezpieczeństwu danych osobowych oraz opisuje sposób reagowania na nie. Jej celem jest minimalizacja skutków wystąpienia incydentów bezpieczeństwa oraz ograniczenie ryzyka powstania zagrożeń i występowania incydentów w przyszłości.

Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest do powiadamiania o stwierdzeniu podatności lub wystąpieniu incydentu bezpośredniego przełożonego a także Inspektora Ochrony Danych, o ile jest on w Credo wyznaczony.

Do typowych podatności bezpieczeństwa danych osobowych należą:

• niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,
• niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych,
• nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka / ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek).

Do typowych incydentów bezpieczeństwa danych osobowych należą:

• zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności),
• zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata / zagubienie danych),
• umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania).

W przypadku stwierdzenia wystąpienia incydentu, Administratora, a jeżeli zostanie powołany to Inspektor Ochrony Danych, prowadzi postępowanie wyjaśniające w toku, którego:

• ustala zakres i przyczyny incydentu oraz jego ewentualne skutki,
• inicjuje ewentualne działania dyscyplinarne,
• działa na rzecz przywrócenia działań organizacji po wystąpieniu incydentu,
• rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych incydentów w przyszłości lub zmniejszenia strat w momencie ich zaistnienia.

Administrator dokumentuje powyższe wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
Zabrania się świadomego lub nieumyślnego wywoływania incydentów przez osoby upoważnione do przetwarzania danych.
W przypadku naruszenia ochrony danych osobowych skutkującego ryzykiem naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu. Jeżeli zgłoszenie zostanie wysłane później niż w ciągu 72 godzin, należy dołączyć pisemne wyjaśnienie okoliczności opóźnienia.

W ramach zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych osobowych należy przedstawić poniższe informacje:

• opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
• zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
• opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
• opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
Zawiadomienie należy napisać jasnym i prostym językiem, opisując naruszenie tak jak w pkt. 8.

Upoważnienia

Administrator odpowiada za nadawanie/anulowanie upoważnień do przetwarzania danych w zbiorach papierowych, systemach informatycznych. Administrator może udzielić pełnomocnictwa Inspektorowi Ochrony Danych Osobowych do nadawania/anulowania upoważnień, o ile IOD zostanie powołany.
Każda osoba upoważniona musi przetwarzać dane wyłącznie na polecenie administratora lub na podstawie przepisu prawa.
Upoważnienia nadawane są do zbiorów na wniosek przełożonych osób.
Upoważnienia mogą być nadawane w formie poleceń, np. upoważnienia do przeprowadzenia kontroli, audytów, wykonania czynności służbowych, udokumentowanego polecenia administratora w postaci umowy powierzenia.

Oświadczenia o poufności, zachowanie tajemnicy służbowej

Po zapoznaniu się z zasadami ochrony danych osobowych, osoby zobowiązane są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania.

Oświadczenia o poufności, razem z upoważnieniami do przetwarzania danych powinny być zbierane w oryginałach w segregatorze i trzymane w zamykanej szafie.

W przypadku kontroli Państwowej Inspekcji pracy należy dołączyć kopie upoważnień i oświadczeń do akt osobowych pracowników.

Szkolenia

Każda osoba przed dopuszczeniem do pracy z danymi osobowymi winna być poddana przeszkoleniu i zapoznana z przepisami RODO.
Za przeprowadzenie szkolenia odpowiada Administrator, jeżeli Administrator wyznaczy Inspektora Ochrony Danych to obowiązek przeprowadzenia szkolenia ciąży na IOD.
W przypadku przeprowadzenia szkolenia wewnętrznego z zasad ochrony danych osobowych wskazane jest udokumentowanie odbycia tego szkolenia.
Po przeszkoleniu z zasad ochrony danych osobowych, uczestnicy zobowiązani są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania.

Audyty

Zgodnie z art. 32 RODO, Administrator powinien regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

W tym celu Administrator stosuje procedurę audytów.

Procedura przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego

Zgodnie z art. 32 RODO ust. 1 pkt. c), Administrator powinien zapewnić zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Administrator opracował procedury przywracania ciągłości działania.

Wykaz zabezpieczeń

Administrator prowadzi wykaz zabezpieczeń, które stosuje w celu ochrony danych osobowych.
W wykazie wskazano stosowane zabezpieczenia proceduralne oraz zabezpieczenia jako środki techniczne i organizacyjne.
Wykaz jest aktualizowany po każdej analizie ryzyka, co najmniej raz w roku.

XV. PRZETWARZAJĄCY

Credo posiada zasady do doboru i weryfikacji przetwarzających dane na rzecz Credo opracowane w celu zapewnienia, aby przetwarzający dawali wystarczające gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa, realizacji praw jednostki i innych obowiązków ochrony danych spoczywających na Credo.

Credo przyjęła minimalne wymogi, co do umowy powierzenia przetwarzania danych stanowiące załącznik do Polityki.
Credo rozlicza przetwarzających z wykorzystania podprzetwarzajacych, jak też z innych wymagań wynikających z RODO.

XVI. EKSPORT DANYCH

Credo rejestruje w Rejestrze przypadki eksportu danych, czyli przekazywania danych poza Europejski Obszar Gospodarczy.

Aby uniknąć sytuacji nieautoryzowanego eksportu danych w szczególności w związku z wykorzystaniem publicznie dostępnych usług chmurowych, Credo okresowo weryfikuje zachowania użytkowników oraz w miarę możliwości udostępnia zgodne z prawem ochrony danych rozwiązania równoważne.

XVII. PROJEKTOWANIE PRYWATNOŚCI

Credo zarządza zmianą mającą wpływ na prywatność w taki sposób, aby umożliwić zapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz minimalizacji ich przetwarzania.

W tym celu zasady prowadzenia projektów i inwestycji przez Credo odwołują się do zasad bezpieczeństwa danych osobowych i minimalizacji, wymagając oceny wpływu na prywatność i ochronę danych, uwzględnienia i zaprojektowania bezpieczeństwa i minimalizacji przetwarzania danych od początku projektu lub inwestycji.