Niniejszy dokument zatytułowany „Polityka ochrony danych osobowych” (dalej: Polityka) stanowi mapę wymogów, zasad i regulacji ochrony danych osobowych w „CREDO” EWELINA JASTRZĄBEK (dalej: Credo).
Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s.1), dalej: RODO.
Polityka zawiera:
Odpowiedzialna za wdrożenia i utrzymanie niniejszej Polityki jest właścicielka „Credo” Ewelina Jastrząbek – Ewelina Jastrząbek.
Za nadzór i monitorowanie przestrzegania Polityki odpowiada właścicielka „Credo” Ewelina Jastrząbek – Ewelina Jastrząbek.
Za stosowanie niniejszej Polityki odpowiedzialna jest właścicielka „Credo” Ewelina Jastrząbek – Ewelina, a także wszyscy członkowie personelu „Credo” Ewelina Jastrząbek.
„Credo” Ewelina Jastrząbek powinna zapewnić zgodność postępowania kontrahentów „Credo” Ewelina Jastrząbek z niniejszą Polityką w odpowiednim zakresie, gdy dochodzi do przekazania im danych osobowych przez „Credo” Ewelina Jastrząbek.
I. SŁOWNICZEK
1. Polityka – niniejsza Polityka Ochrony Danych Osobowych, o ile co innego nie wynika wyraźnie z kontekstu.
2. RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s.1).
3. Administrator Danych – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Ewelina Jastrząbek prowadząca jednoosobową działalność gospodarczą pod firmą „CREDO” Ewelina Jastrząbek uznawana jest za Administratora Danych w zakresie przewidzianym przez RODO
4. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
5. Dane szczególnych kategorii – dane wymienione w art. 9 ust. 1 RODO, tj. dane osobowe ujawniające pochodzenia rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego identyfikowania osoby fizycznej lub dane dotyczące zdrowia seksualności lub orientacji seksualnej.
6. Dane karne – dane wymienione w art. 10 RODO, tj. dane dotyczące wyroków skazujących i naruszeń prawa.
7. Osoba – osoba, której dane dotyczą, o ile co innego nie wynika wyraźnie z kontekstu.
8. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji narzędzi programowych zastosowanych w celu przetwarzania danych.
9. Użytkownik – osoba upoważniona przez Administratora Danych do Przetwarzania danych osobowych.
10. Zbiór danych – każdy uporządkowany zestaw danych o charakterze osobowym, dostępny według określonych kryteriów.
11. Przetwarzanie danych – dowolna zautomatyzowana lub niezautomatyzowana operacja lub zestaw operacji wykonywanych na danych osobowych lub w zestawach danych osobowych i obejmuje zbieranie, rejestrowanie, organizowanie, strukturyzowanie, przechowywanie, adaptację lub zmianę, wyszukiwanie, konsultacje, wykorzystanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, wyrównanie lub połączenie, ograniczenie, usunięcie lub zniszczenie danych osobowych.
12. Podmiot przetwarzający – osoba fizyczna lub prawna, organ publiczny, agencja lub jakikolwiek inny organ przetwarzający dane osobowe w imieniu Administratora. Ewelina Jastrząbek prowadząca jednoosobową działalność gospodarczą pod firmą „CREDO” Ewelina Jastrząbek uznawana jest za Administratora w zakresie przewidzianym przez RODO.
13. Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym (Użytkownika) w razie Przetwarzania danych osobowych w takim systemie.
14. Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym (Użytkownikowi) w razie przetwarzania danych osobowych w takim systemie.
15. Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu (Użytkownika).
16. Anonimizacja – zmiana danych osobowych w wyniku której dane te tracą charakter danych osobowych.
17. Pseudonimizacja – przetwarzanie danych osobowych w taki sposób (np. poprzez zastępowanie nazw liczbami), że danych osobowych nie można już przypisać do określonego podmiotu danych bez użycia dodatkowych informacji (np. Listy referencyjnej nazwisk i numerów), pod warunkiem, że takie dodatkowe informacje są przechowywane oddzielnie i podlegają środkom technicznym i organizacyjnym w celu zapewnienia, że dane osobowe nie są przypisane do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
18. Profilowanie – dowolna forma zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
19. IOD lub Inspektor – osoba formalnie wyznaczona przez Credo jako Administratora lub Podmiot przetwarzający w celu informowania i doradzania Administratorowi/Podmiotowi przetwarzającemu/pracownikom w zakresie obowiązującego prawa o ochronie danych i niniejszej Polityki oraz w celu monitorowania ich przestrzegania oraz działania jako punkt kontaktowy dla osób przetwarzanych i organu nadzorczego.
20. RCPD– Rejestr Czynności Przetwarzania Danych Osobowych.
21. RKPD – Rejestr Kategorii Przetwarzania Danych Osobowych.
22. Credo – Ewelina Jastrząbek prowadząca jednoosobową działalność gospodarczą pod firmą „CREDO” Ewelina Jastrząbek z siedzibą we Wrocławiu przy ul. Krętej 21/20, 55-233 Wrocław
23. Aktywa – środki materialne i niematerialne mające wpływ na przetwarzanie danych osobowych.
24. Naruszenie (Incydent) ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych:
a. Zagrożenie – potencjalne naruszenie (potencjalny incydent);
b. Skutki – rezultaty niepożądanego incydentu (straty w wypadku wystąpienia zagrożenia);
c. Ryzyko – prawdopodobieństwo, że określone zagrożenie wystąpi i spowoduje straty lub zniszczenie zasobów.
II. POSTANOWIENIA OGÓLNE
1. Polityka dotyczy wszystkich danych osobowych przetwarzanych w Credo niezależnie od formy ich przetwarzania (przetwarzane tradycyjnie zbiory ewidencyjne, systemy informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane w zbiorach danych.
2. Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w siedzibie Credo.
3. Polityka jest udostępniana do wglądu osobom posiadającym upoważnienie do przetwarzania danych osobowych, a także osobom, którym ma zostać nadane upoważnienie do przetwarzania danych osobowych, celem zapoznania się z jej treścią.
4. Dla skutecznej realizacji Polityki Credo występując zarówno jako Administrator, jak
i Podmiot przetwarzający zapewnia:
a) odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne
i rozwiązania organizacyjne,
b) kontrolę i nadzór nad Przetwarzaniem danych osobowych,
c) monitorowanie zastosowanych środków ochrony.
5. Monitorowanie zastosowanych środków ochrony obejmuje m.in. działania Użytkowników, naruszanie zasad dostępu do danych, zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi.
6. Credo zapewnia, że czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem danych osobowych są zgodne z niniejszą Polityką oraz odpowiednimi przepisami prawa.
III. DANE OSOBOWE PRZETWARZANE U ADMINISTRATORA DANYCH
1. Credo przetwarza dane osobowe zarówno jako Administrator, jak i Podmiot przetwarzający.
2. Credo nie podejmuje czynności przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania zostaną podjęte czynności określone w art. 35 i nast. RODO.
3. W przypadku planowania nowych czynności przetwarzania Credo dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony danych w fazie ich projektowania.
4. Credo, przetwarzając dane osobowe jako Administrator prowadzi rejestr czynności przetwarzania.
5. Credo, przetwarzając dane osobowe jako Podmiot przetwarzający prowadzi rejestr kategorii przetwarzania.
IV. OBSZAR PRZETWARZANIA DANYCH OSOBOWYCH
Dane osobowe przetwarzane są na terenie Rzeczpospolitej Polskiej, w szczególności przetwarzanie danych obejmuje pomieszczenia biurowe zlokalizowane w siedzibie Credo przy ul. Krętej 21/20 we Wrocławiu oraz przy ul. Rzecznej 23A w Kiełczowie.
1. Dodatkowo obszar, w którym przetwarzane są Dane osobowe, stanowią wszystkie komputery przenośne oraz inne nośniki danych znajdujące się poza obszarem wskazanym powyżej.
V. ZASADY OGÓLNE OCHRONY DANYCH OSOBOWYCH W CREDO
VI. INWENTARYZACJA
Credo identyfikuje przypadki, w których przetwarza lub może przetwarzać dane szczególnych kategorii lub dane karne, oraz utrzymuje dedykowane mechanizmy zapewnienia zgodności z prawem przetwarzania takich danych. W przypadku zidentyfikowania przypadków przetwarzania danych szczególnych kategorii lub danych karnych Credo postępuje z przyjętymi zasadami w tym zakresie.
Credo identyfikuje przypadki, w których przetwarza lub może przetwarzać dane niezidentyfikowane, i utrzymuje mechanizmy ułatwiające realizacją praw osób, których dotyczą dane niezidentyfikowane.
Credo identyfikuje przypadki, w których dokonuje profilowania przetwarzania danych i utrzymuje mechanizmy zapewniające zgodność tego procesu z prawem. W przypadku zidentyfikowania przypadków profilowania i zautomatyzowanego podejmowania decyzji Credo postępuje zgodnie z przyjętymi zasadami w tym zakresie.
Credo identyfikuje przypadki współadministrowania danymi i postępuje w tym zakresie zgodnie z przyjętymi zasadami, w tym regulacjami umów współadministrowania.
VII. REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH i REJESTR KATEGORII CZYNNOŚCI PRZETWARZANIA
VIII. INSPEKTOR OCHRONY DANYCH OSOBOWYCH
Zgodnie z art. 39 RODO, jeżeli Credo powoła Inspektora Ochrony Danych Osobowych do jego zadań będzie należeć:
Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
W przypadku niepowołania Inspektora Danych Osobowych, powyżej wskazane obowiązki odpowiednio stanowią obowiązki wykonywane przez Administratora (Ewelinę Jastrząbek).
IX. PODSTAWY PRZETWARZANIA
X. SPOSÓB OBSŁUGI PRAW JEDNOSTKI I OBOWIĄZKÓW INFORMACYJNYCH.
XI. OBOWIĄZKI INFORMACYJNE
XII. ŻĄDANIA OSÓB
Realizując prawa Osób, Credo wprowadza proceduralne gwarancje ochrony praw i wolności osób trzecich. W szczególności w przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania Osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób (np. prawa związane z ochroną danych osobowych, prawa własności intelektualnej, tajemnicę handlową, dobra osobiste). Credo może zwrócić się do Osoby w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmowa zadośćuczynienia żądaniu.
Credo informuje Osobę o tym, że nie przetwarza jej danych osobowych, jeżeli Osoba zgłosiła żądanie.
Credo informuje Osobę, w ciągu miesiąca od zgłoszenia żądania o odmowie rozpatrzenia żądania i o prawach Osoby z tym związanych.
Na żądanie osoby dotyczące dostępu do jej danych, Credo informuje Osobę, czy przetwarza jej dane oraz informuje Osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO (zakres odpowiada obowiązkowi informacyjnemu przy zbieraniu danych), a także udziela osobie dostępu do danych jej dotyczących. Dostęp do danych realizowany jest przez wydanie kopii danych.
Credo dokonuje sprostowania nieprawidłowych danych na żądanie osoby. Credo ma prawo odmówić sprostowania danych, chyba że Osoba w rozsądny sposób wykaże nieprawidłowości danych, których sprostowania się domaga. W przypadku sprostowania danych, Credo informuje Osobę o odbiorcach danych, na jej żądanie.
Credo uzupełnia i aktualizuje dane na żądanie Osoby. Credo ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych. Credo uzupełniając dane może polegać na oświadczeniu Osoby, chyba że będzie to niewystarczające w świetle przyjętych przez Credo procedur, prawa lub zaistnieją podstawy, aby uznać oświadczenie za niewiarygodne.
Na żądanie Osoby Credo usuwa dane, gdy:
Credo określa sposób obsługi prawa do usunięcia danych w taki sposób, aby zapewnić efektywną realizację tego prawa przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpieczeństwa, a także weryfikację, czy nie zachodzą wyjątki, o których mowa w art. 17 ust. 3 RODO.
Jeżeli dane podlegające usunięciu zostały upublicznione przez Credo, Credo podejmuje rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe o potrzebie usunięcia danych i dostępu do nich.
W przypadku usunięcia danych, Credo informuje Osobę o odbiorcach danych na żądanie tej Osoby.
Credo dokonuje ograniczenia przetwarzania danych, na żądanie Osoby, gdy:
W trakcie ograniczenia przetwarzania Credo przechowuje dane, natomiast nie przetwarza ich (nie wykorzystuje, nie przekazuje) bez zgody Osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego.
Credo informuje Osobę przed uchyleniem ograniczenia przetwarzania.
W przypadku ograniczenia przetwarzania danych Credo informuje Osobę o odbiorcach danych na żądanie tej Osoby.
Na żądanie Osoby Credo wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła ona Credo, przetwarzanie na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z nią zawartej w systemach informatycznych Credo.
Jeżeli osoba zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez Credo w oparciu o uzasadniony interes Credo lub o powierzone Credo zadanie w interesie publicznym, Credo uwzględni sprzeciw, o ile nie zachodzą po stronie Credo ważne prawnie uzasadnione podstaw do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw lub podstawy do ustalania, dochodzenia lub obrony roszczeń.
Jeżeli Osoba zgłosi sprzeciw względem przetwarzania jej danych przez Credo na potrzeby marketingu bezpośredniego, Credo uwzględni sprzeciw i zaprzestanie takiego przetwarzania.
XIII. MINIMALIZACJA
Credo dba o minimalizację przetwarzanych danych, pod kątem: (i) adekwatności danych do celów (ilość danych i zakres przetwarzania), (ii) dostępu do danych, (iii) czasu przechowywania danych.
Credo weryfikuje zakres pozyskiwanych danych, zakres ich przetwarzania i ilość przetwarzanych danych pod kątem adekwatności do celów przetwarzania w ramach wdrożenia RODO.
Credo dokonuje okresowego przeglądu ilości przetwarzanych danych i zakresu ich przetwarzania nie rzadziej niż raz na rok.
Credo przeprowadza weryfikację zmian co do ilości i zakresu przetwarzania danych w ramach procedur zarządzania zmianą (privacy by design).
Credo stosuje ograniczenia dostępu do danych osobowych: prawne (zobowiązania do poufności, zakresy upoważnień), fizyczne (strefy dostępu, zamykanie pomieszczeń) i logiczne (ograniczenia uprawnień do systemów przetwarzających dane osobowe i zasobów sieciowych, w których rezydują dane osobowe).
Credo stosuje kontrolę dostępu fizycznego.
Credo dokonuje aktualizacji uprawnień dostępowych przy zmianach w składzie personelu i zmianach ról osób oraz zmiana podmiotów przetwarzających.
Credo dokonuje okresowego przeglądu ustanowionych użytkowników systemów i aktualizuje ich nie rzadziej niż raz na rok.
Szczegółowe zasady kontroli dostępu fizycznego i logicznego zawarte są w procedurach bezpieczeństwa fizycznego oraz bezpieczeństwa informacji i danych osobowych Credo.
Credo wdraża mechanizmy kontroli cyklu życia danych osobowych w Credo, w tym weryfikacji dalszej przydatności danych względem terminów i punktów kontrolnych wskazanych w Rejestrze.
Dane, których zakres przydatności ulega ograniczeniu wraz z upływem czasu, są usuwane z systemów Credo, akt podręcznych i głównych. Dane takie mogą być archiwizowane oraz znajdować się na kopiach zapasowych systemów i informacji przetwarzanych przez Credo. Procedury archiwizacji i korzystania z archiwów, tworzenia i wykorzystywania kopii zapasowych uwzględniają wymagania kontroli nad cykle życia danych, a w tym wymogi usuwania danych.
XIV. BEZPIECZEŃSTWO
Credo zapewnia stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania danych osobowych przez Credo.
Procedura opisuje sposób przeprowadzenia analizy ryzyka w celu zabezpieczenia danych osobowych adekwatnie do zidentyfikowanych zagrożeń wynikających z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.
Przyjęto, że analiza ryzyka przeprowadzana jest dla zbioru lub grupy zbiorów (kategorii osób) lub dla procesów przetwarzania (np. dla zbioru pracowników, zbioru klientów, dla procesu wysyłania informacji handlowej z bazy marketingowej banku).
W ramach przeprowadzenia analizy ryzyka Administrator przetwarzający dane osobowe zobowiązany jest do spełnienia wobec nich obowiązków prawnych. W szczególności należy zapewnić, że:
1.3 Porównanie wyliczonych ryzyk ze skalą i określenie dalszego postępowania z ryzykiem
1.3.1. Administrator porównuje wyliczone ryzyka ze skalą i podejmuje decyzje dotyczące dalszego postępowania z ryzykiem.
1.4. Reakcja na wartość ryzyka
Analizę ryzyka przeprowadza się w formie elektronicznej (Word, Excel).
Ponowna analiza ryzyka przeprowadzana jest cyklicznie lub po znaczących zmianach w przetwarzaniu danych (np. przetwarzanie nowych zbiorów, nowych procesów przetwarzania, zmiany prawne).
Credo dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych tam, gdzie zgodnie z analizą ryzyka ryzyko naruszenia praw i wolności Osób jest wysokie.
Credo stosuje środki bezpieczeństwa ustalone w ramach analizy ryzyka i adekwatności środków bezpieczeństwa oraz ocen skutków dla ochrony danych.
Środki bezpieczeństwa danych osobowych stanowią element środków bezpieczeństwa informacji i zapewnienia cyberbezpieczeństwa w Credo i są bliżej opisane w procedurach przyjętych przez Credo dla tych obszarów.
Procedura definiuje katalog podatności i incydentów zagrażających bezpieczeństwu danych osobowych oraz opisuje sposób reagowania na nie. Jej celem jest minimalizacja skutków wystąpienia incydentów bezpieczeństwa oraz ograniczenie ryzyka powstania zagrożeń i występowania incydentów w przyszłości.
Po zapoznaniu się z zasadami ochrony danych osobowych, osoby zobowiązane są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania.
Oświadczenia o poufności, razem z upoważnieniami do przetwarzania danych powinny być zbierane w oryginałach w segregatorze i trzymane w zamykanej szafie.
W przypadku kontroli Państwowej Inspekcji pracy należy dołączyć kopie upoważnień i oświadczeń do akt osobowych pracowników.
Zgodnie z art. 32 RODO, Administrator powinien regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
W tym celu Administrator stosuje procedurę audytów.
Zgodnie z art. 32 RODO ust. 1 pkt. c), Administrator powinien zapewnić zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Administrator opracował procedury przywracania ciągłości działania.
XV. PRZETWARZAJĄCY
XVI. EKSPORT DANYCH
XVII. PROJEKTOWANIE PRYWATNOŚCI