Polityka bezpieczeństwa W zakresie przechowywania i ochrony danych osobowch
1. Zarządzanie bezpieczeństwem zasobów danych osobowych w Przedsiębiorstwie Usługowo Handlowym PROF-US Spółdzielnia. z siedzibą w Krakowie („Spółdzielnia”) stanowi proces ciągły, na który składają się takie elementy, jak:
identyfikacja oraz analiza zagrożeń i ryzyka;
stosowanie odpowiednich zabezpieczeń;
monitorowanie wdrażania i eksploatacji zabezpieczeń;
wykrywanie i reagowanie na incydenty.
2. Pracownicy Prof-us są odpowiedzialni za bezpieczeństwo danych, do których mają dostęp. W szczególności w systemach informatycznych odpowiadają oni za poprawne wprowadzanie informacji do tych systemów oraz za użycie, zniszczenie lub uszkodzenie sprzętu oraz znajdujących się na nim danych i oprogramowania.
Władze Spółki świadome wagi problemów związanych z ochroną prawa do prywatności, w tym w szczególności prawa osób fizycznych powierzających swoje dane osobowe do właściwej i skutecznej ochrony tych danych deklarują:
1) zamiar podejmowania wszystkich działań niezbędnych dla ochrony praw i usprawiedliwionych interesów jednostki związanych z bezpieczeństwem danych osobowych;
2) zamiar stałego podnoszenia świadomości oraz kwalifikacji osób przetwarzających dane osobowe w Prof-us w zakresie problematyki bezpieczeństwa tych danych;
3) zamiar traktowania obowiązków osób zatrudnionych przy przetwarzaniu danych osobowych jako należących do kategorii podstawowych obowiązków pracowniczych oraz stanowczego egzekwowania ich wykonania przez zatrudnione osoby,
4) zamiar podejmowania w niezbędnym zakresie współpracy z instytucjami powołanymi do ochrony danych osobowych.
Władze Prof-us świadome zagrożeń związanych z przetwarzaniem przez Spółkę danych osobowych na dużą skalę – w tym, w szczególności, z zagrożeń wynikających z dynamicznego rozwoju metod
i technik przetwarzania tych danych w systemach informatycznych oraz sieciach telekomunikacyjnych ustalają wytyczne polityki bezpieczeństwa danych osobowych, przetwarzanych w Prof-us w związku
z realizacją celów Spółki, w postaci niniejszej Polityki.
ROZDZIAŁ I
Postanowienia ogólne
§ 1
Cel Polityki Bezpieczeństwa w Prof-us
1. Niniejsza Polityka Bezpieczeństwa w zakresie przechowywania i ochrony danych osobowych w Prof-us jest polityką bezpieczeństwa informacji Spółki – zbiorem zasad i procedur obowiązujących przy przetwarzaniu i wykorzystywaniu danych osobowych. Zasadą zarządzania informacją w Prof-us jest zasada ścisłej potrzeby (ang. need-to-know). Oznacza ona, że dostęp do informacji uzyskują tylko
i wyłącznie ci pracownicy, którym ten dostęp jest konieczny dla realizacji zadań służbowych.
2. Celem polityki bezpieczeństwa jest wskazanie działań jakie należy wykonywać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie zabezpieczać dane osobowe,
a zatem organizacyjne, fizyczne i logiczne zabezpieczenie posiadanych danych osobowych oraz edukowanie użytkowników systemu ochrony danych osobowych. Polityka bezpieczeństwa określa zadania związane z zachowaniem poufności, integralności oraz rozliczalności danych osobowych.
3. Polityka bezpieczeństwa dotyczy zadań związanych z zabezpieczeniem danych osobowych zarówno przetwarzanych w sposób tradycyjny (wersje papierowe) jak i w systemach informatycznych. Osoby przetwarzające dane osobowe zobowiązane są do przestrzegania postanowień Polityki.
4. W Prof-us przetwarzane są informacje stanowiące dane osobowe w rozumieniu art. 4 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku,
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ( dalej „RODO” lub Rozporządzenie).
5. Spółdzielnia przetwarza dane osobowe znajdujące się w administrowanych przez nią zbiorach w określonych celach i w określonym zakresie, jeżeli:
a) jest to konieczne do realizacji zadań statutowych;
b) jest to niezbędne do osiągnięcia uzasadnionych celów biznesowych, zarządczych
i organizacyjnych;
c) w innym celu i zakresie, jeżeli osoba, której przetwarzane dane dotyczą, wyrazi na to pisemną zgodę.
6. Podstawę do opracowania niniejszego dokumentu i jego wdrożenia stanowią następujące przepisy prawa:
a) Konstytucja Rzeczypospolitej Polskiej;
b) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku, w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;
c) Ustawa o ochronie danych osobowych;
7. Polityka bezpieczeństwa w zakresie przechowywania i ochrony danych osobowych w Prof-us zawiera między innymi:
a) wykaz budynków i pomieszczeń, w których przetwarzane są dane osobowe, stanowiący Załącznik Nr 1 do niniejszego dokumentu, stanowiący jego integralną część;
b) wykaz zbiorów danych osobowych przetwarzanych elektronicznie lub w inny sposób, stanowiący Załącznik Nr 2 do niniejszego dokumentu, stanowiący jego integralną część;
8. Przetwarzanie danych osobowych w Spółce jest dopuszczalne tylko pod warunkiem przestrzegania postanowień Rozporządzenia oraz ustawy z dnia […] o ochronie danych osobowych i wydanych na jej podstawie przepisów wykonawczych.
§ 2
Terminologia
Przez użyte w treści Polityki bezpieczeństwa sformułowania należy rozumieć:
1. Administrator Danych Osobowych („ADO”) – podmiot zajmujący się przetwarzaniem danych osobowych. Administratorem danych osobowych Prof-us i jej pracowników jest Spółdzielnia;
2. Administrator Systemu Informatycznego („ASI”) – osoba wyznaczana przez Administratora Danych Osobowych odpowiedzialna za przestrzeganie zasad ochrony danych osobowych w systemie informatycznym i nadzorująca przetwarzanie danych osobowych w systemie informatycznym;
3. Dane biometryczne – oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;
4. Dane dotyczące zdrowia – oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;
5. Dane genetyczne – oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;
6. Dane osobowe – zestaw informacji pozwalających na jednoznaczną identyfikację konkretnej osoby w konkretnym środowisku, przetwarzane przez administratora danych zarówno w systemach informatycznych jak i tradycyjnie (wersja papierowa);
7. Dane wrażliwe – dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonanie religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane dotyczące zdrowia, dane biometryczne, dane genetyczne, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych
w postępowaniu sądowym lub administracyjnym;
8. Dostępność – zapewnienie, że osoby upoważnione będą miały dostęp do informacji tylko wtedy, gdy jest to uzasadnione;
9. Inspektor Ochrony Danych („IOD”) – osoba, która może zostać wyznaczona przez Administratora Danych Osobowych i/lub Podmiot przetwarzający jako odpowiedzialna za przestrzeganie zasad ochrony danych osobowych i nadzorująca bezpieczeństwo przetwarzania danych osobowych;
10. Integralność – spójność danych, zapewnienie, że dane nie zostaną zmienione, dodane lub usunięte w nieautoryzowany sposób;
11. Naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
12. Nośniki danych – wszelkie nośniki , na których informacje są zapisane w postaci elektronicznej,
w szczególności dyski, dyskietki, dyski CD-ROM, karty magnetyczne lub pamięci przenośne;
13. Odbiorca danych – każdy, komu udostępnia się dane osobowe, z wyłączeniem: osoby, której dane dotyczą, osoby upoważnionej do przetwarzania danych, przedstawiciela podmiotu przetwarzającego dane osobowe mający siedzibę lub miejsce zamieszkania w państwie trzecim, podmiotu, któremu powierzono przetwarzanie danych osobowych, organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem;
14. Organ nadzorczy – Prezes Urzędu Ochrony Danych;
15. Osoba trzecia oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;
16. Osoby zatrudnione przy przetwarzaniu danych osobowych – wszystkie osoby, w tym użytkownicy systemu informatycznego, mające z racji wykonywanych obowiązków dostęp do danych osobowych. Użytkownik systemu jest osobą upoważnioną do przetwarzania danych osobowych w systemie. Użytkownikiem może być osoba zatrudniona w Prof-us, a także osoba wykonująca pracę na podstawie umowy zlecenia lub innej umowy cywilnoprawnej;
17. Podmiot przetwarzający – oznacza osobę fizyczną lub prawną lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
18. Poufność – zapewnienie dostępu do informacji wyłącznie osobom upoważnionym;
19. Pracownik – osoba zatrudniona w Spółce na podstawie stosunku pracy lub innego stosunku prawnego;
20. Przetwarzanie danych – wszystkie czynności wykonywane na danych, w tym szczególnie gromadzenie, utrwalanie, organizowanie, porządkowanie, adaptowanie lub modyfikacja, przechowywanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przenoszenie
i przekazywanie lub innego rodzaju udostępnianie, dopasowanie lub łączenie, ograniczanie, usuwanie lub niszczenie niezależnie od formy, w jakiej wykonywane są te czynności;
21. RODO lub Rozporządzenie – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku, w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
22. System informatyczny – zespół środków technicznych (urządzenia: komputerowe, drukujące, łączności, wraz z okablowaniem i oprogramowaniem), zespół zabezpieczeń środków technicznych, użytkownicy tych urządzeń i programów, a także sieć informatyczna i udostępniane przez nią zasoby;
23. Ustawa – ustawa o ochronie danych osobowych.;
24. Usuwanie danych osobowych – zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;
25. Zgoda – oznacza zgodę osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome
i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
26. Zbiór danych osobowych – dane osobowe zgromadzone w usystematyzowany sposób, pozwalający na łatwe dotarcie do konkretnej informacji, dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
ROZDZIAŁ II
Podstawy systemu bezpieczeństwa danych osobowych w Spółce
§ 3
Obowiązki ADO
1. Administrator Danych Osobowych ma obowiązek zastosować odpowiednie środki techniczne
i organizacyjne zapewniające ochronę przetwarzanych danych osobowych takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, a w szczególności zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Rozporządzenia oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, a w szczególności zadbać by:
a) Została pozyskana zgoda osoby, której dane dotyczą lub została spełniona inna przesłanka dopuszczająca przetwarzanie danych osobowych;
b) Zostały spełnione obowiązki informacyjne wobec osoby, której dane dotyczą, a także by zapewnione zostało prawo takiej osoby do kontroli przetwarzania jej danych osobowych, ich przeniesienia, sprostowania, usunięcia, prawie wniesienia sprzeciwu wobec przetwarzania;
c) Dane były przetwarzanie zgodnie z obowiązującymi przepisami prawa;
d) Dane zbierane były w oznaczonym, zgodnym z prawem celu;
e) Dane były merytorycznie poprawne oraz zakres danych był adekwatny do celu ich zbierania;
f) Były przetwarzane wyłącznie przez okres niezbędny ze względu na cel ich przetwarzania.
2. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, Administrator Danych Osobowych – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania -wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi Rozporządzenia oraz chronić prawa osób, których dane dotyczą.
3. Administrator Danych Osobowych wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.
4. Administrator Danych Osobowych zobowiązany jest respektować prawa osoby, której dane dotyczą,
a w szczególności prawa do:
a) uzyskania wyczerpującej informacji, czy jej dane osobowe są przetwarzane oraz do otrzymania informacji o pełnej nazwie i adresie siedziby oraz danych kontaktowych (adres e-mail) Administratora Danych Osobowych oraz IOD (jeżeli został powołany);
b) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych osobowych;
c) uzyskania informacji o podstawie prawnej, gdy przetwarzanie danych osobowych odbywa się na mocy przepisu prawa;
d) uzyskania informacji o prawnie uzasadnionym interesie Administratora Danych Osobowych lub strony trzeciej, jeżeli przetwarzanie danych osobowych odbywa się na tej podstawie;
e) uzyskania informacji, od kiedy są przetwarzane jej dane osobowe, oraz podania w powszechnie zrozumiałej formie treści tych danych;
f) uzyskania informacji o źródle, z którego pochodzą dane osobowe jej dotyczące;
g) uzyskania informacji o sposobie udostępniania danych osobowych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym te dane osobowe są udostępniane;
h) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, przeniesienia, wniesienia sprzeciwu wobec przetwarzania;
i) cofnięcia zgody na przetwarzanie danych osobowych w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
j) ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane
z naruszeniem Rozporządzenia albo są już zbędne do realizacji celu, dla którego zostały zebrane;
5. Administrator Danych Osobowych określa zakres przetwarzanych danych osobowych w wydawanych zarządzeniach, regulaminach lub w indywidualnych umowach z podmiotami zewnętrznymi, którym zlecono przetwarzanie danych osobowych, oraz przeprowadza regularne audyty przestrzegania przepisów dotyczących ochrony danych osobowych.
§ 4
Obowiązki IOD
Obowiązki IOD (jeżeli zostanie wyznaczony) obejmują:
a) Poza realizacją szczegółowych zadań wynikających z Polityki bezpieczeństwa, sprawowanie ogólnego nadzoru nad realizacją czynności dotyczących przetwarzania danych osobowych, oraz monitorowanie przestrzegania Polityki bezpieczeństwa oraz obowiązującego prawa;
b) informowanie Administratora Danych Osobowych, podmiotu przetwarzającego oraz Osoby zatrudnione przy przetwarzaniu danych osobowych, o obowiązkach spoczywających na nich na mocy Polityki bezpieczeństwa, Rozporządzenia oraz innych przepisów o ochronie danych i doradzanie im
w tej sprawie;
c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;
d) współpraca z organem nadzorczym;
e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych
z przetwarzaniem danych osobowych, w tym prowadzenia konsultacji z organem nadzoru we wszelkich sprawach;
f) Opracowanie zmian w Polityce bezpieczeństwa i przedstawienie proponowanych zmian Administratorowi Danych Osobowych;
g) Opracowanie zmian w Instrukcji przetwarzania danych i przedstawienie proponowanych zmian Administratorowi Danych Osobowych;
h) Prowadzenie i aktualizacja rejestru osób upoważnionych do przetwarzania danych osobowych w Spółce. Rejestr, o którym mowa w zdaniu poprzednim zawiera:
imię i nazwisko Pracownika (Użytkownika);
zakres przydzielonego uprawnienia;
datę przyznania uprawnień;
datę odebrania uprawnień;
i) Prowadzenie i aktualizacja wykazu budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
j) Nadzorowanie obiegu oraz przechowywania dokumentów zawierających dane osobowe;
k) Analiza i identyfikacja zagrożeń i ryzyka, na które może być narażone przetwarzanie danych osobowych w Spółce oraz pisemne informowanie Administratora Danych Osobowych
o wynikach analizy;
l) Uczestniczenie w czynnościach kontrolnych Prezesa Urzędu Ochrony Danych;
m) Nadzorowanie ASI (dotyczy sytuacji, w której funkcje IOD oraz ASI są sprawowane przez różne osoby), w zakresie:
Przeglądu, konserwacji oraz uaktualnienia systemów informatycznych służących do przetwarzania danych;
Kontroli systemu komunikacji w sieci komputerowej;
Uwierzytelniania personelu, w szczególności poprzez nadawanie, zmianę lub pozbawienie uprawnień poszczególnych użytkowników do dostępu do systemów informatycznych;
Wykonywania procedur ochrony antywirusowej;
Wykonywania kopii bezpieczeństwa
n) Nadzorowanie fizycznych zabezpieczeń pomieszczeń, w których przetwarzane są dane osobowe,
w tym nadzorowanie dostępu do tych pomieszczeń oraz kontrolę przebywających
w nich osób;
o) Nadzorowanie szkoleń personelu z zakresu bezpieczeństwa przetwarzania danych osobowych;
p) Nadzorowanie bieżących procesów przetwarzania danych, w tym analizę sytuacji oraz przyczyn, które doprowadziły do naruszenia zasad bezpieczeństwa;
q) Podczas realizacji swych zadań, IOD ma prawo do:
Uzyskiwania wszelkich informacji dotyczących przetwarzania danych osobowych od wszystkich komórek organizacyjnych Spółki;
Kontrolowania komórek organizacyjnych pod kątem właściwego zabezpieczenia pomieszczeń oraz systemów informatycznych, w których przetwarzane są dane;
Proponowania Administratorowi Danych Osobowych rozwiązań dotyczących ochrony danych osobowych;
Wydawania zaleceń dyrektorom/kierownikom komórek organizacyjnych w zakresie bezpieczeństwa danych osobowych;
Żądania od personelu wyjaśnień w sytuacjach naruszenia bezpieczeństwa danych osobowych lub w związku z nieprawidłowościami lub zagrożeniami związanymi
z ochroną danych osobowych.
§ 5
Obowiązki ASI
Obowiązki ASI obejmują:
a) Przestrzeganie zasad ochrony danych określonych w Polityce bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych
i dokumentach z nią związanych;
b) Zapewnienie prawidłowej eksploatacji systemów informatycznych, zgodnej z celami przetwarzania danych osobowych;
c) Wykonywanie kopii zapasowych, zapewnienie odpowiedniego ich przechowywania oraz okresowego sprawdzania pod kątem ich dalszej przydatności do przetwarzania danych osobowych w przypadku awarii system;
d) Zapewnienie ochrony antywirusowej systemów informatycznych;
e) Zapewnienie ochrony nośników zawierających kopie zbiorów danych osobowych;
f) Realizacja wytycznych Administratora Danych Osobowych lub IOD (jeżeli został powołany)
w zakresie ochrony danych osobowych przetwarzanych z wykorzystaniem środków informatycznych;
g) Informowanie IOD (jeżeli został powołany) i Administratora Danych Osobowych
o wszelkich zauważonych nieprawidłowościach w systemach informatycznych skutkujących obniżeniem poziomu ochrony danych osobowych;
h) Szkolenia użytkowników systemów informatycznych w zakresie procedur i instrukcji zapewniających ochronę danych osobowych;
i) Wyjaśnianie – wspólnie z IOD (jeżeli został powołany) – wszystkich zgłoszonych nieprawidłowości
i incydentów.
§ 6
Dostęp danych osobowych
1. Dostęp danych osobowych oraz możliwość ich przetwarzania mają tylko osoby wpisane do ewidencji prowadzonej przez Administratora Danych Osobowych (Użytkownicy systemu).
2. Osoby zatrudnione w Spółce przy przetwarzaniu danych osobowych są zobowiązane do przechowywania danych osobowych we właściwych zbiorach, nie dłużej niż jest to niezbędne dla osiągnięcia celu ich przetwarzania.
3. Osoby zatrudnione w Spółce przy przetwarzaniu danych osobowych przy wykorzystaniu systemów informatycznych są zobowiązane do postępowania zgodnie z instrukcją zarządzania informatycznym systemem przetwarzania danych osobowych – „Instrukcją przetwarzania danych osobowych w Prof-us z siedzibą w Krakowie” stanowiącą Załącznik Nr 3 do niniejszego dokumentu, stanowiący jego integralną część.
§ 7
Naruszenie bezpieczeństwa systemu ochrony danych osobowych
1. Osoby zatrudnione przy przetwarzaniu danych są zobowiązane powiadomić Administratora Danych Osobowych (ewentualnie IOD o ile taki zostanie powołany) o ewentualnych naruszeniach bezpieczeństwa systemu ochrony danych osobowych.
2. Rejestracji podlegają wszystkie przypadki awarii systemu, działania konserwacyjne w systemie oraz naprawy.
§ 8
Postępowanie w przypadku naruszenia ochrony danych osobowych
1. Za naruszenie ochrony danych osobowych uznaje się w szczególności przypadki, gdy:
a) stwierdzono naruszenie zabezpieczeń używanych dla ochrony danych osobowych;
b) stan sprzętu komputerowego, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci telekomunikacyjnej wskazują na naruszenie zabezpieczeń tych danych;
c) inne okoliczności wskazują, że mogło nastąpić nieuprawnione udostępnienie danych osobowych przetwarzanych w Spółce.
2. Procedura postępowania w przypadku naruszenia ochrony danych osobowych jest następująca:
2.1. Każdy pracownik Spółki, który stwierdzi fakt naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe, bądź posiada informację mogącą mieć wpływ na bezpieczeństwo danych osobowych jest zobowiązany niezwłocznie zgłosić to Administratorowi Danych Osobowych, IOD (jeżeli został powołany) lub osobie przez Niego upoważnionej.
2.2. W razie braku możliwości zawiadomienia Administratora Danych Osobowych IOD (jeżeli został powołany) lub osoby przez niego upoważnionej, należy zawiadomić bezpośredniego przełożonego.
2.3. Do czasu przybycia na miejsce IOD (jeżeli został powołany) lub osoby upoważnionej przez Administratora Danych Osobowych należy: g
a) niezwłocznie podjąć czynności niezbędne do powstrzymania skutków naruszenie ochrony (o ile to jest możliwe);
b) ustalić przyczynę i sprawcę naruszenia ochrony;
c) rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia, na ile to możliwe należy zaniechać wszelkich działań mogących utrudnić analizę wystąpienia naruszenia ochrony i udokumentowanie zdarzenia podjąć stosowne działania, jeśli zaistniały przypadek został przewidziany
w dokumentacji systemu operacyjnego, bazy danych, czy Regulaminie aplikacji użytkowej,
d) nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia osoby upoważnionej przez Administratora Danych Osobowych.
2.4. Po przybyciu na miejsce naruszenia bezpieczeństwa danych osobowych IOD (jeżeli został powołany) lub osoba upoważniona przez Administratora Danych Osobowych podejmuje następujące kroki:
a) zapoznaje się z zaistniałą sytuacją i wybiera sposób dalszego postępowania uwzględniając zagrożenie w prawidłowości pracy Spółki,
b) może zażądać dokładnej relacji z zaistniałego naruszenia bezpieczeństwa danych osobowych od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje w związku z zaistniałym naruszeniem,
c) rozważa celowość i potrzebę powiadamiania o zaistniałym naruszeniu Administratora Danych Osobowych, o ile nie został wcześniej zawiadomiony,
d) niezwłocznie powiadamia ASI;
e) nawiązuje kontakt ze specjalistami spoza Spółki (jeśli zachodzi taka potrzeba).
2.5. IOD (jeżeli został powołany) lub osoba upoważniona przez Administratora Danych Osobowych dokumentuje zaistniały przypadek naruszenia bezpieczeństwa danych osobowych sporządzając raport, który zawiera następujące informacje:
a. wskazanie osoby zawiadamiającej o naruszeniu, oraz innych osób zaangażowanych
w wyjaśnienie okoliczności naruszenia bezpieczeństwa;
b. określenie czasu i miejsca zawiadomienia o naruszeniu bezpieczeństwa, jak i samego naruszenia (o ile ustalenie tych okoliczności jest możliwe);
c. określenie okoliczności towarzyszących i rodzaju naruszenia;
d. opis podjętego działania wraz z wyjaśnieniem wyboru sposobu działania;
e. wstępną ocenę przyczyn wystąpienia naruszenia bezpieczeństwa;
f. ocenę przeprowadzonego postępowania wyjaśniającego i naprawczego;
g. raport z wystąpienia zdarzenia osoba upoważniona przekazuje Administratorowi Danych Osobowych.
2.6. Osoba upoważniona przez Administratora Danych Osobowych zasięga potrzebnych mu opinii
i proponuje działania naprawcze (w tym także ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń, oraz terminu wznowienia przetwarzania danych osobowych).
3. Zaistniałe naruszenie bezpieczeństwa może stać się przedmiotem zespołowej analizy przeprowadzanej przez kierownictwo Spółki, Administratora Danych Osobowych, osobę upoważnioną przez Administratora Danych Osobowych oraz inne wskazane osoby.
4. Analiza ta powinna zawierać wszechstronną ocenę zaistniałego naruszenia bezpieczeństwa, wskazanie odpowiedzialnych, wnioski co do ewentualnych działań proceduralnych, organizacyjnych, kadrowych i technicznych, które powinny zapobiec podobnym naruszeniom w przyszłości.
5. W przypadku naruszenia ochrony danych osobowych, Administrator Danych Osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je Prezesowi Urzędu Ochrony Danych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego Prezesowi Urzędu Ochrony Danych po upływie 72 godzin należy dołączyć wyjaśnienie przyczyn opóźnienia. Zgłoszenie powinno zawierać:
opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
opisywać środki zastosowane lub proponowane przez ADO w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków
6. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator Danych Osobowych bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
7. Zawiadomienie, o którym mowa w ust. 6, nie jest wymagane, w następujących przypadkach:
a) Administrator Danych Osobowych wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie,
w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
b) Administrator Danych Osobowych zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
§ 9
Wyłączenia przetwarzania
1. Z zastrzeżeniem ust. 2 w zbiorach danych administrowanych przez Prof-us zabrania się przetwarzania w danych osobowych informacji ujawniających:
a) danych dotyczących zdrowia;
b) pochodzenie rasowe lub etniczne;
c) poglądy polityczne;
d) przekonania religijne lub światopoglądowe;
e) przynależność wyznaniową;
f) przynależność partyjną lub związkową;
g) danych genetycznych;
h) danych biometrycznych;
i) nałogi;
j) seksualności;
k) orientacji seksualnej.
2. Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:
a) osoba, której powyższe dane dotyczą wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach;
b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez Administratora Danych Osobowych lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone obowiązującym prawem lub porozumieniem zbiorowym;
c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
d) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
e) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
f) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie obowiązujących przepisów prawa.
§ 10
Obowiązki pracowników Prof-us
1. Zabronione jest dokonywanie przez pracowników Spółdzielni:
a) Przetwarzania w zbiorze danych osobowych:
i. do których przetwarzania dany pracownik nie jest upoważniony,
ii. których przetwarzanie jest zabronione,
iii. niezgodnych z celem stworzenia zbioru danych;
b) Udostępniania lub umożliwiania dostępu do danych osobowych osobom nieupoważnionym;
c) Niezgłaszanie Administratorowi Danych Osobowych lub osobie przez Niego upoważnionej zbiorów danych;
d) Niedopełniania obowiązku poinformowania osoby, której dane dotyczą, o przysługujących jej prawach;
e) Uniemożliwiania osobie, której dane dotyczą, korzystania z przysługujących jej praw.
2. Wobec osoby, która w przypadku naruszenia ochrony danych osobowych nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami może zostać wszczęte postępowanie dyscyplinarne.
3. Administrator Danych Osobowych lub osoba przez Niego upoważniona zobowiązany jest prowadzić ewidencje osób, które zostały zapoznane z niniejszym dokumentem i zobowiązują się do stosowania zasad w nim zawartych według wzoru określonego w Załączniku Nr 4 do niniejszego dokumentu.
4. Osoby zatrudnione przy przetwarzaniu danych osobowych są zobowiązane w szczególności do:
a) bezwzględnego przestrzegania zasad określonych w Polityce bezpieczeństwa, Instrukcji
i innych procedurach dotyczących bezpieczeństwa danych osobowych w Spółce;
b) przetwarzania danych osobowych tylko w wyznaczonych do tego celu pomieszczeniach służbowych (lub wyznaczonych ich częściach);
c) zabezpieczania zbioru danych osobowych oraz dokumentów zawierających dane osobowe przed dostępem osób nieupoważnionych za pomocą środków określonych w Polityce bezpieczeństwa oraz Instrukcji;
d) niszczenia wszystkich zbędnych nośników zawierających dane osobowe w sposób uniemożliwiający ich odczytanie;
e) nieudzielania informacji o danych osobowych przetwarzanych w Spółce innym podmiotom, chyba że obowiązek taki wynika wprost z przepisów prawa i tylko w sytuacji, gdy przesłanki określone w tych przepisach zostały spełnione;
f) bezzwłocznego zawiadamiania Administratora Bezpieczeństwa Informacji o wszelkich przypadkach naruszenia bezpieczeństwa danych osobowych w Spółce, a także o przypadkach utraty lub kradzieży dokumentów lub innych nośników zawierających te dane osobowe.
ROZDZIAŁ III
Gromadzenie danych osobowych i ocena skutków dla ochrony danych
§ 11
Ocena skutków dla ochrony danych
1. Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator Danych Osobowych przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się
z podobnym wysokim ryzykiem może zostać przeprowadzona pojedyncza ocena.
2. Dokonując oceny skutków dla ochrony danych, Administrator Danych Osobowych konsultuje się
z IOD, jeżeli został on wyznaczony.
3. Ocena dokonywana przez Administratora Danych Osobowych powinna zawierać:
a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
§ 11
Sposób gromadzenia danych osobowych
Dane osobowe przetwarzane w Prof-us mogą być uzyskiwane:
1. Bezpośrednio od osób, których te dane dotyczą;
2. Z innych źródeł, w granicach dozwolonych przepisami prawa.
§ 12
Wymagania dotyczące zebranych danych osobowych
1. Zebrane dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej
w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 Rozporządzenia za niezgodne z pierwotnymi celami („ograniczenie celu”);
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
2. W przypadku konieczności udostępnienia dokumentów i danych, wśród których znajdują się dane osobowe niemające bezpośredniego związku z celem udostępnienia, należy bezwzględnie dokonać zmiany tych danych osobowych w sposób zapewniający anonimowość osób, których dane te dotyczą.
ROZDZIAŁ IV
Obowiązek informacyjny, prawo dostępu do danych
§ 13
Obowiązek informacyjny względem osób których dane są przetwarzane
1. ADO i/lub kierownicy komórek organizacyjnych Spółki, których zadaniem jest zbieranie
i przetwarzanie danych osobowych, są odpowiedzialni za poinformowanie osób których dane przetwarzają o:
a) adresie siedziby Spółki, pod którym dane są zbierane i przetwarzane,
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) celu przetwarzania, do którego mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;
d) celu zbierania danych, dobrowolności lub obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
g) prawie wglądu do treści swoich danych oraz możliwości ich poprawiania.
2. W przypadku zbierania danych osobowych nie bezpośrednio od osoby, której one dotyczą, osobę tę należy poinformować ponadto o:
a) kategorii danych osobowych;
b) źródle danych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych,
c) jeżeli przetwarzanie odbywa się na podstawie z uwagi na prawnie uzasadnione interesy realizowane przez Administratora Danych Osobowych lub przez stronę trzecią podstawę prawną.
3. Poza informacjami, o których mowa w ust. 1 oraz 2, podczas pozyskiwania danych osobowych ADO i/lub kierownicy komórek organizacyjnych Spółki podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania danych osobowych:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b) informacje o prawie do żądania od Administratora Danych Osobowych dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
c) jeżeli przetwarzanie odbywa się na podstawie zgody lub na podstawie zgody dotyczącej przetwarzania danych osobowych szczególnej kategorii – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
d) informacje o prawie wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych
e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz – informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
§ 14
Kandydaci do pracy w Prof-us
1. Kandydaci do pracy w Prof-us w procesie rekrutacji niezależnie od obowiązujących przepisów prawa mogą podpisać pisemną zgodę na przetwarzanie ich danych osobowych lub umieścić i podpisać w składanych dokumentach odpowiednią klauzulę zezwalającą na przetwarzanie swoich danych osobowych w zakresie określonym w konkretnej zgodzie.
2. Dokumenty złożone w celu określonym w ust. 1 są przechowywane w komórce organizacyjnej, która przetwarza te dane.
§ 15
Prawa osób, których dane osobowe są przetwarzane
1. Osobom, których dane przetwarza Spółdzielnia, przysługuje zgodnie z przepisami rozporządzenia prawo kontroli ich danych osobowych, a w szczególności prawo do uzyskania następujących informacji na temat tych danych:
a) cele przetwarzania;
b) kategorie odnośnych danych osobowych;
c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
d) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
e) informacje o prawie do żądania od Administratora Danych Osobowych sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
f) informacje o prawie wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych;
g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz – informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą;
i) Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, związanych z przekazaniem.
2. Każda osoba, która wystąpi z wnioskiem o otrzymanie informacji, musi otrzymać odpowiedź na piśmie w terminie nieprzekraczającym 30 dni od daty wpłynięcia wniosku. Administrator Danych Osobowych dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, Administrator Danych Osobowych może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.
ROZDZIAŁ V
Prawa, osób których dane dotyczą
§ 16
Sprostowanie i usuwanie danych osobowych
1. Osoba, której dane dotyczą, ma prawo żądania od Administratora Danych Osobowych niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.
2. Osoba, której dane dotyczą, ma prawo żądania od Administratora Danych Osobowych niezwłocznego usunięcia dotyczących jej danych osobowych, a Administrator Danych Osobowych ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania;
c) osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;
d) dane osobowe były przetwarzane niezgodnie z prawem;
e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego, któremu podlega Administrator Danych Osobowych.
3. Jeżeli Administrator Danych Osobowych upublicznił dane osobowe, a zgodnie z ust. 2 ma obowiązek usunąć te dane osobowe, to odejmuje rozsądne działania, w tym środki techniczne, by poinformować Administratorów Danych Osobowych przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.
4. Ust. 2 oraz 3 nie mają zastosowania w jakim przetwarzanie jest niezbędne:
a) do korzystania z prawa do wolności wypowiedzi i informacji;
b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega Administrator Danych Osobowych, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi Danych Osobowych;
c) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego;
d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych o ile prawdopodobne jest, że prawo, o którym mowa w ust. 2, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub
e) do ustalenia, dochodzenia lub obrony roszczeń.
§ 17
Ograniczenie przetwarzania i prawo do przenoszenia danych
1. Osoba, której dane dotyczą, ma prawo żądania od Administratora Ochrony Danych ograniczenia przetwarzania w następujących przypadkach:
a) osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający Administratorowi Danych Osobowych sprawdzić prawidłowość tych danych;
b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
c) Administrator Ochrony Danych nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
d) osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie Administratora Danych Osobowych są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
2. Jeżeli na mocy ust. 1 przetwarzanie zostało ograniczone, dane osobowe, których przetwarzanie zostało ograniczone, można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego. Przed uchyleniem ograniczenia przetwarzania Administrator Ochrony Danych informuje o tym osobę, której dane dotyczą, a która żądała ograniczenia przetwarzania danych osobowych.
3. Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu dotyczące jej dane osobowe, które dostarczyła Administratorowi Danych Osobowych, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony Administratora Danych Osobowych, któremu dostarczono te dane osobowe, jeżeli:
a) przetwarzanie odbywa się na podstawie zgody lub na podstawie umowy;
b) przetwarzanie odbywa się w sposób zautomatyzowany.
4. Wykonując prawo do przenoszenia danych, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez Administratora Danych Osobowych bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.
§ 18
Prawo sprzeciwu osoby, której dane są przetwarzane
1. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na niezbędnym interesie publicznym lub jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora Danych Osobowych, w tym profilowania na podstawie tych przepisów. Administratorowi Danych Osobowych nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
2. Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.
3. Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów.
§ 19
Zautomatyzowane przetwarzanie
1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.
2. Ust 1 nie ma zastosowania jeżeli ta decyzja:
a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a Administratorem Danych Osobowych;
b) jest dozwolona prawem;
c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
3. W przypadkach, o których mowa w ust. 2 lit. a) i c), Administrator Danych Osobowych wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony Administratora Danych Osobowych, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.
4. Decyzje, o których mowa w ust. 2, nie mogą opierać się na szczególnych kategoriach danych osobowych, tj. danych wrażliwych, chyba że osoba, której dane dotyczą wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych lub przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.
§ 20
Sprostowanie, usunięcie lub ograniczenie przetwarzanie danych osobowych
Administrator Danych Osobowych informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, których dokonał, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator Danych Osobowych informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.
ROZDZIAŁ VI
Rejestr Czynności Przetwarzania
§ 21
Prowadzenie Rejestru Czynności Przetwarzania
1. Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się następujące informacje:
a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz IOD;
b) cele przetwarzania;
c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej;
f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
2. Każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:
a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
c) gdy ma to zastosowanie -przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej;
d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
3. Administrator Danych Osobowych i każdy podmiot przetwarzający ma obowiązek współpracować z organem nadzorczym i na jego żądanie udostępniać mu te rejestry w celu monitorowania operacji przetwarzania.
ROZDZIAŁ VII
Zbiory danych osobowych
§ 22
Obowiązek Kierowników organizacyjnych Prof-us
Kierownicy komórek organizacyjnych Prof-us, w których przetwarzane są dane osobowe, są zobowiązani do zgłoszenia Administratorowi Danych Osobowych (IOD jeżeli został powołany) lub osobie przezeń upoważnionej na temat:
a) planowanego założenia nowych zbiorów danych osobowych,
b) wnoszonych zmian do zbiorów.
ROZDZIAŁ VII
Ochrona przetwarzania danych osobowych
§ 23
Budynki i pomieszczenia Prof-us
1. Dostęp do budynków i pomieszczeń Prof-us, w których przetwarzane są dane osobowe podlega kontroli.
2. Kontrola dostępu polegać może w szczególności na ustanowieniu recepcji monitorującej ruch osobowy w budynku (osoby z zewnątrz, nieuprawnione do przebywania na obszarze Administratora Ochrony Danych są wpisywane do książki wejścia-wyjścia przez pracowników służby ochrony),
a także przypisanie kluczy do poszczególnych pomieszczeń określonemu personelowi.
3. Dostęp do budynku Spółki w Krakowie objęty jest systemem kontroli poprzez zastosowanie systemu alarmowego i monitoringu z zastosowaniem kamer przemysłowych.
4. Spółdzielnia realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych może wprowadzać inne formy monitorowania dostępu do obszarów przetwarzania danych osobowych.
5. Szczegółowe zasady kontroli dostępu do poszczególnych obszarów (budynków, pomieszczeń) Prof-us, w których przetwarzane są dane osobowe określane są przez osoby kierujące poszczególnymi komórkami organizacyjnymi Spółki, w których takie obszary występują.
6. Dodatkowe środki techniczne i organizacyjne oraz przedsięwzięcia niezbędne do zapewnienia poufności, integralności przetwarzanych danych osobowych stosowane w Spółce są następujące:
a) środki ochrony fizycznej – urządzenia służące do przetwarzania danych osobowych znajdują się wyłącznie w pomieszczeniach zabezpieczonych zamkami,
b) dostęp do pokoi jest kontrolowany za pomocą wydawania kluczy tylko osobom uprawnionym.
c) stosuje się szafę zamykaną do przechowywania nośników z kopiami zapasowymi zawierających dane osobowe,
d) dostęp do pomieszczenia, w którym znajdują się urządzenia serwerowe ma tylko osoba upoważniona przez Administratora Danych Osobowych oraz Administrator Systemu Informatycznego,
e) środki sprzętowe, informatyczne i telekomunikacyjne – urządzenia wchodzące w skład infrastruktury sieciowej, serwera oraz komputery, na których przetwarzane są dane osobowe podłączone są do lokalnych awaryjnych zasilaczy UPS, zabezpieczających przed skokami napięcia i zanikiem zasilania;
f) sieć lokalna podłączona jest do internetu poprzez router spełniający jednocześnie funkcję sprzętowego, zewnętrznego firewalla filtrującego dane przechodzące pomiędzy siecią lokalną i siecią publiczną,
g) wykonywane są kopie zapasowe danych na trzech płaszczyznach: na poziomie zapisu na dyskach twardych (RAID mirror), okresowe kopie do pliku zewnętrznego bazy danych systemu Egeria, okresowo tworzone kopie danych serwera na nośnik zewnętrzny przechowywany w serwerowni lub sejfie;
h) Budynki i pomieszczenia, w których przetwarzane są dane osobowe wyposażone są w gaśnice;
i) Po ustaniu przydatności dokumentacja papierowa zawierająca dane osobowe jest niszczona mechanicznie z użyciem niszczarki do dokumentów;
j) Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe przeznaczone do likwidacji, pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie;
k) Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do otrzymania danych osobowych, pozbawia się wcześniej zapisu tych danych;
l) Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe, przeznaczone do naprawy pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez Administratora Danych Osobowych;
7. Stosowane są następujące środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych oraz środki ochrony w ramach systemu użytkowego.
a) identyfikator i hasło dostępu do danych na poziomie aplikacji – dla każdego użytkownika systemu wyznaczony jest odrębny identyfikator, użytkownicy mają dostęp do aplikacji umożliwiający dostęp tylko do tych danych osobowych, do których mają uprawnienia;
b) komputer (oraz inne urządzenia mobilne) z którego możliwy jest dostęp do danych osobowych zabezpieczony jest hasłem uruchomieniowym, stosowane jest wygaszenie ekranu w przypadku dłuższej nieaktywności użytkownika, stosowana jest blokada hasłem podczas dłuższej nieaktywności użytkownika.
8. Osoby trzecie mogą przebywać na obszarze, w którym są przetwarzane dane osobowe jedynie
w obecności co najmniej jednego użytkownika odpowiedzialnego za te osoby.
§ 24
Polityka „czystego biurka” i „czystego ekranu”
1. Prof-us przyjmuje politykę „czystego biurka”:
a) Wszystkie informacje wrażliwe – dane osobowe – muszą być chronione przed niepowołanym dostępem, zarówno podczas godzin pracy, jak i w czasie wolnym od pracy.
W czasie godzin pracy każdy pracownik jest zobowiązany do należytego postępowania z informacjami wrażliwymi, stosując się do zasady ”ścisłej potrzeby”, w szczególności do niepozostawiania informacji wrażliwych bez nadzoru w tym na swoim stanowisku pracy;
b) Poza godzinami pracy, wszystkie nośniki zawierające informacje wrażliwe muszą być umieszczone w zamykanych szafkach.
2. Prof-us przyjmuje politykę „czystego ekranu”:
a) Wszystkie stacje robocze oraz urządzenia przenośne, w szczególności notebooki mieć ustawiony wygaszacz ekranu chroniony hasłem włączający się automatycznie po określonym czasie bezczynności użytkownika. Ponadto, przed pozostawieniem stacji roboczej oraz urządzenia przenośnego bez opieki, użytkownicy powinni zablokować urządzenie poprzez włączenie wygaszacza ekranu lub wylogowania się z systemu;
3. Po zakończeniu pracy wszystkie stacje robocze użytkowników oraz urządzenia przenośne muszą być wyłączone lub mieć ustawiony wygaszacz ekranu chroniony hasłem.
4. Stacje robocze oraz urządzenia przenośne, w szczególności notebooki, muszą być chronione w trakcie pracy w siedzibie Spółki za pomocą linki zabezpieczającej przed kradzieżą, lub innych mechanizmów uniemożliwiających ich kradzież z miejsca pracy przez osoby postronne.
§ 25
Upoważnienia do przetwarzania danych osobowych
1. Administrator Danych Osobowych Prof-us zobowiązany jest do wydawania, ewidencjonowania i przechowywania imiennych upoważnień do przetwarzania danych osobowych oraz cofniętych upoważnień. Upoważnienie może zostać wydane na czas określony lub do odwołania. Wydanie cofnięcia upoważnienia jest konieczne wyłącznie w przypadku uprzedniego wydania upoważnienia na czas do odwołania. Wzór formularza upoważnienia stanowi Załącznik Nr 5 do niniejszego dokumentu, stanowiący jego integralną część.
2. Administrator Danych Osobowych Spółki zobowiązany jest do zbierania, ewidencjonowania i przechowywania:
a) oświadczeń osób przetwarzających dane osobowe o zachowaniu w tajemnicy danych, z którymi mają styczność oraz stosowanych przy przetwarzaniu danych osobowych środkach bezpieczeństwa. Wzór formularza oświadczenia stanowi Załącznik Nr 5 do niniejszego dokumentu, stanowiący jego integralną część,
3. Brak ważnego upoważnienia, o którym mowa w punkcie 1, oraz brak podpisanego oświadczenia o którym mowa w punkcie 2, uniemożliwia powierzenie pracownikowi wykonywania zadań i obowiązków związanych z przetwarzaniem danych osobowych
§ 26
Nadzór i kontrola przetwarzania danych osobowych w Prof -us
1. Całkowity nadzór i kontrolę przetwarzania danych osobowych w Prof-us realizuje (IOD jeżeli został powołany) lub osoba upoważniona przez Administratora Danych Osobowych. Jest on również osobą odpowiedzialną za obszar przetwarzania danych osobowych w Spółce.
2. Osoba upoważniona przez Administratora Danych Osobowych ma obowiązek ściśle współpracować z Administratorem Systemu Informatycznego w zakresie przetwarzania danych osobowych w systemach informatycznych.
3. Osoba upoważniona przez Administratora Danych Osobowych ma obowiązek zapewnić zapoznanie się osób zatrudnionych przy przetwarzaniu danych osobowych z przepisami dotyczącymi ochrony danych osobowych oraz przeszkolić je w tym zakresie.
§ 27
Uprawnienia osoby nadzorującej i kontrolującej przetwarzanie danych osobowych
W celu realizacji powierzonych zadań Osoba upoważniona przez Administratora Danych Osobowych
w Prof-us ma prawo:
1) Kontrolować komórki organizacyjne w zakresie właściwego zabezpieczenia systemów informatycznych oraz pomieszczeń, w których przetwarzane są dane osobowe;
2) Wydawać polecenia kierownikom komórek organizacyjnych w zakresie bezpieczeństwa danych osobowych;
3) Informować Administratora Danych Osobowych Spółki o przypadkach naruszenia bezpieczeństwa danych osobowych;
4) Żądać od wszystkich pracowników wyjaśnień w sytuacjach naruszenia bezpieczeństwa danych osobowych.
ROZDZIAŁ VIII
Zasady udostępniania danych osobowych
§ 28
Udostępnienia danych osobowych upoważnionym osobom lub podmiotom
Administrator Danych Osobowych udostępnia dane osobowe przetwarzane we własnych zbiorach tylko osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.
§ 29
Zasady udostępniania danych osobowych
1. Udostępnianie danych jest jedną z form ich przetwarzania.
2. Zbiory danych udostępnia się na umotywowany wniosek, chyba że odrębne przepisy prawa stanowią inaczej.
3. Wniosek powinien zawierać informacje, umożliwiające wyszukanie żądanych danych osobowych w zbiorze oraz wskazywać ich zakres i przeznaczenie.
4. Wniosek jest rozpatrywany przez osobę upoważnioną przez Administratora Danych Osobowych, który jednocześnie prowadzi ewidencję wniosków.
5. Udostępnianie danych osobowych odbiorcom danych może nastąpić, podobnie jak przetwarzanie danych, w przypadku spełnienia przesłanek określonych w Rozporządzeniu:
b) Osoba, której dane dotyczą, wyrazi na to zgodę;
c) Jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego
z przepisów prawa;
d) Jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
e) Jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
f) Jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
6. Decyzję w sprawie udostępnienia danych podejmuje wyłącznie osoba upoważniona przez Administrator Danych Osobowych.
§ 30
Odmowa udostępnienia danych osobowych
Administrator Danych Osobowych może odmówić udostępnienia danych osobowych, jeżeli:
1. Spowodowałoby to istotne naruszenia dóbr osobistych osób, których dane dotyczą lub innych osób.
2. Dane osobowe nie mają istotnego związku ze wskazanymi we wniosku motywami działania Wnioskodawcy.
§ 31
Podmiot Przetwarzający
1. Administrator Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi przetwarzającemu wyłącznie w drodze umowy zawartej w formie pisemnej.
2. Umowa zawierana z podmiotem przetwarzającym określa przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą oraz obowiązki i prawa Administratora Danych Osobowych.
3. Podmiot, o którym mowa w ust. 1, jest zobowiązany w szczególności do:
a) do zastosowania środków organizacyjnych i technicznych, zabezpieczających zbiór przed dostępem osób nieupoważnionych na zasadach określonych w Rozporządzeniu;
b) Opracowania dokumentacji dotyczącej przetwarzania danych osobowych;
c) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo, w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje Administratora Ochrony Danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny
d) Niezwłocznego powiadomienia ADO o przypadkach naruszenia przetwarzania danych osobowych oraz do dokumentowania wszelkich informacji, które mogą pomóc w ustaleniu okoliczności naruszenia.
e) Zapewnienia, aby każda osoba stanowiąca personel podmiotu zewnętrznego przetwarzająca powierzone dane osobowe posiadała upoważnienie do przetwarzania danych osobowych;
f) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy
g) współpracy z Administratorem Ochrony Danych poprzez odpowiednie środki techniczne
i organizacyjne w celu uczynieniu zadość obowiązkowi odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych Rozporządzeniu (prawo do usunięcia, aktualizacji, przeniesienia danych etc.);
h) Zniszczenia lub zwrotu przekazanych danych oraz usunięcia wszelkich istniejących kopi
i stosowanie do zapisów umowy powierzenia danych.
4. Podmiot, o którym mowa w ust. 1, jest zobowiązany przetwarzać dane osobowe wyłącznie w zakresie, w jakim reguluje to zawarta umowa.
5. W przypadkach opisanych w ust. 1 – 3, odpowiedzialność za ochronę przetwarzanych danych osobowych spoczywa na Administratorze Danych Osobowych, co nie wyłącza w żadnym przypadku odpowiedzialności podmiotu, z którym zawarto umowę, z tytułu przetwarzania danych niezgodnie
z Rozporządzeniem.
6. Podmiot przetwarzający nie jest uprawniony do korzystania z z usług innego podmiotu przetwarzającego bez uprzedniej pisemnej zgody Administratora Ochrony Danych.
7. Przy kontroli zgodności przetwarzanych danych oraz spełnienia obowiązków spoczywających na podmiocie przetwarzającym przez upoważniony przez Administratora Danych Osobowych podmiot przetwarzający, o którym mowa w ust. 1, stosuje się odpowiednio przepisy Rozporządzenia.
ROZDZIAŁ IX
Postanowienia końcowe
§ 32
Ogólne
1. W sprawach nieuregulowanych niniejszą polityką bezpieczeństwa mają zastosowanie przepisy RODO, ustawa o ochronie danych osobowych.
2. Niniejsza Polityka z dniem 25.05.2018r. zastępuje wcześniejsze polityki bezpieczeństwa stosowane przez Prof-us.
