POLITYKA
OCHRONY DANYCH OSOBOWYCH
W
SPÓŁCE KANCELARIA SUKCESYJNA SP. Z O.O
- Administrator lub Kancelaria – oznacza podmiot działający pod firmą Kancelaria Sukcesyjna sp. z o.o, z siedzibą we Wrocławiu (50-062), przy pl. Solnym 14 lok. 3, wpisana do Rejestru Przedsiębiorców prowadzonego przez Sąd Rejonowy dla Wrocławia-Fabrycznej VI Wydział Gospodarczy KRS pod numerem 0000800832, NIP 8971870096, który przyjmuje niniejszą Politykę Ochrony Danych.
- dane – oznaczają dane osobowe, o ile co innego nie wynika wyraźnie z kontekstu.
- dane karne – oznaczają dane wymienione w art. 10 RODO, tj. dane dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa.
- dane niezidentyfikowane – oznaczają dane osób, których Administrator nie musi zidentyfikować, aby osiągnąć cele przetwarzania tych danych (np. nagrania monitoringu wizyjnego lub informacje, co do których Administrator nie wie, gdzie konkretnie znajdują się w nich dane osobowe, ale jest taka możliwość lub nawet pewność – np. zawartość serwera email).
- dane szczególnych kategorii – oznaczają dane, o których mowa w art. 9 ust. 1 RODO, tj. dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
- Transfer Danych – oznacza przekazanie danych do państwa trzeciego (czyli poza Unię Europejską, Norwegię, Lichtenstein, Islandię) (dalej EOG) lub do organizacji międzynarodowych.
- GDPSystem – oznacza aplikację komputerową udostępnianą przez GDPS w modelu SaaS wspierającą Administratora w spełnianiu wymagań RODO, w tym umożliwiającą prowadzenie rejestru czynności przetwarzania oraz zapewniającą dostęp do dokumentacji stosowania RODO.
- GDPS – oznacza spółkę działającą pod firmą Good Data Protection Standard Sp. z o.o. z siedzibą w Warszawie, udostępniającą GDPSystem oraz świadczącą usługi związane z ochroną danych.
- IOD lub Inspektor – w niniejszej Polityce IOD lub Inspektor oznacza inspektora ochrony danych, o którym mowa w art. 37 RODO, jeżeli został powołany, lub inną osobę wyznaczoną przez Administratora do zapewnienia zgodności z ochroną danych w pozostałych przypadkach. W przypadku niepowołania IOD, obowiązki przypisane IOD w Polityce wykonuje Administrator.
- Komórka Organizacyjna – oznacza wyodrębnioną u Administratora komórkę organizacyjną tj. praktykę, zespół, departament, dział, biuro, inną komórkę, lub wskazaną przez Administratora osobę, której powierzono wykonywanie określonego rodzaju obowiązków.
- Kontrola Zewnętrzna – oznacza kontrolę prowadzoną przez podmiot zewnętrzny, w szczególności przez Organ Nadzorczy.
- Organ Nadzorczy – oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie w celu monitorowania stosowania RODO, zgodnie z art. 51 RODO, w tym Prezesa Urzędu Ochrony Danych Osobowych.
- osoba – oznacza osobę, której dane dotyczą, o ile co innego nie wynika wyraźnie z kontekstu.
- Personel – oznacza osoby, z którymi Administrator nawiązał stosunek pracy lub osoby pozostające w relacji z Administratorem na podstawie umowy cywilnoprawnej lub na podstawie samozatrudnienia, oraz inne osoby, które z upoważnienia Administratora mogą przetwarzać dane.
- Podmiot Przetwarzający lub Przetwarzający – oznacza podmiot, organizację lub osobę, której Administrator powierzył przetwarzanie danych (np. usługodawca IT, zewnętrzna księgowość).
- Prawa Jednostki – oznaczają przysługujące osobie prawa określone w art. 12 – 22 RODO, w szczególności prawo do informacji o przetwarzaniu danych, prawo dostępu do danych i do kopii danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do bycia poinformowanym o sprostowaniu, usunięciu, lub ograniczeniu przetwarzania danych, prawo do przenoszenia danych, prawo do sprzeciwu względem przetwarzania danych, prawo do odwołania od automatycznej decyzji wywołującej skutki prawne lub podobne.
- Polityka – oznacza niniejszą Politykę Ochrony Danych Osobowych, o ile co innego nie wynika wyraźnie z kontekstu.
- Profilowanie – oznacza, zgodnie z art. 4 pkt 4 RODO, dowolną formę zautomatyzowanego przetwarzania danych, które polega na wykorzystaniu danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
- RCPD lub Rejestr – oznacza prowadzony w GDPSystem rejestr czynności przetwarzania danych, o którym mowa w art. 30 RODO.
- Rejestr Kategorii Przetwarzań – oznacza prowadzony w GDPSystem rejestr kategorii czynności przetwarzania danych, o którym mowa w art. 30 RODO.
- Rejestr Upoważnień – oznacza prowadzony w GDPSystem rejestr osób upoważnionych do przetwarzania Danych.
- Rejestr Naruszeń – oznacza prowadzony w GDPSystem rejestr naruszeń ochrony danych i podejrzeń naruszeń.
- Rejestr Przetwarzających (Podwykonawców) – oznacza prowadzony w GPDSystem rejestr Podmiotów Przetwarzających, którym Administrator powierzył przetwarzanie danych.
- RODO – oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
- Przedmiot Polityki
- Niniejsza Polityka stanowi politykę ochrony danych w rozumieniu Art. 24 ust. 2 RODO. Celem Polityki jest określenie wymogów oraz zasad ochrony danych obwiązujących u Administratora. Polityka ma objąć całość obowiązków Kancelarii związanych z ochroną danych osobowych, kwestie bezpieczeństwa danych regulowane są przede wszystkim w Załączniku nr 7 – „Techniczne i organizacyjne środki bezpieczeństwa”.
- Polityka składa się z opisu zasad ochrony danych stosowanych u Administratora oraz z załączonych do niej dokumentów będących integralną częścią Polityki, które uszczegóławiają realizację obowiązujących zasad oraz wskazują sposób wykonywania obowiązków wynikających z RODO, które ciążą na Administratorze. Załączniki do Polityki to:
Załącznik nr 1 – „Procedura obsługi praw jednostki”
Załącznik nr 2 – „Procedura dostępu do danych”
Załącznik nr 3 – „Procedura zgłaszania naruszeń”
Załącznik nr 4 – „Karta Oceny Podmiotu Przetwarzającego”
Załącznik nr 5 – „Metodyka analizy ryzyka”
Załącznik nr 6 – „Metodyka oceny skutków dla ochrony danych”
Załącznik nr 7 – „Techniczne i organizacyjne środki bezpieczeństwa”
Załącznik nr 8 – Wzorce:
- Umowa powierzenia przetwarzania danych
- Umowa o współadministrowaniu
- Klauzule informacyjnych oraz zgody
- Klauzula o współadministrowaniu
- Klauzula zgody na Transfer Danych
- Informacja dla organu nadzorczego o przekazaniu danych do państwa trzeciego
- Polityka została opracowana w oparciu o cztery główne filary ochrony Danych, tj.: legalność, realizację praw jednostki, zapewnienie bezpieczeństwa oraz zasadę rozliczalności. Polityka będzie realizowana z zachowaniem wskazanych w niej zasad.
- Polityka obowiązuje wszystkich członków Personelu Administratora, którzy mają dostęp do danych. Administrator jest odpowiedzialny za stosowanie Polityki.
- Filary ochrony danych
- Legalność. Administrator dba o ochronę prywatności i przetwarza dane zgodnie z prawem.
- Bezpieczeństwo. Administrator zapewnia poziom bezpieczeństwa danych odpowiedni do ryzyka przetwarzania danych, w tym celu szacując ryzyko przetwarzania i podejmuje stale działania w zakresie bezpieczeństwa danych.
- Prawa jednostki. Administrator umożliwia osobom wykonywanie swoich praw i prawa te realizuje, z uwzględnieniem specyfiki działalności prawniczej i tajemnicy zawodowej.
- Rozliczalność. Administrator dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej chwili móc wykazać zgodność swojego postępowania z zasadami ochrony danych.
LEGALNOŚĆ
- Zasady ochrony danych
- Administrator przetwarza dane z poszanowaniem następujących zasad:
- w oparciu o podstawę prawną i zgodnie z prawem (legalizm),
- rzetelnie i uczciwie (rzetelność),
- w sposób przejrzysty dla osoby (transparentność),
- w konkretnych celach i nie „na zapas” (minimalizacja),
- nie więcej niż potrzeba (adekwatność),
- z dbałością o prawidłowość danych (prawidłowość),
- nie dłużej niż potrzeba (czasowość),
- zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo).
- Administrator przetwarza dane z poszanowaniem następujących zasad:
- Zgodność z prawem (Legalność)
- Administrator prowadzi Rejestr jako narzędzie rozliczania zgodności z ochroną danych osobowych.
- Administrator ewidencjonuje w Rejestrze czynności przetwarzania danych, a dla poszczególnych czynności przetwarzania podstawy prawne przetwarzania, cel przetwarzania, założone okresy retencji, jak i inne prawem wymagane elementy.
- Wskazując ogólną podstawę prawną (zgoda, umowa, obowiązek prawny, żywotne interesy, zadanie publiczne, władza publiczna, prawnie uzasadniony cel Administratora). Administrator dookreśla podstawę w czytelny sposób, gdy jest to potrzebne (w szczególności w miarę możliwości wskaże przepis prawa, gdy podstawą jest prawo, oraz konkretny interes, gdy powołuje się na prawnie uzasadniony interes administratora lub osoby trzeciej).
- Kierownik Komórki Organizacyjnej Administratora (np. partner odpowiedzialny za daną praktykę, szef sekretariatu) ma obowiązek znać podstawy prawne, na jakich komórka przez niego kierowana dokonuje konkretnych czynności przetwarzania danych. Jeżeli podstawą jest prawo lub uzasadniony interes, kierownik komórki ma obowiązek znać konkretny przepis prawa lub realizowany przetwarzaniem interes.
- Administrator zarządza zgodami zapewniając rejestrację i weryfikację posiadania zgody osoby na przetwarzanie konkretnych kategorii jej danych w konkretnym celu, zgody na komunikację na odległość (email, telefon, sms, inne), odmowy zgody, cofnięcia zgody i podobnych czynności (sprzeciw, żądanie ograniczenia).
- Cel przetwarzania i retencja danych
- Cel przetwarzania. Administrator rejestruje cele przetwarzania danych w Rejestrze.
- Zmiana celu przetwarzania. Przed wykorzystaniem danych do celu innego niż ten, dla którego dane zostały pierwotnie zebrane, jeżeli ten nowy cel nie mieści się w celu pierwotnym (np. windykacja należności własnych mieści się w wykonaniu umowy, natomiast marketing lub propozycja zatrudnienia już nie), Administrator:
- ocenia zgodność z prawem zmiany celu przetwarzania, potrzebne środki ochrony danych i stosowną minimalizację dostępu,
- uprzedza osobę o nowym celu przetwarzania oraz o jej prawach.
- Administrator przetwarza dane w formie umożliwiającej identyfikację osoby przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane. Administrator przy określeniu czasu, przez który może przetwarzać dane, bada wszystkie cele, na podstawie których przetwarza konkretne kategorie danych konkretnych kategorii osób.
- Planowane okresy retencji danych dla poszczególnych czynności przetwarzania w związku z celami, które realizują te czynności, zostały wskazane w Rejestrze.
- Okresy retencji określone w Rejestrze podlegają okresowym przeglądom i aktualizacjom, z uwzględnieniem: (i) zmiany okresów retencji przetwarzania, (ii) zmiany przepisów prawa określających okresy przetwarzania, (iii) zmiany celu przetwarzania.
- Warunki wyrażania zgody
- Przechowywanie zgód. Administrator przechowuje zgody, gdy podstawą przetwarzania danych lub komunikacji z osobą jest zgoda osoby, aby być w stanie wykazać, że pozyskał konkretną zgodę.
- Przejrzystość. Administrator dba o to, aby zapytania o zgodę były przedstawiane w sposób pozwalający je wyraźnie odróżnić od pozostałych treści komunikatu do osoby, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
- Łatwość wycofania. Administrator zapewnia możliwość wycofania zgody na przetwarzanie danych w dowolnym momencie w równie łatwy sposób, jak ten, w którym ma odbyć się udzielenie zgody. Administrator informuje osobę o możliwości wycofania zgody przed uzyskaniem zgody.
- Dobrowolność. Administrator zapewnia, aby zgody na przetwarzanie danych były udzielone dobrowolnie. Oznacza to między innymi, że Administrator nie uzależnia wykonania umowy zawieranej z osobą od udzielenia przez nią zgody na przetwarzanie danych, jeśli przetwarzanie danych nie jest niezbędne do wykonania tej umowy, ani nie „paczkuje” zgód ze sobą (niepotrzebnie łączy).
- Przetwarzanie danych szczególnych kategorii i danych karnych
- Administrator przetwarza dane szczególnych kategorii tylko gdy:
- wyraźna zgoda. osoba, wyraziła wyraźną zgodę na przetwarzanie tych danych
- prawo pracy i ubezpieczenia społeczne. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez Administratora lub osobę w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, na podstawie przepisu prawa lub porozumienia zbiorowego
- dane upublicznione. przetwarzanie dotyczy danych w sposób oczywisty upublicznionych przez osobę
- przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń
- przepis prawa. na podstawie prawa państwa członkowskiego lub UE
- medycyna pracy i leczenie. gdy przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, diagnozy, leczenia etc
- w innych przypadkach wymienionych w art. 9 ust. 2 RODO, np. ochrona żywotnych interesów, działalność fundacji, stowarzyszeń i innych podmiotów niezarobkowych, zdrowie publiczne.
- Przetwarzanie danych karnych jest dopuszczalne jedynie na podstawie konkretnego przepisu prawa lub zezwolenia lub innej decyzji uprawnionego organu oraz pod warunkiem istnienia jednej z podstaw prawnych przetwarzania, o której mowa w art. 6 RODO.
- W ramach wykonywania praktyki zawodowej, Administrator może przetwarzać dane szczególnych kategorii i dane karne. Jeżeli Administrator ustali, że zwykle w ramach swojej działalności przetwarza dane szczególnych kategorii lub dane karne w innych sytuacjach niż wykonywanie zawodu (np. przy usprawiedliwianiu nieobecności w pracy, przy udzielaniu świadczeń z Zakładowego Funduszu Świadczeń Socjalnych):
- Administrator zweryfikuje, czy zachodzą przesłanki dopuszczalności przetwarzania takich danych, o których mowa powyżej.
- W razie braku podstawy przetwarzania Administrator zaprzestaje przetwarzania pozbawionego podstawy i postanawia o usunięciu danych, ewentualnie uzupełnia brakującą podstawę prawną (np. uzyskuje stosowne zgody), a w razie wątpliwości zasięga opinii IOD.
- W celu uniknięcia niezgodnego z prawem przetwarzania danych szczególnych kategorii Administrator zwraca Personelowi szczególną uwagę na postanowienia Polityki dotyczące danych szczególnych kategorii, a jeżeli uzna to za potrzebne, określa dodatkowe instrukcje dla Personelu, a co najmniej na przykład Administrator wskazuje, że przy ocenie zasadności udzielenia urlopu w związku ze złym stanem zdrowia członka rodziny nie należy żądać informacji, kogo dotyka zły stan zdrowia ani przede wszystkim, na czym konkretnie polega, bez wyraźnej zgody osoby, na której stan zdrowia powołuje się członek personelu. W razie mimowolnego uzyskania takich informacji, nie należy ich dalej przetwarzać. Nawet w przypadku, gdy dane szczególnych kategorii zostały podane przez osobę z własnej woli, Administrator prosi o wyrażenie przez nią wyraźnej zgody na przetwarzanie tych danych, jeżeli zamierza takie dane wykorzystać.
- Administrator identyfikuje sytuacje, w których może dojść do przypadkowego przetwarzania danych szczególnych kategorii lub danych karnych i podejmuje działania zapobiegające niezgodnemu z prawem przetwarzaniu. W szczególności Administrator odbiera pisemne oświadczenia i zobowiązania Personelu odpowiedzialnego za odbieranie korespondencji przychodzącej co do (i) zachowania w poufności i nieprzekazywania informacji o korespondencji zawierającej Dane Szczególnych Kategorii i Danych Karnych nikomu oprócz jej adresata, (ii) o środkach zabezpieczających, jakie należy podjąć dla ochrony takiej korespondencji, (iii) o odpowiedzialności dyscyplinarnej i karnej za nieautoryzowane rozpowszechnianie lub wykorzystanie danych szczególnych kategorii lub danych karnych.
- Administrator wyznacza Inspektora Ochrony Danych, o którym mowa w art. 37 RODO, jeżeli przetwarza na dużą skalę dane szczególnych kategorii lub dane karne.
- Jeżeli Administrator przetwarza dane szczególnych kategorii na dużą skalę, planując zmianę sposobu takiego przetwarzania, Administrator przeprowadza ocenę skutków dla ochrony danych (DPIA), o której mowa w art. 35 RODO.
- Administrator przetwarza dane szczególnych kategorii tylko gdy:
- Dane niezidentyfikowane
- Administrator weryfikuje przypadki, w których dochodzi do przetwarzania lub może dochodzić do przetwarzania danych niezidentyfikowanych, a w szczególności: monitoringu wizyjnego, poczty e-mail oraz innych obszarów wymiany i przechowywania nieustrukturyzowanych treści, gdzie struktura przechowywania nie jest narzucona – tzn. nie są one skatalogowane według danych osobowych lub w sposób umożliwiający wyszukiwanie konkretnych osób (np. nazwisk klientów, numerów spraw klientów).
- Administrator ustala, w jakich przypadkach ma możliwość informowania osoby o tym, że przetwarza jej dane nie znając jej tożsamości, i stosownie wykonuje obowiązek informacyjny, jeżeli to możliwe (np. poprzez tabliczki informacyjne w strefie monitoringu wizyjnego lub obok systemów wideokonferencyjnych).
- Przetwarzając dane niezidentyfikowane Administrator stosuje obowiązki w zakresie (i) bezpieczeństwa, (ii) minimalizacji dostępu (iii) minimalizacji czasu przetwarzania.
- Dane „niezamówione”
- Jeżeli do Administratora (w tym do członków Personelu) dotrą dane osobowe, do których przetwarzania Administrator nie jest uprawniony (np. przesłane przypadkowo lub nadmiarowo lub bez związku z działalnością Administratora), Administrator powstrzymuje się od ich przetwarzania i w miarę możliwości usuwa je ze swoich systemów. Zgodnie z Art. 11 ust. 1 RODO, o którym mowa w poprzednim punkcie, Administrator nie ma jednak obowiązku podejmować innych działań względem tych danych, z wyjątkiem w miarę możliwości poinformowania osób, których dotyczą „dane niezamówione” o ich otrzymaniu, chyba że udzielenie takich informacji okazuje się niemożliwe lub wymagałoby wysiłku niewspółmiernie dużego do sytuacji.
- Obowiązki Administratora
- Administrator jest odpowiedzialny za przestrzeganie RODO i musi być w stanie wykazać zgodność z RODO. Uwzględniają charakter, zakres, kontekst, cele dokonywanego przetwarzania oraz ryzyko naruszenia praw lub wolności osób Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie było zgodne z RODO i aby móc to wykazać.
- Administrator poddaje stosowane środki techniczne i organizacyjne przeglądowi nie rzadziej niż raz na rok. Administrator może w tym celu korzystać z zaleceń i narzędzi udostępnianych w GDPSystem.
- W miarę możliwości Administrator stosuje mechanizmy certyfikacji, o których mowa w art. 42 RODO, lub zatwierdzony kodeks postępowania, o którym mowa w art. 40 RODO, jako narzędzia wykazania wypełniania obowiązków dotyczących przetwarzania danych.
- Współadministrowanie
- Współadministrowanie zachodzi w sytuacji, gdy co najmniej dwóch Administratorów wspólnie ustala cele i sposoby przetwarzania.
- Administrator weryfikuje przypadki, w których dochodzi do współadministrowania danymi. W przypadku współadministrowania danymi, w szczególności w przypadku współpracy w trybie konsorcjum (gdy składa ofertę wspólnie z innym podmiotem), Administrator wraz z pozostałymi współadministratorami zawierają stosowną umowę o współadministrowanie oraz opracowują treść niezbędnych informacji dla osób – wzór klauzuli o współadministrowaniu zawarta jest w załączniku nr 8 do niniejszej Polityki. Umowa o współadministrowanie powinna być zawarta w formie dokumentowej i określać podział obowiązków w zakresie (i) odpowiedzialności za poinformowanie o zbieraniu danych (ii) obsługi Praw Jednostki, (iii) poziomu bezpieczeństwa.
- Rejestr czynności przetwarzania danych
- Rejestr stanowi formę dokumentowania czynności przetwarzania danych, pełni rolę mapy przetwarzania danych i jest jednym z kluczowych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych, czyli zasady rozliczalności.
- Administrator prowadzi Rejestr, w którym inwentaryzuje i monitoruje sposoby, w jaki wykorzystuje dane.
- W Rejestrze, dla każdej czynności przetwarzania danych, Administrator odnotowuje co najmniej: (i) nazwę czynności, (ii) cel przetwarzania, (iii) opis kategorii osób, (iv) opis kategorii danych, (v) podstawę prawną przetwarzania, (vi) sposób zbierania danych, (vii) opis kategorii odbiorców danych (w tym Przetwarzających), (viii) informację o przekazaniu poza EOG wraz z informacją o odpowiednich zabezpieczeniach, (ix) ogólny opis technicznych i organizacyjnych środków ochrony danych.
- Administrator uznaje, że czynności przetwarzania to: (i) operacje wykonywane na danych, które łączy (ii) realizacja tego samego celu przetwarzania. Administrator wyodrębnia czynności w odniesieniu do wspólnych, związanych z tymi czynnościami określonych celów przetwarzania danych.
- Rejestr prowadzony jest w formie elektronicznej w tym może być prowadzony w GDPSystem.
- W przypadku powołania IOD, Rejestr prowadzony jest przez IOD, który jest zobowiązany do aktualizowania Rejestru. IOD dokonuje wpisu czynności do Rejestru na wniosek Kierownika Komórki Organizacyjnej. Po przeprowadzeniu weryfikacji wniosku, IOD wpisuje nową czynność do Rejestru lub odmawia dokonania wpisu, uzasadniając to niezgodnością z przepisami prawa lub zbyt szerokim zakresem kategorii danych. Uzasadnienie sporządzone przez IOD powinno zawierać rekomendację co do oczekiwanych poprawek.
- Ochrona danych a tajemnica zawodowa – postanowienia ogólne
- Administrator wykonując poszczególne zlecenia weryfikuje, czy występuje w roli administratora danych osobowych czy podmiotu przetwarzającego i odpowiednio wykonuje swoje obowiązki.
- Administrator danych osobowych wykonuje obowiązki informacyjne i realizuje prawa jednostki w zakresie, w jakim nie jest to sprzeczne z obowiązkiem zachowania tajemnicy zawodowej lub regulowane przez przepisy szczególne takie jak kpc, kpk, kpa, kkw etc. W szczególności świadcząc pomoc prawną:
- pozyskując dane bezpośrednio od osoby (klienta) Administrator godzi tajemnicę zawodową z obowiązkiem poinformowania o celu przetwarzania danych stosownie do sytuacji (np. informuje osobę bez wskazywania szczegółów zlecenia, chyba że skutkowałoby to pozyskaniem informacji w sposób nieetyczny lub niezgodny z prawem – wtedy uzyskuje zgodę klienta na ujawnienie niezbędnych szczegółów),
- pozyskując dane z innych źródeł niż od osoby, której dane dotyczą, Administrator z zasady nie informuje tej osoby o przetwarzaniu danych, jeżeli to przetwarzanie jest objęte tajemnicą zawodową (art. 14.5.d RODO),
- prawo dostępu do danych i do kopii danych (art. 15 RODO), prawo sprostowania danych (art. 16 RODO), prawo do usunięcia danych (art. 17 RODO), prawo do ograniczenia przetwarzania (art. 18 RODO) Administrator wykonuje tylko w zakresie danych pozyskanych bezpośrednio od osoby, chyba że wykonanie danego prawa nie grozi naruszeniem tajemnicy zawodowej,
- Administrator nie informuje osoby o odbiorcach danych (art. 19 zd. 2 RODO), jeżeli te informacje są objęte tajemnicą zawodową,
- w zakresie, w jakim odpowiedź na sprzeciw względem przetwarzania danych naruszałaby tajemnicę zawodową, Administrator pozostawia sprzeciw bez rozpoznania i informuje o tym wnioskodawcę.
- Tajemnica zawodowa. Jeżeli wykonanie żądania osoby mogłoby skutkować naruszeniem tajemnicy zawodowej, Administrator odmawia wykonania żądania lub wykonuje je jedynie w zakresie niekolidującym z tajemnicą zawodową. W takiej sytuacji Administrator informuje osobę o tym, że (i) jako podmiot zobowiązany do zachowania tajemnicy radcowskiej lub adwokackiej nie może wykonać żądania lub że (ii) jeżeli Administrator przetwarza dane osobowe wnioskodawcy objęte tajemnicą zawodową zastrzeżoną na rzecz innego klienta Administratora, takie dane zostały pominięte w odpowiedzi na żądanie wnioskodawcy, oraz (iii) informuje o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.
PRAWA JEDNOSTKI
- Przejrzystość oraz tryb korzystania z praw
- Czytelność. Administrator dokłada starań, aby przekazywane informacje oraz sposób (styl) komunikacji z osobami, których dane dotyczą były czytelne i zrozumiałe dla odbiorców.
- Ułatwianie. Administrator ułatwia osobom, których dane dotyczą, wykonywanie przysługujących im praw związanych z przetwarzaniem ich danych poprzez działania takie jak np. zamieszczanie na stronie internetowej Administratora odpowiednich informacji lub odwołań (linków) do informacji o sposobie korzystania z przysługujących im praw, w tym o wymaganiach dotyczących identyfikacji, sposobach kontaktu.
- Terminowość. Prawa jednostki wykonywane są przez Administratora w terminie jednego miesiąca. Wykonanie żądań wymagających większego wysiłku organizacyjnego może zostać przedłużone o dwa miesiące, za powiadomieniem osoby.
- Weryfikacja tożsamości. Administrator weryfikuje tożsamość osób, chcących zrealizować swoje prawa związane z przetwarzaniem Danych za pomocą dokumentów tożsamości lub innych dowodów wykazujących tożsamość osoby, takich jak uwierzytelniony email, uwierzytelniony adres pocztowy, hasło, dostęp do uwierzytelnionego numeru telefonu. Administrator nie polega wyłącznie na uwierzytelnieniu ustnym (podanie informacji – wiedzy o osobie).
- Prawa innych. Realizując Prawa Jednostki, Administrator chroni prawa i wolności osób innych niż osoba, której dane dotyczą w ten sposób, że w przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób, na przykład na prawa klienta Kancelarii lub na prawa samej Kancelarii (np. prawa związane z ochroną danych innych osób, prawa własności intelektualnej, tajemnicę handlową, dobra osobiste etc.), Administrator może zwrócić się do wnioskodawcy w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową wykonania żądania.
- Kancelaria dokumentuje obsługę Praw Jednostki postępując zgodnie z Załącznikiem nr 1 do niniejszej Polityki – Procedura Obsługi Praw Jednostki.
- Obowiązek informacyjny
- Administrator wykonuje obowiązki informacyjne określone w art. 13 i art. 14 RODO w sposób zgodny z prawem oraz efektywny, stosując aktualne wzory klauzul stanowiące załącznik nr 8 do niniejszej Polityki lub inne zapewniające nie mniejszą ilość informacji. Aktualne wzory klauzul udostępniane są także w GDPSystem.
- Administrator informuje osoby:
- o przetwarzaniu danych, przy pozyskiwaniu danych od osoby, w zakresie zgodnym z art. 13 RODO. Kancelaria godzi tajemnicę zawodową z obowiązkiem poinformowania o celu przetwarzania danych stosownie do sytuacji (np. informuje osobę bez wskazywania szczegółów zlecenia, chyba że skutkowałoby to pozyskaniem informacji w sposób niezgodny z prawem, lub uzyskuje zgodę klienta na ujawnienie niezbędnych szczegółów),
- o przetwarzaniu danych, przy pozyskiwaniu danych niebezpośrednio od osoby, w zakresie zgodnym z art. 14 RODO, chyba że naruszałoby to tajemnicę zawodową – wtedy nie informuje, zgodnie z art. 14.5.d RODO,
- o planowanej zmianie celu przetwarzania danych, chyba że naruszałoby to tajemnicę zawodową,
- o przetwarzaniu danych niezidentyfikowanych, tam gdzie to jest możliwe (np. tabliczka o objęciu obszaru monitoringiem wizyjnym)
- Kancelaria bez zbędnej zwłoki zawiadamia osoby o naruszeniu ochrony danych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tych osób.
- Administrator informuje odbiorców danych o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych (chyba że będzie to wymagało niewspółmiernie dużego wysiłku lub będzie niemożliwe).
- Prawo dostępu do danych i prawo do kopii danych
- Co do danych objętych tajemnicą zawodową, Kancelaria prawo dostępu do danych i prawo do kopii danych wykonuje tylko wtedy, gdy nie grozi to naruszeniem tajemnicy zawodowej (np. w zakresie danych pozyskanych bezpośrednio od osoby tak, ale w zakresie danych pozyskanych od innej osoby występującej w sprawie już nie).
- Prawo do sprostowania danych
- Na żądanie osoby Administrator dokonuje sprostowania nieprawidłowych danych. Administrator ma prawo odmówić sprostowania danych, gdy poweźmie uzasadnione wątpliwości co do prawidłowości danych, których zamieszczenia domaga się wnioskodawca. Odmawiając Administrator umożliwi jednak wnioskodawcy wykazanie prawidłowości danych zgłaszanych w sprostowaniu. Administrator informuje wnioskodawcę o tym, komu przekazał dane, które uległy sprostowaniu, jeżeli wnioskodawca o to wystąpi.
- Na wniosek osoby Administrator uzupełnia i aktualizuje dane, weryfikując je w tym samym trybie jak przy ich pierwotnym pozyskiwaniu.
- Co do danych objętych tajemnicą zawodową, prawo do sprostowania danych Kancelaria wykonuje tylko, gdy nie grozi to naruszeniem tajemnicy zawodowej (np. w zakresie danych pozyskanych bezpośrednio od osoby).
- Prawo do usunięcia danych (“prawo do bycia zapomnianym”)
- Administrator usuwa dane na żądanie osoby, gdy podstawy ich dalszego przetwarzania lub prawo nakazuje ich usunięcie.
- Administrator realizuje prawo do usunięcia danych w taki sposób, aby zapewnić osiągnięcie celu tego prawa, w tym przede wszystkim zaprzestanie dalszego przetwarzania, jednak przy poszanowaniu wszystkich zasad ochrony danych, w tym zasady bezpieczeństwa pozostałych danych osobowych przetwarzanych przez Administratora, jak też przy poszanowaniu tajemnicy zawodowej.
- Przed uwzględnieniem wniosku o usunięcie danych Administrator weryfikuje, czy wygasły wszystkie podstawy przetwarzania danych, w tym w szczególności,
- czy usunięcie danych nie spowoduje zagrożenia bezpieczeństwa pozostałych danych osobowych przetwarzanych przez Kancelarię
- czy nie zachodzi potrzeba przechowywania danych dla celów dowodowych (roszczenia)
- czy nie zachodzą inne wyjątki, o których mowa w art. 17. ust. 3 RODO
- a także czy samo oświadczenie co do wykonania // odmowy wykonania prawa do usunięcia danych nie naruszy tajemnicy zawodowej.
- Jeżeli dane podlegające usunięciu zostały upublicznione (np. na stronie internetowej, na fanpage firmowym), Administrator podejmuje rozsądne działania, w tym środki techniczne, by poinformować innych inne podmioty przetwarzające te dane o potrzebie usunięcia danych i dostępu do nich.
- Prawo do ograniczenia przetwarzania
- Na żądanie osoby Administrator dokonuje ograniczenia przetwarzania danych, gdy:
- osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość,
- przetwarzanie jest niezgodne z prawem, a osoba sprzeciwia się usunięciu danych, żądając w zamian ograniczenia ich wykorzystywania,
- Administrator nie potrzebuje już danych, ale są one potrzebne osobie do ustalenia, dochodzenia lub obrony roszczeń,
- osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie Administrator zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.
- Jeżeli dane, co do których zgłoszono żądanie ograniczenia przetwarzania, potrzebne są Administratorowi do świadczenia pomocy prawnej, Administrator niezwłocznie dokonuje oceny prawidłowości danych lub wagi podstaw przetwarzania i podstaw sprzeciwu, tak aby nie zagrozić możliwości świadczenia pomocy prawnej.
- W trakcie ograniczenia przetwarzania Administrator przechowuje dane, natomiast nie przetwarza ich aktywnie (nie wykorzystuje, nie przekazuje), bez zgody osoby, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego.
- Przed uchyleniem ograniczenia Administrator informuje osobę, której dane dotyczą o planowanej dacie uchylenia ograniczenia.
- W zakresie w jakim wykonanie lub sama obsługa prawa ograniczenia przetwarzania skutkowałaby naruszeniem tajemnicy zawodowej, Administrator nie rozpatruje żądania osoby i informuje o tym osobę.
- Na żądanie osoby Administrator dokonuje ograniczenia przetwarzania danych, gdy:
- Prawo do przenoszenia danych
- Do Administratora prawo przenoszenia danych z art. 20 RODO nie stosuje się, ponieważ Administrator przetwarza dane klientów w sposób niezautomatyzowany.
- Prawo do sprzeciwu
- Sprzeciw szczególny. Kancelaria odmawia żądaniu sprzeciwu przetwarzania danych umotywowanego szczególną sytuacją osoby, gdy sprzeciw dotyczy danych przetwarzanych w celu świadczenia pomocy prawnej. Jak wskazano wyżej, w zakresie, w jakim odpowiedź na sprzeciw względem przetwarzania danych naruszałaby tajemnicę zawodową, Administrator pozostawia sprzeciw bez rozpoznania i informuje o tym wnioskodawcę.
- Sprzeciw marketingowy. Jeżeli osoba zgłosi sprzeciw względem przetwarzania jej danych przez Administratora na potrzeby marketingu bezpośredniego (w tym ewentualnie profilowania), Administrator uwzględni sprzeciw i zaprzestanie takiego przetwarzania.
- Prawo do odwołania od automatycznej decyzji
- Kancelaria nie przetwarza danych w sposób wyłącznie automatyczny.
BEZPIECZEŃSTWO
- Ochrona danych w fazie projektowania (Privacy by design)
- Administrator planując zmiany w sposobie przetwarzania danych (w szczególności zmiany technologiczne lub technologiczno-organizacyjne jak zmiana systemu IT lub przejście „do chmury”):
- ocenia, czy i jaki wpływ może mieć zmiana na prywatność i ochronę danych, w tym na ryzyko naruszenia praw lub wolności osób wynikające z przetwarzania,
- weryfikuje i projektuje narzędzia minimalizacji danych,
- weryfikuje i projektuje obsługę Praw Jednostki,
- weryfikuje i projektuje techniczne i organizacyjne środki ochrony danych i ochronę danych, tak aby spełnić wymogi RODO i chronić prawa osób, których dane dotyczą,
- w miarę potrzeby przeprowadza ocenę skutków dla ochrony danych (DPIA).
- Administrator planując zmiany w sposobie przetwarzania danych (w szczególności zmiany technologiczne lub technologiczno-organizacyjne jak zmiana systemu IT lub przejście „do chmury”):
- Analiza ryzyka
- W celu określenia odpowiednich środków bezpieczeństwa danych, Administrator ocenia ryzyko naruszenia praw lub wolności osób fizycznych dla czynności przetwarzania danych lub ich kategorii, a następnie przypisuje poszczególne poziomy zabezpieczeń w Rejestrze.
- W ramach analizy Administrator ustala możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa. Administrator opiera swoją metodykę oceny ryzyka o metodykę udostępnioną w GDPSystem.
- Ocena skutków dla ochrony danych (DPIA)
- Administrator dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych tam, gdzie zgodnie z analizą ryzyka, ryzyko naruszenia praw i wolności osób jest wysokie, w szczególności gdy zmiany polegają na wykorzystaniu nowych technologii (cloud computing, sztuczna inteligencja czy też algorytmy predykcyjne, agregowanie danych, internet rzeczy, rozpoznawanie twarzy etc), dotyczą przetwarzania danych szczególnych kategorii lub danych karnych lub wiążą się z wdrożeniem lub zmianą monitorowania osób na dużą skalę.
- Zasada minimalizacji / Domyślna ochrona danych
- Administrator zapewnia minimalizację przetwarzania danych pod kątem (i) adekwatności danych do celów (ilości danych i zakresu danych), (ii) ograniczenia i minimalizacji dostępu do danych, (iii) czasu przechowywania danych – minimalizacja czasu.
- Administrator wdraża i stosuje takie mechanizmy w używanych do przetwarzania danych systemach informatycznych, aby domyślnie przetwarzane były tylko dane niezbędne dla realizacji konkretnego celu przetwarzania.
- Administrator w ramach procesu utworzenia Rejestru zweryfikował zakres pozyskiwanych danych, zakres ich przetwarzania i ilość przetwarzanych danych pod kątem adekwatności do celów przetwarzania w ramach wdrożenia RODO. Administrator dokonuje okresowego przeglądu ilości przetwarzanych danych i zakresu ich przetwarzania. Przetwarza dane jedynie niezbędne do osiągnięcia celu przetwarzania.
- Rozpoczynając nową czynność przetwarzania, Administrator określa zakres danych niezbędnych do realizacji tej czynności. Do każdej czynności przetwarzania Kierownik Komórki Organizacyjnej odpowiedzialnej za czynność przetwarzania przyporządkowuje niezbędne kategorie danych.
- Administrator stosuje ograniczenia dostępu do danych: (i) organizacyjne (prawne) (zobowiązania do poufności, nadając zakresy upoważnień, stosując procedury obiegu dokumentów, zamykane koperty, zasada dwóch par oczu w szczególnie uzasadnionych przypadkach), (ii) fizyczne (np. strefy dostępu, zamykanie pomieszczeń, okna antywłamaniowe) i (iii) technologiczne (techniczne) (np. identyfikacja i autoryzacja użytkowników, ograniczenia uprawnień systemowych, predefiniowane poziomy uprawnień, oprogramowanie do zarządzania dostępem i tożsamością, szyfrowanie urządzeń przenośnych, szyfrowanie twardych dysków).
- Administrator prowadzi Rejestr Upoważnień. Administrator nadaje upoważnienia do przetwarzania danych każdemu członkowi Personelu, który przetwarzana dane, odnotowując fakt udzielenia lub cofnięcia upoważnienia w Rejestrze Upoważnień.
- Administrator stosuje ograniczenia dostępu fizycznego do pomieszczeń i urządzeń, w których przetwarzane są dane oraz dokonuje aktualizacji uprawnień dostępowych przy zmianach w składzie i zmianach ról Personelu, Przetwarzających, innych osób lub podmiotów, którym Administrator udostępnia dane osobowe. Szczegółowe zasady stosowania ograniczeń w dostępie do danych opisane są w Załączniku nr 2 do niniejszej Polityki – „Procedura dostępu do danych osobowych”.
- Administrator dokonuje kontroli cyklu życia danych, w tym weryfikacji dalszej przydatności danych względem terminów wskazanych w Rejestrze, uwzględniając ustalone w Rejestrze okresy przechowywania danych. Kancelaria opiera politykę retencji danych na rozdzieleniu zasobów o różnej retencji danych i okresowym (zasadniczo raz na rok) przeglądzie i odnowieniu zasobów w taki sposób, aby w odnowionym zasobie znalazły się tylko dane wykorzystywane bieżąco.
- Środki ochrony danych
- Administrator zapewnia stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób związanym z przetwarzaniem danych przez Administratora.
- Administrator stosuje środki bezpieczeństwa ustalone w ramach analiz ryzyka i adekwatności środków bezpieczeństwa oraz ocen skutków dla ochrony danych, przyjmując trójstopniową skalę środków bezpieczeństwa: Poziom I, Poziom II i Poziom III.
- Administrator stosuje środki bezpieczeństwa właściwe dla wskazanego w Rejestrze jednego z trzech poziomów: Poziom I, Poziom II i Poziom III. Środki bezpieczeństwa właściwe dla poszczególnych poziomów zostały opisane w Załączniku nr 7 do niniejszej Polityki – „Techniczne i organizacyjne środki Bezpieczeństwa”.
- Personel
- Administrator zapewnia, aby cały Personel był przeszkolony z ochrony danych.
- Administrator zapewnia, aby wszyscy członkowie Personelu złożyli oświadczenie o świadomości obowiązków i odpowiedzialności związanej z ochroną informacji w Kancelarii, zawierające informację o odpowiedzialności karnej za przetwarzanie danych bez upoważnienia, o obowiązkach ochrony danych i obowiązkach w związku z naruszeniem ochrony danych.
- Administrator stosuje zobowiązania kontraktowe dla Personelu wzmacniające egzekwowalność obowiązków ochrony danych, takie jak zobowiązanie do potwierdzenia zwrotu i usunięcia danych w związku z zakończeniem współpracy z Administratorem, pod rygorem kary umownej za opóźnienie w złożeniu takiego oświadczenia.
- Naruszenia ochrony danych
- Zasady postepowania w przypadku podejrzenia naruszenia ochrony danych osobowych określa instrukcja stanowiąca Załącznik nr 3 do niniejszego Polityki – „Procedura zgłaszania naruszeń danych”.
- Administrator stosuje zasady pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Organowi Nadzorczemu w terminie 72 godzin od ustalenia naruszenia, oraz w przypadku gry ryzyko naruszenia praw lub wolności osób w wyniku naruszenia jest wysokie – zasady zawiadamiania osób, których dane mogą być dotknięte naruszeniem.
- Każdy przypadek naruszenia ochrony danych i podejrzenia naruszenia ochrony danych Administrator odnotowuje w Rejestrze Naruszeń.
- Powierzenie przetwarzania oraz relacje z przetwarzającymi
- Administrator korzysta wyłącznie z Przetwarzających, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa danych, realizacji Praw Jednostki i innych obowiązków ochrony danych spoczywających na Administratorze. Administrator weryfikuje tę zdolność Przetwarzających na przykład za pomocą referencji, opisu doświadczeń, certyfikatów, opisu kompetencji, historii dotychczasowej współpracy lub innych dostępnych środków.
- Administrator stosuje zasady powierzenia przetwarzania oraz listę wymogów, jakie Podmiot Przetwarzający musi spełnić, które zostały opisane w dokumencie stanowiącym Załącznik nr 4 do niniejszej Polityki – „Karta Oceny Podmiotu Przetwarzającego”.
- Administrator stosuje wymagania co do umowy powierzenia przetwarzania danych, wykorzystując wzorzec Umowy powierzenia przetwarzania danych zawarty w załącznik nr 8 do niniejszej Polityki lub inny pokrywający wszystkie wymagania RODO. Aktualne wzór umowy powierzenia przetwarzania danych udostępniane są także w GDPSystem.
- Administrator odnotowuje w Rejestrze Przetwarzających (Podwykonawców) zawarcie umowy powierzenia z Przetwarzającym.
- Zasady powierzenia przetwarzania danych przez podmioty zewnętrzne Administratorowi
- W przypadku, gdy Administrator występuje w roli Przetwarzającego w stosunku do podmiotu zewnętrznego Zasady Powierzenie Przetwarzania stosuje się odpowiednio, a Administrator wykonuje wszelkie obowiązki przewidziane prawem i Umową powierzenia.
- Inspektor Ochrony Danych
- Kancelaria przeprowadza analizę obowiązku powołania Inspektora Ochrony Danych (IOD) lub zatwierdza analizę wykonywaną przez GDPSystem na podstawie predefiniowanych pytań wraz z kryteriami dla odpowiedzi opracowanymi na podstawie przepisów i poniższych wytycznych.
- Administrator wyznacza IOD, gdy: (i) Administrator to organ lub podmiot publiczny, lub (ii) główna działalność Administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób na dużą skalę, lub (iii) główna działalność Administratora polega na przetwarzaniu na dużą skalę szczególnych kategorii danych lub danych karnych.
- W przypadku ustalenia braku obowiązku powołania IOD Kancelaria wyznacza specjalistę ochrony danych osobowych (IOD), którego obowiązkiem jest:
- na bieżąco wykonywać obowiązki Kancelarii wskazane w Polityce lub rozliczać ich wykonanie
- wspierać zgodność Kancelarii z ochroną danych osobowych
- przechowywać dokumentację zgodności Kancelarii z ochroną danych osobowych
- prowadzić rejestry: RCPD, RKP, RU, RPNN, RP
- nadzorować i współpracować z osobą odpowiedzialną w Kancelarii za informatykę
- rekomendować aktualizacje Polityki
- corocznie dokonywać przeglądu zgodności Kancelarii z Polityką i ochroną danych z udziałem wszystkich kierowników komórek organizacyjnych Kancelarii.
- Jeśli Kancelaria ustali, że ma obowiązek powołania IOD wówczas wybiera IOD na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych, umiejętności wypełnienia zadań wynikających z przepisów RODO oraz wiedzy sektorowej.
- Administrator zapewnia, że IOD zostaje poinformowany o wszystkich kwestiach dotyczących przetwarzania danych na możliwie najwcześniejszym etapie. Administrator zapewnia IOD udział w spotkaniach przedstawicieli wyższego i niższego szczebla, o ile IOD uzna to za konieczne, oraz konsultuje z IOD decyzje dotyczące przetwarzania danych osobowych.
- W celu realizacji obowiązków Administrator udziela IOD dostępu do danych oraz operacji przetwarzania, a także zapewnia wsparcie kierownictwa Administratora.
- Administrator zapewnia IOD niezbędne zasoby konieczne do wykonania jego zadań, w szczególności pomieszczenie i zasoby biurowe, dostęp do wiedzy i szkoleń, zasoby ludzkie wewnętrzne lub zewnętrzne wsparcie eksperckie.
- Administrator jest zobowiązany zapewnić IOD niezależność przy realizacji jego obowiązków.
- Zadania inspektora ochrony danych
- Do zadań IOD należy: (i) realizacja obowiązku informacyjnego o obowiązkach spoczywających na Administratorze wynikających z RODO oraz aktów prawa krajowego (ii) monitorowanie przestrzegania przepisów o ochronie danych oraz Polityki (iii) podejmowanie działań zwiększające świadomość i szkolenia Personelu biorącego udział w operacjach przetwarzania danych (iv) współpraca z Organem Nadzorczym; (v) pełnienie funkcji punktu kontaktowego dla Organu Nadzorczego w kwestiach związanych z przetwarzaniem, w tym przeprowadzeniem uprzednich konsultacji (vi) pełnienie punktu kontaktowego i informacyjnego wewnątrz organizacji.
- Transfer danych
- Administrator rejestruje w Rejestrze przypadki Transferu danych, czyli przekazywania danych poza Europejski Obszar Gospodarczy (Unia Europejska, Islandia, Lichtenstein i Norwegia) lub do organizacji międzynarodowej.
- Korespondując z podmiotami lub osobami spoza EOG Personel Kancelarii ma obowiązek upewnić się, czy dochodzi do Transferu Danych, a jeżeli tak – zapewnić stosowną podstawę Transferu Danych, zgodnie z RODO.
- Podstawy Transferu danych
- Przed dokonaniem Transferu danych Administrator weryfikuje i zapewnia czy przekazanie następuje: (i) do państwa, które zapewnia adekwatny stopień ochrony danych i co stwierdzone zostało wydaną w tym zakresie decyzją przez Komisję Europejską (ii) na podstawie wiążących reguł korporacyjnych (iii) standardowych Klauzul ochrony danych przyjętych przez Komisję Europejską (iv) standardowych Klauzul ochrony danych przyjętych przez Organ Nadzorczy (v) na podstawie zatwierdzonych kodeksów postępowania lub (vi) na podstawie zatwierdzonych mechanizmów certyfikacji.
- W razie braku decyzji Komisji stwierdzającej odpowiedni poziom ochrony w danym państwie lub organizacji międzynarodowej, dokonanie transferu danych poza EOG będzie możliwe przy zastosowaniu odpowiednich zabezpieczeń: (i) prawnie wiążącego i egzekwowalnego instrumentu między organami, (ii) wiążących reguł korporacyjnych, (iii) standardowych klauzul ochrony danych, (iv) zatwierdzonego kodeksu postępowania, (v) zatwierdzonego mechanizmu certyfikacji.
- Administrator prowadząc wspólną działalność gospodarczą korzysta z zatwierdzonych wiążących reguł korporacyjnych przy międzynarodowym przekazywaniu danych z Unii do organizacji w tej samej grupie przedsiębiorstw lub w grupie przedsiębiorców prowadzących wspólną działalność gospodarczą, pod warunkiem, że w takich regułach korporacyjnych są ujęte wszystkie podstawowe zasady i egzekwowalne prawa zapewniające odpowiednie zabezpieczenia na potrzeby przekazywania danych osobowych lub na potrzeby określonych kategorii przekazań danych osobowych.
- Ponadto jedną z alternatyw na podstawie, której może dochodzić do zgodnego z prawem powierzenia przetwarzania danych, jest zastosowanie standardowych klauzul ochrony danych. Administrator może przekazywać dane do państwa trzeciego w ramach umowy powierzenia przetwarzania danych przy zastosowaniu Standardowych Klauzul Umownych. Zastosowanie Klauzul stanowi potwierdzenie adekwatnego stopnia ochrony danych do państwa trzeciego. Klauzule są przyjmowane przez Komisję lub przez Organ Nadzorczy (i następnie zatwierdzane przez Komisję Europejską). Wzór standardowych klauzul umownych zatwierdzonych decyzją Komisji Europejskiej udostępniany jest na stronach Organu Nadzorczego.
- W szczególnych sytuacjach, gdy nie zachodzi do sytuacji, o której mowa w punktach powyżej, Administrator przekazuje dane poza EOG, gdy: (i) uzyskał zgodę osoby opartą o informację o ryzyku (ii) jest to konieczne do wykonania umowy lub dla zawarcia umowy na żądanie osoby (iii) jest to konieczne do zawarcia lub wykonania umowy, gdy jest to w interesie osoby, której dane mają być przekazane – niebędącej stroną umowy (iv) ze względu na interes publiczny (v) w sprawach dochodzenia, obrony lub ustalenia roszczeń, (vi) dla ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane mają zostać przekazane poza EOG sama nie jest zdolna do wyrażenia zgody, (vii) gdy Administrator na podstawie prawa prowadzi rejestr dostępny publicznie.
- Gdy Transfer danych oparty jest na zgodzie osoby Administrator informuje osobę o przekazaniu danych poza EOG. Obowiązek informacyjny obejmuje wskazanie: (i) do jakiego państwa następuję przekazanie danych (ii) czy państwo to zapewnia odpowiedni stopień ochrony danych, oraz (iii) na jakiej podstawie dokonuje przekazania. Wzór klauzuli zgody znajduje się w Załączniku nr 8 do niniejszej Polityki – „Klauzuli zgody na Transfer danych”.
- W przypadku „awaryjnego” Transferu danych w oparciu o art. 49 RODO, Administrator odpowiednio notyfikuje Organ Nadzorczy. Wzór klauzuli znajduje się w Załączniku nr 8 do niniejszej Polityki – Informacja dla organu nadzorczego o przekazaniu danych do państwa trzeciego”.
- Szkolenia
- Administrator przeprowadza lub zapewnia przeprowadzanie szkoleń Personelu z zakresu przetwarzania danych w świetle RODO w celu budowania świadomości z zakresu ochrony danych wśród Personelu.
- Przegląd ochrony danych
- Administrator dokonuje przeglądu stanu ochrony danych corocznie, nie rzadziej niż co 14 miesięcy, dokumentując przegląd raportem.
- Monitoring wykładni prawa ochrony danych
- Administrator prowadzi bieżący monitoring aktywności Organów Nadzorczych i Europejskiej Rady Ochrony Danych w zakresie wytycznych, orzecznictwa, kontroli i innych informacji dotyczących aktualnych wymagań prawych. Monitoring wymagań prawnych obejmuje w szczególności: (i) opublikowane oraz wchodzące w życie akty prawa powszechnie obowiązującego (ii) wytyczne oraz zalecenia Organów Nadzorczych (iii) wiążące wytyczne innych organów (np. Komisja Europejska, Europejska Rada Ochrony danych); (iv) kodeksy branżowe (v) wytyczne do certyfikacji (vi) udokumentowane dobre praktyki stosowania prawa (vii) istotne orzecznictwo sądów i trybunałów.
- W razie stwierdzenia zmian dotyczących uregulowań prawnych mogących wpływać na obszar przetwarzania danych, Administrator dokonuje zmian w celu zapewniania zgodności.
- Administrator w miarę możliwości stosuje narzędzia informatyczne, np. GDPSystem, wspierające monitoring wymagań prawnych, które ułatwiają odbiorcom stały dostęp do wyników monitoringu.
- Postanowienia końcowe
- Niniejsza Polityka ma pierwszeństwo w stosowaniu w zakresie ochrony danych przed innymi dokumentami obowiązującymi u Administratora.
- W przypadku obowiązywania Polityk bezpieczeństwa, instrukcji zarządzania systemami informatycznymi lub innych regulacji z obszaru bezpieczeństwa i ochrony danych, o ile nie zostały one oddzielnie uchylone przez Administratora, pozostają w mocy w zakresie, w jakim nie są sprzeczne z Polityką.
- Polityka obowiązuje od dnia jej wprowadzenia w życie w sposób przyjęty u Administratora. Wszelkie zmiany Polityki obowiązują od dnia ich wprowadzenia w życie w sposób przyjęty u Administratora.
- Naruszenie obowiązków wynikających z Polityki stanowi ciężkie naruszenie obowiązków pracowniczych lub niewykonanie zobowiązania w przypadku stosunku prawnego innego niż stosunek pracy, i może stanowić podstawę do ich rozwiązania
- Załącznik do niniejszej Polityki udostępniane są w GDPSystem i na bieżącą aktualizowane, w razie konieczności wprowadzenia zmian wynikających ze zmiany praktyki, przepisów, wytycznych Organu Nadzorczego. Administrator każdorazowo ocenia, czy i w jakim zakresie skorzystać z załączonych wzorców oraz w jakim zakresie należy je zmodyfikować.
- W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie przepisy powszechnie obowiązującego prawa, w tym w szczególności przepisy RODO i innych aktów prawnych.
Lista załączników:
Załącznik nr 1 – „Procedura obsługi praw jednostki”
Załącznik nr 2 – „Procedura dostępu do danych”,
Załącznik nr 3 – „Procedura zgłaszania naruszeń”,
Załącznik nr 4 – „Karta Oceny Podmiotu Przetwarzającego”
Załącznik nr 5 – „Metodyka analizy ryzyka”,
Załącznik nr 6 – „Metodyka oceny skutków dla ochrony danych”,
Załącznik nr 7 – „Techniczne i organizacyjne środki bezpieczeństwa”,
Załącznik nr 8 – Wzorce:
- Umowa powierzenia przetwarzania danych,
- Umowa o współadministrowaniu,
- Klauzule informacyjnych oraz zgody,
- Klauzula o współadministrowaniu,
- Klauzula zgody na Transfer danych,
- Informacja dla organu nadzorczego o przekazaniu danych do państwa trzeciego.
Łukasz Martyniec
prezes zarządu
Przyjęto do stosowania w dniu 26.08.2019 r.