INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH
DLA KANDYDATÓW DO PRACY
Na podstawie art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej RODO, informujemy, że:
1. Administratorem Pani/Pana danych osobowych jest Beata Szuwarska, ul. Poziomkowa 1 A/5, 11-041 Olsztyn. Z Administratorem może się Pani/Pan skontaktować poprzez adres e-mail: beata@akcjarekrutacja.com.pl lub pisemnie na adres siedziby Administratora.
2. Pani/Pana dane osobowe w zakresie wskazanym w przepisach prawa pracy (art. 221 ustawy z 26 czerwca 1974 r. Kodeks pracy (t.j. Dz. U. z 2022 r. poz. 1510 z późn. zm.) tj.: imię (imiona) i nazwisko, data urodzenia, dane kontaktowe (numer telefonu, adres e-mail), wykształcenie, kwalifikacje zawodowe, przebieg dotychczasowego zatrudnienia – będą przetwarzane w celu przeprowadzenia obecnego postępowania rekrutacyjnego.
3. Podanie innych danych w zakresie nieokreślonym przepisami prawa zostanie potraktowane jako zgoda na przetwarzanie tych danych osobowych. Wyrażenie zgody w tym przypadku jest dobrowolne, a zgodę tak wyrażoną można odwołać w dowolnym czasie.
4. Administrator będzie przetwarzał Pani/Pana dane osobowe także w kolejnych naborach pracowników, jeżeli wyrazi Pani/Pan na to zgodę, która może zostać odwołana w dowolnym czasie.
5. Pani/Pana dane osobowe mogą być przekazane:
podmiotom, które uprawnione są do ich otrzymania na podstawie przepisów prawa,
podmiotom przetwarzającym na zlecenie i w imieniu administratora, na podstawie zawartej umowy powierzenia przetwarzania danych osobowych, w celu świadczenia określonych w umowie usług na rzecz administratora, m.in. usług prawnych, doradczych, teleinformatycznych (hosting, dostarczanie lub utrzymanie systemów informatycznych).
6. Pani/Pana dane zgromadzone w obecnym procesie rekrutacyjnym będą przechowywane do zakończenia procesu rekrutacji.
7. W przypadku wyrażonej przez Panią/Pana zgody na wykorzystywane danych osobowych dla celów przyszłych rekrutacji, Pani/Pana dane będą przechowywane przez okres 6 miesięcy.
8. Posiada Pani/Pan prawo:
dostępu do swoich danych oraz otrzymania ich kopii;
sprostowania (poprawiania) swoich danych osobowych;
ograniczenia przetwarzania danych osobowych;
usunięcia danych osobowych;
Aby skorzystać z przysługujących Pani/Panu praw, należy skontaktować się, wykorzystując podane w pkt 1 dane kontaktowe, z administratorem i poinformować go, z którego prawa i w jakim zakresie chce Pani/Pan skorzystać.
9. Przysługuje Pani/Panu również prawo wniesienia skargi do organu nadzorczego właściwego w sprawach ochrony danych osobowych, tj. Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, telefon: 22 531 03 00.
10. Podanie przez Panią/Pana danych osobowych w zakresie wynikającym z art. 221 Kodeksu pracy jest niezbędne, aby uczestniczyć w postępowaniu rekrutacyjnym. Podanie przez Państwa innych danych jest dobrowolne.
11. W przypadku chęci uczestnictwa w kolejnych naborach prowadzonych przez Beatę Szuwarską. prosimy o umieszczenie oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych w celu wykorzystania ich w kolejnych naborach prowadzonych przez Beatę Szuwarską. przez okres najbliższych 6 miesięcy. Cofnięcie zgody na przetwarzanie danych osobowych nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
12. Pani/Pana dane osobowe nie są wykorzystywane do zautomatyzowanego podejmowania decyzji, w tym również profilowania.
POLITYKA
OCHRONY DANYCH OSOBOWYCH
Agencja Pośrednictwa Pracy
Beata Szuwarska
1. Niniejszy dokument zatytułowany "Polityka Ochrony Danych Osobowych Beata Szuwarska" (dalej jako Polityka) ma za zadanie stanowić wykaz wymogów, zasad i regulacji ochrony danych osobowych w Beata Szuwarska z siedzibą przy ulicy Poziomkowej 1A/5, 11-041 Olsztyn, reprezentowanej przez Beatę Szuwarską (dalej także jako "Administrator", „Podmiot” lub "ADO").
2. Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu RODO -Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych lub RODO) (Dz.Urz. UE L 119, s. 1).
3. Polityka zawiera w szczególności opis zasad ochrony danych osobowych obowiązujących w Agencji Pośrednictwa Pracy Beata Szuwarska, zwanej dalej "Agencją".
4. Niniejszy dokument stanowi najwyższej rangi dokument Polityki Ochrony Danych Osobowych w Agencji.
5. Z systemów przetwarzania danych osobowych znajdujących się w posiadaniu ADO mogą korzystać również inne podmioty, na podstawie odrębnych umów, porozumień lub stosunków prawnych, kształtowanych na podstawie przepisów szczególnych, określających zasady korzystania z tych systemów, w szczególności poprzez wyraźne zdefiniowanie celu i zakresu takiego korzystania oraz wskazanie odpowiedzialności karnej.
6. Skróty i definicje
Polityka oznacza niniejszą Politykę ochrony danych osobowych, o ile co innego nie wynika wyraźnie z kontekstu.
RODO oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1).
Administrator danych oznacza osobę fizyczną lub prawną, podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Administratorem danych jest Agencja Pośrednictwa Pracy Beata Szuwarska.
Bezpieczeństwo informacji oznacza zachowanie poufności, integralności i dostępności informacji; dodatkowo mogą być brane pod uwagę inne własności, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność;
Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
Dane szczególne oznaczają dane wymienione w art. 9 ust. 1 RODO, tj. dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej;
Hasło oznacza ciąg znaków alfanumerycznych, znany jedynie użytkownikowi;
Identyfikator oznacza ciąg znaków literowych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
Incydent ochrony danych osobowych oznacza zdarzenie albo seria niepożądanych lub niespodziewanych zdarzeń ochrony danych osobowych stwarzających znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrożenia ochrony danych osobowych.
Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Odbiorca danych oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią; organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;
Osoba, podmiot danych oznacza osobę, której dane dotyczą;
Podmiot przetwarzający oznacza organizację lub osobę, której ADO powierzył przetwarzanie danych osobowych;
Postępowanie z ryzykiem oznacza proces planowania i wdrażania działań wpływających na ryzyko; Ryzyko – niepewność osiągnięcia zamierzonych celów;
Poufność danych oznacza właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom; szacowanie ryzyka – proces identyfikowania, analizowania i oceniania ryzyka;
Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
RCPDO lub rejestr oznacza rejestr czynności przetwarzania danych osobowych.
Serwisant oznacza firmę lub pracownika firmy zajmującej się sprzedażą, instalacją, naprawą i konserwacją sprzętu komputerowego;
System informatyczny administratora danych oznacza sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych; w systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sieć teleinformatyczną administratora danych;
Teletransmisja oznacza przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej;
Uwierzytelnienie oznacza działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;
Użytkownik oznacza osobę upoważnioną do przetwarzania danych osobowych, której nadano identyfikator i przyznano hasło;
Zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
PUODO - Prezes Urzędu Ochrony Danych Osobowych.
Informacje - treści wszelkiego rodzaju przechowywane na dowolnym nośniku informacji, w postaci tradycyjnej - dokumentacja papierowa jak i elektronicznej - układy elektroniczne oraz inne nośniki, np. magnetyczne lub optyczne. Informacja może być wyrażona za pomocą mowy, pisma, obrazu, rysunku, znaku, kodu, dźwięku lub w jakikolwiek inny sposób.
7. Zasady ochrony danych.
ADO przetwarza dane osobowe z poszanowaniem następujących zasad:
w oparciu o podstawę prawną i zgodnie z prawem (legalizm);
rzetelnie i uczciwie (rzetelność);
w sposób przejrzysty dla osoby, której dane dotyczą (transparentność);
w konkretnych celach i nie "na zapas" (minimalizacja);
nie więcej niż potrzeba (adekwatność);
z dbałością o prawidłowość danych (prawidłowość);
nie dłużej niż potrzeba (czasowość);
zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo).
8. ADO przetwarzając dane zapewnia:
rozliczalność – rozumie się przez to właściwość zapewniającą, że działania użytkownika mogą być przypisane w sposób jednoznaczny tylko temu użytkownikowi;
integralność danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
poufność danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom;
integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej jak i przypadkowej.
9. Za przestrzeganie zasad ochrony i bezpieczeństwa danych odpowiedzialni są użytkownicy.
10. System ochrony danych
System ochrony danych osobowych w Agencji składa się z następujących elementów:
Inwentaryzacja danych. ADO dokonuje cyklicznej identyfikacji zasobów danych osobowych w Agencji, klas danych, zależności między zasobami danych, identyfikacji sposobów wykorzystania ewentualnych danych (inwentaryzacja), w tym:
przypadków ewentualnego przetwarzania danych wrażliwych (dane wrażliwe);
przypadków przetwarzania danych osób, których ADO nie identyfikuje (dane niezidentyfikowane);
przypadków przetwarzania danych dzieci;
profilowania;
współadministrowania danymi.
Rejestr. ADO opracowuje, prowadzi i utrzymuje Rejestr Czynności Danych Osobowych w Agencji (Rejestr). Rejestr jest narzędziem rozliczania zgodności z ochroną danych w Agencji.
Podstawy prawne. ADO zapewnia, identyfikuje, weryfikuje podstawy prawne przetwarzania danych.
Obsługa praw jednostki. ADO spełnia obowiązki informacyjne względem osób, których dane przetwarza, oraz zapewnia obsługę ich praw, realizując otrzymane w tym zakresie żądania, w tym:
Obowiązki informacyjne. ADO przekazuje osobom prawem wymagane informacje przy zbieraniu danych i w innych sytuacjach oraz organizuje i zapewnia udokumentowanie realizacji tych obowiązków.
Możliwość wykonania żądań. ADO weryfikuje i zapewnia możliwość efektywnego wykonania każdego typu żądania przez siebie i swoich przetwarzających.
Obsługa żądań. ADO zapewnia odpowiednie nakłady i procedury, aby żądania osób były realizowane w terminach i w sposób wymagany RODO i dokumentowane.
Zawiadamianie o naruszeniach. ADO stosuje procedury pozwalające na ustalenie konieczności zawiadomienia osób dotkniętych zidentyfikowanym naruszeniem ochrony danych.
Minimalizacja. ADO stosuje zasady i metody zarządzania minimalizacją (privacy by default), a w tym:
zasady zarządzania adekwatnością danych;
zasady reglamentacji i zarządzania dostępem do danych;
zasady zarządzania okresem przechowywania danych i weryfikacji dalszej przydatności;
Bezpieczeństwo. ADO zapewnia odpowiedni poziom bezpieczeństwa danych, w tym:
przeprowadza analizy ryzyka dla czynności przetwarzania danych lub ich kategorii;
przeprowadza oceny skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw i wolności osób jest wysokie;
dostosowuje środki ochrony danych do ustalonego ryzyka;
posiada system zarządzania bezpieczeństwem informacji;
stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych − zarządza incydentami.
Przetwarzający. ADO stosuje zasady doboru przetwarzających dane na rzecz Agencji, wymogów co do warunków przetwarzania (umowa powierzenia), zasady weryfikacji wykonywania umów powierzenia.
Eksport danych. ADO ocenia, czy Agencja nie przekazuje danych do państw trzecich (czyli poza UE, Norwegię, Lichtenstein, Islandię) lub do organizacji międzynarodowych oraz zapewnienia zgodnych z prawem warunków takiego przekazywania, jeśli ma ono miejsce.
Privacy by design. ADO zarządza zmianami mającymi wpływ na prywatność. W tym celu procedury uruchamiania nowych projektów i inwestycji w Agencji uwzględniają konieczność oceny wpływu zmiany na ochronę danych, zapewnienie prywatności (a w tym zgodności celów przetwarzania, bezpieczeństwa danych i minimalizacji) już w fazie projektowania zmiany, inwestycji czy na początku nowego projektu.
Przetwarzanie transgraniczne. ADO posiada zasady weryfikacji, kiedy zachodzą przypadki przetwarzania transgranicznego oraz zasady ustalania wiodącego organu nadzorczego i głównej jednostki organizacyjnej w rozumieniu RODO.
11. Inwentaryzacja
Dane wrażliwe
ADO identyfikuje ewentualne przypadki, w których przetwarza lub może przetwarzać dane wrażliwe (dane specjalne) oraz utrzymuje dedykowane mechanizmy zapewnienia zgodności z prawem przetwarzania danych wrażliwych. W przypadku zidentyfikowania przypadków przetwarzania danych wrażliwych, ADO postępuje zgodnie z przyjętymi zasadami w tym zakresie.
Dane niezidentyfikowane
ADO identyfikuje przypadki, w których przetwarza lub może przetwarzać dane niezidentyfikowane i utrzymuje mechanizmy ułatwiające realizację praw osób, których dotyczą dane niezidentyfikowane.
Profilowanie
ADO identyfikuje przypadki, w których dokonuje profilowania przetwarzanych danych i utrzymuje mechanizmy zapewniające zgodność tego procesu z prawem. W przypadku zidentyfikowania przypadków profilowania i zautomatyzowanego podejmowania decyzji, ADO postępuje zgodnie z przyjętymi zasadami w tym zakresie.
Współadministrowanie
ADO identyfikuje przypadki współadministrowania danymi i postępuje w tym zakresie zgodnie z przyjętymi zasadami.
12. Rejestr Czynności Przetwarzania Danych
◦ RCPD stanowi formę dokumentowania czynności przetwarzania danych, pełni rolę mapy przetwarzania danych i jest jednym z kluczowych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności.
◦ ADO prowadzi Rejestr Czynności Przetwarzania Danych, w którym inwentaryzuje i monitoruje sposób, w jaki wykorzystuje dane osobowe.
◦ RCPD jest jednym z podstawowych narzędzi umożliwiających ADO rozliczanie większości obowiązków ochrony danych.
◦ W Rejestrze, dla każdej czynności przetwarzania danych, którą ADO uznał za odrębną dla potrzeb Rejestru, ADO odnotowuje co najmniej: (I) nazwę czynności, (II) cel przetwarzania, (III) opis kategorii osób, (IV) opis kategorii danych, (V) opis kategorii odbiorców danych (w tym przetwarzających), (VI) ogólny opis technicznych i organizacyjnych środków ochrony danych.
13. MINIMALIZACJA
ADO dba o minimalizację przetwarzania danych pod kątem: (I) adekwatności danych do celów (ilości danych i zakresu przetwarzania), (II) dostępu do danych, (III) czasu przechowywania danych.
a) Minimalizacja zakresu
ADO zweryfikował zakres pozyskiwanych danych, zakres ich przetwarzania i ilość przetwarzanych danych pod kątem adekwatności do celów przetwarzania w ramach wdrożenia RODO.
ADO dokonuje okresowego przeglądu ilości przetwarzanych danych i zakresu ich przetwarzania nie rzadziej niż raz na rok.
ADO przeprowadza weryfikację zmian co do ilości i zakresu przetwarzania danych w ramach procedur zarządzania zmianą (privacy by design).
b) Minimalizacja dostępu
ADO stosuje ograniczenia dostępu do danych osobowych: prawne (zobowiązania do poufności, zakresy upoważnień), logiczne (ograniczenia uprawnień do systemów przetwarzających dane osobowe i zasobów sieciowych, w których rezydują dane osobowe).
ADO dokonuje aktualizacji uprawnień dostępowych przy zmianach w składzie personelu i zmianach ról osób, oraz zmianach podmiotów przetwarzających.
ADO dokonuje okresowego przeglądu ustanowionych użytkowników systemów i aktualizuje ich nie rzadziej niż raz na rok.
c) Minimalizacja czasu
Dane, których zakres przydatności ulega ograniczeniu wraz z upływem czasu są usuwane z systemów Spółki. Dane takie mogą być archiwizowane oraz znajdować się na kopiach zapasowych systemów i informacji przetwarzanych przez ADO.
14. PRZETWARZAJĄCY
• ADO dba, aby przetwarzający dawali wystarczające gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa, realizacji praw jednostki i innych obowiązków ochrony danych spoczywających na ADO.
• ADO rozlicza przetwarzających z wykorzystania podprzetwarzających, jak też z innych wymagań wynikających z powierzenia danych osobowych.
15. PROJEKTOWANIE PRYWATNOŚCI
ADO zarządza zmianą mającą wpływ na prywatność w taki sposób, aby umożliwić zapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz minimalizacji ich przetwarzania.
W tym celu zasady prowadzenia projektów i inwestycji przez ADO odwołują się do zasad bezpieczeństwa danych osobowych i minimalizacji, wymagając oceny wpływu na prywatność i ochronę danych, uwzględnienia i zaprojektowana bezpieczeństwa i minimalizacji przetwarzania danych od początku projektu lub inwestycji.
16. Sposób obsługi praw jednostki i obowiązków informacyjnych
◦ ADO dba o czytelność i styl przekazywanych informacji i komunikacji z osobami, których dane przetwarza.
◦ ADO dba o dotrzymywanie prawnych terminów realizacji obowiązków względem osób.
◦ ADO wprowadza adekwatne metody identyfikacji i uwierzytelniania osób dla potrzeb realizacji praw jednostki i obowiązków informacyjnych.
◦ W celu realizacji praw jednostki ADO zapewnia procedury i mechanizmy pozwalające zidentyfikować dane konkretnych osób przetwarzane przez ADO zintegrować te dane, wprowadzać do nich zmiany i usuwać w sposób zintegrowany,
◦ ADO dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań osób.
a) Obowiązki informacyjne
◦ ADO określa zgodne z prawem i efektywne sposoby wykonywania obowiązków informacyjnych.
◦ ADO informuje osobę o przedłużeniu ponad jeden miesiąc terminu na rozpatrzenie żądania tej osoby.
◦ ADO informuje osobę o przetwarzaniu jej danych, przy pozyskiwaniu danych od tej osoby.
◦ ADO informuje osobę o przetwarzaniu jej danych, przy pozyskiwaniu danych o tej osobie niebezpośrednio od niej.
◦ ADO informuje osobę o planowanej zmianie celu przetwarzania danych.
◦ ADO informuje osobę przed uchyleniem ograniczenia przetwarzania.
◦ ADO informuje odbiorców danych o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych (chyba że będzie to wymagało niewspółmiernie dużego wysiłku lub będzie niemożliwe).
◦ ADO informuje osobę o prawie sprzeciwu względem przetwarzania danych najpóźniej przy pierwszym kontakcie z tą osobą.
◦ ADO bez zbędnej zwłoki zawiadamia osobę o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby.
b) Żądania osób
Prawa osób trzecich. Realizując prawa osób, których dane dotyczą, ADO wprowadza proceduralne gwarancje ochrony praw i wolności osób trzecich. W szczególności w przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób (np. prawa związane z ochroną danych innych osób, prawa własności intelektualnej, tajemnicę handlową, dobra osobiste itp.), ADO może zwrócić się do osoby w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia żądaniu.
Nieprzetwarzanie.
ADO informuje osobę o tym, że nie przetwarza danych jej dotyczących, jeśli taka osoba zgłosiła żądanie dotyczące jej praw.
Odmowa.
ADO informuje osobę, w ciągu miesiąca od otrzymania żądania, o odmowie rozpatrzenia żądania i o prawach osoby z tym związanych.
Dostęp do danych.
Na żądanie osoby dotyczące dostępu do jej danych, ADO informuje osobę, czy przetwarza jej dane oraz informuje osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO (zakres odpowiada obowiązkowi informacyjnemu przy zbieraniu danych), a także udziela osobie dostępu do danych jej dotyczących. Dostęp do danych może być zrealizowany przez wydanie kopii danych, z zastrzeżeniem, że kopii danych wydanej w wykonaniu prawa dostępu do danych ADO nie uzna za pierwszą nieodpłatną kopię danych dla potrzeb opłat za kopie danych.
Kopie danych.
Na żądanie ADO wydaje osobie kopię danych jej dotyczących i odnotowuje fakt wydania pierwszej kopii danych.
Sprostowanie danych. ADO dokonuje sprostowania nieprawidłowych danych na żądanie osoby. ADO ma prawo odmówić sprostowania danych, chyba że osoba w rozsądny sposób wykaże nieprawidłowości danych, których sprostowania się domaga. W przypadku sprostowania danych ADO informuje osobę o odbiorcach danych, na żądanie tej osoby.
Uzupełnienie danych.
ADO uzupełnia i aktualizuje dane na żądanie osoby. ADO ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych (np. ADO nie musi przetwarzać danych, które są ADO zbędne). ADO może polegać na oświadczeniu osoby, co do uzupełnianych danych, chyba że będzie to niewystarczające w świetle przyjętych przez ADO procedur (np. co do pozyskiwania takich danych), prawa lub zaistnieją podstawy, aby uznać oświadczenie za niewiarygodne.
Usunięcie danych.
Na żądanie osoby, ADO usuwa dane, gdy:
dane nie są niezbędne do celów, w których zostały zebrane ani przetwarzane w innych celach,
zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania,
osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych,
dane były przetwarzane niezgodnie z prawem,
konieczność usunięcia wynika z obowiązku prawnego,
żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku (np. profil dziecka na portalu społecznościowym, udział w konkursie na stronie internetowej).
ADO określa sposób obsługi prawa do usunięcia danych w taki sposób, aby zapewnić efektywną realizację tego prawa przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpieczeństwa, a także weryfikację, czy nie zachodzą wyjątki, o których mowa w art. 17. ust. 3 RODO.
Jeżeli dane podlegające usunięciu zostały upublicznione przez Agencję, ADO podejmuje rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe, o potrzebie usunięcia danych i dostępu do nich.
W przypadku usunięcia danych ADO informuje osobę o odbiorcach danych, na żądanie tej osoby.
Ograniczenie przetwarzania.
ADO dokonuje ograniczenia przetwarzania danych na żądanie osoby, gdy:
osoba kwestionuje prawidłowość danych - na okres pozwalający sprawdzić ich prawidłowość,
przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
ADO nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją - do czasu stwierdzenia, czy po stronie ADO zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.
W trakcie ograniczenia przetwarzania ADO przechowuje dane, natomiast nie przetwarza ich (nie wykorzystuje, nie przekazuje), bez zgody osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego.
ADO informuje osobę przed uchyleniem ograniczenia przetwarzania.
W przypadku ograniczenia przetwarzania danych ADO informuje osobę o odbiorcach danych, na żądanie tej osoby.
Przenoszenie danych.
Na żądanie osoby ADO wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła ona ADO, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z nią zawartej, w systemach informatycznych ADO.
Sprzeciw w szczególnej sytuacji.
Jeżeli osoba zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez ADO w oparciu o uzasadniony interes ADO lub o powierzone ADO zadanie w interesie publicznym, ADO uwzględni sprzeciw, o ile nie zachodzą po stronie ADO ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.
Dostęp do danych osobowych:
Przetwarzanie, w tym udostępnianie danych osobowych jest prawnie dopuszczalne, jeżeli jest niezbędne dla zrealizowania obowiązku wynikającego z przepisu prawa.
W przypadku udostępnienia danych osobowych w celach innych niż włączenie do rejestru, administrator danych udostępnia posiadane informacje osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.
Dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
Podmiot występujący o udostępnienie informacji powinien wskazać podstawę prawną upoważniającą go do otrzymania tych danych albo uzasadnioną potrzebę żądania ich udostępnienia. Tylko w takiej sytuacji można dokonać oceny, czy w określonym przypadku udostępnienie danych jest prawnie dopuszczalne i czy nie będzie ono stanowić naruszenia zasad ochrony informacji.
Przetwarzanie, w tym udostępnianie danych osobowych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje w celu badań naukowych, dydaktycznych, historycznych oraz statystycznych.
Udostępnienie danych może nastąpić jedynie za zgodą Administratora danych i powinno być odpowiednio udokumentowane.
17. BEZPIECZEŃSTWO
ADO zapewnia stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania danych osobowych przez ADO.
a) Analizy ryzyka i adekwatności środków bezpieczeństwa
ADO przeprowadza i dokumentuje analizy adekwatności środków bezpieczeństwa danych osobowych. W tym celu:
ADO zapewnia odpowiedni stan wiedzy o bezpieczeństwie informacji i ciągłości działania − wewnętrznie lub ze wsparciem podmiotów wyspecjalizowanych.
ADO kategoryzuje dane oraz czynności przetwarzania pod kątem ryzyka, które przedstawiają.
ADO przeprowadza analizy ryzyka naruszenia praw lub wolności osób fizycznych dla czynności przetwarzania danych lub ich kategorii. ADO analizuje możliwe sytuacje i scenariusze naruszenia ochrony danych osobowych uwzględniając charakter, zakres, kontekst i cele przetwarzania, ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.
ADO ustala możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa i ocenia koszt ich wdrażania. W tym ADO może ustalić przydatność i stosować takie środki i podejście jak:
pseudonimizacja,
szyfrowanie danych osobowych,
inne środki cyberbezpieczeństwa składające się na zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
środki zapewnienia ciągłości działania i zapobiegania skutkom katastrof, czyli zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.
b) Oceny skutków dla ochrony danych
• ADO dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych tam, gdzie zgodnie z analizą ryzyka ryzyko naruszenia praw i wolności osób jest wysokie.
c) Środki bezpieczeństwa
ADO stosuje środki bezpieczeństwa ustalone w ramach analiz ryzyka i adekwatności środków bezpieczeństwa oraz ocen skutków dla ochrony danych.
W celu zwiększenia efektywności ochrony danych osobowych dokonano połączenia różnych zabezpieczeń w sposób umożliwiający stworzenie kilku warstw ochronnych. Ochrona danych osobowych jest realizowana poprzez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz przez użytkowników.
Realizację powyższych zamierzeń powinny zagwarantować następujące założenia:
Wdrożenie procedur określających postępowanie osób dopuszczonych do przetwarzania danych osobowych oraz ich odpowiedzialność za ochronę tych danych.
Przeszkolenie użytkowników w zakresie bezpieczeństwa i ochrony danych osobowych.
Przypisanie użytkownikom określonych atrybutów pozwalających na ich identyfikację (hasła, identyfikatory).
Podejmowanie niezbędnych działań w celu likwidacji słabych ogniw w systemie zabezpieczeń,
Okresowe sprawdzanie przestrzegania przez użytkowników wdrożonych metod postępowania przy przetwarzaniu danych osobowych.
Dla zapewnienia bezpieczeństwa danych i informacji zastosowano następujące środki organizacyjne:
Każda osoba działająca z upoważnienia Administratora i mająca dostęp do danych osobowych przetwarzała je wyłącznie na polecenie Administratora.
Każdy z pracowników i współpracowników powinien zachować szczególną ostrożność przy przenoszeniu danych.
Należy chronić dane przed dostępem do nich osób nieupoważnionych.
Pomieszczenia w których są przetwarzane dane osobowe powinny być zamykane na klucz.
Dostęp do kluczy posiadają tylko upoważnieni pracownicy i współpracownicy.
Dostęp do pomieszczeń możliwy jest tylko i wyłącznie w godzinach pracy. W wypadku gdy jest wymagany poza godzinami pracy – możliwy jest tylko na podstawie zezwolenia Administratora.
Dostęp do pomieszczeń, w których są przetwarzane dane osobowe mogą mieć tylko upoważnieni pracownicy.
W przypadku pomieszczeń, do których dostęp mają również osoby nieupoważnione, mogą przebywać w tych pomieszczeniach tylko w obecności osób upoważnionych i tylko w czasie wymaganym na wykonanie niezbędnych czynności.
Szafy, w których przechowywane są dane powinny być zamykane na klucz.
Klucze do tych szaf posiadają tylko upoważnieni pracownicy.
Szafy z danymi powinny być otwarte tylko na czas potrzebny na dostęp do danych, a następnie powinny być zamykane.
Dane w formie papierowej mogą znajdować się na biurkach tylko na czas niezbędny na dokonanie czynności służbowych, a następnie muszą być chowane do szaf.
Dostęp do komputerów, na których są przetwarzane dane - mają tylko upoważnieni pracownicy i współpracownicy.
Monitory komputerów, na których przetwarzane są dane, są tak ustawione, aby osoby nieupoważnione nie miały wglądu w dane.
W wypadku potrzeby wyniesienia komputera przenośnego (np. typu notebook) zawierającego dane osobowe, lub inne informacje chronione, komputer taki musi być odpowiednio dodatkowo zabezpieczony, a dane zaszyfrowane.
Nie wolno udostępniać osobom nieupoważnionym tych komputerów.
W przypadku potrzeby przeniesienia danych osobowych pomiędzy komputerami - należy dokonać tego z zachowaniem szczególnej ostrożności.
Nośniki użyte do tego należy wyczyścić (skasować nieodwracalnie), aby nie zostały na nich dane osobowe.
W wypadku niemożliwości skasowania danych z nośnika (płyta CD-ROM) - należy taką płytę zniszczyć fizycznie.
W przypadku wykorzystania do przenoszenia dysków - dane należy kasować z tych dysków.
Niezabezpieczonych danych osobowych nie należy przesyłać drogą elektroniczną.
Sieć komputerowa powinna być zabezpieczona przed wszelkim dostępem z zewnątrz.
Błędne lub nieaktualne wydruki i wersje papierowe zawierające dane osobowe lub inne informacje chronione - niszczone są za pomocą niszczarki lub w inny mechaniczny sposób uniemożliwiający powtórne ich odtworzenie.
d) Zgłaszanie naruszeń
ADO stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych w terminie 72 godzin od ustalenia naruszenia.
1. Za naruszenie ochrony danych osobowych uważa się w szczególności:
nieuprawniony dostęp lub próbę dostępu do danych osobowych lub pomieszczeń, w których się one znajdują
naruszenie lub próby naruszenia integralności danych rozumiane jako wszelkie modyfikacje, zniszczenia lub próby ich dokonania przez osoby nieuprawnione lub uprawnione działające w złej wierze lub jako błąd w działaniu osoby uprawnionej (np. zmianę zawartości danych, utratę całości lub części danych),
naruszenie lub próby naruszenia integralności systemu
zmianę lub utratę danych zapisanych na kopiach zapasowych,
naruszenie lub próby naruszenia poufności danych,
nieuprawniony dostęp (sygnał o nielegalnym logowaniu lub inny objaw wskazujący na próbę lub działanie związane z nielegalnym dostępem do systemu),
udostępnienie osobom nieupoważnionym danych osobowych
zniszczenie, uszkodzenie lub wszelkie próby nieuprawnionej ingerencji w system informatyczny zmierzające do zakłócenia jego działania bądź pozyskania w sposób niedozwolony lub w celach niezgodnych z przeznaczeniem danych zawartych w systemie,
inny stan systemu informatycznego lub pomieszczeń, niż pozostawiony przez użytkownika po zakończeniu pracy.
2. Za naruszenie ochrony danych osobowych uważa się również włamanie do budynku lub pomieszczeń, w których przetwarzane są dane osobowe lub próby takich działań.
3. W przypadku stwierdzenia naruszenia:
zabezpieczenia systemu informatycznego,
technicznego stanu urządzeń,
zawartości zbioru danych osobowych,
ujawnienia metody pracy lub sposobu działania programu,
jakości transmisji danych w sieci telekomunikacyjnej mogącej wskazywać na naruszenie zabezpieczeń tych danych,
innych zdarzeń mogących mieć wpływ na naruszenie danych osobowych (np. zalanie, pożar, itp.) każda osoba zatrudniona przy przetwarzaniu danych jest obowiązana niezwłocznie powiadomić o tym fakcie Administratora danych.
4. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami wszczyna się postępowanie dyscyplinarne lub porządkowe.Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych.
18. Polityka jest dokumentem wewnętrznym i nie może być udostępniana osobom postronnym w żadnej formie.
19. Użytkownicy są zobowiązani zapoznać się z treścią Polityki.
20. Użytkownik zobowiązany jest złożyć oświadczenie o tym, iż został zaznajomiony z przepisami ustawy o ochronie danych osobowych oraz wydanych na jej podstawie aktów wykonawczych, z niniejszą Polityką, a także zobowiązać się do ich przestrzegania.
21. W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie aktualnie obowiązujące przepisy prawa w zakresie ochrony danych osobowych.
22. Użytkownicy zobowiązani są do bezwzględnego stosowania przy przetwarzaniu danych postanowień zawartych w niniejszej Polityce. W wypadku odrębnych od zawartych w niniejszej Polityce uregulowań występujących w innych procedurach obowiązujących u Administratora Danych, użytkownicy mają obowiązek stosowania unormowań dalej idących, których stosowanie zapewni wyższy poziom ochrony informacji.