POLITYKA OCHRONY DANYCH OSOBOWYCH
dot. przedsiębiorcy pn. Finarte spółka z ograniczoną odpowiedzialnością
z siedzibą w Łodzi przy ul. Piotrkowskiej 270 lok. 206
z dnia 17/01/2022 r.
wdrażająca założenia Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO).
Rozdział 1
Postanowienia ogólne
Paragraf 1
1. Administratorem danych osobowych jest Finarte spółka z ograniczoną odpowiedzialnością
z siedzibą w Łodzi przy ul. Piotrkowskiej 270 lok. 206, tel: 503689221, email: norbert.korczynski@finarte.pl, NIP 725 231 56 69, KRS 0000 947032 (dalej: ADO), który dokonuje przetwarzania danych na podstawie RODO oraz innych obowiązujących norm prawnych, z zachowaniem procedur określonych w niniejszym dokumencie.
2. ADO uprawniony jest do przetwarzania danych osobowych w przypadkach i w zakresie, w jakim spełniony jest co najmniej jeden z poniższych warunków:
a. osoba, której Dane dotyczą wyraziła zgodę na Przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b. Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której Dane dotyczą, lub do podjęcia działań na żądanie osoby, której Dane dotyczą, przed zawarciem umowy;
c. Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d. Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której Dane dotyczą, lub innej osoby fizycznej;
e. Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której Dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której Dane dotyczą, jest dzieckiem
Paragraf 2
1. Niniejsza Polityka bezpieczeństwa (dalej: „Polityka bezpieczeństwa”), określa zasady przetwarzania danych osobowych oraz środki techniczne i organizacyjne zmierzające do zapewnienia przez ADO odpowiedniej i zgodnej z RODO oraz innymi przepisami ochrony danych osobowych. Zastosowane zabezpieczenia i zasady przetwarzania danych osobowych mają przede wszystkim zapewnić:
1) przetwarzane zgodnie z prawem, rzetelne i w sposób przejrzysty dla osoby, której Dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”),
2) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);
3) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
4) prawidłowe i w razie potrzeby uaktualniane; ADO podejmuje wszelkie rozsądne działania, aby Dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
5) przechowywane w formie umożliwiającej identyfikację osoby, której Dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których Dane te są przetwarzane; („ograniczenie przechowywania”);
6) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo Danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem Przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
2. Przetwarzanie Szczególnych kategorii Danych osobowych – tj. ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby – jest zabronione, chyba że spełniony jest jeden z warunków określonych w art. 9 ust. 1 lit. a-f RODO, zwłaszcza w przypadku, gdy:
- osoba, której Dane dotyczą, wyraziła wyraźną zgodę na Przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo przewiduje, iż osoba, której Dane dotyczą, nie może uchylić zakazu;
- Przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której Dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem lub porozumieniem zbiorowym przewidującym odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której Dane dotyczą;
- Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której Dane dotyczą, lub innej osoby fizycznej, a osoba, której Dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
- Przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której Dane dotyczą;
- Przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
- Przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której Dane dotyczą;
- Przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania Systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem odpowiednich warunków i zabezpieczeń;
- Przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których Dane dotyczą, w szczególności tajemnicę zawodową;
- Przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 Rozporządzenia, na podstawie prawa, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której Dane dotyczą;
- Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której Dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której Dane dotyczą, jest dzieckiem.
3. Polityka bezpieczeństwa dotyczy danych osobowych przetwarzanych zarówno w zbiorach prowadzonych w systemach informatycznych jak i poza nimi.
Paragraf 3
Ilekroć w „Polityce Bezpieczeństwa” jest mowa o:
· ustawie — rozumie się przez to ustawę o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz.U. z 2018 r. poz. 1000),
· rozporządzeniu — rozumie się przez to Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
· danych osobowych – rozumie się przez to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej,
· zbiorze danych – rozumie się przez to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie,
· przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie,
· systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
· zabezpieczeniu danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
· usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą,
· administratorze danych osobowych (także jako „ADO”) lub podmiocie – rozumie się przez to podmiot wskazany w § 1 pkt 1 niniejszego dokumentu,
· odbiorcy – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania,
· inspektorze ochrony danych – zwanego dalej IOD – rozumie się przez to osobę wyznaczoną przez ADO w celu nadzorowania i przestrzegania zasad ochrony,
· administratorze systemów informatycznych – zwanego dalej ASI — rozumie się przez to osobę administrującą systemem informatycznym, powołaną przez ADO lub ADO o ile samodzielnie wykonuje zadania ASI.
Rozdział 2
Przetwarzanie danych, środki techniczne i organizacyjne niezbędne dla zapewnienia ochrony danych osobowych
Paragraf 4
1. ADO jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przez ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
2. ADO w podmiocie nie powołuje IOD, w związku z czym wykonuje zadania w zakresie ochrony danych osobowych samodzielnie, może też powierzyć niektóre z zadań upoważnionym pracownikom, zobowiązanym do zachowania poufności i wszelkich niezbędnych zasad ochrony danych osobowych.
3. Do zadań ADO należy:
a) nadzorowanie i sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
b) opracowanie i aktualizowanie dokumentacji opisującej sposób przetwarzania danych, zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną,
c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
d) prowadzenie rejestru czynności przetwarzania danych osobowych,
e) wprowadzenie i nadzorowanie fizycznych zabezpieczeń pomieszczeń w których przetwarzane są dane osobowe, w tym nadzorowanie dostępu do tych pomieszczeń,
f) zapoznawanie się z wytycznymi, zaleceniami oraz praktykami określonymi przez Europejską Radę Ochrony Danych na podstawie art. 70 RODO i uwzględnianie ich w swoich działaniach związanych z przetwarzaniem danych.
Paragraf 5
Dane osobowe są przechowywane przez okres nie dłuższy niż jest to niezbędne do celów, dla których Dane te są przetwarzane. Okresy przechowywania poszczególnych kategorii Danych osobowych określa rejestr czynności przetwarzania danych osobowych. Rejestr określa też jakie rodzaje zbiorów danych są przetwarzane przez ADO oraz struktury zbiorów i sposób przepływu danych.
Paragraf 6
1. Dane osobowe w formie papierowej oraz innych dokumentów fizycznych powinny znajdować się w zamkniętych szafach, sejfach, pomieszczeniach zamykanych na klucz, do których dostęp mają tylko osoby posiadające aktualne upoważnienie do przetwarzania danych osobowych.
2. Dane przetwarzane są w pomieszczeniach będących siedzibą podmiotu – w Łodzi, przy ulicy Tymienieckiego 16 d lok. 61.
Paragraf 7
1. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez ADO.
2. ADO nadaje pracownikom i współpracownikom, którzy przetwarzają dane, odpowiednie upoważnienia w formie określonej załącznikiem do Polityki bezpieczeństwa.
3. ADO prowadzi Ewidencję osób przetwarzających dane w podmiocie na podstawie upoważnienia.
Paragraf 8
Na wniosek osoby, której dane dotyczą, ADO jest obowiązany bez zbędnej zwłoki, nie później jednak niż w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych informacji. W razie potrzeby, termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań, uprzedzając o tym osobę, której dane dotyczą.
ADO zobowiązany jest – z uwzględnieniem rozwiązań przyjętych przez RODO – do respektowania praw osób, których dane dotyczą w zakresie:
1) żądania sprostowania lub uaktualnienia danych osobowych;
2) żądania ograniczenia przetwarzania danych osobowych;
3) wniesienia sprzeciwu wobec przetwarzania danych osobowych;
4) żądania usunięcia danych osobowych;
5) żądania potwierdzenia przetwarzania, dostępu do danych i uzyskania ich kopii;
6) żądania przeniesienia danych osobowych;
7) odwołania zgody na Przetwarzanie danych osobowych;
8) zaniechania zautomatyzowanego podejmowania decyzji.
Paragraf 9
ADO może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych osobowych. Podmiot ten, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. Podmiot ten powinien zapewnić odpowiedni, wymagany przepisami poziom ochrony danych osobowych.
Paragraf 10
Sposób zabezpieczenia oraz przetwarzania danych w systemie informatycznym reguluje Instrukcja Zarządzania Systemem Informatycznym.
Paragraf 11
1. ADO wykonuje swoje obowiązki przestrzegając zasady podejścia opartego na ryzyku – jest on w szczególności zobowiązany do przeprowadzenia analizy procesów przetwarzania i dokonania ogólnej oceny ryzyka, jakie wiąże się z przetwarzaniem danych w konkretnym przypadku.
2. Jeżeli na podstawie analizy ryzyka ADO stwierdzi, że dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych i w tym celu weryfikuje charakter, zakres, kontekst i cele przetwarzania.
3. Ocena skutków planowanych operacji jest wymagana w szczególności w przypadku, gdy przetwarzanie danych spełnia co najmniej dwa z poniższych kryteriów:
1) przetwarzanie obejmuje szczególne kategorie danych osobowych lub dane osób poniżej 16 roku życia,
2) przetwarzanie wiąże się z oceną, zwłaszcza profilowaniem i prognozowaniem bazującym na zliczeniu osób fizycznych, efektach pracy, sytuacji ekonomicznej, preferencji lub zainteresowań,
3) dochodzi do automatycznego podejmowania decyzji wywołującej dla danej osoby skutki prawne lub inne istotnie na nią wpływające,
4) dochodzi do przetwarzania danych na dużą skalę;
5) przetwarzanie jest wykorzystywane do obserwacji, monitorowania lub kontrolowania osób, których dane dotyczą,
6) następuje innowacyjne wykorzystanie lub stosowanie nowych rozwiązań technologicznych lub organizacyjnych;
3. Administrator uwzględnia wykazy rodzajów operacji przetwarzania podlegających lub niepodlegających wymogowi dokonania oceny skutków dla ochrony danych, ustanowione przez zgodnie z art. 35 ust. 4 i 5 RODO.
4. Jeżeli ocena skutków dla ochrony danych wykaże, że przy braku lub niedostatecznym poziomie planowanych zabezpieczeń środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko przetwarzanie powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a ADO uznaje, że ryzyka tego nie da się zminimalizować środkami rozsądnymi z punktu widzenia dostępnych technologii i kosztów wdrożenia, ADO powinien zaniechać takiego przetwarzania danych osobowych lub przed rozpoczęciem przetwarzania konsultować się z organem nadzorczym w rozumieniu RODO i ustawy.
Rozdział 3
Postepowanie w przypadku naruszeń
Paragraf 12
1. Naruszenie ochrony Danych osobowych oznacza każde naruszenie bez względu na jego przyczynę prowadzące do nieautoryzowanego dostępu do danych osobowych lub ich nieuprawnionego ujawnienia, do ich zniszczenia, utracenia, zmodyfikowania lub pozyskania z nielegalnych źródeł.
2. W przypadku stwierdzenia naruszenia lub zaistnienia sytuacji, które mogą wskazywać na naruszenie ochrony danych każdy pracownik podmiotu lub osoba świadcząca usługi na innej podstawie na rzecz ADO powinna przerwać wykonywanie czynności związanych z przetwarzaniem danych, zabezpieczyć je w niezbędnym zakresie i zgłosić tę okoliczność ADO lub osobie przez niego upoważnionej.
3. ADO lub osoba przez niego upoważniona podejmuje wszelkie niezbędne działania mające na celu minimalizację negatywnych skutków zdarzenia, wyjaśnienie okoliczności zdarzenia i zabezpieczenie ewentualnych dowodów zdarzenia. ADO lub osoba przez niego upoważniona przygotowuje raport, w którym przedstawia okoliczności i charakter powstałego naruszenia, kategorie i przybliżoną liczbę osób oraz danych, których dotyczy naruszenie, spodziewane konsekwencje naruszenia, wnioski i zalecenia ograniczające możliwość wystąpienia podobnego zdarzenia w przyszłości a także opis podjętych działań.
4. W przypadku stwierdzenia naruszenia ochrony danych osobowych ADO bez zbędnej zwłoki, nie później jednak niż w ciągu 72 godzin od stwierdzenia naruszenia, zgłasza je organowi nadzorczemu. Jeżeli zgłoszenie zostanie dokonane po wskazanym terminie należy dołączyć wyjaśnienie przyczyn opóźnienia. Jeżeli nie jest możliwe przekazanie organowi nadzorczemu wszystkich niezbędnych informacji, ADO może ich udzielać sukcesywnie w miarę ich gromadzenia lub ustalania.
5. Zgłoszenie naruszenia ochrony danych osobowych do organu nadzorczego nie jest wymagane, jeśli jest mało prawdopodobne, aby naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób których dane są przetwarzane.
Paragraf 13
1. W przypadku, gdy zdarzenie może powodować wysokie ryzyko naruszenia praw lub wolności osób których dane są przetwarzane, ADO bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o wystąpieniu naruszenia.
2. Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, jeżeli:
1) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
2) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;
3) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
Rozdział 4
Postanowienia końcowe
Paragraf 14
1. Nieprzestrzeganie zasad określonych w Polityce bezpieczeństwa stanowi w przypadku pracowników naruszenie obowiązków pracowniczych i może stanowić podstawę stosowania środków określonych w Kodeksie pracy.
2. Każdy pracownik powinien zostać zaznajomiony z Polityką bezpieczeństwa, co potwierdza stosownym oświadczeniem.
Paragraf 15
Polityka bezpieczeństwa wchodzi w życie z dniem 17.01.2022r.
Podpis ADO: Norbert Korczyński – Prezes Zarządu