Polityka prywatności

POLITYKA OCHRONY DANYCH OSOBOWYCH

w Instytucie Roździeńskiego (tekst jednolity na dzień 28.07.2025 r.)

I. Postanowienia ogólne

  1. Niniejszy dokument zatytułowany „Polityka ochrony danych osobowych” (dalej jako Polityka) stanowi zespół wymogów, zasad i regulacji ochrony danych osobowych w Instytucie Roździeńskiego z siedzibą w Katowicach, przy ul. Mariackiej 37/6 (dalej jako Administrator).

Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) .

Ochrona danych osobowych w realizowana jest poprzez zabezpieczenia fizyczne, organizacyjne, oprogramowanie systemowe, aplikacje oraz użytkowników.

  • Polityka zawiera:
    • opis zasad ochrony danych obowiązujących u Administratora;
    • odwołania do załączników uszczegóławiających (wzorcowe procedury lub instrukcje dotyczące poszczególnych obszarów z zakresu ochrony danych osobowych wymagających doprecyzowania w odrębnych dokumentach);
  • Odpowiedzialny za wdrożenie i utrzymanie niniejszej Polityki jest Administrator danych a za nadzór i monitorowanie przestrzegania Polityki odpowiada Inspektor Ochrony Danych (IOD), a razie braku powołania IOD – wyznaczona przez Administratora osoba odpowiedzialna za przetwarzanie danych osobowych, a w razie jej braku – Prezes Zarządu.
  • Za stosowanie niniejszej Polityki odpowiedzialni są:
    • Administrator;
    • wszyscy członkowie personelu Administratora.

Administrator powinien też zapewnić zgodność postępowania kontrahentów Administratora z niniejszą Polityką w odpowiednim zakresie, gdy dochodzi do przekazania im danych osobowych przez Administratora.

  • Na potrzeby niniejszej Polityki, przyjmuje się następujące znaczenie dla poniżej wymienionych sformułowań:
    • „RODO” – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, Dz. Urz. UE L 119 z 04.05.2016 r. z późniejszymi zmianami);
    • „ustawa o ochronie danych osobowych” – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 z późniejszymi zmianami);
  • Polityka” – Polityka ochrony danych osobowych u Administratora;
    • „dane osobowe” – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizyczne;
    • „szczególne kategorie danych” – dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetycznych lub dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby
    • „przetwarzanie danych” – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
    • „Administrator” – Instytut Roździeńskiego, decydujący o celach i środkach przetwarzania danych;
    • „podmiot przetwarzający” – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora;
    • „organ nadzorczy” – Prezes Urzędu Ochrony Danych Osobowych;
    • „podmiot danych” – osoba, której dane dotyczą;
    • „odbiorca danych” – osoba fizyczna lub prawna, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe; organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem UE lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców;
    • „naruszenie ochrony danych osobowych” – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
  • Celem Polityki jest przyjęcie, wdrożenie i realizacja działań przy wykorzystaniu środków technicznych i organizacyjnych, które zapewnią maksymalny poziom bezpieczeństwa procesu przetwarzania danych osobowych. Cele Polityki realizowane są poprzez zapewnienie danym osobowym następujących cech:
  1. poufności – dane nie będą udostępniane nieupoważnionym podmiotom
    1. integralności – dane nie zostaną zmienione lub zniszczone w sposób nieautoryzowany
    1. dostępności – dane będą dostępne i użyteczne na żądanie upoważnionego podmiotu.
  2. Administrator przetwarza dane osobowe z poszanowaniem następujących zasad:
    1. w oparciu o podstawę prawną i zgodnie z prawem (legalizm) – zgodność z prawem przetwarzania oznacza, że podstawą prawną przetwarzania jest jedna z przesłanek wymienionych w art. 6 ust. 1 RODO, a w przypadku szczególnych kategorii danych – w art. 9 ust. 2 RODO;
    1. rzetelnie i uczciwie (rzetelność);
    1. w sposób przejrzysty dla osoby, której dane dotyczą (transparentność);
    1. w konkretnych celach i nie „na zapas” (minimalizacja);
    1. nie więcej niż potrzeba (adekwatność);
    1. z dbałością o prawidłowość danych (prawidłowość);
    1. nie dłużej niż potrzeba (czasowość);
    1. zapewniając odpowiednie bezpieczeństwo danych (poufność, integralność i dostępność)
    1. zapewniając wykazanie przestrzegania powyższych zasad (rozliczalność).
  3. Administrator może przetwarzać dane osobowe innych niż szczególne kategorie danych, tylko gdy:
    1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
    1. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
    1. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
    1. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
    1. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
    1. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

II.  Osoby odpowiedzialne za przetwarzanie danych

  1. Administrator

Administrator stosuje środki techniczne i organizacyjne zapewniające ochronę danych osobowych odpowiednią do zagrożeń, kategorii przetwarzanych danych oraz zabezpiecza posiadane dane przed ich udostępnieniem, zmianą, utratą, uszkodzeniem, zniszczeniem lub przetwarzaniem przez osobę nieuprawnioną.

Na Administratorze spoczywają w szczególności następujące obowiązki:

  1. Obowiązek informacyjny
    1. Obowiązki związane z realizacją uprawnień osób, których dane dotyczą
    1. Minimalizacji danych
    1. Prawidłowego udostępniania i powierzenia przetwarzania danych
    1. Nadawania upoważnień do przetwarzania danych
    1. Prowadzenia rejestru czynności przetwarzania oraz, jeśli ma to zastosowanie, rejestru wszystkich kategorii czynności przetwarzania
    1. Wdrożenia    odpowiednich    środków    technicznych    i    organizacyjnych    dla    zapewnienia bezpieczeństwa danych
    1. Dokonywania ogólnej analizy ryzyka oraz, jeśli ma to zastosowanie, oceny skutków dla ochrony danych
    1. Obowiązki w sytuacji naruszenia ochrony danych osobowych
  2. Inspektor ochrony danych

W przypadku powołania IOD, do jego obowiązków należy:

  1. monitorowanie przestrzegania RODO , w szczególności przez:
    1. zbieranie informacji w celu identyfikacji procesów przetwarzania;
    1. analizowanie i sprawdzanie zgodności tego przetwarzania;
    1. informowanie, doradzanie i rekomendowanie określonych działań administratorowi danych lub podmiotowi przetwarzającemu;
    1. zapewnianie  zapoznania  osób  upoważnionych  do  przetwarzania danych  osobowych z przepisami o ochronie danych osobowych („szkolenie”);
    1. udzielanie informacji na temat obowiązków wynikających z RODO oraz doradzenie w tej sprawie
    1. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania, pełnienie funkcji punktu kontaktowego
    1. prowadzenie i aktualizowanie rejestru czynności przetwarzania danych oraz, jeśli ma to zastosowanie, rejestru kategorii czynności przetwarzania.

Administrator danych może powierzyć IOD wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania przez IOD obowiązków.

  • W przypadku braku powołania IOD wyznaczona przez Administratora osoba odpowiedzialna za przetwarzanie danych osobowych, a w razie jej braku – Prezes Zarządu, zbiera informacje w celu identyfikacji procesów przetwarzania, a także prowadzi i aktualizuje rejestr czynności przetwarzania danych oraz, jeśli ma to zastosowanie, rejestr kategorii czynności przetwarzania.
  • Osoby upoważnione do przetwarzania danych

Każda osoba, która uzyskała upoważnienie do przetwarzania danych osobowych jest zobowiązana do:

  1. ich ochrony w sposób zgodny z obowiązującymi przepisami prawa
    1. do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczania
    1. do informowania o wszelkich podejrzeniach naruszenia lub zauważonych naruszeniach oraz słabościach systemu przetwarzającego dane osobowe.

Każda osoba, która uzyskała upoważnienie do przetwarzania danych osobowych jest odpowiedzialna za bezpieczeństwo danych, do których ma dostęp; w szczególności w systemach informatycznych odpowiada za poprawne wprowadzanie informacji do tych systemów oraz za użycie, zniszczenie lub uszkodzenie sprzętu oraz znajdujących się na nim danych i oprogramowania.

Każda osoba, która uzyskała upoważnienie do przetwarzania danych osobowych ma w szczególności obowiązek:

  1. zapoznania się z obowiązującymi przepisami prawa z zakresu ochrony danych osobowych oraz dokumentacją dotyczącą ochrony danych osobowych obowiązującą u Administratora;
  2. przechodzenia okresowych szkoleń z obszaru ochrony danych osobowych;
  3. stosowania procedur i środków przetwarzania oraz zabezpieczania danych osobowych, określonych przez Administratora;
  4. dopilnowania, aby przebywanie osób nieupoważnionych w pomieszczeniach, w których przetwarzane są dane osobowe, miało miejsce wyłącznie w obecności osoby upoważnionej;
  5. dopilnowania, aby przeznaczone do usunięcia dokumenty, zawierające dane osobowe niszczone były w stopniu uniemożliwiającym ich odczytanie; w szczególności zabronione jest wyrzucanie dokumentów do koszy na śmieci;
  6. przetwarzania danych osobowych w systemie informatycznym wyłącznie na własnym koncie użytkownika, zgodnie z nadanym identyfikatorem,
  7. przestrzegania procedur właściwego użytkowania system w informatycznych, w których przetwarza się dane osobowe, w tym do nieujawniania innym użytkownikom swoich loginów i haseł;
  8. zachowania należytej staranności podczas przekazywania danych osobowych drogą telefoniczną (konieczność właściwej identyfikacji rozmówcy, konieczność ustalenia, czy rozmówca jest uprawniony do pozyskania danych osobowych, przekazywanie jedynie niezbędnych informacji);
  1. przesyłania danych osobowych za pomocą sieci Internet jedyne z użyciem metod kryptograficznych (szyfrowanie danych, kanały bezpiecznej transmisji);
  2. niekopiowanie danych na inne nośniki bez wyraźnego polecenia przełożonego;
  3. zachowania należytej ostrożności przy transporcie dokumentów oraz nośników informatycznych, zawierających dane osobowe, poza obszarem przetwarzania,
  4. niepozostawiania dokumentów, zawierających dane osobowe na urządzeniach wielofunkcyjnych (drukowanie, kopiowanie);
  5. nieopuszczania stanowiska bez zabezpieczenia dokumentów papierowych, zawierających dane osobowe (zasada „czystego biurka”)
  6. nieopuszczania stanowiska bez zabezpieczania dostępu do danych przetwarzanych w systemie informatycznym (zasada „czystego ekranu”).

III.  Obowiązek informacyjny

  1. Administrator dba o czytelność i styl przekazywanych informacji i komunikacji z podmiotami danych.
    1. Administrator ułatwia podmiotom danych korzystanie z ich praw poprzez różne działania, w tym poprzez zamieszczenie na stronie internetowej Administratora lub w korespondencji e-mail informacji lub odwołań (linków) do informacji o prawach osób, sposobie skorzystania z nich u Administratora, w tym wymaganiach dotyczących identyfikacji, metodach kontaktu z Administratorem w tym celu, ewentualnym cenniku żądań „dodatkowych” itp.
    1. Administrator dba o dotrzymywanie prawnych terminów realizacji obowiązków względem podmiotów danych.
    1. Administrator stosuje adekwatne metody identyfikacji i uwierzytelniania osób dla potrzeb realizacji praw jednostki i obowiązków informacyjnych.
    1. W celu realizacji praw jednostki Administrator stosuje procedury i mechanizmy pozwalające zidentyfikować dane konkretnych osób przetwarzane przez Administratora, zintegrować te dane, wprowadzać do nich zmiany lub usuwać w sposób zintegrowany.
    1. Administrator dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań osób.
    1. W przypadku zbierania danych osobowych na formularzach, umowach, drukach (zarówno papierowych jak i elektronicznych) należy umieszczać na nich odpowiednią klauzulę informacyjną.
    1. Na podstawie art. 13 i 14 RODO można wyróżnić dwie sytuacje spełniania obowiązku informacyjnego:
      1. kiedy dane zbierane są bezpośrednio od osoby, której dane dotyczą (art. 13 RODO)
      1. kiedy dane zbierane są od podmiotu trzeciego (art. 14 RODO).
  • Osoby, które wykonują zadania związane ze zbieraniem danych osobowych są odpowiedzialne za realizację obowiązków informacyjnych określonych w art. 13 i 14 RODO.
    • Podczas pozyskiwania danych osobowych od osoby, której dane dotyczą, osoba realizująca tę czynności, w imieniu Administratora, jest zobowiązana do przekazania (zgodnie z art. 13 RODO) w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie następujących informacji:
  • pełnych danych kontaktowych Administratora danych,
  • danych kontaktowych Inspektora Ochrony Danych Osobowych (jeśli został powołany), ponadto informacji o:
  • celu przetwarzania danych oraz podstawie prawnej przetwarzania,
  • odbiorcach danych osobowych lub o kategoriach odbiorców (jeśli istnieją),
  • zamiarze przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych (jeśli to będzie miało miejsce),
  • okresie przechowywania danych,
  • przysługującej osobie prawie do żądania dostępu do danych i ich poprawiania, usunięcia, ograniczenia przetwarzania, jak również prawie wniesienia sprzeciwu wobec przetwarzania, prawie do przenoszenia danych, wniesienia skargi do Prezesa Urzędu Ochrony Danych,
  • czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych
  • zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu (jeśli to będzie miało miejsce). Przepisy w zakresie realizacji obowiązku informacyjnego nie mają zastosowania, gdy i w zakresie, w jakim, osoba, której dane dotyczą, dysponuje już tymi informacjami ( art. 13 ust. 4 RODO).
    • Podczas pozyskiwania danych osobowych w inny sposób niż od osoby, której dane dotyczą (art. 14 RODO), osoba realizująca tę czynności, w imieniu Administratora, jest zobowiązana do przekazania w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie informacje zawarte w pkt 9 powyżej (oprócz informacji czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych), uzupełnione informacjami o :
  • kategoriach danych osobowych, w tym czy to są dane zwykłe czy szczególne kategorie danych
  • źródle pochodzenia danych osobowych tj. w jaki sposób weszliśmy w ich posiadanie.

Przepisy w zakresie realizacji obowiązku informacyjnego nie mają zastosowania ( art. 14 ust. 5 RODO):

  1. gdy i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami,
  • udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku,
    • pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem UE lub prawem państwa członkowskiego, któremu podlega administrator, , przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą,
    • dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie UE lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy
    • Obowiązek informacyjny wykonywać należy niezwłocznie po uzyskaniu danych osobowych (najpóźniej do miesiąca), a w przypadku, gdy dane pozyskane mają być wykorzystywane do komunikacji z osobą, której dotyczą – najpóźniej przy pierwszej takiej komunikacji, a jeśli mają być udostępnione odbiorcy – najpóźniej przy pierwszym udostępnieniu.
    • Administrator może wdrożyć procedurę realizacji obowiązku informacyjnego.
    • Wzory klauzuli informacyjnej stanowią załączniki nr 1A-1D do Polityki.

IV.  Obowiązki związane z realizacją uprawnień osób, których dane dotyczą

  1. Podmiotowi danych przysługują następujące prawa:
    1. prawo dostępu, w tym prawo do uzyskania kopii danych osobowych podlegających przetwarzaniu (art. 15 RODO);
    1. prawo do sprostowania lub uzupełnienia danych (art. 16 RODO);
    1. prawo do usunięcia danych (prawo do bycia zapomnianym) (art. 17 RODO);
    1. prawo do ograniczenia przetwarzania (art. 18 RODO);
    1. obowiązek    powiadomienia    o sprostowaniu    lub    usunięciu    danych    osobowych    lub o ograniczeniu przetwarzania (art. 19 RODO);
    1. prawo do przenoszenia danych (art. 20 RODO);
    1. prawo do sprzeciwu (art. 21 RODO)
    1. prawo do niepodlegania zautomatyzowanej decyzji, w tym profilowaniu (art. 22 RODO).
  2. Administrator komunikując się z podmiotem danych w zakresie przysługujących mu na mocy art. 15-22 RODO uprawnień, powinien udzielać mu niezbędnych informacji w zwięzłej, przejrzystej i łatwo zrozumiałej formie. Powinien używać jasnego i prostego języka oraz unikać skomplikowanych struktur językowych, tak aby dla osoby, której dane dotyczą, jasny był sens kierowanego do niej komunikatu.
  • Administrator może udzielić informacji osobie, której dane dotyczą, na piśmie lub w inny sposób, w tym elektronicznie. Na wyraźne żądanie osoby, której dane dotyczą, administrator może udzielić jej informacji ustnie, pod warunkiem, że potwierdzi jej tożsamość w inny sposób.
  • W odpowiedzi na żądanie osoby, której dane dotyczą, Administrator powinien bez zbędnej zwłoki – nie później jednak niż w terminie 1 miesiąca od otrzymania żądania – udzielić jej informacji o działaniach podjętych w związku z tym żądaniem. Ze względu na skomplikowany charakter żądania lub liczbę żądań, jednomiesięczny termin można wydłużyć o dodatkowe dwa miesiące, o czym należy poinformować osobę, której dane dotyczą.
  • Administrator może wdrożyć procedurę realizacji uprawnień podmiotów danych.
  • Żądania podmiotów danych podlegają odnotowaniu w rejestrze, którego wzór zawarto w załączniku nr 2 do Polityki.

V.  Minimalizacja danych

  1. Administrator zapewnia minimalizację przetwarzania danych pod kątem:
    1. adekwatności danych do celów (ilości danych i zakresu przetwarzania),
    1. dostępu do danych,
    1. czasu przechowywania danych.
  2. Minimalizacja zakresu

Administrator zweryfikował zakres pozyskiwanych danych, zakres ich przetwarzania i ilość przetwarzanych danych pod kątem adekwatności do celów przetwarzania w ramach wdrożenia RODO.

Administrator dokonuje okresowego przeglądu ilości przetwarzanych danych i zakresu ich przetwarzania nie rzadziej niż raz na rok.

Administrator przeprowadza weryfikację zmian co do ilości i zakresu przetwarzania danych, kierując się zasadami privacy by design i privacy by default, uwzględnianymi w każdym procesie związanym z przetwarzaniem danych osobowych.

Zasada ochrony danych w fazie projektowania (privacy by design) ma za zadanie ochronę prywatności już na etapie kreowania danego projektu, rozwiązania, narzędzia, aplikacji, funkcjonalności. Jest to też związane z zasadą celowości RODO, czyli rozważeniem jaki cel ma być realizowany poprzez wykorzystywanie danych osobowych oraz w związku z tym jakie dane osobowe będą potrzebne.

Zasada domyślnej ochrony danych osobowych (privacy by default) dotyczy przewidywania możliwych zabezpieczeń danych osobowych w ramach danego projektu, narzędzia, aplikacji, funkcjonalności i wdrażania takich rozwiązań.

  • Minimalizacja dostępu

Administrator stosuje ograniczenia dostępu do danych osobowych:

  1. prawne (zobowiązania do poufności, zakresy upoważnień),
    1. fizyczne (strefy dostępu, zamykanie pomieszczeń) i
    1. logiczne (ograniczenia uprawnień do systemów przetwarzających dane osobowe i zasobów sieciowych, w których rezydują dane osobowe).

Administrator stosuje kontrolę dostępu fizycznego.

Administrator dokonuje aktualizacji uprawnień dostępowych (upoważnień) przy zmianach w składzie personelu i zmianach stanowisk osób, oraz zmianach podmiotów przetwarzających.

Administrator dokonuje okresowego przeglądu ustanowionych użytkowników systemów i dokonuje aktualizacji w tym zakresie nie rzadziej niż raz na rok.

Dalsze zasady kontroli dostępu fizycznego i logicznego zawarte są w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz mogą być uszczegółowione w dalszych w procedurach przyjętych przez Administratora.

  • Minimalizacja czasu

Administrator monitoruje cykl życia danych osobowych, w tym nie rzadziej niż raz w roku dokonuje weryfikacji dalszej przydatności danych względem terminów wskazanych w rejestrze czynności przetwarzania. Weryfikacja obejmuje sprawdzenie, czy dane osobowe, dla których upłynął okres przechowywania wynikający z przepisów prawa lub regulacji wewnętrznych zostały usunięte, a także sprawdzenie, czy w odniesieniu do danych osobowych, których czas przechowywania nie został określony przez właściwe przepisy prawa lub regulacje wewnętrzne, nadal istnieje podstawa prawna oraz cel przetwarzania danych osobowych.

Administrator może wdrożyć procedurę retencji danych, określającą szczegółowe zasady i okresy przechowywania danych, uwzględniającą wymagania kontroli nad cyklem życia danych, w tym wymogi usuwania danych. Dane osobowe są przetwarzane nie dłużej niż przez czas określony przez właściwe przepisy prawa lub regulacje wewnętrzne. Dane osobowe, dla których okres przetwarzania nie wynika z obowiązujących przepisów w prawa i dla których nie jest możliwe określenie z góry tego okresu w wewnętrznych przepisach, są przetwarzane wyłącznie tak długo, jak długo istnieje jednocześnie podstawa prawna oraz cel dla ich przetwarzania; ustanie celu przetwarzania danych osobowych jest równoznaczne z koniecznością ich usunięcia.

Dane, których zakres przydatności ulega ograniczeniu wraz z upływem czasu są usuwane z systemów informatycznych Administratora, jak też z akt podręcznych i głównych. Dane takie mogą być archiwizowane oraz znajdować się na kopiach zapasowych. Administrator tworzy kopie zapasowe danych znajdujących się na urządzeniach służących do przetwarzania danych

osobowych, co w razie braku odmiennych ustaleń powinno następować nie rzadziej niż raz na 30 dni poprzez zapis na dysku zewnętrznym lub sieciowym.

VI.  Udostępnianie danych i powierzenie przetwarzania danych

  1. Administrator zobowiązany jest zapewnić by udostępnianie danych i powierzenie przetwarzania danych następowało zgodnie z obowiązującymi przepisami.
  2. Administrator może udostępnić dane innemu podmiotowi, jeżeli posiada ku temu podstawę prawną.

Osoby, które udostępniają dane osobowe do podmiotu zewnętrznego (w formie papierowej lub elektronicznej), przed ich udostępnieniem mają obowiązek sprawdzić czy istnieją podstawy prawne umożliwiające wykonanie tej czynności, w tym w szczególności:

  1. wymóg prawa dotyczący udostępnienia danych;
    1. zgoda osoby na udostępnienie danych innemu podmiotowi;
    1. zapis w umowie z podmiotem współpracującym, przy spełnieniu warunku, że udostępnienie nie narusza praw i wolności osoby, której dane dotyczą;
    1. wniosek o udostępnienie danych od podmiotu uprawnionego, ze wskazaniem podstawy prawnej do otrzymywania danego rodzaju danych osobowych.

Podmiot, któremu udostępniono dane staje się administratorem tych danych.

  • Administrator może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.

Jeżeli Administrator ma zamiar powierzyć przetwarzanie danych osobowych podmiotowi przetwarzającemu, zgodnie z art. 28 RODO musi podjąć dwa rodzaje działań:

  1. powinien zweryfikować czy podmiot, któremu ma zamiar powierzyć przetwarzanie danych zapewnia  wystarczające  gwarancje  wdrożenia  odpowiednich  środków  technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
  2. W przypadku pozytywnej weryfikacji administrator musi zawrzeć z podmiotem przetwarzającym umowę powierzenia przetwarzania. Umowa ta powinna zawierać wszystkie elementy określone w art. 28 ust. 3 RODO.

Podmiot, któremu powierzono dane do przetwarzania, może przetwarzać je wyłącznie w zakresie i celu przewidzianym w umowie.

  • Administrator może wdrożyć procedurę powierzania i udostępniania danych.
  • Wzór umowy powierzenia stanowi załącznik nr 3 do Polityki.

VII. Upoważnienie do przetwarzania danych

  1. Administrator jest zobowiązany nadać upoważnienie do przetwarzania danych osobowych każdej osobie, która będzie dopuszczona do przetwarzania danych.
  2. Upoważnienie musi zawierać:
    1. datę nadania
    1. okres ważności
    1. wskazanie zakresu upoważnienia.
  3. Administrator danych prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych.
  4. Administrator zobowiązany jest do zapoznania każdej zatrudnionej osoby z przepisami dotyczącymi ochrony danych osobowych oraz uregulowaniami wewnętrznymi obowiązującymi w tym zakresie.
  5. Administrator zobowiązany jest do odebrania od każdej zatrudnionej osoby oświadczenia o zobowiązaniu się do zachowania poufności.
  6. Upoważnienia nadane zatrudnionym osobom przez Administratora danych obowiązują do momentu nadania nowego upoważnienia, jego odwołania lub wygaśnięcia.
  7. Upoważnienie do przetwarzania danych osobowych wygasa z chwilą upływu terminu wypowiedzenia lub rozwiązania umowy zawartej przez administratora danych z osobą, której zostało nadane lub w przypadku nadania go na czas określony, wraz z upływem czasu na jaki zostało nadane.
  8. Osoba, której nadano upoważnienie do przetwarzania danych osobowych nie ma prawa do nadawania dalszych upoważnień.
  9. Wzór upoważnienia wraz z ewidencją osób upoważnionych stanowi załącznik nr 4 do Polityki.

VIII.  Rejestr czynności przetwarzania

  1. Rejestr czynności przetwarzania (dalej RCP) stanowi formę identyfikacji czynności przetwarzania, za które Administrator jest odpowiedzialny oraz opisu podstawowych zagadnień dotyczących tych czynności w celu zapewnienia zgodności z RODO.
  2. W RCP, którego wzór stanowi załącznik nr 5 do Polityki, dla każdej czynności przetwarzania danych, którą Administrator uznał za odrębną dla potrzeb Rejestru, Administrator odnotowuje co najmniej swoje imię, nazwisko lub nazwę oraz dane kontaktowe a także (rubryki obligatoryjne):
    1. nazwę czynności przetwarzania,
    1. cel przetwarzania,
  • opis kategorii podmiotów danych,
    • opis kategorii danych,
    • opis kategorii odbiorców danych
    • informację o przekazaniu danych do państwa trzeciego lub organizacji międzynarodowej
    • planowane terminy usunięcia poszczególnych kategorii danych
    • ogólny opis technicznych i organizacyjnych środków ochrony danych
    • imię, nazwisko lub nazwę oraz dane kontaktowe współadministratorów (jeśli dotyczy)
    • imię, nazwisko lub nazwę oraz dane kontaktowe IOD (jeżeli został powołany).
  • Administrator może zawrzeć w RCP także inne informacje w celu zapewnienia przestrzegania w pełniejszym zakresie zasad wynikających z RODO, w tym w szczególności (rubryki fakultatywne):
    • podstawę prawną przetwarzania wskazaną w art. 6 ust. 1 RODO lub w art. 9 ust. 2 RODO,
    • źródło danych,
    • lokalizację danych oraz osobę lub dział odpowiedzialną za daną czynność przetwarzania,
    • zasoby służące do przetwarzania danych.
  • Wskazując w RCP ogólną podstawę prawną, Administrator dookreśla ją w czytelny sposób (w szczególności wskazując zakres zgody, rodzaj umowy, prawnie uzasadniony interes lub przepis prawa), gdy uzna to potrzebne.
  • RCP jest prowadzony w formie papierowej lub elektronicznej.
  • RCP stanowi wewnętrzną dokumentację Administratora i jest udostępniany organowi nadzorczemu na jego żądanie.
  • Osoba odpowiedzialna za prowadzenie rejestru czynności przetwarzania okresowo, ale nie rzadziej niż 1 raz w roku kalendarzowym dokonuje przeglądu czynności przetwarzania danych w celu aktualizacji prowadzonego rejestru.

IX.  Rejestr kategorii czynności przetwarzania

  1. W przypadku przetwarzania przez Administratora danych osobowych w imieniu innego podmiotu, Administrator (jako podmiot przetwarzający) prowadzi rejestr wszystkich kategorii czynności przetwarzania (RWKCP).
  2. W RWKCP, którego wzór stanowi załącznik nr 6 do Polityki, Administrator odnotowuje co najmniej swoje imię, nazwisko lub nazwę oraz dane kontaktowe a także (rubryki obligatoryjne):
    1. kategorie przetwarzań dokonywanych w imieniu innych administratorów danych,
    1. informację o przekazaniu danych do państwa trzeciego lub organizacji międzynarodowej,
    1. ogólny opis technicznych i organizacyjnych środków ochrony danych,
  • imię, nazwisko lub nazwę oraz dane kontaktowe administratora, w imieniu którego działa jako podmiot przetwarzający,
    • imię, nazwisko lub nazwę oraz dane kontaktowe IOD (jeżeli został powołany).
  • Administrator może zawrzeć w RWKCP także inne informacje w celu zapewnienia stosowania w pełniejszym zakresie zasad wynikających z RODO, w tym w szczególności (rubryki fakultatywne):
    • czas trwania umowy powierzenia,
    • imię, nazwisko lub nazwę oraz dane kontaktowe, któremu podpowierzono przetwarzanie danych,
    • kategorie podpowierzonych przetwarzań.
  • RWKCP jest prowadzony w formie papierowej lub elektronicznej.
  • RWKCP stanowi wewnętrzną dokumentację Administratora i jest udostępniany organowi nadzorczemu na jego żądanie.

X.  Bezpieczeństwo

  1. Bezpieczeństwo danych osobowych u Administratora zostało zaprojektowane z uwzględnieniem podejścia opartego na ryzyku (risk based approach) oraz zasady rozliczalności.
  2. Administrator projektując zabezpieczenia danych osobowych uwzględnia:
    1. stan wiedzy technicznej,
    1. koszt wdrożenia,
    1. charakter, kontekst i cele przetwarzania,
    1. ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.
  3. Administrator danych zabezpieczając dane osobowe stosuje m.in.:
    1. pseudominizację (przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej – art. 4 pkt 5 RODO) i szyfrowanie danych osobowych,
    1. zdolność do ciągłego zapewniania poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
    1. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • regularne  testowanie,  mierzenie  i ocenianie  skuteczności  środków  technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
  • Administrator zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
  • W celu ochrony danych osobowych stosuje się następujące zabezpieczenia organizacyjne:
    • została opracowana i wdrożona niniejsza Polityka ochrony danych osobowych oraz może zostać opracowany Plan ciągłości działania i instrukcja zarządzania systemem informatycznym,
    • do przetwarzania danych osobowych zostają dopuszczone wyłącznie osoby posiadające ważne upoważnienie Administratora do ich przetwarzania oraz prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych,
    • osoby posiadające upoważnienie do przetwarzania danych osobowych:
      • zostały zobowiązane do zachowania ich w tajemnicy,
      • zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych
      • zostały przeszkolone w zakresie ochrony danych osobowych i zabezpieczeń systemu informatycznego
    • przetwarzanie danych osobowych jest w warunkach zabezpieczających dane osobowe przed dostępem osób nieupoważnionych, w tym:
      • osoby trzecie przebywają w obszarze przetwarzania danych wyłącznie w obecności osoby upoważnionej; osoby trzecie mogą w wyjątkowych okolicznościach przebywać w obszarze przetwarzania danych po uprzednim wydaniu na to upoważnienia przez administratora danych
      • monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym lub mają zamontowane filtry prywatyzujące.
  • W celu ochrony danych osobowych stosuje się następujące środki ochrony fizycznej:
    • drzwi do pomieszczeń stanowiących obszar przetwarzania są zamykane na klucz,
    • dane osobowe w formie papierowej są przechowywane w szafach zamykanych na klucz,
    • w obszarze przetwarzania są niszczarki dokumentów, które nie pozwalają na ich odtworzenie,
    • klucze do obszarów przetwarzania są wydawane osobom upoważnionym; w celu zapewnienia odpowiedniego poziomu bezpieczeństwa może zostać wdrożona polityka kluczy,
    • kopie zapasowe danych osobowych przechowywane są na dysku sieciowym lub na wymiennym w zamkniętej szafie w wyodrębnionym pokoju,
    • pomieszczenia w których przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą wolnostojącej gaśnicy.
  • W celu ochrony danych osobowych stosuje się następujące zabezpieczenia techniczne:
    • dostęp do komputerów, na których znajdują się dane osobowe odbywa się poprzez podanie loginu i hasła;
  • we wszystkich komputerach stosuje się legalne oprogramowanie w tym program antywirusowy;
    • zalecane jest by hasła do systemów informatycznych służących do przetwarzania danych osobowych składały się z co najmniej 8 znaków (małe, wielkie litery, przynajmniej jedna cyfra lub znak specjalny) oraz były zmieniane co 30 dni;
    • dostęp do danych osobowych z sieci publicznej ograniczony jest poprzez zastosowanie sprzętowej zapory ogniowej (Firewall)
  • W celu weryfikacji zastosowanych u Administratora środków w technicznych i organizacyjnych, zapewniających przetwarzanie danych osobowych zgodnie z RODO, wykonuje się ich monitorowanie na bieżąco przez przełożonych oraz poprzez audyty okresowe i doraźne (w sytuacji wystąpienia naruszenia ochrony danych).

XI.  Analiza ryzyka

  1. Administrator przeprowadza i dokumentuje analizy adekwatności środków bezpieczeństwa danych osobowych oraz w tym celu:
    1. zapewnia odpowiedni stan wiedzy o bezpieczeństwie informacji, cyberbezpieczeństwie i ciągłości działania − wewnętrznie lub ze wsparciem podmiotów wyspecjalizowanych
    1. przeprowadza analizy ryzyka naruszenia praw lub wolności osób fizycznych dla czynności przetwarzania danych lub ich kategorii, w tym
      1. ogólną analizę ryzyka
      1. ocenę skutków dla ochrony danych – w przypadku, gdzie ryzyko naruszenia praw i wolności osób jest wysokie;
    1. ustala możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa i ocenia koszt ich wdrażania, w szczególności:
      1. pseudonimizacja,
      1. szyfrowanie lub opatrywanie hasłem danych osobowych,
      1. inne środki cyberbezpieczeństwa składające się na zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
      1. środki zapewnienia ciągłości działania i zapobiegania skutkom katastrof, czyli zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.
  2. Administrator dokonuje ogólnej oceny ryzyka w oparciu o przyjętą przez siebie metodykę.
  3. Ocena skutków dla ochrony danych, w przypadku ustalenia przez Administratora konieczności jej przeprowadzenia tj. uznania, że czynność przetwarzania ze względu na swój charakter, zakres,

kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, dokonywana jest zgodnie z metodyką przyjętą przez Administratora oraz zawiera co najmniej:

  1. systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora
    1. ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów
    1. ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą
    1. środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
  2. Jeżeli ocena skutków dla ochrony danych, wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym.

XII.  Naruszenie ochrony danych

  1. Każda osoba zatrudniona u Administratora w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych (w szczególności włamania, otwarcia zamknięć przez osoby trzecie, zagubienia/kradzieży dokumentów w lub nośników zawierających dane osobowe itp.), zobowiązana jest niezwłocznie poinformować o tym swojego bezpośredniego przełożonego, a w razie jego braku Prezesa Zarządu oraz, w razie jego wyznaczenia, IOD. Informatycy są zobowiązani do bieżącego monitorowania systemów informatycznych Administratora.
  2. Do czasu przybycia na miejsce naruszenia IOD lub osoby wyznaczonej przez administratora, każda zatrudniona osoba powinna:
    1. niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków, a następnie, jeśli to możliwe, ustalić przyczyny, lub sprawców zaistniałego zdarzenia,
    1. zaniechać dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić jego udokumentowanie lub analizę,
    1. udokumentować wstępnie zaistniałe naruszenie,
    1. nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia IOD lub osoby wyznaczonej przez Administratora.
  3. W przypadku naruszenia ochrony danych osobowych, które skutkowałoby naruszeniem praw lub wolności osób fizycznych IOD lub osoba wyznaczona przez administratora, a w razie ich braku – Prezes Zarządu, bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po

stwierdzeniu naruszenia – zgłasza je właściwemu organowi nadzorczemu. W przypadku dokonania zgłoszenia po upływie 72 godzin od stwierdzenia naruszenia administrator powinien załączyć wyjaśnienie przyczyn opóźnienia właściwemu organowi nadzorczemu.

  • Zgłoszenie powinno nastąpić przy użyciu formularza udostępnionego przez Prezesa Urzędu Ochrony Danych Osobowych na stronie internetowej https://uodo.gov.pl oraz co najmniej:
    • opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,
    • zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
    • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych,
    • opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
  • Po wyczerpaniu niezbędnych środków doraźnych po zaistniałym naruszeniu, administrator danych zasięga niezbędnych opinii i proponuje postępowanie naprawcze i zarządza termin wznowienia przetwarzania danych.
  • Jeżeli naruszeniem ochrony danych może spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
  • Zawiadomienie, powinno co najmniej:
    • jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych, oraz
    • zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
    • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych
    • opisywać środki zastosowane lub proponowane przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
  • Administrator może wdrożyć szczegółową procedurę postępowania w razie zaistnienia zagrożenia (incydentu) ochrony danych osobowych.
  • Administrator danych dokumentuje wszystkie naruszenia ochrony danych osobowych w rejestrze naruszeń, stanowiącym załącznik nr 7 do Polityki.

XIII. Postanowienia końcowe

  1. Polityka obowiązuje od dnia jej wprowadzenia w życie w sposób przyjęty u Administratora.
  2. Wszelkie zmiany Polityki obowiązują od dnia ich wprowadzenia w życie w sposób przyjęty u Administratora.
  3. Każdy kto przetwarza dane posiadane przez Administratora zobowiązany jest do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszej dokumentacji ochrony danych osobowych.
  4. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu potraktowane będą jako ciężkie naruszenie obowiązków pracowniczych lub niewykonanie zobowiązania w przypadku stosunku prawnego innego niż stosunek pracy.
  5. W sprawach nieuregulowanych w niniejszej Polityce bezpieczeństwa mają zastosowanie przepisy powszechnie obowiązującego prawa w tym w szczególności przepisy RODO oraz ustawy o ochronie danych osobowych.

XIV.  Załączniki

Załącznikami do Polityki są

1A. Wzór klauzuli informacyjnej dla kontrahenta i zleceniobiorcy 1B. Wzór klauzuli informacyjnej dla pracownika

1C. Wzór klauzuli informacyjnej dla uczestnika szkolenia 1D. Wzór klauzuli informacyjnej dla uczestnika projektu

  • Wzór rejestru realizacji praw podmiotów danych
  • Wzór umowy powierzenia
  • Wzór upoważnienia i ewidencji osób upoważnionych
  • Wzór rejestru czynności przetwarzania
  • Wzór rejestru wszystkich kategorii czynności przetwarzania
  • Wzór rejestru naruszeń ochrony danych osobowych