POLITYKA OCHRONY DANYCH OSOBOWYCH
POLITYKA OCHRONY DANYCH OSOBOWYCH
w Tomaszowskim Centrum Sportu Spółce z ograniczoną odpowiedzialnością
z siedzibą w Tomaszowie Mazowieckim
Na podstawie przepisu art. 24 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.) wdraża się do stosowania niniejszą Politykę Ochrony Danych Osobowych w Tomaszowskim Centrum Sportu Spółce z ograniczoną odpowiedzialnością z siedzibą w Tomaszowie Mazowieckim.
§ 1
DEFINICJE I POJĘCIA ZAWARTE W POLITYCE
- Wszystkie pojęcia i definicje zawarte w Polityce są powiązane z innymi dokumentami,
które obowiązują w Tomaszowskim Centrum Sportu Spółce z ograniczoną odpowiedzialnością z siedzibą w Tomaszowie Mazowieckim w zakresie ochrony danych osobowych. - Określenia użyte w Polityce oznaczają:
- Administrator danych osobowych (ADO) – osoba prawna wpisana do Rejestru Przedsiębiorców w Krajowym Rejestrze Sądowym prowadzonym przez Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi XX Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr. KRS 0000719806 prowadząca działalność gospodarcza pod firmą Tomaszowskie Centrum Sportu Spółka z ograniczoną odpowiedzialnością - która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;
- Anonimizacja – modyfikacja danych osobowych w taki sposób, że nie jest możliwa identyfikacja Podmiotów danych;
- Kierownik IT – osoba upoważniona przez ADO do zarządzania systemem informatycznym, posiadająca odpowiednią wiedzę z zakresu informatyki;
- bezpieczeństwo danych - stan, w którym informacja jest chroniona przed wieloma różnymi zagrożeniami w taki sposób, aby zapewnić ciągłość prowadzenia działalności, zminimalizować straty i zagwarantować zachowanie jej poufności, integralności i dostępności, a dodatkowo również autentyczności, rozliczalności, niezaprzeczalności i niezawodności;
- dane osobowe (dane) – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
- dostępność danych – właściwość zapewniająca, że osoby upoważnione mają dostęp do informacji i związanych z nimi zasobów na żądanie i w określonym czasie;
- hasło - ciąg znaków literowych, cyfrowych lub innych znany jedynie użytkownikowi;
- identyfikator - ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujących osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
- incydent bezpieczeństwa - każde wykryte naruszenie (albo wykryta próba naruszenia) bezpieczeństwa informacji, będące naruszeniem obowiązujących przepisów wewnętrznych lub przepisów prawa, źródłem incydentu bezpieczeństwa może być zarówno przypadkowe, jak i celowe działanie albo zaniechanie;
- Inspektor Ochrony Danych (IOD) – osoba wyznaczona przez ADO, nadzorująca przestrzeganie przepisów o ochronie danych osobowych w organizacji ADO, wykonująca poniższe zadania z zakresu koordynacji ochrony danych osobowych w organizacji ADO;
- integralność danych osobowych – właściwość zapewniająca dokładność, kompletność i nienaruszalność danych oraz niemożność jakiejkolwiek modyfikacji danych w sposób nieuprawniony;
- IT – komórka organizacyjna zajmująca sie zarządzaniem systemem informatycznym, realizowaniem projektów/ pracy z zakresu informatyki;
- Koordynator Ochrony Danych Osobowych (KODO) – osoba wyznaczona przez ADO, realizująca w organizacji ADO zadania związane z zapewnieniem zgodności przetwarzania danych osobowych z obowiązującym prawem;
- mobilne (przenośne) nośniki danych – urządzenia typu smartphone, laptop, tablet, pendrive, dysk, pamięć zewnętrzna;
- naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
- nośnik danych – nośnik taki jak papier, płyta, dysk twardy, karta pamięci lub inny, służący do przechowywania i zapisu danych;
- Organ nadzorczy – Prezes Urzędu Ochrony Danych Osobowych lub ewentualnie właściwy organ nadzorczy w zakresie danych osobowych wyznaczony przez inne państwo członkowskie Unii Europejskiej;
- organizacja ADO – siedziba ADO, lokalizacje ADO – wraz z zasobami ludzkimi i infrastrukturą służące mu do prowadzenia działalności gospodarczej;
- PUODO– Prezes Urzędu Ochrony Danych Osobowych;
- podmiot danych – osoba fizyczna, której dotyczą dane osobowe przetwarzane przez ADO;
- podmiot przetwarzający – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora
- personel – pracownicy, współpracownicy, osoby odbywające staże lub praktyki w organizacji ADO, użytkownicy - wykonujące prace związane z przetwarzaniem danych osobowych;
- Polityka – niniejsza Polityka Ochrony Danych Osobowych;
- poufność danych osobowych - właściwość zapewniająca, że informacja nie jest ujawniana podmiotom do tego nieuprawnionym;
- pracownik – osoba fizyczna zatrudniona przez ADO na podstawie umowy o pracę;
- przetwarzanie danych osobowych – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
- pseudonimizacja – przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
- RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.
- rozliczalność - możliwość jednoznacznego ustalenia i wykazania realizacji działań (czynności) wymaganych przez RODO;
- system informatyczny – system współpracujących z sobą urządzeń, programów, procedur
przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych; - udostępnianie danych – przekazywanie, ujawnianie, rozpowszechnianie danych osobowych odbiorcy danych;
- UODO – Urząd ochrony Danych Osobowych;
- usuwanie danych – zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwala na ustalenie tożsamości osoby, której dane dotyczą;
- uwierzytelnianie - działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;
- użytkownik – osoba upoważniona na piśmie do przetwarzania danych osobowych albo inna osoba, która w imieniu lub za zgodą ADO upoważniona jest do przetwarzania danych osobowych, której nadano identyfikator lub przyznano hasło dostępu do systemu informatycznego;
- zbiór danych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
- zgoda osoby, której dane dotyczą – dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, w którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
- współpracownik – osoba fizyczna świadcząca na rzecz Administratora usługi na podstawie umowy cywilnoprawnej (np. umowa zlecenia, umowa o dzieło), osoba fizyczna prowadząca działalność gospodarczą, które współpracują z ADO lub realizują usługi na rzecz ADO, osoby odbywające staże praktyki.
§ 2.
POSTANOWIENIA OGÓLNE
- Niniejsza Polityka stanowi podstawowy dokument regulujący zasady przetwarzania danych osobowych w organizacji ADO.
- Niniejsza Polityka obowiązuje wszystkie osoby przetwarzające dane osobowe w organizacji ADO lub mające dostęp do tych danych, niezależnie od formy współpracy z ADO: umowy o pracę, umowy cywilnoprawne (w tym B2B), umowy o wolontariat, staż, praktyki.
- Opracowanie i wdrożenie Polityki ma na celu:
- zapewnienie zgodności procesów przetwarzania danych osobowych przez ADO z obowiązującymi przepisami prawa, w szczególności z RODO oraz ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781, dalej „Ustawa”).
- wskazanie podstaw dla właściwego wykonania obowiązków ADO w zakresie bezpieczeństwa i prawidłowej ochrony przetwarzanych danych osobowych.
- Polityka określa zasady przetwarzania danych osobowych oraz ich zabezpieczenia, jako zbiór reguł i zaleceń, regulujących sposób ich zarządzania, ochrony i przetwarzania.
- Polityka zawiera zestaw informacji dotyczących szacowania procesów przetwarzania danych osobowych oraz obowiązujących zabezpieczeń technicznych i organizacyjnych, zapewniających właściwą ochronę przetwarzania danych osobowych.
- Politykę stosuje się do danych osobowych:
- przetwarzanych w formie papierowej;
- przetwarzanych w systemach informatycznych;
- przetwarzanych na nośnikach elektronicznych.
- Politykę stosuje się również do danych osobowych, co do których Tomaszowskie Centrum Sportu sp. z o.o. jest podmiotem przetwarzającym.
§ 3
KATEGORIE DANYCH OSOBOWYCH
- Dane osobowe mogą stanowić:
- dane osobowe zwykłe;
- dane osobowe szczególnej kategorii;
- dane osobowe dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa.
- Dane osobowe, o których mowa w ust. 1 pkt 1 to wszystkie dane niebędące danymi, o których mowa w ust. 1 pkt 2 lub 3. Danymi takimi są w szczególności: imię i nazwisko, data urodzenia, adres zamieszkania, adres korespondencji, numer telefonu, numer PESEL, numer NIP, numer REGON, adres poczty elektronicznej.
- Dane osobowe, o których mowa w ust. 1 pkt 2 to dane ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
§ 4
ZASADY DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH
W związku z prowadzoną działalnością ADO zbiera i przetwarza dane osobowe zgodnie z właściwymi przepisami prawa, w tym w szczególności RODO, i przewidzianymi w nich zasadami przetwarzania, tj.:
- ADO zapewnia, że przetwarzanie przez niego danych osobowych jest zgodne z prawem i odbywa się w oparciu o jedną z podstaw przetwarzania określonych w RODO, tj. w art. 6 ust. 1, art. 9 ust. 2 albo art. 10 („zasada zgodności z prawem”);
- ADO zapewnia rzetelność i przejrzystość przetwarzania danych osobowych, w szczególności zawsze informuje o przetwarzaniu danych osobowych w momencie ich zbierania, w tym o celu i podstawie prawnej przetwarzania („zasada rzetelności i przejrzystości”);
- ADO zapewnia, że dane osobowe są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie są przetwarzane dalej w sposób niezgodny z tymi celami („zasada ograniczenia celu”);
- ADO zapewnia, że przetwarza dane osobowe wyłącznie w zakresie niezbędnym do realizacji celu, dla którego dane osobowe zostały zebrane („zasada minimalizacji danych”);
- ADO zapewnia, że przetwarzane przez niego dane osobowe są prawidłowe i w razie potrzeby uaktualniane oraz że podejmuje on wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („zasada prawidłowości”);
- ADO zapewnia, że dane osobowe są przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą oraz przetwarzane tylko przez okres, w jakim jest to niezbędne dla zrealizowania celów przetwarzania. ADO może przechowywać dane osobowe przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy RODO w celu ochrony praw i wolności osób, których dane dotyczą („zasada czasowego ograniczenia przechowywania”);
- ADO zapewnia przetwarzanie danych osobowych w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, poprzez wdrożenie odpowiednich środków technicznych lub organizacyjnych („zasada integralności i poufności”);
- ADO poprzez odpowiednie środki techniczne i organizacyjne zapewnia możliwość wykazania zgodności przetwarzania danych osobowych z RODO oraz pozostałymi przepisami dotyczącymi Danych osobowych („zasada rozliczalności”);
- ADO zapewnia przestrzeganie Polityki przez Personel przetwarzający dane osobowe w organizacji ADO.
§ 5
PRZESŁANKI LEGALNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH
- Przetwarzanie danych osobowych jest zgodne z prawem, jeżeli spełniony jest co najmniej jeden z poniższych warunków:
- osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
- Podstawa przetwarzania, o którym mowa w ust. 1 pkt 3 i 4 musi być określona:
- w prawie Unii lub
- w prawie państwa członkowskiego, któremu podlega administrator.
- Przesłanki legalności, o których mowa w ust. 1 mogą wystąpić samodzielnie i niezależnie od siebie, albo jednocześnie i łącznie.
- ADO zapewnia, że nie będzie przetwarzał szczególnych kategorii danych osobowych, chyba że spełniony jest jeden z poniższych warunków:
- osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu przetwarzania danych szczególnych kategorii;
- przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
- przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
- przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
- przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
- przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
- przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 5 poniżej;
- przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
- przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 RODO, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
- Dane osobowe szczególnej kategorii mogą być przetwarzane do celów, o których mowa w pkt 8 powyżej, jeżeli są przetwarzane przez - lub na odpowiedzialność - pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe.
§ 6
ZGODA JAKO PRZESŁANKA PRZETWARZANIA DANYCH OSOBOWYCH
- Zgoda może być podstawą prawną przetwarzania danych osobowych, jeżeli ADO:
- nie może oprzeć przetwarzania danych osobnych na innej podstawie;
- jest w stanie zapewnić, że spełni wszystkie warunki uzyskania ważnej zgody;
- jest w stanie zrealizować prawo do cofnięcia zgody.
- Przesłanki, o których mowa w ust. 1 muszą być spełnione kumulatywnie (łącznie).
- Zgoda, osoby której dane dotyczą musi być:
- dowolna;
- świadoma;
- konkretna;
- jednoznaczna,
- Przesłanki, o których mowa w ust. 3 muszą być spełnione kumulatywnie (łącznie).
- Zgoda jest dowolna, jeżeli osoba wyrażająca zgodę posiada realną możliwość wyboru w odniesieniu do przyjęcia lub odrzucenia zaoferowanych warunków lub odrzucenia ich bez niekorzystnych konsekwencji oraz ma możliwość sprawowania kontroli nad swoimi danymi.
- Zgoda nie będzie dobrowolna, jeżeli pojawi się jakikolwiek element przymusu, presji lub braku możliwości swobodnego złożenia oświadczenia woli lub jeżeli nie będzie szczegółowa. Zgoda jest szczegółowa, jeżeli umożliwia wybór pomiędzy wyrażeniem zgody na różne i oddzielne czynności przetwarzania.
- Wyrażenie dowolnej zgody nie może stanowić niepodlegającej negocjacji części warunków, a odmowa jej wyrażenia nie może stanowić podstawy odmowy zrealizowania przez tę osobę swojego celu.
- Zgoda jest świadoma, jeżeli osoba wyrażająca zgodę ma świadomość, na co się godzi i posiada pełną informację dotyczącą okoliczności planowanego przetwarzania danych osobowych pozwalającą jej na podjęcie świadomej decyzji, w szczególności zna cele oraz zakres przetwarzania danych osobowych.
- Zgoda jest konkretna, jeżeli obejmuje ona konkretne cele i operacje przetwarzania danych osobowych.
- Zgoda jest jednoznaczna, jeżeli jest wyrażona poprzez aktywne działanie lub oświadczenie.
- Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę.
- Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.
- Osoba, której dane dotyczą jest informowana przed wyrażeniem zgody o prawie, o którym mowa w ust. 11 oraz o skutkach cofnięcia zgody wskazanych w ust. 12.
- Klauzula zgody zawiera:
- dane ADO (firma, forma organizacyjno-prawna, adres siedziby, telefon kontaktowy, adres poczty elektronicznej);
- cele przetwarzania danych osobowych;
- określenie czynności przetwarzania,
- informację o prawie cofnięcia zgody w dowolnym momencie bez podania przyczyny cofnięcia;
- informację, że wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem;
- oświadczenie o wyrażeniu zgody;
- wskazanie, gdzie znajduje się pełna klauzula informacyjna o przetwarzaniu danych osobowych.
- ADO zapewnia, że wycofanie zgody jest równie łatwe jak jej wyrażenie jak również, że wycofanie zgody nie spowoduje negatywnych konsekwencji dla osoby, której dane dotyczą.
- Jeżeli osoba, której dane dotyczą skutecznie wycofała zgodę na przetwarzanie danych osobowych ADO niezwłocznie zaprzestaje przetwarzania tych danych i dane usuwa.
- Zgoda na wykorzystanie wizerunku wraz z klauzulą informacyjną stanowi Załącznik nr 1 do niniejszej Polityki.
§ 7
OBOWIĄZEK INFORMACYJNY
- ADO informuje o przetwarzaniu danych osobowych osoby, których dane dotyczą.
- ADO realizuje obowiązek informacyjny niezależnie, od tego czy pozyskuje dane osobowe bezpośrednio od osoby, której dane dotyczą czy z innego źródła.
- Jeżeli ADO pozyskał dane osobowe bezpośrednio od osoby, której dane dotyczą, klauzula informacyjna powinna zawierać:
- firmę (nazwę ADO);
- dane kontaktowe ADO;
- dane kontaktowe IODO, jeżeli został powołany;
- cele przetwarzania danych osobowych;
- podstawę prawną przetwarzania;
- prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią, jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f);
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
- gdy ma to zastosowanie - informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia;
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- informacje o prawie do żądania od ADO dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO;
- informacje o prawie wniesienia skargi do organu nadzorczego;
- informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
- Jeżeli ADO pozyskał dane osobowe nie od osoby, której dane dotyczą, klauzula informacyjna powinna zawierać:
- firmę (nazwę ADO);
- dane kontaktowe ADO;
- dane kontaktowe IODO, jeżeli został powołany;
- cele przetwarzania danych osobowych;
- podstawę prawną przetwarzania;
- kategorie odnośnych danych osobowych;
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
- gdy ma to zastosowanie - informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia;
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią, jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) RODO;
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO;
- informacje o prawie wniesienia skargi do organu nadzorczego;
- źródło pochodzenia danych osobowych, a gdy ma to zastosowanie - czy pochodzą one ze źródeł publicznie dostępnych;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
- ADO realizuje obowiązek informacyjny, o którym mowa w ust. 1 i 3 – w momencie pozyskania danych osobowych.
- ADO realizuje obowiązek informacyjny, o którym mowa w ust. 1 i 3:
- w rozsądnym terminie po pozyskaniu danych osobowych, nie później jednak niż w ciągu miesiąca - mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
- najpóźniej przy pierwszej komunikacji z osobą, której dane dotyczą, jeżeli dane osobowe mają być stosowane do takiej komunikacji;
- najpóźniej przy pierwszym ujawnieniu danych osobowych innemu odbiorcy, jeżeli ADO planuje ujawnić dane w ten sposób.
- W celu zapewnienia zwięzłości, przejrzystości i łatwej dostępności informacji ADO może stosować warstwowy sposób realizacji obowiązku informacyjnego.
- W pierwszej warstwie informacyjnej (warstwa podstawowa) podawane są podstawowe informacje, a ich rozwinięcie, bardziej szczegółowy opis znajdują się w warstwie drugiej bądź w warstwie drugiej i trzeciej (warstwy odniesień).
- Dostęp do warstw odniesień może znajdować się w linku, hiperłączu lub odnośniku.
- ADO zapewnia jedną warstwę podstawową i maksymalnie dwie warstwy odniesień.
- Warstwa podstawowa może mieć formę:
- znaku graficznego;
- mechanizmu certyfikacji;
- znaku jakości;
- oznaczenia.
- Pełny obowiązek informacyjny jest spełniany jednorazowo. Jeżeli jednak zmienią się okoliczności przetwarzania danych osobowych, w szczególności cele przetwarzania, ADO może stosować skrócone klauzule informacyjne zawierające wyłącznie nowe lub zmienione informacje.
- Klauzula informacyjna o przetwarzaniu danych osobowych w ramach monitoringu wizyjnego stanowi Załącznik Nr 2 do niniejszej Polityki.
- Klauzula informacyjna o przetwarzaniu danych osobowych dla Klientów stanowi Załącznik Nr 3 do niniejszej Polityki.
- Klauzula informacyjna o przetwarzaniu danych osobowych dla kontrahentów stanowi Załącznik Nr 4 do niniejszej Polityki.
- Klauzule informacyjne i klauzule zgód stanowią Załącznik Nr 5 do niniejszej Polityki.
- Kwestionariusz Osobowy dla osoby ubiegającej się o zatrudnienie wraz z klauzulą informacyjną stanowi Załącznik Nr 6 do niniejszej Polityki.
- Kwestionariusz Osobowy dla pracownika wraz z klauzulą informacyjną stanowi Załącznik Nr 7 do niniejszej Polityki.
§ 8
PODSTAWOWE OBOWIĄZKI ADO
- ADO określa cele oraz strategię działań w zakresie ochrony danych osobowych w swojej organizacji. W tym celu ADO opracowuje i wdraża w swojej organizacji dokumentację związaną z ochroną danych osobowych.
- ADO dokonuje podziału zadań i obowiązków związanych z organizacją ochrony danych osobowych.
- ADO zapewnia odpowiednią ochronę danych osobowych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych, z uwzględnieniem ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia, w tym na bieżąco wdraża nowe rozwiązania organizacyjne i techniczne, które wzmocnią bezpieczeństwo przetwarzania danych osobowych.
- ADO zapewnia odpowiadający ryzyku stopień bezpieczeństwa ochrony danych osobowych.
- Przy ocenie, czy stopień bezpieczeństwa jest odpowiedni, ADO uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
- ADO prowadzi na bieżąco analizę ryzyka związanego z przetwarzaniem danych osobowych i monitoruje adekwatność stosowanych zabezpieczeń danych osobowych do identyfikowanych zagrożeń. W razie konieczności ADO wdraża dodatkowe środki służące zwiększeniu bezpieczeństwa danych osobowych.
- W przypadku gdy rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ADO przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Jeżeli ocena skutków wskazuje, że przetwarzanie powodowałoby wysokie ryzyko, gdyby ADO nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania ADO konsultuje się z Organem nadzorczym.
- ADO zapewnia właściwe podstawy prawne przetwarzania danych osobowych oraz realizuje obowiązki informacyjne z poszanowaniem zasady transparentności wobec osób, których dane dotyczą.
- ADO zapewnia odpowiednie szkolenia z zakresu ochrony danych osobowych wszystkim osobom przetwarzającym w jego organizacji dane osobowe lub mającym dostęp do tych danych.
- W celu zapewnienia integralności i poufności danych osobowych ADO zapewnia dostęp do danych osobowych jedynie osobom upoważnionym i wyłącznie w zakresie, w jakim jest to niezbędne ze względu na wykonywane przez nie zadania. ADO stosuje rozwiązania organizacyjne i techniczne w celu zapewnienia, że wszystkie operacje na danych osobowych są rejestrowane i realizowane tylko przez osoby uprawnione.
- ADO zapewnia właściwą realizacje praw osób, których dane dotyczą oraz pomaga osobom w dochodzeniu swoich praw. W tym celu ADO wdrożył Procedurę RODO dotyczącą realizacji praw osób, których dane osobowe dotyczą.
- Jeżeli cele, w których ADO przetwarza dane osobowe, nie wymagają zidentyfikowania przez niego Podmiotu danych, ADO nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania Podmiotu danych wyłącznie po to, by zastosować się do wymogów RODO.
- ADO weryfikuje podmioty przetwarzające przed umożliwieniem im dostępu do danych osobowych i zawiera umowy powierzenia przetwarzania danych osobowych wyłącznie z podmiotami przetwarzającymi, którzy dają gwarancję odpowiedniej ochrony powierzonych danych osobowych zgodnie z RODO. W tym celu ADO wdrożył Procedurę RODO dotyczącą wyboru dostawcy przetwarzającego dane osobowe.
- ADO wdraża odpowiednie procedury zarządzania incydentami naruszenia ochrony danych osobowych w celu zapewnienia jak najlepszej ochrony danych osobowych po zaistnieniu takiego incydentu i odwrócenia jego negatywnych skutków, realizacji obowiązku informowania PUODO oraz osób, których dane osobowe dotyczą. W tym celu ADO wdrożył procedurę RODO dotyczącą zarządzania incydentami bezpieczeństwa danych osobowych.
- Ado zapewnia, że do przetwarzania danych osobowych mogą zostać dopuszczone wyłącznie osoby posiadające stosowne upoważnienie do przetwarzania danych osobnych. W tym celu ADO wdrożył procedurę RODO dotyczącą wydawania upoważnień do przetwarzania danych osobowych.
- ADO okresowo kontroluje sposób postępowania personelu przy przetwarzaniu danych osobowych.
- W przypadku stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych ADO podejmuje stosowne działania celem ich wyeliminowania.
- ADO prowadzi i aktualizuje rejestr czynności i rejestr kategorii przetwarzania.
§ 9
- ORGANIZACJA SYSTEMU OCHRONY DANYCH OSOBOWYCH
- Przed udzieleniem dostępu do przetwarzania danych osobowych ADO zapoznaje każdego Pracownika, Współpracownika lub inne osoby przetwarzające dane osobowe z jego upoważnienia z niniejszą Polityką, w tym procedurami i zasadami dotyczącymi ochrony danych osobowych obowiązującymi w organizacji ADO. ADO zobowiązany jest zorganizować szkolenie dla Personelu z ochrony danych osobowych.
- Do przetwarzania danych osobowych mogą zostać dopuszczone wyłącznie osoby posiadające stosowne upoważnienie do przetwarzania danych osobnych.
- ADO zobowiązuje osoby upoważnione do zachowania poufności danych osobowych oraz informacji dotyczących zabezpieczeń danych osobowych, a także do przestrzegania niniejszej Polityki, w tym procedur i zasad dotyczących ochrony danych osobowych obowiązujących w organizacji ADO.
- ADO przypisuje użytkownikom określone cechy pozwalające na ich identyfikację w systemach informatycznych, dające możliwość dostępu do przetwarzania danych osobowych odpowiednio do zakresu upoważnienia.
- ADO zapewnia, że personel w jego organizacji jest na bieżąco informowani o wszelkich zmianach w procedurach.
- ADO wyznacza osobę odpowiedzialną za obszar ochrony danych osobowych, powierzając jej funkcję IODO/KODO, i zapewnia adekwatne środki oraz zasoby niezbędne do wykonywania powierzonych jej zadań.
- Do zadań IODO/KODO należy w szczególności:
- informowanie ADO oraz personel, o obowiązkach spoczywających na nich na mocy RODO i innych przepisów unijnych lub krajowych o ochronie danych osobowych oraz doradzanie im w tym zakresie;
- monitorowanie przestrzegania przez osoby upoważnione przepisów RODO oraz innych przepisów unijnych i krajowych z zakresu ochrony danych osobowych, jak również wewnętrznych polityk i procedur wdrożonych u ADO w tym zakresie;
- podejmowanie działań zwiększających świadomość w zakresie ochrony danych osobowych, w tym szkoleń personelu uczestniczącego w operacjach przetwarzania, oraz prowadzenie powiązanych z tym audytów;
- udzielanie, na żądanie, zaleceń co do oceny skutków dla ochrony danych osobowych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
- współpraca z Organem nadzorczym;
- pełnienie funkcji punktu kontaktowego dla Organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
- IODO/KODO wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
§ 10
UPOWAŻNIENIA DO PRZETWARZANIA DANYCH OSOBOWYCH
- Przetwarzanie danych osobowych jest możliwe wyłącznie po uzyskaniu przez pracownika, współpracownika, użytkownika, praktykanta upoważnienia do przetwarzania danych osobowych podpisanego przez ADO.
- Procedura RODO dotyczącą wydawania upoważnień do przetwarzania danych osobowych stanowi Załącznik nr 8 do niniejszej Polityki.
- Wzór upoważnienia do przetwarzania danych osobowych stanowi Załącznik nr 9 do Polityki.
- Wzór upoważnienia do przetwarzania danych osobowych (HR) stanowi Załącznik Nr 10 do niniejszej Polityki.
- Każda osoba upoważniona do przetwarzania danych osobowych lub mająca dostęp do tych danych składa pisemne:
- oświadczenie o zapoznaniu się z zasadami ochrony przetwarzanych danych osobowych, zwartych w obowiązującej w organizacji ADO Polityce i procedurach w zakresie ochrony danych osobowych oraz
- zobowiązanie do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia.
- Wzór oświadczenia osoby upoważnionej o zapoznaniu się z zasadami ochrony przetwarzanych danych osobowych, zwartych w obowiązującej w organizacji ADO Polityce i procedurach w zakresie ochrony danych osobowych oraz zobowiązania do zachowania tajemnicy stanowi Załącznik nr 11 do Polityki.
- Wzór oświadczenia osoby upoważnionej o zapoznaniu się z zasadami ochrony przetwarzanych danych osobowych, zwartych w obowiązującej w organizacji ADO Polityce i procedurach w zakresie ochrony danych osobowych oraz zobowiązania do zachowania tajemnicy (HR) stanowi Załącznik nr 12 do Polityki.
§ 11
SZKOLENIA Z ZAKRESU OCHRONY DANYCH OSOBOWYCH
- Przed rozpoczęciem przetwarzania danych osobowych każdy pracownik, użytkownik, stażysta,
praktykant powinien zostać przeszkolony przez ADO lub osobę przez niego upoważnioną w zakresie ochrony danych osobowych. - Szkolenie powinno obejmować w szczególności następujące zagadnienia:
- obowiązujące przepisy w zakresie ochrony danych osobowych;
- procedury oraz zasady przetwarzania danych osobowych;
- procedury dotyczące bezpiecznego przetwarzania danych osobowych w systemach informatycznych, w tym zasady użytkowania oprogramowania, urządzeń i systemów informatycznych służących do przetwarzania danych osobowych;
- rodzaje zagrożeń, jakie mogą być związane z przetwarzaniem danych osobowych w systemach informatycznych;
- sposoby zabezpieczenia danych osobowych;
- zasady dostępu do pomieszczeń, w których przetwarzane są dane osobowe;
- zasady i sposób postępowania w przypadku naruszenia ochrony danych osobowych lub
systemu informatycznego; - odpowiedzialność w przypadku naruszenia ochrony danych osobowych.
- Po przeprowadzeniu szkolenia uczestnik szkolenia otrzymuje zaświadczenie o odbytym szkoleniu i zapoznaniu się z przepisami prawa dotyczącymi ochrony danych osobowych.
- Zaświadczenie wydaje:
- ADO
- IODO/KODO
- podmiot przeprowadzający szkolenie, jeżeli szkolenie zostało przeprowadzone przez inną osobę niż wskazaną w pkt lub 2 powyżej.
- Zaświadczenie o odbytym szkoleniu w zakresie ochrony danych osobowych stanowi Załącznik nr 13 do Polityki.
- Podmiot zawodowo przeprowadzający szkolenia w zakresie ochrony danych osobowych może wydać zaświadczenie o przeprowadzeniu i uczestniczeniu w szkoleniu według wzoru obowiązującego w tym podmiocie.
§ 12
REJESTR OSÓB UPOWAŻNIONYCH
- ADO na bieżąco prowadzi:
- rejestr udzielonych upoważnień do przetwarzania danych osobowych;
- rejestr zobowiązań do zachowania tajemnicy;
- rejestr osób przeszkolonych wraz z zaświadczeniem odbytym szkoleniu;
- rejestr szkoleń RODO.
- Powyższe rejestry prowadzone są w formie dokumentacji elektronicznej lub papierowej.
§ 13
ODPOWIEDZIALNOŚĆ PERSONELU W ZAKRESIE OCHRONY DANYCH OSOBOWYCH
- W celu osiągnięcia i utrzymania wysokiego poziomu bezpieczeństwa przetwarzania danych osobowych konieczne jest szczególne zaangażowanie ze strony każdego pracownika, współpracownika i każdego użytkownika w zakresie ochrony danych osobowych.
- Personel zobowiązany jest do uczestnictwa w organizowanych przez ADO szkoleniach z zakresu ochrony danych osobowych.
- Personel każdorazowo przed przystąpieniem do pracy jest zobowiązany do dokonania
oceny i oględzin miejsca pracy pod kątem, czy nie dokonano jakichkolwiek nieuprawnionych działań związanych z ochroną danych osobowych przez osoby nieuprawnione. - Sytuacje, na które należy zwrócić szczególną uwagę to m.in.:
- próba nieuprawnionego dostępu do pomieszczenia lub dostępu do danych osobowych;
- naruszenie lub próba naruszenia integralności, poufności lub rozliczalności danych
i systemu; - niezamierzona zmiana lub utrata danych zapisanych na nośnikach jako kopie zapasowe;
- próba nieuprawnionego logowania lub inny sygnał wskazujący na próbę lub działanie
wskazujące na nielegalny dostęp do systemu; - losowe zdarzenia, takie jak brak zasilania, pożar itp.;
- stwierdzenie braku sprzętu informatycznego, jego części lub nośników zewnętrznych
zawierających dane osobowe (wydruki, pamięć zewnętrzna, płyty CD, dysk twardy, itp.).
- Personel zobowiązany jest do niezwłocznego informowania ADO oraz IODO/KODO o wszelkich podejrzeniach naruszenia ochrony danych osobowych lub zauważonych zdarzeniach mogących stanowić naruszenie ochrony danych osobowych jak również o słabościach systemu przetwarzającego dane osobowe - na zasadach opisanych w odrębnej procedurze.
- Personel zobowiązany do przetwarzania danych osobowych zgodnie z niniejszą Polityką i procedurami dotyczącymi ochrony danych osobowych, w tym do :
- przetwarzania danych osobowych zgodnie z posiadanym upoważnieniem oraz z należytą starannością;
- zachowania w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia zgodnie z podpisaną klauzulą poufności;
- ochrony danych osobowych oraz środków przetwarzających dane osobowe przed
nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub zniekształceniem; - wykonywania niezbędnych działań w procesie przetwarzania danych celem zapewnienia
właściwej ich ochrony, w tym celu powinni:
- zabezpieczać wydruki elektroniczne, a także takie, które mogą być tworzone w trakcie kserowania, kopiowania, skanowania dokumentów zawierających dane osobowe,
- udzielać informacji zawierających dane osobowe tylko osobom, podmiotom
uprawnionym do ich otrzymania, w razie potrzeby – do dokonania anonimizacji danych osobowych, - prowadzić rozmowy telefoniczne, korespondencję elektroniczną w sposób bezpieczny, tak aby osoba nieuprawniona nie pozyskiwała informacji, jeżeli nie jest ona dla niej,
- przestrzegać procedur związanych z otwieraniem i zamykaniem pomieszczeń, a także
z wejściem do obszarów przetwarzania danych osobowych osób nieupoważnionych, - informować ADO o podejrzanych osobach poruszających się w obszarze przetwarzania
danych osobowych, - przedkładać ADO, na podstawie dokonanej identyfikacji ewentualnych zagrożeń, propozycje nowych rozwiązań, których celem jest zwiększenie poziomu bezpieczeństwa ochrony danych osobowych.
- ADO pisemnie informuje Personel o odpowiedzialności karnej za niedopuszczalne przetwarzanie danych osobowych oraz za przetwarzanie danych osobowych bez upoważnienia.
§ 14
ZASADY BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH PRZEZ OSOBY UPOWAŻNIONE PRZETWARZAJĄCE DANE OSOBOWE W FORMIE PAPIEROWEJ
- ADO zobowiązany jest zapewnić ochronę przed zmianą, uszkodzeniem lub zniszczeniem danych osobowych przez nieuprawnioną osobę.
- Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest do ochrony danych osobowych przed dostępem do nich osób nieuprawnionych, niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.
- Osoby upoważnione zobowiązane są do zabezpieczenia materiałów zawierających dane osobowe w sposób uniemożliwiający nieuprawniony dostęp do danych osobowych osobom nieuprawnionym do ich przetwarzania, nieuprawnione ujawnienie danych osobowych, nieautoryzowany dostęp, niedozwolone: powielenie, modyfikację, zniszczenie, utratę, nieprawidłowe wykorzystanie lub kradzież.
- W miejscu przetwarzania danych osobowych utrwalonych w formie papierowej osoby upoważnione zobowiązane są do niepozostawiania materiałów zawierających dane osobowe w miejscach umożliwiających fizyczny dostęp do nich osobom nieuprawnionym. Po zakończeniu pracy lub podczas przerwy w pracy, jeżeli dostęp do pomieszczenia mają osoby nieposiadające upoważnienia, materiały zawierające dane osobowe powinny być przechowywane w szafach zamykanych na klucz (tzw. zasada czystego biurka). Niedopuszczalne jest pozostawianie materiałów zawierających dane osobowe na biurku, regale, niezamkniętej szafie i innych miejscach, do których mają dostęp inne osoby.
- Kopiowanie danych osobowych może odbywać się wyłącznie przez osobę upoważnioną w ramach posiadanego przez nią upoważnienia do przetwarzania danych osobowych związku z realizacją czynności zawodowych, w tym wykonywania pracy, zlecenia, stażu, praktyk w organizacji ADO.
- Kopie danych osobowych podlegają zniszczeniu niezwłocznie po realizacji celu, dla którego zostały wykonane.
- Dokonywanie wydruków, skanowanie lub kopiowanie materiałów zawierających dane osobowe odbywa się wyłącznie przy obecności osoby upoważnionej przy urządzeniu.
- Niedozwolone jest pozostawienie urządzenia w trakcie drukowania/ kopiowania/ skanowania bez nadzoru, jeżeli materiały znajdujące się w urządzeniu zawierają dane osobowe.
- Każdy dokument papierowy zawierający dane osobowe sporządzony jako dokument roboczy należy najpóźniej na koniec dnia pracy zniszczyć lub zamknąć w miejscu uniemożliwiającym dostęp osób nieuprawnionych.
- Niszczenia brudnopisów, błędnych lub zbędnych kopii materiałów zawierających dane osobowe dokonuje się wyłącznie w dedykowanych niszczarkach lub umieszcza w dedykowanych kontenerach na dokumenty przeznaczone do zniszczenia przez podmiot profesjonalny.
- Osoby upoważnione do przetwarzania danych osobowych nie mogą ich ujawniać zarówno w organizacji ADO, jak i poza nią, w zakresie wykraczającym poza wykonywanie swoich obowiązków zawodowych lub służbowych.
- Niedopuszczalne jest wynoszenie materiałów zawierających dane osobowe z budynku, w którym znajduje się organizacja ADO, chyba że czynność ma związek z wykonywaniem czynności zawodowych lub służbowych.
§ 15
DOSTĘP DO POMIESZCZEŃ
- ADO zobowiązany jest zapewnić ochronę fizyczną pomieszczeń, w których są przetwarzane dane osobowe.
- Dostęp do ww. pomieszczeń mają wyłącznie osoby upoważnione do przetwarzania danych osobowych.
- W ww. pomieszczeniach osoby nieupoważnione mogą przebywać wyłącznie w obecności osób upoważnionych.
- Zakazane jest umożliwianie dostępu do pomieszczeń, w których przetwarzane są dane osobowe osobom trzecim pozostawionym bez nadzoru.
§ 16
MOBILE NOŚNIKI DANYCH
- Zakazane jest przetwarzanie danych osobowych na mobilnych nośnikach informacji niebędących własnością ADO lub niebędących w zasobach ADO bądź niedopuszczonych do pracy przez ADO.
- Kopiowanie danych osobowych na przenośne nośniki informacji danych jest zabronione, chyba że spełnione są łącznie następujące przesłanki:
- sporządzenie kopii danych osobowych jest niezbędne do realizacji obowiązków zawodowych lub służbowych;
- nośnik pochodzi z zasobów ADO;
- nośnik jest urządzeniem służbowym.
- Służbowe mobile nośniki danych są zabezpieczone za pomocą narzędzi szyfrujących zatwierdzonych przez ADO.
- Każdy użytkownik mobilnego nośnika informacji jest obowiązany stosować zabezpieczenia przed dostępem do nich osób nieuprawnionych, w szczególności stosować hasło dostępu.
- Kierownik IT prowadzi wykaz służbowych nośników danych zatwierdzonych przez ADO.
§ 17
MIEJSCA I POMIESZCZENIA PRZEZNACZONE DO PRZETWARZANIA DANYCH OSOBOWYCH
- Dane osobowe można przetwarzać wyłącznie w miejscach bezpiecznych i będących pod właściwym nadzorem osoby, która przetwarza i nadzoruje przetwarzanie danych osobowych.
- Pomieszczenia bezpieczne to takie, które nie są pozostawione bez nadzoru odpowiedzialnego pracownika lub użytkownika.
- Pomieszczenia, w których są przetwarzane dane osobowe są zamykane na klucz podczas
nieobecności osoby upoważnionej/nadzorującej. - W przypadku wykonywania prac naprawczych, remontowych, montażowych przez podmioty zewnętrzne, pomieszczenie w których są przetwarzane dane osobowe powinno być pod stałym nadzorem osoby upoważnionej.
- Przechowywanie kopii zapasowych powinno być realizowane w innym pomieszczeniu niż znajdują się zasoby podstawowe.
- Każdy użytkownik lub pracownik w przypadku zauważenia uchybień w zabezpieczeniu pomieszczenia zobowiązany jest niezwłocznie poinformować o tym fakcie ADO a także IODO/KODO.
§ 18
REJESTR CZYNNOŚCI PRZETWARZANIA
- ADO prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiada, jeżeli przetwarzanie danych osobowych:
- może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą;
- nie ma charakteru sporadycznego;
- obejmuje szczególne kategorie danych osobowych, tj. dane osobowe ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby lub
- obejmuje dane osobowe dotyczące wyroków skazujących i czynów zabronionych.
- W rejestrze zamieszcza się następujące informacje:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie - przedstawiciela administratora oraz inspektora ochrony danych;
- cele przetwarzania;
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
- gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej;
- dokumentacja odpowiednich zabezpieczeń – w przypadku jednorazowego lub wielokrotnego przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa stosowanych w celu zapewnienia stopnia bezpieczeństwa odpowiadający temu ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, w tym:
- pseudonimizację i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
- Rejestr prowadzony jest w formie pisemnej lub elektronicznej.
- Wzór przykładowych uzupełnień rejestru czynności przetwarzania stanowi Załącznik nr 14 do niniejszej Polityki.
- Pracownicy i użytkownicy powinni w porozumieniu z ADO współpracować w zakresie zgłaszania lub aktualizacji rejestru przetwarzania danych osobowych.
§ 19
REJESTR KATEGORI PRZETWARZANIA
- ADO, w wypadku powierzenia mu przetwarzania danych osobowych przez inny podmiot będący administratorem danych, prowadzi rejestr wszystkich kategorii przetwarzania dokonywanych w imieniu tego innego administratora.
- Rejestr wszystkich kategorii przetwarzania zawieraj następujące informacje:
- imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie - przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
- kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
- gdy ma to zastosowanie -przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej;
- dokumentacja odpowiednich zabezpieczeń – w przypadku jednorazowego lub wielokrotnego przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa stosowanych w celu zapewnienia stopnia bezpieczeństwa odpowiadający temu ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, w tym:
- pseudonimizację i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
- Rejestr prowadzony jest w formie pisemnej lub elektronicznej.
- Wzór przykładowych uzupełnień rejestru kategorii czynności przetwarzania stanowi Załącznik nr 15 do niniejszej Polityki.
- Pracownicy i użytkownicy powinni w porozumieniu z ADO współpracować w zakresie zgłaszania lub aktualizacji rejestru kategorii danych osobowych.
§ 20
UDOSTĘPNIANIE I POWIERZANIE DANYCH OSOBOWYCH
- ADO udostępniania dane osobowe innemu administratorowi tylko wtedy, gdy spełniony jest jeden z warunków, o którym mowa w art. 6 ust. 1 albo w art. 9 ust. 2 RODO.
- Udostępnianie danych osobowych innemu administratorowi odbywa się na jego pisemny wniosek.
- Wniosek, o którym mowa w ust. 2, powinien zawierać co najmniej:
- dane teleadresowe wnioskującego administratora;
- podstawę prawną do przekazania danych osobowych;
- cel przetwarzania danych osobowych;
- podpis osoby upoważnionej.
- ADO, w przypadku udostępniania danych osobowych innemu administratorowi, dokonuje oceny sposobu przygotowania danych, a także analizuje sposób i prawidłowość przygotowania danych do udostępnienia.
- Dane osobowe przekazywane są listem poleconym za zwrotnym poświadczeniem odbioru lub innym bezpiecznym sposobem określonym wymogami prawa lub umową.
- Fakt udostępnienia danych należy udokumentować pisemnie poprzez wykonanie pisma przewodniego lub notatki służbowej.
- Powierzenie przetwarzania danych osobowych przez ADO następuje w oparciu o umowę powierzenia przetwarzania danych lub inny instrument prawny, o którym mowa w art. 28 RODO.
- Wzór umowy powierzenia przetwarzania danych osobowych stanowi Załącznik nr 16 do Polityki.
- Powierzenie przetwarzania danych osobowych przez ADO następuje po uprzedniej weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa Podmiotów danych. ADO podejmuje ponadto wszelkie niezbędne działania, by także jego podwykonawcy i inne podmioty współpracujące dawały gwarancję stosowania odpowiednich środków bezpieczeństwa w każdym przypadku, gdy przetwarzają dane osobowe na zlecenie ADO.
- Procedura RODO dotycząca wyboru dostawcy przetwarzającego dane osobowe stanowi Załącznik nr 17 do niniejszej Polityki.
§ 21
KONTAKTY Z PODMIOTEM DANYCH I REALIZOWANIE UPRAWNIEŃ PODMIOTÓW DANYCH
- ADO wdraża odpowiednie środki, aby komunikacja z Podmiotem danych odbywała się w zwięzłej, przejrzystej i łatwo dostępnej formie, jasnym i prostym językiem.
- ADO udziela Podmiotom danych informacji na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli Podmiot danych tego zażąda, ADO udziela informacji ustnie, o ile jest możliwe potwierdzenie tożsamości Podmiotu danych innymi sposobami.
- Administrator zapewnia, że realizuje uprawnienia Podmiotów danych na zasadach określonych w RODO, w tym:
- prawo do cofnięcia zgody na przetwarzanie danych osobowych – ADO informuje Podmiot danych, że może on w dowolnym momencie wycofać zgodę na przetwarzanie danych osobowych, jeżeli podstawą przetwarzania jest wyrażona zgoda tego podmiotu, co jednak nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem;
- prawo do informacji o przetwarzaniu danych – ADO przekazuje Podmiotowi danych zgłaszającemu żądanie informację o przetwarzaniu jego danych osobowych, w tym o celach i podstawach prawnych przetwarzania, kategoriach odnośnych danych osobowych, odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych, planowanym okresie przechowywania danych osobowych, a gdy nie jest to możliwe, to o kryteriach ustalania tego okresu, prawie do żądania od ADO sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych, prawie do wniesienia sprzeciwu wobec takiego przetwarzania, źródle danych, jeżeli dane osobowe nie zostały zebrane od podmiotu danych, prawie wniesienia skargi do organu nadzorczego, Danych osobowych, zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, zabezpieczeniach, o których mowa w art. 46 w wypadku, gdy dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej;
- prawo dostępu do danych – ADO na wniosek Podmiotu danych umożliwia tej osobie
dostęp do danych; - prawo uzyskania kopii danych – ADO przekazuje osobie zgłaszającej żądanie kopię danych osobowych;
- prawo do sprostowania danych – ADO na żądanie Podmiotu danych dokonuje sprostowania danych osobowych lub ich uzupełnienia;
- prawo do usunięcia danych ("prawo do bycia zapomnianym") – ADO na żądanie Podmiotu danych niezwłocznie usuwa dane osobowe dotyczące tej osoby, jeżeli zachodzi jedna z następujących okoliczności:
- dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,
- osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO, i nie ma innej podstawy prawnej przetwarzania,
- osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania,
- dane osobowe były przetwarzane niezgodnie z prawem,
- dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator,
- dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.
- prawo do ograniczenia przetwarzania – ADO na żądanie podmiotu danych ogranicza przetwarzania danych osobowych w następujących przypadkach:
- osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych - na okres pozwalający administratorowi sprawdzić prawidłowość tych danych,
- przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
- administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
- osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania - do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą;
- prawo do przenoszenia danych – w zakresie, w jakim dane osobowe są przetwarzane w sposób zautomatyzowany w związku z zawartą umową lub wyrażoną zgodą, Administrator na żądanie podmiotu danych wydaje dane osobowe dostarczone przez osobę, której dane dotyczą, w formacie pozwalającym na odczyt danych osobowych przez komputer. Na żądanie podmiotu danych Administrator przesyła te dane bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe;
- prawo sprzeciwu wobec przetwarzania danych w celach marketingowych – Podmiot danych może w każdym momencie sprzeciwić się przetwarzaniu danych osobowych w celach marketingowych, bez konieczności uzasadnienia takiego sprzeciwu;
- prawo sprzeciwu wobec innych celów przetwarzania danych – Podmiot danych może w każdym momencie sprzeciwić się – z przyczyn związanych z jego szczególną sytuacją – przetwarzaniu danych osobowych, które odbywa się na podstawie prawnie uzasadnionego interesu Administratora.
- Procedura RODO dotyczącą realizacji praw osób, których dane osobowe dotyczą stanowi Załącznik nr 18 do Polityki.
- Wzór Rejestru realizacji żądań podmiotów danych stanowi Załącznik Nr 18.1. do niniejszej Polityki.
§ 22
PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTWA TRZECIEGO
Poziom ochrony danych osobowych poza Europejskim Obszarem Gospodarczym (EOG) różni się od tego zapewnianego przez prawo europejskie. Z tego powodu ADO przekazuje dane osobowe do państwa trzeciego tylko wtedy, gdy jest to konieczne, i z zapewnieniem odpowiedniego stopnia ochrony, przede wszystkim poprzez:
- współpracę z podmiotami przetwarzającymi dane osobowe w państwach, w odniesieniu do których została wydana stosowna decyzja Komisji Europejskiej dotycząca stwierdzenia zapewnienia odpowiedniego stopnia ochrony danych osobowych;
- stosowanie standardowych klauzul umownych wydanych przez Komisję Europejską;
- w razie przekazywania danych do USA – współpracę z podmiotami uczestniczącymi w programie Tarcza Prywatności (ang. Privacy Shield) zatwierdzonym decyzją Komisji Europejskiej.
§ 23
NARUSZENIA OCHRONY DANYCH OSOBOWYCH
-
- ADO zapewnia zgłaszanie naruszeń ochrony danych osobowych do PUODO, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. W tym celu ADO w szczególności zobowiązuje wszystkie osoby przetwarzające dane osobowe do niezwłocznego informowania o każdym dostrzeżonym naruszeniu ochrony danych osobowych.
- ADO zapewnia, że bez zbędnej zwłoki zawiadamia Podmioty danych o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności.
- W każdym wypadku ADO bada zaistniałe naruszenie i wdraża stosowne organizacyjne i techniczne środki naprawcze.
- ADO dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
- Procedura RODO dotycząca zarządzania incydentami bezpieczeństwa danych osobowych stanowi Załącznik Nr 19 do niniejszej Polityki.
- Wzór rejestru naruszeń ochrony danych osobowych stanowi Załącznik nr 19.1 do niniejszej Polityki.
§ 24
ZASADA ROZLICZALNOŚCI
Wszystkie czynności podejmowane w związku z realizacją procesu przetwarzania danych osobowych muszą być należycie dokumentowane przez osoby, które te czynności wykonują. Dokumentowanie spełnienia wymogów RODO jest niezbędne dla wykazania, że ADO jest odpowiedzialny za przestrzeganie RODO i w prawidłowy sposób przetwarza dane osobowe w swojej organizacji.
§ 25
DOKUMENTACJA ZWIĄZANEJ Z OCHONĄ DANYCH OSOBOWYCH
- Poza dokumentacją RODO wymienioną w niniejszej Polityce ADO sporządził i wprowadził w swojej organizacji:
- Procedurę RODO – Zapewnienie ciągłości działania w zakresie danych osobowych, stanowiącą Załącznik Nr 20 do niniejszej Polityki;
- Procedurę RODO dotyczącą retencji danych osobowych stanowiącą Załącznik Nr 21 do niniejszej Polityki;
- Procedurę RODO dotycząca bezpieczeństwa teleinformatycznego stanowiącą Załącznik Nr 22 do Polityki;
- Politykę prywatności serwisu internetowego Tomaszowskiego Centrum Sportu Spółki z ograniczoną odpowiedzialnością z siedzibą w Tomaszowie Maz.;
- Politykę Cookies.
- Niniejsza Polityka oraz wszystkie dokumenty z nią powiązane powinny być aktualizowane wraz ze zmianami w przepisach prawa dotyczącymi ochrony danych osobowych oraz zmianami wynikającymi z organizacji i funkcjonowania ADO.
Załączniki do Polityki Ochrony Danych Osobowych:
- Zał. Nr 1 - Zgoda na wykorzystanie wizerunku wraz z klauzulą informacyjną;
- Zał. Nr 2 - Klauzula informacyjna o przetwarzaniu danych osobowych w ramach monitoringu wizyjnego;
- Zał. Nr 3 - Klauzula informacyjna o przetwarzaniu danych osobowych dla klientów;
- Zał. Nr 4 - Klauzula informacyjna o przetwarzaniu danych osobowych dla kontrahentów ;
- Zał. Nr 5 - Klauzule informacyjne i klauzule zgód;
- Zał. Nr 6 - Kwestionariusz Osobowy dla osoby ubiegającej się o zatrudnienie wraz z klauzulą informacyjną;
- Zał. Nr 7 - Kwestionariusz Osobowy dla pracownika wraz z klauzulą informacyjną;
- Zał. Nr 8 - Procedura RODO dotycząca udzielania upoważnień do przetwarzania danych osobowych;
- Zał. Nr 9 - Upoważnienie do Przetwarzania Danych Osobowych;
- Zał. Nr 10 - Upoważnienie Do Przetwarzania Danych Osobowych (HR);
- Zał. Nr 11 - Wzór oświadczenia osoby upoważnionej o zapoznaniu się z zasadami ochrony przetwarzanych danych osobowych, zwartych w obowiązującej w organizacji ADO Polityce i procedurach w zakresie ochrony danych osobowych oraz zobowiązania do zachowania tajemnicy;
- Zał. Nr 12 - Wzór oświadczenia osoby upoważnionej o zapoznaniu się z zasadami ochrony przetwarzanych danych osobowych, zwartych w obowiązującej w organizacji ADO Polityce i procedurach w zakresie ochrony danych osobowych oraz zobowiązania do zachowania tajemnicy (HR);
- Zał. Nr 13 - wzór zaświadczenia o odbyciu szkolenia w zakresie ochrony danych osobowych;
- Zał. Nr 14 - Wzór przykładowych uzupełnień rejestru czynności przetwarzania;
- Zał. Nr 15 - Wzór przykładowych uzupełnień rejestru kategorii czynności przetwarzania;
- Zał. Nr 16 - Wzór umowy powierzenia przetwarzania danych osobowych;
- Zał. Nr 17 - Procedura RODO dotycząca wyboru dostawcy przetwarzającego dane osobowe;
- Zał. Nr 18 - Procedura RODO dotyczącą realizacji praw osób, których dane osobowe dotyczą;
- Zał. Nr 18.1 – wzór rejestru żądań podmiotów danych ;
- Zał. Nr 19- Procedura RODO dotycząca zarządzania incydentami bezpieczeństwa danych osobowych ;
- Zał. 19.1 – wzór rejestru naruszeń ochrony danych osobowych;
- Zał. Nr 20 - Procedura RODO – Zapewnienie ciągłości działania w zakresie danych osobowych;
- Zał. Nr 21 do Polityki – Procedura RODO dotycząca retencji danych osobowych;
- Zał. Nr 22 do Polityki - Procedura RODO dotycząca bezpieczeństwa teleinformatycznego.