ПРО ОФІС
§ 1
Postanowienia ogóle
-
Niniejsza Polityka ochrony danych osobowych (dalej: „Polityka”) określa zasady dotyczące przetwarzania i zabezpieczenia danych osobowych przetwarzanych w Kancelarii Lutkiewicz z siedzibą we Franopolu 48, 08-220 Sarnaki, zgodnie z wymaganiami obowiązującego prawa i stanowi wypełnienie obowiązku ciążącego na Administratorze, o którym mowa w art. 24 ust. 2 RODO.
-
Polityka ma zastosowanie do wszystkich danych osobowych przetwarzanych w Kancelarii. Dotyczy to zarówno danych, wobec których Kancelaria jest Administratorem, jak i danych powierzonych do przetwarzania Kancelarii, w stosunku do których są jest podmiotem przetwarzającym.
-
Przedmiotem ochrony są dane osobowe, przetwarzane zarówno w systemach informatycznych, jak również na nośnikach papierowych oraz elektronicznych.
-
Obowiązek ochrony danych osobowych przetwarzanych w Kancelarii dotyczy wszystkich pracowników oraz współpracowników, jak również członków organów, którzy mają do nich dostęp bez względu na zajmowane stanowisko oraz miejsce wykonywania pracy lub funkcji, jak również podstawę zatrudnienia lub pełnienia funkcji (stosunek pracy, inna umowa cywilnoprawna, powołanie, itd).
-
Każda osoba, która ma mieć dostęp do danych osobowych, może je przetwarzać wyłącznie na podstawie otrzymanego pisemnego upoważnienia.
-
Osoby mające dostęp do danych osobowych są zobowiązane do zapoznania się z Polityką i innymi powiązanymi z nią dokumentami oraz do stosowania zawartych w nich zapisów.
-
Nadzór nad opracowaniem i aktualizacją Polityki sprawuje Administrator.
§ 2
Definicje
-
Na potrzeby niniejszej Polityki przyjmuje się następujące rozumienie wykorzystywanych pojęć:
a) Administrator Danych Osobowych („Administrator”) – firma określona w § 1 niniejszej Polityki;
b) dane osobowe – wszelkie informacje, dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba,
którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
c) incydent bezpieczeństwa – zdarzenie lub seria zdarzeń związanych z bezpieczeństwem informacji, które zagrażają ich bezpieczeństwu i prowadzą lub mogą prowadzić do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do informacji przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
d) naruszenie ochrony danych osobowych („naruszenie”) – naruszenie bezpieczeństwa
prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia,
zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych
osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez
Administratora;
e) obszar przetwarzania danych osobowych – pomieszczenia lub części pomieszczeń, w których są przetwarzane dane osobowe, zarówno w formie papierowej, elektronicznej, jak i w systemach informatycznych;
f) odbiorca danych – podmiot, któremu Kancelaria udostępnia dane osobowe;
g) osoba upoważniona – osoba upoważniona do przetwarzania danych osobowych przez Administratora lub osobę przez niego upoważnioną, mająca bezpośredni dostęp do danych osobowych;
h) podmiot przetwarzający – podmiot, któremu Administrator powierza czynności przetwarzania danych osobowych w swoim imieniu;
i) pracownik – osoba zatrudniona lub pełniąca funkcję w Kancelarii niezależnie od rodzaju i formy zatrudnienia lub pełnionej funkcji;
j) przetwarzanie danych osobowych – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
k) organ nadzorczy („PUODO”) – Prezes Urzędu Ochrony Danych Osobowych;
l) RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
m) UODO – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018, poz. 1000);
n) zasób danych osobowych – wszystkie dane osobowe, niezależnie od sposobu ich
utrwalenia, zarówno w formie elektronicznej – w systemie informatycznym oraz na
nośnikach (płyty CD/DVD/BD, pamięci flash, itd.) jak i papierowej.
o) zgoda na przetwarzanie danych – dobrowolne, konkretne, świadome i jednoznaczne
okazanie woli, którym osoba, której dane osobowe dotyczą, w formie oświadczenia lub
wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danychosobowych.
§ 3
Odpowiedzialność
1.Administrator danych jest odpowiedzialny za zarządzanie procesami przetwarzania danych osobowych w Kancelarii. Obok dbania o zgodność z prawem i bezpieczeństwo przetwarzania danych osobowych do obowiązków Administratora, w szczególności, należy:
a) zarządzanie czynnościami przetwarzania danych osobowych w ramach zadań,
realizowanych w Kancelarii;
b) nadawanie, zmiana lub cofanie uprawnień pracownikom do określonych zasobów danych osobowych;
c) wypełnianie obowiązków dotyczących zabezpieczenia obszaru przetwarzanych danych osobowych zgodnie z przyjętymi w Kancelarii zasadami;
d) realizacja i nadzór nad procesami związanymi z powierzaniem przetwarzania danych osobowych przez Kancelarię podmiotom przetwarzającym zgodnie z zawartymi umowami powierzenia przetwarzania danych osobowych;
e) monitorowanie przestrzegania przepisów prawa o ochronie danych osobowych oraz
niniejszej Polityki, w tym podział obowiązków, działania zwiększające świadomość,
szkolenia pracowników uczestniczących w operacjach przetwarzania oraz powiązane z tym audyty;
f) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz
monitorowanie jej wykonania zgodnie z art. 35 RODO;
g) współpracę z organem nadzorczym;
h) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach;
i) informowanie podmiotów przetwarzających oraz pracowników o obowiązkach
spoczywających na nich na mocy obowiązujących przepisów w zakresie ochrony danych osobowych;
j) udzielanie odpowiedzi na żądania osób, których dane dotyczą.
2.Pracownicy Kancelarii są odpowiedzialni za bezpieczne i zgodne z niniejszą Polityką
przetwarzanie danych osobowych. Do obowiązków pracowników należy:
a) zapoznanie się z obowiązującymi przepisami prawa z zakresu ochrony danych osobowych oraz wewnętrznymi regulacjami dotyczącymi ochrony danych osobowych w Kancelarii;
b) przetwarzanie danych osobowych wyłącznie w celu i zakresie wynikającym z nałożonych obowiązków służbowych;
c) stosowanie określonych w Kancelarii procedur i środków przetwarzania danych osobowych oraz ich zabezpieczania;
d) zachowanie w poufności danych osobowych oraz danych objętych tajemnicą
przedsiębiorstwa lub inną tajemnicą zawodową;
e) zabezpieczenie danych osobowych przed ich utratą, uszkodzeniem lub zniszczeniem, zmianą lub ich udostępnieniem osobom nieuprawnionym;
f) dopilnowanie, aby przeznaczone do usunięcia dokumenty zawierające dane osobowe, były niszczone w stopniu uniemożliwiającym ich odczytanie;
g) przestrzeganie procedur właściwego użytkowania systemów informatycznych, w których przetwarza się dane osobowe, w tym do nieujawniania innym użytkownikom swoich loginów i haseł;
h) zachowanie należytej staranności podczas przekazywania danych osobowych drogą
telefoniczną (konieczność właściwej identyfikacji rozmówcy, konieczność ustalenia, czy
rozmówca jest uprawniony do pozyskania danych osobowych, przekazywanie jedynie
niezbędnych informacji);
i) niekopiowanie danych osobowych na inne nośniki bez zgody Administratora i uzasadnionej potrzeby biznesowej;
j) zachowania należytej ostrożności przy transporcie dokumentów oraz nośników
informatycznych, zawierających dane osobowe, poza obszarem przetwarzania w Kancelarii;
k) niepozostawiania bez opieki dokumentów, zawierających dane osobowe na urządzeniach wielofunkcyjnych (drukarki, kopiarki);
l) nieopuszczania stanowiska bez zabezpieczenia dokumentów papierowych, zawierających dane osobowe (zasada „czystego biurka”) oraz bez zabezpieczania dostępu do danych przetwarzanych w systemie informatycznym (zasada „czystego ekranu”);
m) informowania Administratora, o każdym podejrzeniu naruszenia zgodnie z obowiązującymi w tym zakresie w Kancelarii procedurami opisanymi w niniejszej Polityce.
§ 4
Zgodność z prawem przetwarzania danych
1. Administrator ma prawo przetwarzać dane osobowe tylko i wyłącznie, jeśli spełniony jest jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów
realizowanych przez Administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
2. W Kancelarii obowiązują następujące zasady dotyczące przetwarzania danych osobowych:
a) zasada ograniczonego celu – oznacza, że dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, a cel ten musi być określony w momencie ich pozyskiwania;
b) zasada zgodności z prawem, rzetelności i przejrzystości oraz zasada ograniczenia celu –
oznacza, że dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem;
c) zasada minimalizacji danych – oznacza, że pozyskiwane mogą być jedynie dane adekwatne i niezbędne dla osiągnięcia celów konkretnych, uzasadnionych i określonych w momencie zbierania danych. Nie można zbierać danych osobowych, które nie mają związku z celem przetwarzania, są nadmiarowe lub już nieprzydatne (np. ze względu na ich nieaktualność);
d) zasada prawidłowości danych – oznacza, że dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane. Należy podejmować wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;
e) zasada ograniczenia czasowego – oznacza, że dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, dla których dane te są przetwarzane. Przechowywanie danych zgromadzonych np. w celu realizacji umowy powinno być zakończone w momencie przedawnienia roszczeń czy innych praw i obowiązków wynikających z przepisów prawa;
f) zasada integralności i poufności – oznacza, że dane osobowe muszą być przetwarzane w
sposób zapewniający im odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
§ 5
Zabezpieczenie danych osobowych
1. Dane osobowe przetwarzane na nośnikach papierowych podlegają zabezpieczeniu w miejscach ich przetwarzania.
2. Dane osobowe przetwarzane w formie papierowej po zakończeniu pracy (niezależnie od miejsca przetwarzania) powinny być umieszczone w szafach lub kontenerach zamykanych na klucz, jeżeli Kancelaria zapewnia taką możliwość (zasada „czystego biurka”). Dodatkowo po zakończonej pracy pomieszczenia, w których przechowywane są dane osobowe w formie papierowej powinny również być zamykane na klucz, aby zminimalizować ryzyko nieuprawnionego do nich dostępu.
3. Każdy pracownik jest zobowiązany do zablokowania komputera, na którym przetwarza dane osobowe, każdorazowo kiedy opuszcza stanowisko pracy (zasada „czystego ekranu”).
4. Dokumenty w formie papierowej przeznaczone do utylizacji zawierające dane osobowe powinny być usuwane lub niszczone w sposób trwały, uniemożliwiający ich odtworzenie.
§ 6
Upoważnienie do przetwarzania danych osobowych
1. Wszyscy pracownicy, którzy wykonują czynności związane z przetwarzaniem danych osobowych w Kancelarii w ramach wykonywania zadań służbowych na stanowiskach pracy lub prac zleconych, są upoważniani do przetwarzania danych osobowych.
2. Upoważnienia do przetwarzania danych osobowych nadawane są pisemnie wszystkim pracownikom Kancelarii.
3. Wzór upoważnienia, o którym mowa w punkcie powyżej stanowi Załącznik nr 1 do niniejszej Polityki.
4. Zakres i rodzaj przetwarzanych danych osobowych dla konkretnego pracownika ustala jego Administrator wydając mu stosowne polecenia służbowe związane z przetwarzaniem danych osobowych.
§ 7
Rejestrowanie czynności przetwarzania
1. W związku z brakiem wymogu wynikającego z art. 30 RODO Kancelaria nie prowadzi rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania.
§ 8
Gromadzenie danych osobowych i zasady ich retencji
1. Osoby odpowiedzialne w Kancelarii pozyskiwanie danych osobowych, mają obowiązek
zachowania szczególnej staranności przy ich gromadzeniu, w tym:
a) sprawdzanie, czy są spełnione podstawy prawne na pozyskiwanie danych osobowych, zgodnie z art. 6 RODO oraz art. 9 – 10 RODO;
b) zbieranie danych osobowych dla określonych, zgodnych z prawem celów realizowanych w Kancelarii;
c) zbieranie danych osobowych w zakresie adekwatnym do celów w jakich dane będą przetwarzane w Kancelarii;
d) realizowanie obowiązku informacyjnego zgodnie z art. 13 i 14 RODO.
2. Za stosowanie właściwych klauzul zgód na przetwarzanie danych osobowych przy zbieraniu danych osobowych odpowiada Administrator.
3. Dane osobowe w Kancelarii są przetwarzane przez czas określony właściwymi przepisami prawa oraz zasadami retencji opisanymi w niniejszej Polityce.
4. Za określenie odpowiednich okresów retencji danych osobowych w procesach przetwarzania danych w Kancelarii odpowiada Administrator.
5. Dane osobowe, dla których okres przetwarzania nie wynika z obowiązujących przepisów prawa, i dla których nie jest możliwe określenie z góry tego okresu w wewnętrznych przepisach, są przetwarzane tak długo, jak długo istnieje jednocześnie podstawa prawna oraz cel dla ich przetwarzania.
6. Ustanie celu przetwarzania danych osobowych jest równoznaczne z koniecznością usunięcia danych osobowych.
7. Dane osobowe przetwarzane w oparciu o przesłankę zgody na przetwarzanie danych osobowych są usuwane po wycofaniu takiej zgody, o ile pozwalają na to obowiązujące przepisy prawa.
§ 9
Udostępnianie danych osobowych i powierzanie ich podmiotom przetwarzającym
1. Pracownicy, którzy udostępniają w imieniu Kancelarii dane osobowe Klientów podmiotom zewnętrznym (np. policji, prokuraturze, sądom, ubezpieczycielom, etc.), przed ich udostępnieniem mają obowiązek sprawdzić czy istnieją podstawy prawne umożliwiające wykonanie tych czynność, w tym:
a) wymóg prawa dotyczący udostępnienia danych osobowych; lub
b) zgoda osoby na udostępnienie danych osobowych innemu podmiotowi; lub
c) postanowienie w umowie z podmiotem współpracującym, przy spełnieniu warunku, że
udostępnienie danych osobowych, nie narusza praw i wolności osoby, której dane dotyczą; lub
d) pisemny wniosek o udostępnienie danych osobowych od podmiotu uprawnionego, ze
wskazaniem podstawy prawnej do otrzymywania danego rodzaju danych osobowych; lub
e) prawnie uzasadnione interesy realizowane przez Administratora zgodnie z art. 6 ust 1 lit. f RODO.
2. W przypadku konieczności powierzania przetwarzania danych osobowych zewnętrznemu podmiotowi przetwarzającemu, należy zweryfikować, czy dany podmiot daje rękojmię wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie danych osobowych spełniało wymogi przepisów RODO i chroniło prawa osób, których dane osobowe dotyczą.
3. Po pozytywnej weryfikacji potencjalnego podmiotu przetwarzającego Administrator zawiera z nim umowę powierzenia przetwarzania danych osobowych zgodnie z art. 28 ust. 3 RODO.
4. Kancelaria ma prawo przeprowadzać audyty u wszystkich podmiotów przetwarzających, którym powierzył do przetwarzania dane osobowe zgodnie z zasadami przyjętymi w umowach powierzenia.
5. Audyty mogą odbywać się:
a) poprzez przesłanie ankiet bezpieczeństwa oraz dokumentacji dotyczącej środków
organizacyjnych i technicznych służących do zabezpieczenia danych osobowych będących przedmiotem łączącej strony umowy;
b) zdalnie lub w siedzibie podmiotu przetwarzającego.
§ 10
Realizacja praw osób, których dane dotyczą
1. Wnioski od osób, których dane dotyczą są przyjmowane:
a) elektronicznie, na adres: j-lutkiewicz@wp.pl
b) pisemnie, na adres: KANCELARIA LUTKIEWICZ, Franopol 48, 08-220 Sarnaki.
2. Osobom, których dane osobowe są przetwarzane przez Kancelarię przysługują prawa określone w art. 15 – 18 oraz 20 – 22 RODO, w tym:
a) prawo dostępu do danych;
b) prawo do sprostowania danych;
c) prawo do usunięcia danych;
d) prawo do ograniczenia przetwarzania;
e) prawo do przenoszenia danych;
f) prawo do sprzeciwu na przetwarzanie ich danych;
g) prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu.
2. Rozpatrzenie wniosku następuje w terminie 30 (trzydziestu) dni od dnia otrzymania wniosku.
3. W powyższym terminie powinno zostać wysłane powiadomienie do wnioskodawcy zgodnie z ustalonym trybem komunikacji.
4. W razie potrzeby termin można przedłużyć o kolejne 2 miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań.
5. Informację o przedłużeniu terminu rozpoznania wniosku należy przekazać w ciągu 30 dni od otrzymania żądania, powiadamiając o tym wnioskodawcę z podaniem przyczyn opóźnienia.
6. W uzasadnionych przypadkach Administrator rozpatrujący wniosek może zwrócić się do
wnioskodawcy z wezwaniem o jego uzupełnienie, wraz z informacją, że nieuzupełnienie spowoduje odmowne rozpatrzenie wniosku, w sytuacjach gdy:
a) podane we wniosku informacje nie umożliwiają przesłania odpowiedzi oraz kopii danych osobowych;
b) wniosek jest niejasny lub niezrozumiały;
c) wniosek dotyczy przekazania kopii danych lub przeniesienia danych, ale wnioskodawca nie określił zakresu danych do skopiowania lub przeniesienia;
d) wniosek dotyczy przeniesienia danych, ale wnioskodawca zażądał użycia formatu danych lub technologii, które nie są stosowane w kancelarii;
e) wniosek dotyczy przeniesienia danych, ale wnioskodawca nie podał nazwy i adresu innego administratora lub podał błędny adres lub nazwę administratora, do którego zażądał przeniesienia danych.
7. W przypadku negatywnego rozpatrzenia wniosku skierowane do wnioskodawcy powiadomienie zawiera:
a) wyraźne rozstrzygnięcie, w którym odmawia się realizacji żądania;
b) uzasadnienie negatywnej decyzji;
c) pouczenie o możliwości wniesienia przez wnioskodawcę skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.
8. W przypadku przekazywania kopii danych osobowych lub przeniesienia danych są one
dodatkowo zabezpieczane w zależności od formy ich przesyłania, w tym:
a) w wiadomości przesyłanej na adres poczty elektronicznej załączony plik z danymi powinien
być szyfrowany, a hasło jest odrębnie przesyłane za pomocą innego kanału komunikacji (np. wiadomością sms na numer telefonu wnioskodawcy);
b) poprzez szyfrowane połączenie z innym administratorem danych (w sytuacji przeniesienia danych).
9. Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny lub uporczywy charakter, może być pobierana opłata, której zasady pobierania ustala Administrator.
§ 11
Postepowanie w sytuacjach naruszenia ochrony danych osobowych oraz incydentów
bezpieczeństwa
1. W sytuacji powzięcia informacji o wystąpieniu lub podejrzeniu naruszenia każdy pracownik Kancelarii zobowiązany jest niezwłocznie o tym fakcie poinformować Administratora osobiście, telefonicznie lub na adres: j-lutkiewicz@wp.pl.
2. Po otrzymaniu informacji o podejrzeniu naruszenia ochrony danych osobowych Administrator przeprowadza postępowanie wyjaśniające, w celu ustalenia czy doszło do kwalifikowanego naruszenia ochrony danych osobowych wymagającego zgłoszenia do PUODO.
3. W przypadku, gdy doszło do naruszenia ochrony danych osobowych, Administrator:
a) ustala charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości
kategorie i przybliżoną liczbę osób, których dane osobowe dotyczą, oraz kategorie i
przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
b) ustala możliwe konsekwencje naruszenia ochrony danych osobowych dla osób fizycznych, w tym dokonuje oceny ryzyka naruszenia praw i wolności osób fizycznych, w rozumieniu art. 33 i 34 RODO;
c) określa działania i środki, które powinny zostać podjęte w celu mitygacji skutków
naruszeniu ochrony danych osobowych.
4. Przy ustalaniu ryzyka naruszenia praw i wolności osób fizycznych wynikającego z naruszenia ochrony danych osobowych należy wziąć pod uwagę prawdopodobieństwo wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, powagę ryzyka naruszenia praw i wolności osób, których dane osobowe dotyczą, oraz następujące kryteria:
c) rodzaj naruszenia;
d) charakter, wrażliwość i zakres danych osobowych;
e) łatwość identyfikacji osób fizycznych;
f) skala potencjalnych konsekwencji dla osób fizycznych;
g) liczba osób poszkodowanych.
5. Jeżeli z naruszeniem ochrony danych osobowych nie wiąże się z ryzykiem naruszenia praw i wolności osób fizycznych, nie wymaga się jego zgłoszenia organowi nadzorczemu, ani powiadomienia o nim osób, których dane osobowe dotyczą. Ww. naruszenie będzie incydentem bezpieczeństwa, w stosunku do którego Administrator prowadzi działania analityczne i zaradcze.
6. Jeżeli istnieje ryzyko naruszenia praw i wolności osób fizycznych wynikające z naruszenia ochrony danych osobowych, Administrator zobowiązany jest do zgłoszenia naruszenia PUODO, podjęcia działań zaradczych.
7. Zgłoszenie naruszenia następuje w trybie określonym przez organ nadzorczy.
8. Zgłoszenie naruszenia przygotowuje Administrator i wysyła do organu nadzorczego w terminie do 72 godzin po stwierdzeniu naruszenia, zgodnie z wymaganiami art. 33 RODO.
9. Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu zawiera co najmniej następujące informacje:
a) opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości
wskazanie kategorii i przybliżonej liczbę osób, których dane osobowe dotyczą, oraz
kategorii i przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie;
b) imię i nazwisko oraz dane kontaktowe Administratora lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) opis możliwych konsekwencji naruszenia ochrony danych osobowych;
d) opis zastosowanych lub proponowanych przez Administratora środków w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków;
e) jeżeli zgłoszenie jest składane po upływie 72 godzin od stwierdzenia naruszenia ochrony danych osobowych, wyjaśnienie przyczyn opóźnienia; jeżeli zgłoszenie dokonywane jest etapami, wyjaśnienie przyczyn oraz wskazanie, w ilu etapach Administrator ma zamiar dokonać zgłoszenia i w jakich terminach ma zamiar składać kolejne części zgłoszenia;
f) informacja o zawiadomieniu lub zamiarze zawiadomienia osób, których dane dotyczą o naruszeniu.
10. Jeżeli ryzyko naruszenia praw i wolności osób fizycznych wynikające z naruszenia jest wysokie,
Administrator zobowiązany jest do powiadomienia o nim osoby, której dane dotyczą.
11. Zawiadomienie osoby, której dane dotyczą o naruszeniu zawiera co najmniej następujące informacje:
a) opis charakteru naruszenia;
b) imię i nazwisko oraz dane kontaktowe Administratora lub innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) opis prawdopodobnych skutków naruszenia ochrony danych osobowych;
d) opis środków zastosowanych lub proponowanych przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
§ 11
Odpowiedzialność za naruszenie zasad ochrony danych
1. Naruszenie przepisów o ochronie danych osobowych jest zagrożone sankcjami karnymi, określonymi w art. 107 – 108 UODO.
2. Niezależnie od odpowiedzialności przewidzianej w przepisach, o których mowa w pkt 1, naruszenie zasad ochrony danych osobowych, obowiązujących w Kancelarii może zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych lub rażące naruszenie obowiązków wynikających z umowy cywilnoprawnej (lub innej umowy łączącej strony) dotyczącej współpracy z Kancelarią i może skutkować rozwiązaniem umowy bez zachowania terminu wypowiedzenia oraz odpowiedzialnością na podstawie przepisów prawa pracy oraz prawa cywilnego.
§ 12
Postanowienia końcowe
1. Polityka jest dokumentem wewnętrznym i nie może być udostępniania osobom nieupoważnionym w żadnej formie.
2. W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie przepisy RODO oraz UODO.
3. Pracownicy i współpracownicy Kancelarii są bezwzględnie zobowiązani do stosowania zasad określonych w niniejszej Polityce.
4. W przypadku rozbieżności w interpretacji niniejszej Polityki ostatecznej wykładni jej zapisów dokonuje Administrator.