Regulamin

REGULAMIN OCHRONY DANYCH OSOBOWYCH obowiązujący w Krajowa Izba Gospodarki Cyfrowej z dnia 16/12/2019

SPIS TREŚCI

PREAMBUŁA. 3

Rozdział I – DEFINICJE. 4

Rozdział II – POSTANOWIENIA OGÓLNE. 5

Rozdział III – ADMINISTRATOR DANYCH OSOBOWYCH.. 6

Rozdział IV- PODMIOT PRZETWARZAJĄCY DANE OSOBOWE. 7

Rozdział V – REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH.. 7

Rozdział VI – UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH.. 8

Rozdział VII – INSPEKTOR OCHRONY DANYCH.. 8

Rozdział VIII – PODSTAWY PRZETWARZANIA DANYCH OSOBOWYCH.. 9

Rozdział IX – PRAWA OSÓB, KTÓRYCH DANE OSOBOWE PODLEGAJĄ PRZETWARZANIU.. 11

Rozdział X – TECHNICZNE ORAZ ORGANIZACYJNE ŚRODKI OCHRONY DANYCH OSOBOWYCH.. 11

Rozdział XI – PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH.. 14

Rozdział XII – ZASADY UDOSTĘPNIANIA DANYCH OSOBOWYCH.. 15

Rozdział XIII – POSTANOWIENIA KOŃCOWE. 15

PREAMBUŁA

Krajowa Izba Gospodarki Cyfrowej w zakresie prowadzonej działalności dokłada wszelkich starań by spełnić najwyższe standardy gwarantujące świadczenie usług w sposób prawidłowy, w zgodnie z obowiązującymi przepisami i normami powszechnie obowiązującego prawa.

Mając na względnie powyższe wobec wymogów wprowadzonych przez Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 z dnia 2016.05.04), w celu zapewnienia przez  Krajowa Izba Gospodarki Cyfrowej, prawidłowego postępowania z danymi osobowymi w zakresie każdej operacji dokonywanej na danych osobowych przyjęty zostaje niniejszy Regulamin ochrony danych osobowych.

Dokument niniejszy został opracowany po wewnętrznym audycie RODO, w zakresie którego Krajowa Izba Gospodarki Cyfrowej, został/a sklasyfikowany/a jako Administrator danych osobowych, przetwarzający informacje stanowiące dane osobowe w rozumieniu powołanego wyżej Rozporządzenia UE.

Dokument niniejszy kierowany jest przez Krajowa Izba Gospodarki Cyfrowej do wszelkich podmiotów współpracujących, kontrahentów oraz obecnych i potencjalnych klientów w celu zaprezentowana zakresu ochrony i rozmiaru podejmowanych działań z uwagi na wszelkie procesy powiązane pośrednio lub bezpośrednio z przetwarzaniem danych osobowych.

Rozdział I – DEFINICJE

§1

W rozumieniu niniejszego regulaminu:

  1. Administratorem danych osobowych jest Krajowa Izba Gospodarki Cyfrowej, adres ul. Trębacka 4, 00-074 Warszawa, numer NIP: 5213643316, numer REGON: 146510498, który/a samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych dalej zwany/a „Administratorem”;
  2. Inspektorem ochrony danych jest osoba wyznaczona przez Administratora, odpowiedzialna za monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk Administratora w dziedzinie ochrony danych osobowych dalej zwana „IOD”;
  3. Podmiotem przetwarzającym jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora;
  4. Danymi osobowymi są informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej z więc takiej, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
  5. Zbiorem danych jest uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
  6. Przetwarzaniem jest operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie, dalej zwane w niniejszym Regulaminie Przetwarzaniem.
  7. Udostępnieniem danych – jest czynność przetwarzania danych polegająca na  udostępnieniu danych osobowych przez Administratora stronie trzeciej, bez określenia celu przetwarzania, bez określenia sposobu przetwarzania.
  8. Powierzeniem danych – jest czynność przetwarzania danych polegająca naprzekazaniu danych osobowych przez Administratora do przetwarzania przez podmiot trzeci, który przetwarza dane na zlecenie Administratora w celu oraz w sposób wskazany przez Administratora.
  9. Działaniem z własnej inicjatywy administratora – jest działanie oparte o decyzję podjętą przez Administratora co oznacza brak obowiązku prawnego w tym zakresie i dowolność decyzyjną po stronie Administratora.
  10. Ustawą jest ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U.2018.1000 z dnia 2018.05.24) z późn. zm.
  11. Rozporządzenie RODO jest ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 z dnia 2016.05.04), dalej zwane także Rozporządzeniem RODO.

Rozdział II – POSTANOWIENIA OGÓLNE

§1

  1. Niniejszy Regulamin Ochrony Danych Osobowych stanowi zbiór zasad i procedur obowiązujących przy Przetwarzaniu Danych osobowych i postępowaniu z Danymi osobowymi w ramach przedsiębiorstwa Administratora znajdujących się zarówno w wersji elektronicznej, jak i w papierowej, bez względu na technikę lub sposób utrwalenia bądź przechowywania.
  2. Zawarte w niniejszym Regulaminie Ochrony Danych Osobowych regulacje określają kierunki działań Administratora oraz wsparcia dla zapewnienia bezpieczeństwa Danych osobowych, w szczególności:
  3. określają zasady zarządzania, ochrony i Przetwarzania Danych osobowych;
  4. określają standardy zapewniające poprawne i bezpieczne funkcjonowanie wszystkich systemów Przetwarzania Danych osobowych i przepływu informacji w zakresie  przedsiębiorstwa Administratora
  5. Podstawą do opracowania niniejszego Regulaminu Ochrony Danych Osobowych oraz jego wdrożenia są obowiązujące w dniu jego przejęcia akty prawne w tym w szczególności
  6. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U.2018.1000 z dnia 2018.05.24);
  7. ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 z dnia 2016.05.04).
  8. Całokształt dokumentacji składającej się na Systemochrony danych osobowych w zakresie przedsiębiorstwa Administratora stanowią:
  9. Regulamin Ochrony Danych Osobowych.
  10. Polityka Bezpieczeństwa Danych Osobowych wraz z załącznikami.
  11. Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania Danych Osobowych wraz z załącznikami.
  12. W przypadku konieczności dodatkowej szczegółowej regulacji kwestii bezpieczeństwa Danych osobowych w ramach przedsiębiorstwa Administratora możliwe jest wprowadzenie dodatkowej dokumentacji regulującej szczegółowo konieczne zakresy.

Rozdział III – ADMINISTRATOR DANYCH OSOBOWYCH

§1

  1. Uwzględniając charakter, zakres, kontekst i cele Przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, Administrator stosownie do postanowień ustępu 3 niniejszego paragrafu zapewnia wdrożenie i stosowanie odpowiednich środków technicznych i organizacyjnych, tak aby Przetwarzanie danych odbywało się zgodnie z obwiązującymi przepisami.
  2. Środki techniczne i organizacyjne, o których mowa w ustępie 1 powyżej obejmują zapewnienie wdrożenia przez Administratora odpowiedniej, wymaganej przez obowiązujące przepisy dokumentacji w tym, w szczególności polityki bezpieczeństwa danych osobowych oraz dołożenie wszelkich staranności w celu zapewnienia zawarcia i stosowania  indywidualnych umów z podmiotami zewnętrznymi, którym Administrator choćby częściowo Powierzył dane, jak również ewidencjonowania czynności polegających na Udostępnieniu danych.
  3. Administrator dokonując wdrożenia i stosowania odpowiednich środków technicznych i organizacyjnych, uwzględnia stan wiedzy technicznej, koszt wdrażania tych środków oraz ich charakter, zakres, kontekst i cele Przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikających z Przetwarzania.
  4. Administrator w zakresie stosowanych rozwiązań dołoży wszelkich starań w celu zapewnienia środków pozwalających na skuteczną ochronę Danych osobowych i niezbędne zabezpieczenie Przetwarzania Danych osobowych.
  5. Administrator, w przypadku gdy dochodzi do wspólnego ustalenia z innym administratorem danych wspólnego celu i sposobu Przetwarzania danych, dokonuje koniecznych uzgodnień i jasno określa zakres swojej odpowiedzialności oraz relacje pomiędzy nim a drugim administratorem jak również relacje z podmiotami, których dane dotyczą podejmując konieczne działania i środki w tym zakresie.

Rozdział IV- PODMIOT PRZETWARZAJĄCY DANE OSOBOWE

§1

  1. Administrator może dokonać Powierzenia danych – do Przetwarzania na zlecenie Administratora. Administrator weryfikuje Podmiot Przetwarzający Dane osobowe, po kątem zapewnienia przez ten podmiot wystarczających gwarancji wdrożenia takich środków technicznych i organizacyjnych, aby Przetwarzanie zlecone przez Administratora spełniało wymogi obowiązującego prawa i chroniło prawa osób, których dane dotyczą.
  2. Administrator dokonuje Powierzenia danych Podmiotowi Przetwarzającemu na podstawie umowy lub innego instrumentu prawnego, który jest wiążący zarówno dla Podmiot Przetwarzającego jak i Administratora. W zakresie regulacji Powierzenia danych Administrator zapewnia aby w zakresie zawartej umowy, lub innego instrumentu prawnego określone zostały w szczególności:
    1. przedmiot i czas trwania Przetwarzania,
    1.  charakter i cel Przetwarzania,
    1. rodzaj Danych osobowych, które będą Przetwarzane
    1. kategorie osób, których Dane osobowe dotyczą,
    1. obowiązki i prawa Administratora,

Rozdział V – REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH

§1

  1. Administrator z własnej inicjatywy oraz zawsze gdy zgodnie z obowiązującymi przepisami prawa jest do tego zobligowany zapewnia prowadzenie rejestru czynności przetwarzania danych osobowych, który może przyjąć formę pisemna lub formę elektroniczną Administrator do prowadzenia rejestru może wykorzystać także dedykowane oprogramowanie.
  2. W zakresie rejestru przetwarzania danych osobowych Administrator  zapewnia ujęcie następujących informacji:
  3.  imię i nazwisko lub nazwę oraz dane kontaktowe Administratora oraz wszelkich współadministratorów, oraz IOD gdy powołany;
  4. cele Przetwarzania;
  5. opis kategorii osób, których dane dotyczą, oraz kategorii Danych osobowych;
  6. kategorie odbiorców, którym Dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  7. gdy ma to zastosowanie, przekazania Danych osobowych do państwa trzeciego lub przedsiębiorstwa międzynarodowego, w tym nazwa tego państwa trzeciego lub przedsiębiorstwa międzynarodowego;
  8. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  9. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
  10. Administrator zapewnia zobowiązanie Podmiotu Przetwarzającego do prowadzenia rejestru wszystkich kategorii czynności Przetwarzania dokonywanych w imieniu Administratora.

Rozdział VI – UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH

§1

  1. Administrator zapewnia w ramach swojego przedsiębiorstwa aby Przetwarzanie dokowane było wyłącznie przez osoby posiadające upoważnienie do Przetwarzania, wydane przez Administratora zgodnie z obowiązującymi w zakresie przedsiębiorstwa Administratora regulacjami wewnętrznymi wskazującymi szczegółowe postępowanie w zakresie dostępu do  Danych osobowych.
  2. Administrator zapewnia, byosoby Przetwarzające Dane osobowe posiadały konieczną wiedzę i umiejętności w tym zakresie, oraz aby okres i zakres Przetwarzania Danych osobowych przez te osoby był zgodny z treścią udzielonego przez Administratora upoważnienia.
  3. Administrator zgodnie z obowiązującymi w zakresie przedsiębiorstwa Administratora regulacjami wewnętrznymi regulującymi szczegółowe postępowanie w zakresie dostępu do Danych osobowych wydaje, ewidencjuje i przechowuje imienne upoważnienia do Przetwarzania Danych osobowych oraz cofnięte upoważnienia.

§2

  1. Administrator zapewnia, by osoby Przetwarzające Dane osobowe były świadome  obowiązku zachowania w poufności danych, do których mają dostęp oraz aby fakt ten był potwierdzony przez pisemne oświadczenie takich osób.
  2. Administrator zapewnia, by osoba upoważniona do Przetwarzania dokonywała wszelkich czynności na Danych osobowych przy zachowaniu funkcjonujących w ramach przedsiębiorstwa Administratora środków organizacyjnych oraz technicznych dedykowanych zabezpieczeniu oraz ochronie Danych osobowych przed nieuprawnionym dostępem, modyfikacją oraz zniszczeniem.

Rozdział VII – INSPEKTOR OCHRONY DANYCH

§1

  1. W zakresie przedsiębiorstwa Administratora nie zachodzą przesłanki obligujące do powołania IOD, ponieważ:
  2. główna działalność Administratora nie polega na operacjach Przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których Dane osobowe dotyczą, na dużą skalę;
  3. główna działalność Administratora nie polega na Przetwarzaniu na dużą skalę szczególnych kategorii Danych osobowych oraz Danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
  4. Wobec treści ustępu 1 powyżej przy braku zobowiązania do powołania IOD, Administrator zapewnia możliwość kontaktu ze Specjalistą wewnętrznym lub bezpośrednio Administratorem we wszystkich kwestiach dotyczących ochrony Danych osobowych udostępniając dane kontaktowe przez podanie adresu e-mail lub telefonu.
  5. Wobec treści ustępu 1 powyżejprzy braku zobowiązania do powołania IOD, Administrator zapewnia współpracę z Podmiotem profesjonalnym, posiadającym konieczną wiedzę i narzędzia do zapewnienia doradztwa dotyczącego ochrony Danych osobowych w zakresie przedsiębiorstwa Administratora.

§ 2

  1. Administrator może z własnej inicjatywy zapewnić wyznaczenie IOD wówczas Administrator zapewnia publikacje danych kontaktowych IOD i zawiadamia o jego wyznaczeniu  właściwy w zakresie ochrony danych osobowych organ nadzorczy, zgodnie z obowiązującymi w dacie wyznaczenia IOD przepisami prawa.
  2. Jeśli Administrator dokonał zgodnie z ustępem 1 niniejszego paragrafu wyznaczenia IOD zapewnia, bywypełniał on swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami Przetwarzania, mając na uwadze charakter, zakres, kontekst i cele Przetwarzania.

Rozdział VIII – PODSTAWY PRZETWARZANIA DANYCH OSOBOWYCH

§1

  1. Administrator zapewnia, by w ramach jego przedsiębiorstwa wszelkie operacje na Danych osobowych były przeprowadzane z zachowaniem wskazanych poniżej wytycznych:
    1. Dane osobowe Przetwarzane są zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;
    1. Dane osobowe są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
    1. Dane osobowe są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są Przetwarzane;
    1. Dane osobowe są prawidłowe i w razie potrzeby uaktualniane, a Administrator podejmuje wszelkie rozsądne działania, aby Dane osobowe, które są nieprawidłowe w świetle celów ich Przetwarzania, zostały niezwłocznie usunięte lub sprostowane;
    1. Dane osobowe są przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są Przetwarzane, przy czym można przechowywać je przez okres dłuższy, o ile będą one Przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane w celu ochrony praw i wolności osób, których dane dotyczą;
    1. Dane osobowePrzetwarzane w sposób zapewniający odpowiednie bezpieczeństwo Danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem Przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

§2

  1. Administrator zapewnia, by w ramach jego przedsiębiorstwa Przetwarzanie Danych osobowych odbywało się w określonych celach i w określonym zakresie, jeżeli:
    1. osoba, której dane dotyczą wyraziła zgodę na Przetwarzanie swoich Danych osobowych w jednym lub większej liczbie określonych celów;
    1. Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
    1. Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze;
    1. Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
    1. Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi;
    1. Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony Danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
  2. Administrator zapewni, by jeśli nie upoważnia go do tego wyraźny przepis prawa ramach jego przedsiębiorstwa nie dochodziło do Przetwarzania Danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz Przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
  3. Administrator zapewnia, by Przetwarzane przez niego Dane osobowe były pozyskiwane w sposób zgodny powszechnie obowiązującymi przepisami prawa czy to bezpośrednio od osoby, której dane dotyczą czy też w sposób inny niż od osoby, której dane dotyczą.

Rozdział IX – PRAWA OSÓB, KTÓRYCH DANE OSOBOWE PODLEGAJĄ PRZETWARZANIU

§1

  1. Administrator zapewnia by, pozyskiwanie Danych osobowych przebiegało w sposób zgodny z powszechnie obowiązującymi przepisami prawa w tym w szczególności  podaje osobie, której dane podlegają Przetwarzaniu wszystkie informacje wymagane przez RODO.
  2. Administrator zapewnia, by osobie, której dane podlegają Przetwarzaniu przysługuje zgodnie z RODO prawo kontroli Danych osobowych.
  3. Osoba, której Dane osobowe podlegają Przetwarzaniu na każdym etapie Przetwarzania jej Danych osobowych zapewniony ma szereg uprawnień pozwalających jej uzyskać dostęp do Danych osobowych, weryfikacje prawidłowości Przetwarzania Danych osobowych, ich korektę, jak również na zgłoszenie sprzeciwu wobec ich Przetwarzania, żądanie ograniczenia Przetwarzania, przeniesienia Danych osobowych.

Rozdział X – TECHNICZNE ORAZ ORGANIZACYJNE ŚRODKI OCHRONY DANYCH OSOBOWYCH

§1

  1. Administrator zapewnia by, podjęte zostały odpowiednie techniczne i organizacyjne środki ochrony danych, w szczególności, by dokumenty, zarówno w wersji elektronicznej jak i papierowej, zawierające Dane osobowe były przechowywane w odpowiednio zabezpieczonych budynkach oraz pomieszczeniach.
  2. Jeśli w ramach wykonania zobowiązania określonego w ustępie 1 niniejszego paragrafu powyżej Administrator zdecyduje się na umieszczenie dokumentacji zawierającej Dane osobowe w budynkach i pomieszczeniach zamykanych na klucz, Administrator zapewnia, by w szczególności:
  3. w zakresie dostępu do budynków i pomieszczeń, w których PrzetwarzaneDane osobowe podjęte zostały odpowiedzenie środki kontrolne i weryfikujące,
  4. klucze do miejsc, w których PrzetwarzaneDane osobowe wydawane były bezpośrednio przez Administratora lub inna osobę odpowiedzialną wyłącznie osobom upoważnionym do dostępu do tych budynków oraz pomieszczeń
  5. regulacje wewnętrzne obowiązujące w przedsiębiorstwie Administratora – jeśli Administrator jest właścicielem budynku, obligowały osobę będąca dysponentem kluczy do przekazania kluczy do miejsc, w których Przetwarzane Dane osobowe wyłącznie osobom uprawnionym do dostępu do tych budynków oraz pomieszczeń,
  6. regulacje wewnętrzne obowiązujące w przedsiębiorstwie Administratora – jeśli Administrator jest właścicielem budynku, obligowały osobę odpowiedzialną za wydanie kluczy, do przekazania kluczy do miejsc, w których Przetwarzane Dane osobowe wyłącznie osobom uprawnionym do dostępu do tych budynków oraz pomieszczeń,
  7. regulacje obowiązujące w ramach wynajmowanych/ dzierżawionych/ użytkowanych budynków i pomieszczeń – jeśli Administrator wynajmuje/dzierżawi/użytkuje budynki lub pomieszczenia – obligowały osobę będąca odpowiedzialną za wydanie kluczy, do przekazania kluczy do miejsc, w których PrzetwarzaneDane osobowe wyłącznie osobom uprawnionym do dostępu do tych budynków oraz pomieszczeń,
  8. wprowadzone zostały odpowiednie procedury obligujące osobę, która utraciła klucze do miejsca, w którym Przetwarzane Dane osobowe, do niezwłocznego zgłaszania tej okoliczność Administratorowi lub osobie wskazanej przez Administratora.
  9. Administrator zapewnia, by szczegółowe zasady kontroli dostępu do poszczególnych miejsc, w których PrzetwarzaneDane osobowe określone zostały w procedurach wewnętrznych obowiązujących w ramach przedsiębiorstwa Administratora.

§2

  1. Administrator zapewnia, by w ramach przedsiębiorstwa Administratora obowiązywały właściwe procedury wewnętrzne wskazujące na prawidłowe zachowania podczas pracy z dokumentacją zawierająca Dane osobowe wskazujące w szczególności aby:
  2. w przypadku korzystania z urządzeń wielofunkcyjnych w celu skopiowania lub zeskanowania dokumentów zawierających Dane osobowe, dokumenty zawierające Dane osobowe jeśli kopiowane lub skanowane, jak również ich kopie wyjmowane były z urządzenia wielofunkcyjnego niezwłocznie po ich użyciu,
  3. w sytuacji przesyłania dokumentów zawierających Dane osobowe za pomocą komunikacji elektronicznej zachowywana była szczególną ostrożność, w tym  szczególności aby przesyłany dokument był szyfrowany jeśli jest to wskazane,
  4.  osoba upoważniona do Przetwarzania Danych osobowych, po zakończeniu czynności Przetwarzania na dokumentach zawierających Dane osobowe zabezpiecza dokumenty oraz nośniki elektroniczne w specjalnie przeznaczonych miejscach.
  5. osoba upoważniona do Przetwarzania Danych osobowych, pozakończeniu czynności Przetwarzania, nieużyteczne dokumenty w formie papierowej, zawierające Dane osobowe niszczy w bezpieczny sposób w szczególności za pomocą niszczarki.
  6. Administrator zapewnia, by w ramach przedsiębiorstwa Administratora obowiązywały właściwe procedury wewnętrzne dotyczące trwałego niszczenia dokumentacji zawierające Dane osobowe, Administrator może w szczególnościdokonać trwałego zniszczenia dokumentów zawierających Dane osobowe za pośrednictwem profesjonalnego przedsiębiorcy zajmującego się niszczeniem dokumentów (po zawarciu odpowiedniej umowy zgodnie z postanowieniami Rozdziału IV niniejszego Regulaminu).

 §3

  1. Administrator zapewnia, by każda osoba upoważniona do Przetwarzania danych w ramach przedsiębiorstwa Administratora była świadoma obowiązujących  przepisów dotyczących ochrony Danych osobowych.
  2. Administrator jeśli jest to konieczne i wskazanedokonuje przeszkolenia osób upoważnionych do Przetwarzania Danych osobowych w zakresie bezpiecznej obsługi urządzeń i programów związanych z Przetwarzaniem i ochroną Danych osobowych oraz zabezpieczania miejsc, w których przechowuje się dokumenty zawierające Dane osobowe.
  3. Szczegółowe środki fizyczne, techniczne oraz organizacyjne ochrony Danych osobowych zostały zawarte w wewnętrznych dokumentach obowiązujących w przedsiębiorstwie Administratora w szczególności w Polityce Bezpieczeństwa Ochrony Danych Osobowych oraz Instrukcji Zarządzania Systemem Informatycznym.

Rozdział XI – PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

§1

  1. Administrator zapewnia w ramach przedsiębiorstwa Administratora opracowanie i wdrożenie procedury postępowania w przypadku naruszenia bezpieczeństwa Danych osobowych, która reguluje w szczególności:
  2. redukcję wystąpienia podobnych incydentów w przyszłości;
  3. minimalizację skutków zdarzenia;
  4. wyjaśnienie okoliczności zdarzenia;
  5. zabezpieczenie dowodów zdarzenia.
  6. Administrator zapewnia by procedura postępowania w przypadku naruszenia bezpieczeństwa Danych osobowych w sposób wyczerpujący i zgodny z obowiązującymi przepisami regulowała prawidłowe działanie na każdym etapie, tj. zapobiegania, monitorowania oraz kontroli i wyjaśnienia wszelkich zagrożeń naruszenia Danych osobowych.

§2

  1. Administrator w ramach swojego przedsiębiorstwa taktuje jako zdarzenie będące naruszeniem ochrony Danych osobowych każde zdarzenie, zależne jak i niezależne od woli ludzkiej, powodujące zagrożenie bezpieczeństwa Danych osobowych, w szczególności:
  2. zdarzenie prowadzące do utraty integralności (kompletności, wiarygodności) Danych osobowych;
  3. zdarzenie zagrażające poufności Danych osobowych;
  4. zdarzenie zagrażające rozliczalności Danych osobowych .
  5. Administrator w zakresie zapewnia podjęcie wszelkich niezbędnych kroków i działań w zakresie ochrony Danych osobowych jeśli doszło do:
  6. naruszenia obowiązujących w zakresie przedsiębiorstwa Administratora wprowadzonych i  obowiązujący  wewnętrznych polityk, procedur lub instrukcji dotyczących ochrony Danych osobowych,
  7. naruszenia dotyczących ochrony Danych osobowych obowiązujących przepisów prawa,
  8. naruszenia stosowanych przez Administratora zabezpieczeń fizycznych.
  9. Szczegółowe zasady postępowania w przypadku naruszenia ochrony Danych osobowych Administrator reguluje w wewnętrznych dokumentach, procedurach i politykach.

Rozdział XII – ZASADY UDOSTĘPNIANIA DANYCH OSOBOWYCH

§1

  1. Administrator Udostępnia Dane osobowe Przetwarzane w ramach swojego przedsiębiorstwa tylko osobom lub podmiotom uprawnionym do ich otrzymania z uwzględnieniem przepisów prawa obowiązujących w dacie Udostępnienia
    1. Administrator zapewnia byczynność Udostępnienia Danych osobowych nie naruszała praw osób, których Dane osobowe dotyczą.

Rozdział XIII – POSTANOWIENIA KOŃCOWE

§1

  1. Niniejszy Regulamin Ochrony Danych Osobowych wchodzi w życie z dniem 16/12/2019.