22 212-88-97
kancelaria@pccbiodo.pl
Polskie Centrum Certyfikacji Bezpieczeństwa Informacji
i Ochrony Danych Osobowych Sp. z o.o.

RODO

Pełny, wariantowy obowiązek informacyjny.

Zgodnie z art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych i uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej: RODO) oraz ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych informujemy, że:

Administratorem danych osobowych osób, które wystąpują w relacji z naszym Centrum jest Polskie Centrum Certyfikacji Bezpieczeństwa Informacji i Ochrony Danych Osobowych Sp. z o.o. (w skrócie PCCBIODO Sp. z o.o.), nip: 6762507404, tel. (+48) 22 212 88 97, email: kancelaria@pccbiodo.pl.

Administrator wyznaczył inspektora danych osobowych; kontakt z nim możliwy jest za pomocą poczty elektronicznej, adres mailowy: iod@pccbiodo.pl

Dane osobowe będą przetwarzane zgodnie z RODO:

  1. jeżeli Pani/Pan jest pracownikiem Centrum, w celu:
    • rekrutacji i zatrudnienia na podstawie art. 6, ust. 1 lit. c) RODO w odniesieniu do Ustawy Kodeks Pracy, a także w odniesieniu do przepisów prawa podatkowego oraz, jeżeli została wyrażona zgoda, na podstawie art. 6 ust. 1 lit a) RODO
  2. jeżeli jest Pani/Pan naszym podwykonawcą/kontrahentem, w celu:
    • wywiązania się z obowiązków prawnych ciążących na Administratorze, zgodnie z art. 6 ust. 1 lit. c) RODO,
  3. jeżeli kontaktuje się z nami Pani/Pan, w celu:
    • udzielenia informacji na zadanie pytanie, co jest naszym usprawiedliwionym interesem Administratora, zgodnie z art. 6 ust. 1 lit. f) RODO,
  4. jeżeli to my kontaktujemy się z Panią/Panem, w celu:
    • prowadzenia działań marketingowych, co jest naszym usprawiedliwionym interesem Administratora, zgodnie z art. 6 ust. 1 lit. f) RODO,

W trakcie procesów opisywanych powyżej Centrum przetwarza dane następujących kategorii:

    1. dane kontaktowe takie jak: imię, nazwisko, telefon komórkowy, email,
    2. dane niezbędne w zatrudnianiu na podstawie umowy o pracę i umowy cywilno-prawne takie jak: imię, nazwisko, adres zamieszkania, nr dowodu osobistego/paszportu, nr PESEL, dane o wykształceniu i kompetencjach zawodowych.

Państwa dane nie będą podlegały udostępnieniu podmiotom trzecim (art. 4 ust. 10, RODO). Odbiorcami danych osobowych będą osoby upoważnione przez Administratora, instytucje upoważnione z mocy prawa czy podmioty wykonujące w naszym imieniu i pod naszym nadzorem min. usługi:

    1. informatyczne, w tym hosting, usługa dziennika elektronicznego i wsparcia pracowników,
    2. księgowe i rachunkowe.

Dane osobowe nie będą przekazywane do państw trzecich.

Pani/Pana dane osobowe przetwarzane będą przez okres niezbędny do realizacji celu przetwarzania, a następnie do czasu upływu roszczeń. W przypadkach określonych przez prawo (np. Prawo Pracy) będą przetwarzane zgodnie z zapisami tego prawa. A jeżeli są przetwarzane na podstawie zgody to do czasu jej wycofania.

Przysługuje Pani/Panu prawo żądania od Administratora dostępu do danych osobowych ich sprostowania, usunięcia, ograniczenia przetwarzania, przeniesienia danych oraz prawo do wniesienia sprzeciwu. Przysługuje Pani/Panu również prawo do cofnięcia wyrażonej zgody w każdym czasie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Zgłoszenie takie można do nas wysłać każdym znanym kanałem, zalecamy natomiast użycie formularza kontaktowego.

Przysługuje Pani/Panu prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uważa Pani/Pan, że przetwarzanie przez Administratora danych osobowych narusza przepisy o ochronie danych osobowych.

Podanie danych jest dobrowolne, lecz niezbędne do wykonywania przez nasze Centrum założonych celów. W przypadku niepodania danych, nie będą mogli Państwo skorzystać z całości lub części oferty naszej firmy.

Przetwarzanie danych nie będzie podlegało zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO.

Polityka plików cookies

Niniejsza polityka dotycząca plików cookie odnosi się do wszystkich stron internetowych oraz aplikacji na urządzenia mobilne, należących do PCCBIODO Sp. z o.o.

  1. Serwis nie zbiera w sposób automatyczny żadnych informacji, z wyjątkiem informacji zawartych w plikach cookies.
  2. Pliki cookies (tzw. „ciasteczka”) stanowią dane informatyczne, w szczególności pliki tekstowe, które przechowywane są w urządzeniu końcowym Użytkownika Serwisu i przeznaczone są do korzystania ze stron internetowych Serwisu. Cookies zazwyczaj zawierają nazwę strony internetowej, z której pochodzą, czas przechowywania ich na urządzeniu końcowym oraz unikalny numer.
  3. Podmiotem zamieszczającym na urządzeniu końcowym Użytkownika Serwisu pliki cookies oraz uzyskującym do nich dostęp jest operator serwisu spółka PCCBIODO Sp. z o.o.
  4. Pliki cookies wykorzystywane są w celu:
    1. dostosowania zawartości stron internetowych Serwisu do preferencji Użytkownika oraz optymalizacji korzystania ze stron internetowych; w szczególności pliki te pozwalają rozpoznać urządzenie Użytkownika Serwisu i odpowiednio wyświetlić stronę internetową, dostosowaną do jego indywidualnych potrzeb;
    2. tworzenia statystyk, które pomagają zrozumieć, w jaki sposób Użytkownicy Serwisu korzystają ze stron internetowych, co umożliwia ulepszanie ich struktury i zawartości;
    3. utrzymanie sesji Użytkownika Serwisu (po zalogowaniu), dzięki której Użytkownik nie musi na każdej podstronie Serwisu ponownie wpisywać loginu i hasła;
  5. W ramach Serwisu stosowane są dwa zasadnicze rodzaje plików cookies: „sesyjne” (session cookies) oraz „stałe” (persistent cookies). Cookies „sesyjne” są plikami tymczasowymi, które przechowywane są w urządzeniu końcowym Użytkownika do czasu wylogowania, opuszczenia strony internetowej lub wyłączenia oprogramowania (przeglądarki internetowej). „Stałe” pliki cookies przechowywane są w urządzeniu końcowym Użytkownika przez czas określony w parametrach plików cookies lub do czasu ich usunięcia przez Użytkownika.
  6. W ramach Serwisu stosowane są następujące rodzaje plików cookies:
    1. „niezbędne” pliki cookies, umożliwiające korzystanie z usług dostępnych w ramach Serwisu, np. uwierzytelniające pliki cookies wykorzystywane do usług wymagających uwierzytelniania w ramach Serwisu;
    2. pliki cookies służące do zapewnienia bezpieczeństwa, np. wykorzystywane do wykrywania nadużyć w zakresie uwierzytelniania w ramach Serwisu;
    3. „wydajnościowe” pliki cookies, umożliwiające zbieranie informacji o sposobie korzystania ze stron internetowych Serwisu;
    4. „funkcjonalne” pliki cookies, umożliwiające „zapamiętanie” wybranych przez Użytkownika ustawień i personalizację interfejsu Użytkownika, np. w zakresie wybranego języka lub regionu, z którego pochodzi Użytkownik, rozmiaru czcionki, wyglądu strony internetowej itp.;
    5. „reklamowe” pliki cookies, umożliwiające dostarczanie Użytkownikom treści reklamowych bardziej dostosowanych do ich zainteresowań.
  7. W wielu przypadkach oprogramowanie służące do przeglądania stron internetowych (przeglądarka internetowa) domyślnie dopuszcza przechowywanie plików cookies w urządzeniu końcowym Użytkownika. Użytkownicy Serwisu mogą dokonać w każdym czasie zmiany ustawień dotyczących plików cookies. Ustawienia te mogą zostać zmienione w szczególności w taki sposób, aby blokować automatyczną obsługę plików cookies w ustawieniach przeglądarki internetowej bądź informować o ich każdorazowym zamieszczeniu w urządzeniu Użytkownika Serwisu. Szczegółowe informacje o możliwości i sposobach obsługi plików cookies dostępne są w ustawieniach oprogramowania (przeglądarki internetowej).
  8. Operator Serwisu informuje, że ograniczenia stosowania plików cookies mogą wpłynąć na niektóre funkcjonalności dostępne na stronach internetowych Serwisu.
  9. Pliki cookies zamieszczane w urządzeniu końcowym Użytkownika Serwisu i wykorzystywane mogą być również przez współpracujących z operatorem Serwisu reklamodawców oraz partnerów.
  10. Więcej informacji na temat plików cookies dostępnych jest pod adresem http://wszystkoociasteczkach.pl/ lub w sekcji „Pomoc” w menu przeglądarki internetowej.
  11. Niniejsza polityka plików cookies chroniona jest prawem autorskim, które przysługują IAB Polska a jej użycie określone jest w licencji umieszczonej na stronie http://wszystkoociasteczkach.pl/polityka-cookies/.

Polityka prywatności i ochrona danych osobowych

Niniejsza polityka stanowi Załącznik nr 1 do Uchwały nr 1/5/2018 z dnia 20.05.2018r.

Polityka Bezpieczeństwa
Danych Osobowych

w

Polskie Centrum Certyfikacji Bezpieczeństwa Informacji
i Ochrony Danych Osobowych Sp. z o.o.
Plac Bankowy 2, 00-095 Warszawa

 

Data przyjęcia dokumentu: 20.05.2018

Ważny od: 25.05.2018

A. Część publiczna Polityki Bezpieczeństwa Danych Osobowych

§1

Podział Polityki Bezpieczeństwa Danych Osobowych

Wprowadza się podział Polityki Bezpieczeństwa Danych Osobowych (w skrócie PBDO), na:

  1. część publiczną – dostępną dla zainteresowanych stron,
  2. część niepubliczną – wewnętrzną, dostępną wyłącznie dla osób upoważnionych przez Administratora Danych Osobowych.

§2

Definicje

Przedsiębiorstwo – Polskie Centrum Certyfikacji Bezpieczeństwa Informacji i Ochrony Danych Osobowych Sp. z o.o.

Polityka Bezpieczeństwa Danych Osobowych (w skrócie Polityka, Polityka Bezpieczeństwa, PBDO) – niniejszy dokument określający nadrzędne zasady ochrony danych osobowych w Przedsiębiorstwie.

Administrator Danych Osobowych (w skrócie ADO) – Przedsiębiorstwo przetwarzające dane osobowe określające ich cel i zakres przetwarzania.

Inspektor Ochrony Danych (w skrócie IOD) – wyznaczona przez ADO osoba fizyczna pełniąca funkcję pełnomocnika ds. ochrony danych osobowych wpisana do rejestru właściwego Urzędu ds. ochrony danych osobowych.

Rozporządzenie (w skrócie RODO) – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Dane Osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Poufność – rozumie się przez to właściwość zapewniającą, że dane osobowe są dostępne wyłącznie dla upoważnionych do tego osób, przy zachowaniu rozliczalności i integralności tych danych.

Rozliczalność – rozumie się jako właściwość zapewniająca, że działania podmiotu (osoby) mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi (tej osobie).

Integralność – rozumie się jako właściwość zapewniająca, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany.

Kodeks Ochrony Danych Osobowych (w skrócie KODO) – Kodeks ochrony danych osobowych wydany przez Polskie Centrum Certyfikacji Bezpieczeństwa Informacji i Ochrony Danych Osobowych Sp. z o.o. z dnia 31.12.2017 r. (z późniejszymi zmianami).

Postać elektroniczna danych – dane przechowywane za pomocą środków elektronicznych w formie zapisów w pamięci ulotnej i/lub stałej przetwarzane za pomocą Systemu Informatycznego.

Postać tradycyjna danych – dane w formie papierowej, przetwarzane za pomocą tradycyjnych metod składowania.

System Informatyczny – zbiór urządzeń teleinformatycznych wraz z zainstalowanym oprogramowaniem, i/lub systemem operacyjnym, pracujący jako całość i służący do przetwarzania danych.

Instrukcja Kancelaryjna (w skrócie IK) – dokument określający zasady przetwarzania danych osobowych w postaci tradycyjnej.

§3

Cel i zakres polityki

  1. Celem Polityki Bezpieczeństwa Danych Osobowych jest określenie kierunków działań oraz wsparcia dla zapewnienia bezpieczeństwa przetwarzania zbiorów danych osobowych zarządzanych przez Przedsiębiorstwo,
  2. Przez bezpieczeństwo Danych Osobowych rozumie się zapewnienie ich poufności, integralności i dostępności oraz zapewnienie rozliczalności działań, zgodnie z Polityką Bezpieczeństwa.
  3. Przedsiębiorstwo zarządza bezpieczeństwem danych osobowych w celu zapewnienia sprawnego i zgodnego z przepisami prawa wykonywania swoich zadań oraz zadań wykonywanych na podstawie umów lub zadań powierzonych do wykonania na podstawie porozumień.
  4. Zakres przedmiotowy stosowania Polityki Bezpieczeństwa obejmuje wszystkie zbiory danych osobowych przetwarzanych w Przedsiębiorstwie. W zakresie podmiotowym, Polityka Bezpieczeństwa obowiązuje wszystkich pracowników Przedsiębiorstwa oraz inne osoby mające dostęp do danych osobowych, w tym: stażystów, osoby zatrudnione na umowę zlecenia lub umowę o dzieło itp.
  5. Niniejszą Politykę Bezpieczeństwa stosuje się do:
    1. danych osobowych przetwarzanych obecnie lub w przyszłości w systemie informatycznym
    2. danych osobowych przetwarzanych obecnie lub w przyszłości w sposób tradycyjny
  6. Za realizację obowiązków wskazanych w niniejszej Polityce odpowiedzialny jest Administrator Danych Osobowych.

§4

Źródło wymagań

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
  2. Kodeks Ochrony Danych Osobowych wydany przez Polskie Centrum Certyfikacji Bezpieczeństwa Informacji i Ochrony Danych Osobowych Sp. z o. o. z dnia 31.02.2018 r (z późniejszymi zmianami).
  3. Zasady i standardy określone przez System Zarządzania Bezpieczeństwem Informacji – Polska Norma PN-ISO/IEC 27001:2013.

§5

Deklaracja stosowania

  1. ADO deklaruje w formie pisemnej, dostępnej na stronie www pod adresem: https://pccbiodo.pl/kontakt/dane-rejestrowe/, że stosuje wszystkie opisane w niniejszej polityce zabezpieczenia organizacyjne i techniczne do ochrony danych osobowych.
  2. Wersja tradycyjna deklaracji, jest dostępna w biurze Przedsiębiorstwa w formie publicznego obwieszczenia.
  3. Za deklarację stosowania przyjmuje się również publiczne udostępnienie wersji elektronicznej lub tradycyjnej, certyfikatu zgodności wystawionego przez Polskie Centrum Certyfikacji Bezpieczeństwa Informacji i Ochrony Danych Osobowych Sp. z o.o.

§6

Ogólne zasady bezpieczeństwo danych osobowych

  1. Przetwarzane dane osobowe są zabezpieczone zgodnie z Kodeksem Ochrony Danych Osobowych wydanym przez Polskie Centrum Certyfikacji Bezpieczeństwa Informacji i Ochrony Danych Osobowych Sp. z o. o., w szczególności w zakresie:
    1. poufności,
    2. dostępności,
    3. integralności,
    4. i rozliczalności.
  2. W tym zakresie zastosowano zabezpieczenia organizacyjne, techniczne i teleinformatyczne min:
    1. zatwierdzono i przyjęto niniejszą Politykę
    2. zatwierdzono i przyjęto Instrukcję Zarządzania Systemem Informatycznym
    3. oszacowano ryzyko w procesie przetwarzania danych osobowych
    4. dopasowano odpowiednio zabezpieczenia techniczne i teleinformatyczne, w szczególności w zakresie
      1. ochrony przed nieautoryzowanym dostępem
      2. ochrony antywirusowej
      3. wykonywania kopii bezpieczeństwa
      4. szyfrowania
      5. dostępu do danych osobowych
      6. ewidencjonowania incydentów i zdarzeń
    5. wdrożono cykliczne szkolenia dla pracowników Przedsiębiorstwa
    6. wdrożono cykliczne audyty
  1. Do wszystkich danych osobowych niezależnie od ich kategorii stosowane są w Przedsiębiorstwie te same środki bezpieczeństwa.
  1. ADO nadaje upoważnienia i dostęp do przetwarzania danych osobowych wyłącznie tym osobom, które zapoznały się z zasadami bezpieczeństwa i ochrony danych osobowych a także zobowiązały się do ich przestrzegania.
  2. Dostęp do danych osobowych realizowany jest wyłącznie na podstawie ważnych upoważnień, dokładnie precyzujących zakres, czynności i cel przetwarzania danych.
  3. ADO prowadzi ewidencję i monitoring upoważnień w sposób ciągły.
  4. Osoby upoważnione do przetwarzania danych osobowych są zobowiązane do zachowania w tajemnicy zasad ochrony danych osobowych oraz sposobów ich zabezpieczenia, do których uzyskały dostęp w trakcie zatrudnienia jak również po jego ustaniu.

§7

Proaktywne podejście do ochrony danych

  1. ADO kieruje się zasadami bezpieczeństwa określonymi w niniejszej Polityce do wszystkich rejestrów i zbiorów na etapie ich planowania i tworzenia uwzględniając przy tym ryzyko utraty i szacując zagrożenia wynikające z ich ujawnienia.
  2. ADO do określenia ryzyka i zasadności zabezpieczeń organizacyjnych i technicznych stosuje metodykę opisaną w załączniku nr 2b, „Szacowanie ryzyka” części B Polityki i stosuje zabezpieczenia tak, aby skutecznie chronić przetwarzane dane osobowe.

§8

Podstawa prawna przetwarzania danych osobowych

  1. Jeżeli Administrator Danych Osobowych nie przetwarza danych osobowych bezpośrednio na podstawie przepisów prawa polskiego lub prawa UE, podstawą przetwarzania tych danych jest zgoda uzyskana od właściciela danych.
  2. Zgoda uzyskiwana jest samodzielnie, świadomie i dobrowolnie na podstawie oświadczenia, w formie tradycyjnej lub elektronicznej. Formuła zgody jest przedstawiona przejrzyście i przystępnie dla każdej osoby fizycznej odpowiednio do jej wieku. Każda zgoda zawiera ponadto, zakres i cel przetwarzania danych. Oświadczenie w formie tradycyjnej stanowi załącznik nr 13, „Wzór zgody na przetwarzanie danych osobowych” części B do niniejszej polityki.
  3. W procesie uzyskiwania danych osobowych ADO wypełnia swój obowiązek informacyjny rzetelnie i przy zachowaniu profesjonalnego charakteru swojej działalności.

§9

Prawo dostępu do danych

  1. Administrator Danych Osobowych umożliwia dostęp do przetwarzanych danych osobowych każdemu właścicielowi danych na podstawie złożonego wniosku. Po potwierdzeniu tożsamości, kopia danych udostępniona jest za pomocą tego samego kanału, przez który wpłynął wniosek: elektronicznie lub drogą tradycyjną.
  2. ADO ma prawo odmówić dostępu do danych, które są przetwarzane w przypadku, gdy wniosek jest nieuzasadniony lub w przypadku nadmiernego stosowania tego prawa.
  3. W przypadku, gdy ADO odmówił dostępu do danych, wskazuje powody odmowy i w tej samej formie, w której otrzymał wniosek, informuje o swojej odmowie. ADO przekazuje wnioskodawcy informację o prawie wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych

§10

Prawo poprawiania danych

  1. Administrator Danych Osobowych umożliwia poprawianie właścicielowi swoich danych osobowych na podstawie złożonego wniosku. Po potwierdzeniu tożsamości, dane są modyfikowane a informacja o tym jest udzielana za pomocą tego samego kanału, przez który wpłynął wniosek: elektronicznie lub drogą tradycyjną.
  2. ADO ma prawo odmówić modyfikacji danych, które są przetwarzane w przypadku, gdy wniosek jest nieuzasadniony lub w przypadku nadmiernego stosowania tego prawa.
  3. W przypadku, gdy ADO odmówił modyfikacji danych, wskazuje powody odmowy i w tej samej formie, w której otrzymał wniosek, informuje o swojej odmowie. ADO przekazuje wnioskodawcy informację o prawie wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych

§11

Prawo do bycia zapomnianym

  1. Administrator Danych Osobowych umożliwia właścicielowi usunięcie swoich danych osobowych ze wszystkich rejestrów ADO na podstawie złożonego wniosku. Po potwierdzeniu tożsamości, w przeciągu 14 dni dane są usuwane a informacja o tym jest udzielana za pomocą tego samego kanału, przez który wpłynął wniosek: elektronicznie lub drogą tradycyjną.
  2. Usunięcie danych nastąpi zgodnie z zasadami i procedurami opisanymi w Instrukcji Zarządzania Systemem Informatycznym, a jeżeli dane są przetwarzane w formie papierowej, zgodnie z Instrukcją Kancelaryjną.
  3. ADO ma prawo odmówić usunięcia danych, które są przetwarzane w przypadku, gdy wniosek jest nieuzasadniony lub w przypadku, w którym przepisy prawa polskiego lub UE nakazują zachowanie takich danych.
  4. W przypadku, gdy ADO odmówił usunięcia danych, wskazuje powody odmowy i w tej samej formie, w której otrzymał wniosek, informuje o swojej odmowie. ADO przekazuje wnioskodawcy informację o prawie wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych

§12

Prawo do sprzeciwu

  1. Administrator Danych Osobowych umożliwia właścicielowi danych osobowych wyrażenie sprzeciwu w zakresie przetwarzania części lub całości swoich danych osobowych. ADO biorąc pod uwagę indywidualną sytuację i konkretne dane, po potwierdzeniu tożsamości, przyjmuje sprzeciw a informacja o tym udzielana jest za pomocą tego samego kanału, przez który wpłynął wniosek: elektronicznie lub drogą tradycyjną.
  2. Dane Osobowe dla których wniesiono skutecznie sprzeciw nie są wykorzystywane ani przetwarzane przez Administratora Danych Osobowych. Jeżeli wykorzystanie danych jest niezbędne ze względu na prawnie uzasadnione interesy administratora lub strony trzeciej, ADO ma obowiązek udowodnienia, że przetwarzanie przez niego tych danych jest konieczne i prawnie uzasadnione.
  3. W przypadku, gdy ADO odmówił realizacji sprzeciwu, wskazuje powody odmowy i w tej samej formie, w której otrzymał wniosek, informuje o swojej odmowie. ADO przekazuje wnioskodawcy informację o prawie wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych

§13

Prawo do przenoszenia danych

  1. Administrator Danych Osobowych umożliwia właścicielowi przeniesienie swoich danych osobowych do innego (wskazanego) podmiotu (innego administratora danych osobowych) na podstawie złożonego wniosku. Po potwierdzeniu tożsamości, w przeciągu 14 dni dane są przekazywane a informacja o tym jest udzielana za pomocą tego samego kanału, przez który wpłynął wniosek: elektronicznie lub drogą tradycyjną.
  2. Przekazanie danych nastąpi zgodnie z zasadami i procedurami opisanymi w Instrukcji Zarządzania Systemem Informatycznym, a jeżeli dane są przetwarzane w formie papierowej, zgodnie z Instrukcją Kancelaryjną. Forma przekazania danych uzależniona jest od możliwości technicznych ADO. W zależności od zawartości wniosku o przeniesienie, dane osobowe osoby przenoszonej zostaną zachowane lub usunięte z rejestrów ADO.
  3. ADO ma prawo odmówić przekazania danych, które są przetwarzane w przypadku, gdy wniosek jest nieuzasadniony lub w przypadku, w którym przepisy prawa polskiego lub UE nakazują zachowanie takich danych.
  4. W przypadku, gdy ADO odmówił przekazania danych, wskazuje powody odmowy i w tej samej formie, w której otrzymał wniosek, informuje o swojej odmowie. ADO przekazuje wnioskodawcy informację o prawie wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych

§14

Udostępnienie i powierzanie danych osobowych

  1. W przypadku uzasadnionej potrzeby lub konieczności powierzenia danych osobowych przetwarzanych w sposób elektroniczny lub tradycyjny, do podmiotu, który ma realizować cele wskazane przez ADO, zawierana jest umowa powierzenia przetwarzania.
  2. Powierzenie danych może nastąpić o ile podmiot, któremu dane są powierzane:
    1. posiada wdrożone środki bezpieczeństwa ochrony danych osobowych co najmniej na takim samym poziomie co środki Administratora Danych Osobowych lub
    2. posiada ważny certyfikat Polskiego Centrum Certyfikacji Bezpieczeństwa Informacji i Ochrony Danych Osobowych Sp. z o.o. w zakresie ochrony danych lub
    3. posiada inny certyfikat bezpieczeństwa (informacji lub ochrony danych osobowych) wystawiony przez uznany na rynku polskim lub UE podmiot.

§15

Prawo do wniesienia skargi do organu nadzorczego

  1. Każda osoba fizyczna, której dane osobowe przetwarza ADO, ma prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych, jeśli uważa, że jego dane są przetwarzane niezgodnie z prawem.
  2. Administrator Danych Osobowych dostosuje cel i zakres przetwarzania danych do prawnie wiążącej decyzji tego organu bez zbędnej zwłoki w czasie nie dłuższym niż 30 dni.
  3. Każda osoba fizyczna może w tej sprawie występować osobiście, jak również ma możliwość do umocowania innego podmiotu, organizacji czy zrzeszenia – do przemawiania w jej imieniu.

§16

Naruszenie ochrony danych osobowych

  1. W przypadku pozyskania informacji z jakiegokolwiek źródła o potencjalnym naruszeniu ochrony danych, Administrator Danych Osobowych natychmiast podejmuje niezbędne środki w celu ustalenia, czy konkretne zdarzenie miało miejsce, a następnie, czy stanowiło ono naruszenie ochrony danych osobowych.
  2. Uwzględniając zakres i charakter naruszenia, ADO podejmuje działania, które ograniczą rozmiar i dotkliwość naruszenia dla osób, których danych ono dotyczyło. W szczególności realizowana jest klasyfikacja naruszenia i szacowanie zagrożeń dla osób fizycznych zgodnie z załącznikiem nr 14, „Plan postępowania w przypadku naruszenia ochrony danych osobowych” części B.
  3. W przypadku potwierdzenia wystąpienia incydentu związanego z utratą lub modyfikacją danych osobowych, które były przetwarzane w systemach ADO, a zagrożenie dla osób fizycznych zostało oszacowane na poziomie większym niż wysokie, fakt taki zostanie zgłoszony do Prezesa Urzędu Ochrony Danych Osobowych w przeciągu 72 godzin od chwili wykrycia zdarzenia.
  4. ADO biorąc pod uwagę swoje możliwości techniczne a także zagrożenie dla osób fizycznych, wynikające z zaistnienia incydentu, poinformuje o tym fakcie właścicieli danych osobowych.

§17

Monitorowanie i sprawdzanie

  1. Administrator Danych Osobowych przestrzegając zasad certyfikacji Polskiego Centrum Certyfikacji Bezpieczeństwa Informacji i Ochrony Danych Osobowych
    1. co najmniej raz na 6 miesięcy:
      1. zarządza przegląd polityk, zasad i procedur ochrony danych osobowych
      2. jeżeli uzna za zasadne, przeprowadza ponowne określenie i szacowanie ryzyka
      3. przegląda stan zabezpieczeń systemów teleinformatycznych
    2. co najmniej raz na 12 miesięcy:
      1. podnosi świadomość wszystkich pracowników i wzmacnia ich zaangażowanie w ochronę danych osobowych np. poprzez przeprowadzenie szkolenia przypominającego z ochrony danych osobowych
      2. przystępuje do procesu audytu kontrolnego w celu recertyfikacji.

Koniec części A.