fbpx

POLITYKA OCHRONY DANYCH OSOBOWYCH

W PODMIOCIE „KANCELARIA PRAWA GOSPODARCZEGO PFW” SPÓŁKA
Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ WE WROCŁAWIU, PRZY UL. ŻMIGRODZKIEJ 81-83, 51-130 WROCŁAW, KRS: 0000562303

z dnia 01.05.2022 r.

Rozdział I
Postanowienia ogólne

§ 1

  1. Polityka ochrony danych osobowych (zwana dalej „Polityką”) określa zasady dotyczące przetwarzania i zabezpieczenia danych osobowych w podmiocie: „Kancelaria Prawa Gospodarczego PFW” Spółka z ograniczoną odpowiedzialnością z siedzibą we Wrocławiu (zwanej dalej: Spółką) zgodnie z wymaganiami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – zwanego dalej RODO).
  2. Niniejszy dokument stanowi wykonanie obowiązku, o którym mowa w art. 24 ust. 2 RODO.
  3. Polityka ma zastosowanie do wszystkich danych osobowych przetwarzanych w Spółce w ramach procesów przetwarzania danych osobowych.
  4. Obowiązek ochrony danych osobowych przetwarzanych w Spółce dotyczy wszystkich osób, które mają do nich dostęp bez względu na zajmowane stanowisko oraz miejsce wykonywania pracy, jak również charakter stosunku pracy lub zlecenia.
  5. Polityka zachowuje zgodność z innymi wewnętrznymi regulacjami z obszaru bezpieczeństwa informacji i systemów informatycznych obowiązującymi w Spółce
  6. Nadzór nad opracowaniem i aktualizacją Polityki sprawuje Inspektor Ochrony Danych Osobowych, zwany dalej: IODO
  7. Prezes Zarządu Spółki zatwierdza Politykę i jej aktualizacje.

§ 2

Występujące w niniejszej Polityce zwroty oznaczają:

  • Administrator Danych Osobowych (ADO)–  „Kancelaria Prawa Gospodarczego PFW Spółka  z ograniczoną odpowiedzialnością z siedzibą we Wrocławiu,
  • Dane osobowe – wszelkie informacje, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
  • Dane osobowe wrażliwe – szczególne kategorie danych określone w art. 9 RODO,
    w tym: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych; dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej; dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby; jak również dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa, o których mowa w art. 10 RODO.
  • Naruszenie ochrony danych osobowych– naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
  • Obszar przetwarzania danych osobowych– pomieszczenia lub części pomieszczeń we wszystkich lokalizacjach Spółki, w których są przetwarzane dane osobowe, zarówno
    w formie papierowej, jak i w systemie informatycznym.
  • Odbiorca danych– podmiot, któremu udostępniane są dane osobowe.
  • Osoba upoważniona – osoba upoważniona do przetwarzania danych osobowych przez Administratora danych lub osobę przez niego upoważnioną, mająca bezpośredni dostęp do danych, przetwarzanych w systemie informatycznym lub w dokumentacji papierowej.
  • Podmiot przetwarzający– podmiot, któremu Spółka powierza czynności przetwarzania danych osobowych w swoim imieniu.
  • Przetwarzanie danych osobowych– operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
  • RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
  • UODO– ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018, poz. 1000).
  • Zasób danych osobowych – wszystkie dane osobowe, niezależnie od sposobu ich utrwalenia, zarówno w formie elektronicznej – w systemie informatycznym oraz na nośnikach (płyty CD/DVD/BD, pamięci flash i inne) jak i papierowej przetwarzane przez KO/Kancelarię1w celu realizacji jej zadań.

Rozdział II
Zasady przetwarzania danych osobowych

§ 3

Administrator Danych Osobowych przetwarza dane osobowe:

  • zgodnie z prawem, rzetelnie, prawidłowo i w sposób przejrzysty dla osoby, której dane dotyczą,
  • jedynie w konkretnych, wyraźnych i prawnie uzasadnionych celach,
  • adekwatnie, stosownie oraz w sposób ograniczony do tego, co niezbędne do celów,
    w których są przetwarzane,
  • uaktualniając je w razie potrzeby,
  • przechowując je w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane,
  • w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

§ 4

Wobec osób, których dane przetwarza, Administrator Danych Osobowych wypełnia obowiązki informacyjne, o których mowa w art. 13 RODO oraz art. 14 RODO.

§ 5

W przypadku konieczności odbierania zgody na przetwarzanie danych osobowych, należy zapewnić dobrowolność jej pozyskania oraz powiadamiać o prawie do odwołania takiej zgody.

§ 6

  1. Każdej osobie, które dane osobowe są przetwarzane przez Spółkę przysługują prawa określone w art. 15-22 RODO, w tym:
  • prawo dostępu do danych jej dotyczących,
  • prawo do sprostowania danych,
  • prawo do usunięcia danych,
  • prawo do ograniczenia przetwarzania,
  • prawo do przenoszenia danych,
  • prawo do sprzeciwu na przetwarzanie danych
  • prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowaniu przetwarzania
  1. Za rozpatrywanie złożonych do Spółki żądań w zakresie uprawnień, o których mowa w ust.1 odpowiada powołany w Spółce Inspektor Ochrony Danych Osobowych
  2. W sytuacji powierzania danych podmiotom przetwarzającym lub udostępniania danych innym administratorom danych należy ich powiadamiać o każdym sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych, które było wynikiem realizacji wniosku otrzymanego od osoby, której dane dotyczą.

§ 7

Administrator Danych Osobowych zapewnia aby dostęp do danych osobowych w Spółce miały tylko osoby legitymujące się nadanym przez ADO upoważnieniem. Upoważnienia określają do jakich operacji użytkownicy są uprawnieni, tj. tworzenia, usuwania, wglądu, przekazywania danych, w jakich systemach oraz na jaki czas.

Rozdział III
Dobór środków technicznych i organizacyjnych dotyczących przetwarzania
i zabezpieczania danych osobowych

§ 8

  1. Administrator Danych Osobowych zapewnia środki techniczne, w tym system IT, gwarantujące pełną ochronę powierzonych danych osobowych.
  2. Dobór środków technicznych i organizacyjnych dotyczących przetwarzania
    i zabezpieczania danych osobowych w Spółce realizowany jest w oparciu
    o szacowanie ryzyka naruszenia praw i wolności osób, których dane dotyczą.
  3. Przy doborze zabezpieczeń należy oceniać ryzyko zarówno w kontekście skutków dla osoby, której dane dotyczą w tym np. dyskryminacja, pozbawienie przysługujących praw, szkody majątkowe i niemajątkowe, jak również ryzyko w kontekście skutków dla Spółki w przypadku niepodjęcia działań związanych z zapewnieniem przetwarzania danych osobowych zgodnie z RODO.
  4. Planowanie realizacji nowych procesów związanych z przetwarzaniem danych osobowych, w tym w szczególności nowych systemów informatycznych służących do przetwarzania danych osobowych, musi uwzględniać zasady ochrony danych w fazie projektowej.
  5. W przypadku realizacji procesów przetwarzania danych osobowych w Spółce, które ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, przed rozpoczęciem przetwarzania należy dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych zgodnie z art. 35 RODO.

Rozdział IV

Inspektor Ochrony Danych Osobowych

§ 9

  1. Administrator Danych Osobowych powołuje Inspektora Danych Osobowych w Spółce.
  2. Do zadań Inspektora Danych Osobowych należą:
  • informowanie ADO, podmiotu przetwarzającego oraz pracowników i zleceniobiorców, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy przepisów RODO oraz ustawy o ochronie danych osobowych,
  • monitorowanie przestrzegania przepisów RODO oraz ustawy o ochronie danych osobowych i Polityki obowiązujących w Spółce, w tym podział obowiązków, działania zwiększające świadomość w zakresie ochrony danych osobowych, szkolenie personelu uczestniczącego w operacjach przetwarzania danych osobowych,
  • udzielanie na żądanie zaleceń w zakresie ochrony danych osobowych w Spółce,
  • współpraca z organem nadzorczym, tj. Prezesem Urzędu Ochrony Danych Osobowych,

Rozdział V

Czynności kontrolne

§ 10

  1. Nadzór i kontrolę nad ochroną danych sprawuje Inspektor Ochrony Danych Osobowych.
  2. Czynności kontrolne wykonywane są:
  • w ramach bieżącej działalności Spółki
  • poprzez audyty okresowe i doraźne, w sytuacji wystąpienia incydentów naruszenia ochrony danych.

Rozdział VI

Procedura postępowania z incydentami

§ 11

  1. Administrator Danych Osobowych wprowadza do stosowania procedurę postępowania
    z incydentami naruszenia ochrony danych osobowych. Celem tej procedury jest wypełnienie obowiązku wynikającego z art. 33 RODO. Procedura określa sposób definiowania incydentów zagrażających bezpieczeństwu danych osobowych oraz sposób reagowania na nie, a także procedurę wprowadzania działań naprawczych.
  2. Zgodnie z procedurą, każda osoba upoważniona do przetwarzania danych osobowych ma obowiązek poinformowania o możliwości wystąpienia incydentu lub o jego wystąpieniu. Taka informacja powinna być przekazana bezpośredniemu przełożonemu lub Inspektorowi Ochrony Danych Osobowych w Spółce.
  3. Powiadomienia wymagają, m.in.:
  • niewłaściwe zabezpieczenie sprzętu elektronicznego lub oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych,
  • niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,
  • nieprzestrzeganie zasad ochrony danych osobowych przez pracowników,
  • wynoszenie danych osobowych w wersji papierowej lub elektronicznej na zewnątrz jednostki bez upoważnienia administratora danych,
  • awarie serwera, komputerów, twardych dysków, oprogramowania,
  • udostępnienie danych osobowych osobom nieupoważnionym,
  • telefoniczne próby wyłudzenia danych osobowych,
  • wiadomości e-mail lub SMS nakłaniające do ujawnienia identyfikatora lub hasła
  • kradzież, zagubienie komputerów lub CD, twardych dysków, nośników danych
    z danymi osobowymi,
  • włamanie do systemu informatycznego lub pomieszczeń,
  • kradzież danych, sprzętu,
  • świadome zniszczenie dokumentów
  1. Wystąpienie incydentu należy udokumentować wraz z jego skutki oraz podjąć bez zbędnej zwłoki niezbędne działania naprawcze i zaradcze.

Rozdział VII

Postanowienia końcowe

§ 12

  1. Polityka jest dokumentem wewnętrznym i nie może być udostępniania osobom nieupoważnionym w żadnej formie.
  2. Wszystkie osoby upoważnione do przetwarzania danych osobowych w imieniu Spółki obowiązane są do zapoznania się z niniejszą Polityką i stosowania się do jej zapisów pod rygorem odpowiedzialności pracowniczej lub cywilnoprawnej.
  3. W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie przepisy RODO oraz UODO.
Menu