POLITYKA OCHRONY DANYCH OSOBOWYCH
W PODMIOCIE „KANCELARIA PRAWA GOSPODARCZEGO PFW” SPÓŁKA
Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ WE WROCŁAWIU, PRZY UL. ŻMIGRODZKIEJ 81-83, 51-130 WROCŁAW, KRS: 0000562303
z dnia 01.05.2022 r.
Rozdział I
Postanowienia ogólne
§ 1
- Polityka ochrony danych osobowych (zwana dalej „Polityką”) określa zasady dotyczące przetwarzania i zabezpieczenia danych osobowych w podmiocie: „Kancelaria Prawa Gospodarczego PFW” Spółka z ograniczoną odpowiedzialnością z siedzibą we Wrocławiu (zwanej dalej: Spółką) zgodnie z wymaganiami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – zwanego dalej RODO).
- Niniejszy dokument stanowi wykonanie obowiązku, o którym mowa w art. 24 ust. 2 RODO.
- Polityka ma zastosowanie do wszystkich danych osobowych przetwarzanych w Spółce w ramach procesów przetwarzania danych osobowych.
- Obowiązek ochrony danych osobowych przetwarzanych w Spółce dotyczy wszystkich osób, które mają do nich dostęp bez względu na zajmowane stanowisko oraz miejsce wykonywania pracy, jak również charakter stosunku pracy lub zlecenia.
- Polityka zachowuje zgodność z innymi wewnętrznymi regulacjami z obszaru bezpieczeństwa informacji i systemów informatycznych obowiązującymi w Spółce
- Nadzór nad opracowaniem i aktualizacją Polityki sprawuje Inspektor Ochrony Danych Osobowych, zwany dalej: IODO
- Prezes Zarządu Spółki zatwierdza Politykę i jej aktualizacje.
§ 2
Występujące w niniejszej Polityce zwroty oznaczają:
- Administrator Danych Osobowych (ADO)– „Kancelaria Prawa Gospodarczego PFW Spółka z ograniczoną odpowiedzialnością z siedzibą we Wrocławiu,
- Dane osobowe – wszelkie informacje, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
- Dane osobowe wrażliwe – szczególne kategorie danych określone w art. 9 RODO,
w tym: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych; dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej; dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby; jak również dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa, o których mowa w art. 10 RODO. - Naruszenie ochrony danych osobowych– naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
- Obszar przetwarzania danych osobowych– pomieszczenia lub części pomieszczeń we wszystkich lokalizacjach Spółki, w których są przetwarzane dane osobowe, zarówno
w formie papierowej, jak i w systemie informatycznym. - Odbiorca danych– podmiot, któremu udostępniane są dane osobowe.
- Osoba upoważniona – osoba upoważniona do przetwarzania danych osobowych przez Administratora danych lub osobę przez niego upoważnioną, mająca bezpośredni dostęp do danych, przetwarzanych w systemie informatycznym lub w dokumentacji papierowej.
- Podmiot przetwarzający– podmiot, któremu Spółka powierza czynności przetwarzania danych osobowych w swoim imieniu.
- Przetwarzanie danych osobowych– operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
- RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
- UODO– ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018, poz. 1000).
- Zasób danych osobowych – wszystkie dane osobowe, niezależnie od sposobu ich utrwalenia, zarówno w formie elektronicznej – w systemie informatycznym oraz na nośnikach (płyty CD/DVD/BD, pamięci flash i inne) jak i papierowej przetwarzane przez KO/Kancelarię1w celu realizacji jej zadań.
Rozdział II
Zasady przetwarzania danych osobowych
§ 3
Administrator Danych Osobowych przetwarza dane osobowe:
- zgodnie z prawem, rzetelnie, prawidłowo i w sposób przejrzysty dla osoby, której dane dotyczą,
- jedynie w konkretnych, wyraźnych i prawnie uzasadnionych celach,
- adekwatnie, stosownie oraz w sposób ograniczony do tego, co niezbędne do celów,
w których są przetwarzane, - uaktualniając je w razie potrzeby,
- przechowując je w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane,
- w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
§ 4
Wobec osób, których dane przetwarza, Administrator Danych Osobowych wypełnia obowiązki informacyjne, o których mowa w art. 13 RODO oraz art. 14 RODO.
§ 5
W przypadku konieczności odbierania zgody na przetwarzanie danych osobowych, należy zapewnić dobrowolność jej pozyskania oraz powiadamiać o prawie do odwołania takiej zgody.
§ 6
- Każdej osobie, które dane osobowe są przetwarzane przez Spółkę przysługują prawa określone w art. 15-22 RODO, w tym:
- prawo dostępu do danych jej dotyczących,
- prawo do sprostowania danych,
- prawo do usunięcia danych,
- prawo do ograniczenia przetwarzania,
- prawo do przenoszenia danych,
- prawo do sprzeciwu na przetwarzanie danych
- prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowaniu przetwarzania
- Za rozpatrywanie złożonych do Spółki żądań w zakresie uprawnień, o których mowa w ust.1 odpowiada powołany w Spółce Inspektor Ochrony Danych Osobowych
- W sytuacji powierzania danych podmiotom przetwarzającym lub udostępniania danych innym administratorom danych należy ich powiadamiać o każdym sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych, które było wynikiem realizacji wniosku otrzymanego od osoby, której dane dotyczą.
§ 7
Administrator Danych Osobowych zapewnia aby dostęp do danych osobowych w Spółce miały tylko osoby legitymujące się nadanym przez ADO upoważnieniem. Upoważnienia określają do jakich operacji użytkownicy są uprawnieni, tj. tworzenia, usuwania, wglądu, przekazywania danych, w jakich systemach oraz na jaki czas.
Rozdział III
Dobór środków technicznych i organizacyjnych dotyczących przetwarzania
i zabezpieczania danych osobowych
§ 8
- Administrator Danych Osobowych zapewnia środki techniczne, w tym system IT, gwarantujące pełną ochronę powierzonych danych osobowych.
- Dobór środków technicznych i organizacyjnych dotyczących przetwarzania
i zabezpieczania danych osobowych w Spółce realizowany jest w oparciu
o szacowanie ryzyka naruszenia praw i wolności osób, których dane dotyczą. - Przy doborze zabezpieczeń należy oceniać ryzyko zarówno w kontekście skutków dla osoby, której dane dotyczą w tym np. dyskryminacja, pozbawienie przysługujących praw, szkody majątkowe i niemajątkowe, jak również ryzyko w kontekście skutków dla Spółki w przypadku niepodjęcia działań związanych z zapewnieniem przetwarzania danych osobowych zgodnie z RODO.
- Planowanie realizacji nowych procesów związanych z przetwarzaniem danych osobowych, w tym w szczególności nowych systemów informatycznych służących do przetwarzania danych osobowych, musi uwzględniać zasady ochrony danych w fazie projektowej.
- W przypadku realizacji procesów przetwarzania danych osobowych w Spółce, które ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, przed rozpoczęciem przetwarzania należy dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych zgodnie z art. 35 RODO.
Rozdział IV
Inspektor Ochrony Danych Osobowych
§ 9
- Administrator Danych Osobowych powołuje Inspektora Danych Osobowych w Spółce.
- Do zadań Inspektora Danych Osobowych należą:
- informowanie ADO, podmiotu przetwarzającego oraz pracowników i zleceniobiorców, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy przepisów RODO oraz ustawy o ochronie danych osobowych,
- monitorowanie przestrzegania przepisów RODO oraz ustawy o ochronie danych osobowych i Polityki obowiązujących w Spółce, w tym podział obowiązków, działania zwiększające świadomość w zakresie ochrony danych osobowych, szkolenie personelu uczestniczącego w operacjach przetwarzania danych osobowych,
- udzielanie na żądanie zaleceń w zakresie ochrony danych osobowych w Spółce,
- współpraca z organem nadzorczym, tj. Prezesem Urzędu Ochrony Danych Osobowych,
Rozdział V
Czynności kontrolne
§ 10
- Nadzór i kontrolę nad ochroną danych sprawuje Inspektor Ochrony Danych Osobowych.
- Czynności kontrolne wykonywane są:
- w ramach bieżącej działalności Spółki
- poprzez audyty okresowe i doraźne, w sytuacji wystąpienia incydentów naruszenia ochrony danych.
Rozdział VI
Procedura postępowania z incydentami
§ 11
- Administrator Danych Osobowych wprowadza do stosowania procedurę postępowania
z incydentami naruszenia ochrony danych osobowych. Celem tej procedury jest wypełnienie obowiązku wynikającego z art. 33 RODO. Procedura określa sposób definiowania incydentów zagrażających bezpieczeństwu danych osobowych oraz sposób reagowania na nie, a także procedurę wprowadzania działań naprawczych. - Zgodnie z procedurą, każda osoba upoważniona do przetwarzania danych osobowych ma obowiązek poinformowania o możliwości wystąpienia incydentu lub o jego wystąpieniu. Taka informacja powinna być przekazana bezpośredniemu przełożonemu lub Inspektorowi Ochrony Danych Osobowych w Spółce.
- Powiadomienia wymagają, m.in.:
- niewłaściwe zabezpieczenie sprzętu elektronicznego lub oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych,
- niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,
- nieprzestrzeganie zasad ochrony danych osobowych przez pracowników,
- wynoszenie danych osobowych w wersji papierowej lub elektronicznej na zewnątrz jednostki bez upoważnienia administratora danych,
- awarie serwera, komputerów, twardych dysków, oprogramowania,
- udostępnienie danych osobowych osobom nieupoważnionym,
- telefoniczne próby wyłudzenia danych osobowych,
- wiadomości e-mail lub SMS nakłaniające do ujawnienia identyfikatora lub hasła
- kradzież, zagubienie komputerów lub CD, twardych dysków, nośników danych
z danymi osobowymi, - włamanie do systemu informatycznego lub pomieszczeń,
- kradzież danych, sprzętu,
- świadome zniszczenie dokumentów
- Wystąpienie incydentu należy udokumentować wraz z jego skutki oraz podjąć bez zbędnej zwłoki niezbędne działania naprawcze i zaradcze.
Rozdział VII
Postanowienia końcowe
§ 12
- Polityka jest dokumentem wewnętrznym i nie może być udostępniania osobom nieupoważnionym w żadnej formie.
- Wszystkie osoby upoważnione do przetwarzania danych osobowych w imieniu Spółki obowiązane są do zapoznania się z niniejszą Polityką i stosowania się do jej zapisów pod rygorem odpowiedzialności pracowniczej lub cywilnoprawnej.
- W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie przepisy RODO oraz UODO.