Rozdział I:
Definicje i zasady ogólne
§ 1
- Niniejsza Polityka ochrony danych osobowych (zwana w dalszej części: „Polityką”), określa wymogi i zasady ochrony danych osobowych w: Homefy Sp. z o.o. NIP 8652573513 | KRS 0000838919 | REGON 385954445 | Firma znajdująca się pod adresem ul. EUGENIUSZA KWIATKOWSKIEGO 9 w miejscowości STALOWA WOLA.
- Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)(Dz. Urz. UE L 119, s. 1), zwanego w dalszej części: „RODO” i stanowi wykonanie obowiązku, o którym mowa w art. 24 ust. 2 RODO.
- Polityka ma zastosowanie do wszystkich danych osobowych przetwarzanych u Administratora.
- Obowiązek ochrony danych osobowych dotyczy każdej osoby, która ma do nich dostęp, niezależnie od zajmowanego stanowiska, miejsca wykonywania pracy jak również charakteru stosunku pracy.
- Osoby mające dostęp do danych osobowych są zobowiązane do zapoznania się z Polityką i innymi dokumentami uszczegóławiającymi procedury lub instrukcje dotyczące ochrony danych osobowych.
§ 2
Występujące w niniejszej Polityce zwroty pisane wielką literą oznaczają:
- Polityka – niniejsza polityka ochrony danych osobowych;
- Administrator – Homefy Sp. z o.o. NIP 8652573513 | KRS 0000838919 | REGON 385954445 | Firma znajdująca się pod adresem ul. EUGENIUSZA KWIATKOWSKIEGO 9 w miejscowości STALOWA WOLA.
- Dane Osobowe – wszelkie informacje, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
- Dane Szczególnych Kategorii – szczególne kategorie danych określone w art. 9 RODO, w tym: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych; dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej; dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby; jak również dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa, o których mowa w art. 10 RODO.
- Naruszenie – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
- Odbiorca danych – podmiot, któremu udostępniane są dane osobowe.
- Osoba upoważniona – osoba upoważniona do przetwarzania danych osobowych przez Administratora lub osobę przez niego upoważnioną, mająca bezpośredni dostęp do danych, przetwarzanych w systemie informatycznym lub w dokumentacji papierowej.
- Podmiot przetwarzający – podmiot, któremu Administrator powierza czynności przetwarzania danych osobowych w swoim imieniu.
- Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
- RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
- UODO – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018, poz. 1000 z późn. zm.);
- PUODO – Prezes Urzędu Ochrony Danych Osobowych.
§ 3
Administrator przetwarza Dane Osobowe z poszanowaniem następujących zasad:
- Legalność przetwarzania – Administrator zapewnia ochronę prywatności i przetwarza Dane
Osobowe zgodnie z prawem; - Bezpieczeństwo (poufność) – Administrator zapewnia odpowiedni poziom bezpieczeństwa Danych Osobowych, podejmując stale działania w tym zakresie;
- Poszanowanie praw jednostki – Administrator umożliwia każdej osobie, której Dane Osobowe dotyczą realizację uprawnień wynikających z powszechnie obowiązujących przepisów prawa;
- Rozliczalność – Administrator dokumentuje to, w jaki sposób przetwarza Dane Osobowe aby w każdej chwili mieć możliwość wykazania, że odbywa się to zgodnie z powszechnie obowiązującymi przepisami prawa;
- Rzetelność i przejrzystość przetwarzania – Administrator zawsze informuje o przetwarzaniu Danych Osobowych w momencie ich zbierania, w tym o celu i podstawie prawnej przetwarzania;
- Ograniczony cel – Administrator zapewnia, że Dane Osobowe są zbierane w konkretnych i wyraźnych celach, które są prawnie uzasadnione oraz Dane Osobowe nie są dalej przetwarzane w sposób niezgodny z tymi celami;
- Minimalizacja – Administrator zapewnia, że Dane Osobowe są przetwarzane wyłącznie w
zakresie niezbędnym do realizacji celu, dla którego zostały pozyskane; - Prawidłowość – Administrator zapewnia, że przetwarzane Dane Osobowe są prawidłowe i w razie potrzeba są na bieżąco uaktualniane;
- Ograniczenie czasowe - Administrator zapewnia, że Dane Osobowe są przetwarzane wyłącznie przez okres, w jakim jest to niezbędne dla zrealizowania celów przetwarzania.
Rozdział II: Bezpieczeństwo Danych Osobowych
§ 4
- Administrator jest odpowiedzialny za przetwarzanie i ochronę Danych Osobowych, zgodnie przepisami prawa, w tym za zaakceptowanie Polityki.
- W ramach prowadzonej działalności gospodarczej, Administrator wyznacza Inspektora lub inną osobę odpowiedzialną za ochronę Danych Osobowych, który wykonuje zadania w zakresie monitorowania zasad przetwarzania Danych Osobowych.
- Administrator może wyznaczyć zastępców Inspektora oraz inne osoby, które wchodzą w skład Zespołu Inspektora i wspomagają wykonywanie zadań monitorowania ochrony Danych Osobowych.
§ 5
W ramach prowadzonej działalności gospodarczej, Administrator jest odpowiedzialny za zarządzanie procesami przetwarzania Danych Osobowych. Realizując ten obowiązek, Administrator:
- zarządza czynnościami przetwarzania Danych Osobowych;
- nadaje, zmienia lub cofa uprawnienia do dokonywania operacji przetwarzania Danych Osobowych;
- zapoznaje podległych pracowników i współpracowników z zasadami przetwarzania i ochrony Danych Osobowych;
- zabezpiecza obszar przetwarzanych Danych Osobowych;
- tworzy kopie zapasowych plików z Danymi Osobowymi;
- zapewnia legalność procesu udostępniania Danych Osobowych innemu podmiotowi lub osobie, której dane dotyczą;
- zapewnia legalność procesu powierzenia przetwarzania Danych Osobowych innym podmiotom - zgodnie z zawartymi umowami powierzenia przetwarzania danych osobowych.
§ 6
- Dobór środków technicznych i organizacyjnych dotyczących przetwarzania i zabezpieczania Danych Osobowych realizowany jest w oparciu o szacowanie ryzyka naruszenia praw i wolności osób, których dane dotyczą.
- Administrator zapewnia stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania Danych Osobowych.
- Przy doborze zabezpieczeń Administrator ocenia ryzyko zarówno w kontekście skutków dla osoby, której Dane Osobowe dotyczą, w tym np. dyskryminacja, pozbawienie przysługujących praw, szkody majątkowe i niemajątkowe, jak również ryzyko w kontekście skutków, które mogą wyniknąć z niepodjęcia działań związanych z zapewnieniem przetwarzania Danych Osobowych zgodnie z RODO.
- Administrator ustala możliwe do zastosowania organizacyjne i techniczne środki
bezpieczeństwa i ocenia koszt ich wdrażania. Wyraz środków bezpieczeństwa stanowi
Załącznik nr 1 do Polityki.
§ 7
- Planowanie realizacji nowych procesów związanych z przetwarzaniem Danych Osobowych, musi uwzględniać zasady ochrony Danych Osobowych w fazie projektowania (Privacy by design) oraz domyślnej ochrony Danych Osobowych (Privacy by default).
- Administrator zarządza zmianami wpływającymi na prywatność. W tym celu procedury uruchamiania nowych projektów i inwestycji realizowanych przez Administratora uwzględniają konieczność oceny wpływu zmiany na ochronę Danych Osobowych, analizę ryzyka, zapewnienie prywatności już na etapie projektowania zmiany, inwestycji, nowego projektu (Privacy by design).
- Administrator dba o minimalizację zakresu przetwarzanych Danych Osobowych i w tym celu wdraża zasady adekwatności, reglamentacji i weryfikacji przydatności Danych Osobowych (Privacy by default).
§ 8
- W przypadku realizacji procesów przetwarzania Danych Osobowych, które ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, przed rozpoczęciem przetwarzania Administrator dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony Danych Osobowych, zgodnie z art. 35 RODO.
- Za realizację obowiązków, o których mowa w ust. 1 odpowiadają członkowie zarządu Administratora.
- Wykonanie oceny skutków dla danego procesu przetwarzania danych jest konsultowane z Inspektorem lub osobą odpowiedzialną za ochronę Danych Osobowych, który stwierdza czy w danym przypadku takie działanie jest konieczne.
- Inspektor lub osoba odpowiedzialna za ochronę danych osobowych, w prowadzonym rejestrze czynności przetwarzania danych osobowych, wskazuje procesy dla których należy przeprowadzać ocenę skutków oraz odnotowuje jej przeprowadzenie.
- Jeżeli dokonana ocena skutków dla ochrony danych wykaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby nie zostały zastosowane środki w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania należy skonsultować się z PUODO.
- W przypadku konieczności przeprowadzenia konsultacji z organem nadzorczym Inspektor lub osoba odpowiedzialna za ochronę Danych Osobowych przygotowuje odpowiedni wniosek (zgodnie z art. 36 RODO) i kontaktuje się w tej sprawie z PUODO.
Rozdział III:
Upoważnianie osób do przetwarzania Danych Osobowych
§ 9
- Administrator (członkowie zarządu Administratora) jest odpowiedzialny za:
1) przygotowanie upoważnienia do przetwarzania Danych Osobowych;
2) przechowywanie nadanych upoważnień do przetwarzania Danych Osobowych oraz oświadczeń o zachowaniu tajemnicy Danych Osobowych i sposobów ich zabezpieczania wraz z aktami osobowymi pracowników lub umowami cywilnoprawnymi.
3) prowadzenie aktualnej ewidencji osób upoważnionych do przetwarzania Danych
Osobowych. - Wzór upoważnienia do przetwarzania Danych Osobowych stanowi Załącznik nr 2 do Polityki.
§ 10
Wszystkie osoby, które wykonują czynności związane z przetwarzaniem Danych Osobowych w ramach wykonywania zadań służbowych na stanowiskach pracy lub prac zleconych, muszą posiadać pisemne upoważnienie do przetwarzania Danych Osobowych oraz podpisać oświadczenie o zachowaniu tajemnicy danych oraz sposobów ich zabezpieczenia.
- Każda osoba upoważniona do przetwarzania danych osobowych przechodzi szkolenie z zasad ochrony danych obowiązujących u Administratora.
- Szkolenia wstępne i okresowe dla osób upoważnionych przeprowadzi Inspektor lub osoba odpowiedzialna za ochronę Danych Osobowych wg ustalonego planu.
§ 11
- Osoba upoważniona do przetwarzania Danych Osobowych jest zobowiązana do:
1) zapoznania się z obowiązującymi przepisami prawa z zakresu ochrony danych osobowych oraz dokumentacją dotyczącą ochrony danych osobowych obowiązujących u Administratora;
2) przechodzenia okresowych szkoleń z obszaru ochrony Danych Osobowych;
3) przetwarzania Danych Osobowych wyłącznie w celu i zakresie wynikającym z nałożonych obowiązków służbowych;
4) zachowania wyjątkowej staranności przy przetwarzaniu Danych Osobowych, w szczególności danych wrażliwych w celu ochrony interesów osób, których Dane Osobowe dotyczą;
5) stosowania obowiązujących u Administratora procedur i środków przetwarzania oraz zabezpieczania Danych Osobowych;
6) zachowania w poufności Danych Osobowych oraz danych objętych tajemnicą przedsiębiorstwa;
7) zabezpieczenia Danych Osobowych przed: ich utratą, uszkodzeniem lub zniszczeniem, zmianą lub ich udostępnieniem osobom nieupoważnionym;
8) dopilnowania, aby przebywanie osób nieupoważnionych w pomieszczeniach, w których przetwarzane są Dane Osobowe, miało miejsce wyłącznie w obecności osoby upoważnionej;
9) dopilnowania, aby przeznaczone do usunięcia dokumenty, zawierające Dane Osobowe niszczone były w stopniu uniemożliwiającym ich odczytanie - zabronione jest wyrzucanie dokumentów do koszy na śmieci bez ich właściwej anonimizacji;
10) przestrzegania procedur właściwego użytkowania systemów informatycznych, w których przetwarza się Dane Osobowe, w tym do nieujawniania innym użytkownikom swoich loginów i haseł;
11) zachowania należytej staranności podczas przekazywania Danych Osobowych drogą telefoniczną (konieczność właściwej identyfikacji rozmówcy, konieczność ustalenia, czy rozmówca jest uprawniony do pozyskania Danych Osobowych, przekazywanie jedynie niezbędnych informacji);
12) przesyłania Danych Osobowych za pomocą sieci Internet jedyne z użyciem metod kryptograficznych (szyfrowanie danych, kanały bezpiecznej transmisji);
13) niewysyłania za pomocą wiadomości e-mail Danych Osobowych na prywatne adresy, niekopiowanie danych na inne nośniki bez uzasadnionej potrzeby;
14) zachowania należytej ostrożności przy transporcie dokumentów oraz nośników informatycznych, zawierających Dane Osobowe;
15) niepozostawiania dokumentów, zawierających Dane Osobowe na urządzeniach wielofunkcyjnych (drukowanie, kopiowanie);
16) nieopuszczania stanowiska bez zabezpieczenia dokumentów papierowych, zawierających Dane Osobowe (zasada „czystego biurka”) oraz bez zabezpieczania dostępu do danych przetwarzanych w systemie informatycznym (zasada „czystego ekranu”);
17) zaprzestania przetwarzania Danych Osobowych po ustaniu stosunku zatrudnienia lub zawartej umowy cywilnoprawnej.
Rozdział IV:
Rejestr Czynności Przetwarzania Danych Osobowych
§ 12
- Rejestr Czynności Przetwarzania Danych stanowi formę dokumentowania czynności przetwarzania i stanowi podstawę systemu ochrony Danych Osobowych, umożliwiając Administratorowi rozliczenie większości obowiązków związanych z ochroną Danych Osobowych.
- Administrator prowadzi Rejestr Czynności Przetwarzania Danych w celu inwentaryzacji Danych Osobowych i monitorowania sposobu, w jakim wykorzystuje Dane Osobowe.
- Inspektor lub osoba odpowiedzialna za ochronę Danych Osobowych inwentaryzuje procesy przetwarzania Danych Osobowych w przypisując do nich określone czynności przetwarzania.
- Inspektor lub osoba odpowiedzialna za ochronę Danych Osobowych okresowo dokonuje przeglądów procesów przetwarzania Danych Osobowych w celach aktualizacji prowadzonych rejestrów.
- Wzór Rejestru Czynności Przetwarzania Danych stanowi Załącznik nr 3 do Polityki.
Rozdział V:
Podstawy przetwarzania Danych Osobowych
§ 13
- Osoby odpowiedzialne za procesy, w których zbierane są Dane Osobowe, mają obowiązek zachowania szczególnej staranności przy ich zbieraniu, w tym:
1) sprawdzać czy są spełnione podstawy prawne na pozyskiwanie Danych Osobowych, zgodnie z art. 6 RODO oraz art. 9 – 10 RODO;
zbierać Dane Osobowe dla określonych, zgodnych z prawem celów realizowanych przez Administratora;
3) zbierać dane w zakresie adekwatnym do celów w jakich dane będą przetwarzane przez Administratora. - 2. W przypadku konieczności odbierania zgody na przetwarzanie Danych Osobowych, należy zapewnić dobrowolność jej pozyskania oraz powiadamiać o prawie do odwołania takiej zgody.
§ 14
- Dane Osobowe są przetwarzane przez czas określony przez właściwe przepisy prawa lub wewnętrzne przepisy Administratora.
- Za określenie odpowiednich czasów retencji Danych Osobowych w procesach przetwarzania odpowiada Administrator (członkowie zarządu Administratora).
- Dane Osobowe, dla których okres przetwarzania nie wynika z obowiązujących przepisów prawa i dla których nie jest możliwe określenie z góry tego okresu w wewnętrznych przepisach, są przetwarzane tak długo, jak długo istnieje jednocześnie podstawa prawna oraz cel dla ich przetwarzania.
- Ustanie celu przetwarzania Danych Osobowych jest równoznaczne z koniecznością ich usunięcia.
- Dane Osobowe przetwarzane wyłącznie w oparciu o przesłankę zgody na przetwarzanie Danych Osobowych są usuwane zawsze niezwłocznie po wycofaniu takiej zgody.
- Administrator, co najmniej jeden raz w każdym roku kalendarzowym, dokonuje weryfikacji zasobów Danych Osobowych prowadzonych w formie papierowej jak i elektronicznej, obejmującej:
1) sprawdzenie, czy Dane Osobowe, dla których upłynął okres przechowywania wynikający z przepisów prawa lub wewnętrznych przepisów obowiązujących u Administratora zostały usunięte;
2) sprawdzenie, czy w odniesieniu do Danych Osobowych, których czas przechowywania nie został określony przez właściwe przepisy prawa lub wewnętrzne przepisy obowiązujące u Administratora, nadal istnieje podstawa prawna oraz cel przetwarzania Danych Osobowych. - W przypadku ustalenia w trakcie weryfikacji, o której mowa w ust. 6, że okres przetwarzania Danych Osobowych upłynął bądź nie istnieje podstawa prawna lub cel do dalszego ich przetwarzania, Dane Osobowe powinny zostać trwale usunięte z nośników papierowych, elektronicznych oraz systemów informatycznych.
Rozdział VI:
Realizacja obowiązków informacyjnych i obsługa praw jednostki
§ 15
- Osoby, które wykonują zadania związane ze zbieraniem Danych Osobowych są odpowiedzialne za realizację obowiązków informacyjnych określonych w art. 13 i 14 RODO.
- Administrator określa sposób informowania osób o przetwarzaniu danych niezidentyfikowanych, tam, gdzie jest to możliwe (np. informacja o objęciu obszaru monitoringiem wizyjnym).
- Wzór klauzuli informacyjnej stanowi Załącznik nr 4 do Polityki.
- Administrator określa zgodne z prawem i efektywne sposoby wykonywania obowiązków informacyjnych.
§ 16
- Każdej osobie, której Dane Osobowe przetwarza Administrator przysługują prawa określone w art. 15 – 22 RODO, w tym:
1) prawo dostępu do danych jej dotyczących;
2) prawo do sprostowania danych;
3) prawo do usunięcia danych;
4) prawo do ograniczenia przetwarzania;
5) prawo do przenoszenia danych;
6) prawo do sprzeciwu na przetwarzanie jej danych;
7) prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu. - Jeżeli osoba zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej Danych Osobowych, które są przetwarzane w oparciu o uzasadniony interes Administratora lub o powierzone Administratorowi Dane Osobowe w interesie publicznym, Administrator uwzględni sprzeciw, o ile nie zachodzą po stronie Administratora ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.
- W sytuacji powierzania Danych Osobowych podmiotom przetwarzającym lub udostępniania Danych Osobowych innym administratorom danych, należy ich powiadamiać o każdym sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych, które było wynikiem realizacji wniosku otrzymanego od osoby, której Dane Osobowe dotyczą.
Rozdział VII:
Udostępnienie i powierzenie Danych Osobowych
§ 17
Osoby, które udostępniają w imieniu Administratora, Dane Osobowe do podmiotu zewnętrznego (w formie papierowej lub elektronicznej), przed ich udostępnieniem mają obowiązek sprawdzić czy istnieją podstawy prawne umożliwiające wykonanie tych czynność, w tym:
- wymóg prawa dotyczący udostępnienia Danych Osobowych;
- zgoda osoby na udostępnienie Danych Osobowych innemu podmiotowi;
- wniosek o udostępnienie Danych Osobowych od podmiotu uprawnionego, ze wskazaniem podstawy prawnej do otrzymywania danego rodzaju Danych Osobowych.
§ 18
- W sytuacji powierzania czynności przetwarzania Danych Osobowych zewnętrznemu podmiotowi (podmiotowi przetwarzającemu), należy zawrzeć z nim umowę powierzenia przetwarzania danych osobowych obejmującą elementy wymienione z art. 28 ust. 3 RODO.
- W trakcie dokonywania wyboru podmiotu przetwarzającego należy zweryfikować czy podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi przepisów RODO i chroniło prawa osób, których dane dotyczą.
- Osoby, które przygotowują umowę z podmiotem zewnętrznym, któremu zlecone zostanie wykonywanie czynności związanych z przetwarzaniem Danych Osobowych, zobowiązane są skonsultować odpowiednie zapisy dotyczące powierzenia przetwarzania danych z Administratorem lub inną wskazaną przez niego osobą .
- Wzór umowy powierzenia przetwarzania danych osobowych stanowi Załącznik nr 5 do Polityki.
§ 19
W sytuacji przekazywania danych osobowych do podmiotu znajdującego się w państwie trzecim (poza Europejskim Obszarem Gospodarczym) należy zarejestrować każdy przypadek eksportu Danych Osobowych w Rejestrze Czynności Przetwarzania Danych.
Rozdział VIII:
Postępowanie w sytuacji naruszenia ochrony Danych Osobowych
§ 20
- W sytuacji powzięcia informacji o naruszeniu lub podejrzeniu naruszenia ochrony Danych Osobowych należy postępować zgodnie z zasadami wynikającymi z art. 33 i 34 RODO.
- Zgłoszenia naruszenia ochrony Danych Osobowych przez osobę, której dane dotyczą lub przez osobę trzecią są przyjmowane i rozpatrywane przez Administratora (członków zarządu Administratora).
- Szacowanie ryzyka dotyczące sytuacji naruszenia ochrony Danych Osobowych jest przeprowadzane Administratora (członków zarządu Administratora) lub inne upoważnione przez niego osoby.
§ 21
W sytuacji stwierdzenia wystąpienia naruszenia ochrony danych osobowych oraz prawdopodobieństwa zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych, informacja o naruszeniu powinna zostać zgłoszona do PUODO, zgodnie z wymaganiami art. 33 RODO. Zgłoszenie przekazywane jest do PUODO zgodnie z trybem określonym przez ten organ.
§ 22
Administrator stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie
zidentyfikowanego naruszenia ochrony Danych Osobowych do PUODO w terminie 72 godzin od
ustalenia naruszenia.
Rozdział IX:
Odpowiedzialność karna za naruszenie zasad ochrony danych
§ 23
- Naruszenie przepisów o ochronie danych osobowych jest zagrożone sankcjami karnymi, określonymi w art. 107 – 108 UODO oraz w art. 130, 266 - 269, 287 ustawy z dnia 6 czerwca 1997 r. - Kodeks karny (t. j. Dz. U. z 2017 r., poz. 2204 z późn. zm.).
- Niezależnie od odpowiedzialności przewidzianej w przepisach, o których mowa w ust. 1, naruszenie zasad ochrony Danych Osobowych, może zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych i skutkować odpowiedzialnością na podstawie przepisów prawa pracy.
Rozdział X:
Postanowienia końcowe
§ 24
Polityka jest dokumentem wewnętrznym i nie może być udostępniania osobom nieupoważnionym w żadnej formie.
§ 25
- W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie przepisy RODO, UODO oraz inne przepisy prawa powszechnie obowiązującego.
- Pracownicy i współpracownicy Administratora zobowiązani są do bezwzględnego stosowania zasad określonych w Polityce.