Polityka prywatności

§ 1

1. Niniejsza Polityka ochrony danych osobowych (zwana w dalszej części: „Polityką”), określa wymogi i zasady ochrony danych osobowych w: Homefy Sp. z o.o. NIP 8652573513 | KRS 0000838919 | REGON 385954445 | Firma znajdująca się pod adresem ul. EUGENIUSZA KWIATKOWSKIEGO 9 w miejscowości STALOWA WOLA.
2. Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)(Dz. Urz. UE L 119, s. 1), zwanego w dalszej części: „RODO” i stanowi wykonanie obowiązku, o którym mowa w art. 24 ust. 2 RODO.
3. Polityka ma zastosowanie do wszystkich danych osobowych przetwarzanych u Administratora.
4. Obowiązek ochrony danych osobowych dotyczy każdej osoby, która ma do nich dostęp, niezależnie od zajmowanego stanowiska, miejsca wykonywania pracy jak również charakteru stosunku pracy.
5. Osoby mające dostęp do danych osobowych są zobowiązane do zapoznania się z Polityką i innymi dokumentami uszczegóławiającymi procedury lub instrukcje dotyczące ochrony danych osobowych.

§ 2

Występujące w niniejszej Polityce zwroty pisane wielką literą oznaczają:

1. Polityka – niniejsza polityka ochrony danych osobowych;
2. Administrator – Homefy Sp. z o.o. NIP 8652573513 | KRS 0000838919 | REGON 385954445 | Firma znajdująca się pod adresem ul. EUGENIUSZA KWIATKOWSKIEGO 9 w miejscowości STALOWA WOLA.
3. Dane Osobowe – wszelkie informacje, dotyczące zidentyfikowanej lub możliwej do  zidentyfikowania osoby fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą  można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora  takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy  lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną,  psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
4. Dane Szczególnych Kategorii – szczególne kategorie danych określone w art. 9 RODO, w tym: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych; dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej; dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby; jak również dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa, o których mowa w art. 10 RODO.
5. Naruszenie – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
6. Odbiorca danych – podmiot, któremu udostępniane są dane osobowe.
7. Osoba upoważniona – osoba upoważniona do przetwarzania danych osobowych przez Administratora lub osobę przez niego upoważnioną, mająca bezpośredni dostęp do danych, przetwarzanych w systemie informatycznym lub w dokumentacji papierowej.
8. Podmiot przetwarzający – podmiot, któremu Administrator powierza czynności przetwarzania danych osobowych w swoim imieniu.
9. Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
10. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
11. UODO – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018, poz. 1000 z późn. zm.);
12. PUODO – Prezes Urzędu Ochrony Danych Osobowych.

§ 3

Administrator przetwarza Dane Osobowe z poszanowaniem następujących zasad:

1. Legalność przetwarzania – Administrator zapewnia ochronę prywatności i przetwarza Dane
   Osobowe zgodnie z prawem;
2. Bezpieczeństwo (poufność) – Administrator zapewnia odpowiedni poziom bezpieczeństwa Danych Osobowych, podejmując stale działania w tym zakresie;
3. Poszanowanie praw jednostki – Administrator umożliwia każdej osobie, której Dane Osobowe dotyczą realizację uprawnień wynikających z powszechnie obowiązujących przepisów prawa;
4. Rozliczalność – Administrator dokumentuje to, w jaki sposób przetwarza Dane Osobowe aby w każdej chwili mieć możliwość wykazania, że odbywa się to zgodnie z powszechnie obowiązującymi przepisami prawa;
5. Rzetelność i przejrzystość przetwarzania – Administrator zawsze informuje o przetwarzaniu Danych Osobowych w momencie ich zbierania, w tym o celu i podstawie prawnej przetwarzania;
6. Ograniczony cel – Administrator zapewnia, że Dane Osobowe są zbierane w konkretnych i wyraźnych celach, które są prawnie uzasadnione oraz Dane Osobowe nie są dalej przetwarzane w sposób niezgodny z tymi celami;
7. Minimalizacja – Administrator zapewnia, że Dane Osobowe są przetwarzane wyłącznie w
   zakresie niezbędnym do realizacji celu, dla którego zostały pozyskane;
8. Prawidłowość – Administrator zapewnia, że przetwarzane Dane Osobowe są prawidłowe i w razie potrzeba są na bieżąco uaktualniane;
9. Ograniczenie czasowe - Administrator zapewnia, że Dane Osobowe są przetwarzane wyłącznie przez okres, w jakim jest to niezbędne dla zrealizowania celów przetwarzania.

§ 4

1. Administrator jest odpowiedzialny za przetwarzanie i ochronę Danych Osobowych, zgodnie przepisami prawa, w tym za zaakceptowanie Polityki.
2. W ramach prowadzonej działalności gospodarczej, Administrator wyznacza Inspektora lub inną osobę odpowiedzialną za ochronę Danych Osobowych, który wykonuje zadania w zakresie monitorowania zasad przetwarzania Danych Osobowych.
3. Administrator może wyznaczyć zastępców Inspektora oraz inne osoby, które wchodzą w skład Zespołu Inspektora i wspomagają wykonywanie zadań monitorowania ochrony Danych  Osobowych.

§ 5

W ramach prowadzonej działalności gospodarczej, Administrator jest odpowiedzialny za zarządzanie procesami przetwarzania Danych Osobowych. Realizując ten obowiązek, Administrator:

1. zarządza czynnościami przetwarzania Danych Osobowych;
2. nadaje, zmienia lub cofa uprawnienia do dokonywania operacji przetwarzania Danych Osobowych;
3. zapoznaje podległych pracowników i współpracowników z zasadami przetwarzania i ochrony Danych Osobowych;
4. zabezpiecza obszar przetwarzanych Danych Osobowych;
5. tworzy kopie zapasowych plików z Danymi Osobowymi;
6. zapewnia legalność procesu udostępniania Danych Osobowych innemu podmiotowi lub osobie, której dane dotyczą;
7. zapewnia legalność procesu powierzenia przetwarzania Danych Osobowych innym podmiotom - zgodnie z zawartymi umowami powierzenia przetwarzania danych osobowych.

§ 6

1. Dobór środków technicznych i organizacyjnych dotyczących przetwarzania i zabezpieczania Danych Osobowych realizowany jest w oparciu o szacowanie ryzyka naruszenia praw i wolności osób, których dane dotyczą.
2. Administrator zapewnia stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania Danych Osobowych.
3. Przy doborze zabezpieczeń Administrator ocenia ryzyko zarówno w kontekście skutków dla osoby, której Dane Osobowe dotyczą, w tym np. dyskryminacja, pozbawienie przysługujących praw, szkody majątkowe i niemajątkowe, jak również ryzyko w kontekście skutków, które mogą wyniknąć z niepodjęcia działań związanych z zapewnieniem przetwarzania Danych Osobowych zgodnie z RODO.
4. Administrator ustala możliwe do zastosowania organizacyjne i techniczne środki
   bezpieczeństwa i ocenia koszt ich wdrażania. Wyraz środków bezpieczeństwa stanowi
   Załącznik nr 1 do Polityki.

§ 7

1. Planowanie realizacji nowych procesów związanych z przetwarzaniem Danych Osobowych, musi uwzględniać zasady ochrony Danych Osobowych w fazie projektowania (Privacy by design) oraz domyślnej ochrony Danych Osobowych (Privacy by default).
2. Administrator zarządza zmianami wpływającymi na prywatność. W tym celu procedury uruchamiania nowych projektów i inwestycji realizowanych przez Administratora uwzględniają konieczność oceny wpływu zmiany na ochronę Danych Osobowych, analizę ryzyka, zapewnienie prywatności już na etapie projektowania zmiany, inwestycji, nowego projektu (Privacy by design).
3. Administrator dba o minimalizację zakresu przetwarzanych Danych Osobowych i w tym celu wdraża zasady adekwatności, reglamentacji i weryfikacji przydatności Danych Osobowych (Privacy by default).

§ 8

1. W przypadku realizacji procesów przetwarzania Danych Osobowych, które ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, przed rozpoczęciem przetwarzania Administrator dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony Danych Osobowych, zgodnie z art. 35 RODO.
2. Za realizację obowiązków, o których mowa w ust. 1 odpowiadają członkowie zarządu Administratora.
3. Wykonanie oceny skutków dla danego procesu przetwarzania danych jest konsultowane z Inspektorem lub osobą odpowiedzialną za ochronę Danych Osobowych, który stwierdza czy w danym przypadku takie działanie jest konieczne.
4. Inspektor lub osoba odpowiedzialna za ochronę danych osobowych, w prowadzonym rejestrze czynności przetwarzania danych osobowych, wskazuje procesy dla których należy przeprowadzać ocenę skutków oraz odnotowuje jej przeprowadzenie.
5. Jeżeli dokonana ocena skutków dla ochrony danych wykaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby nie zostały zastosowane środki w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania należy skonsultować się z PUODO.
6. W przypadku konieczności przeprowadzenia konsultacji z organem nadzorczym Inspektor lub osoba odpowiedzialna za ochronę Danych Osobowych przygotowuje odpowiedni wniosek  (zgodnie z art. 36 RODO) i kontaktuje się w tej sprawie z PUODO.

§ 9

1. Administrator (członkowie zarządu Administratora) jest odpowiedzialny za:
   1) przygotowanie upoważnienia do przetwarzania Danych Osobowych;
   2) przechowywanie nadanych upoważnień do przetwarzania Danych Osobowych oraz oświadczeń o zachowaniu tajemnicy Danych Osobowych i sposobów ich zabezpieczania wraz z aktami osobowymi pracowników lub umowami cywilnoprawnymi.
   3) prowadzenie aktualnej ewidencji osób upoważnionych do przetwarzania Danych
   Osobowych.
2. Wzór upoważnienia do przetwarzania Danych Osobowych stanowi Załącznik nr 2 do Polityki.

§ 10

Wszystkie osoby, które wykonują czynności związane z przetwarzaniem Danych Osobowych w ramach wykonywania zadań służbowych na stanowiskach pracy lub prac zleconych, muszą posiadać pisemne upoważnienie do przetwarzania Danych Osobowych oraz podpisać oświadczenie o zachowaniu tajemnicy danych oraz sposobów ich zabezpieczenia.

1. Każda osoba upoważniona do przetwarzania danych osobowych przechodzi szkolenie z zasad ochrony danych obowiązujących u Administratora.
2. Szkolenia wstępne i okresowe dla osób upoważnionych przeprowadzi Inspektor lub osoba odpowiedzialna za ochronę Danych Osobowych wg ustalonego planu.

§ 11

1. Osoba upoważniona do przetwarzania Danych Osobowych jest zobowiązana do:
   1) zapoznania się z obowiązującymi przepisami prawa z zakresu ochrony danych osobowych oraz dokumentacją dotyczącą ochrony danych osobowych obowiązujących u Administratora;
   2) przechodzenia okresowych szkoleń z obszaru ochrony Danych Osobowych;
   3) przetwarzania Danych Osobowych wyłącznie w celu i zakresie wynikającym z nałożonych obowiązków służbowych;
   4) zachowania wyjątkowej staranności przy przetwarzaniu Danych Osobowych, w szczególności danych wrażliwych w celu ochrony interesów osób, których Dane Osobowe dotyczą;
   5) stosowania obowiązujących u Administratora procedur i środków przetwarzania oraz zabezpieczania Danych Osobowych;
   6) zachowania w poufności Danych Osobowych oraz danych objętych tajemnicą przedsiębiorstwa;
   7) zabezpieczenia Danych Osobowych przed: ich utratą, uszkodzeniem lub zniszczeniem, zmianą lub ich udostępnieniem osobom nieupoważnionym;
   8) dopilnowania, aby przebywanie osób nieupoważnionych w pomieszczeniach, w których przetwarzane są Dane Osobowe, miało miejsce wyłącznie w obecności osoby upoważnionej;
   9) dopilnowania, aby przeznaczone do usunięcia dokumenty, zawierające Dane Osobowe niszczone były w stopniu uniemożliwiającym ich odczytanie - zabronione jest wyrzucanie dokumentów do koszy na śmieci bez ich właściwej anonimizacji;
   10) przestrzegania procedur właściwego użytkowania systemów informatycznych, w których przetwarza się Dane Osobowe, w tym do nieujawniania innym użytkownikom swoich loginów i haseł;
   11) zachowania należytej staranności podczas przekazywania Danych Osobowych drogą telefoniczną (konieczność właściwej identyfikacji rozmówcy, konieczność ustalenia, czy rozmówca jest uprawniony do pozyskania Danych Osobowych, przekazywanie jedynie niezbędnych informacji);
   12) przesyłania Danych Osobowych za pomocą sieci Internet jedyne z użyciem metod kryptograficznych (szyfrowanie danych, kanały bezpiecznej transmisji);
   13) niewysyłania za pomocą wiadomości e-mail Danych Osobowych na prywatne adresy, niekopiowanie danych na inne nośniki bez uzasadnionej potrzeby;
   14) zachowania należytej ostrożności przy transporcie dokumentów oraz nośników informatycznych, zawierających Dane Osobowe;
   15) niepozostawiania dokumentów, zawierających Dane Osobowe na urządzeniach wielofunkcyjnych (drukowanie, kopiowanie);
   16) nieopuszczania stanowiska bez zabezpieczenia dokumentów papierowych, zawierających Dane Osobowe (zasada „czystego biurka”) oraz bez zabezpieczania dostępu do danych przetwarzanych w systemie informatycznym (zasada „czystego ekranu”);
   17) zaprzestania przetwarzania Danych Osobowych po ustaniu stosunku zatrudnienia lub zawartej umowy cywilnoprawnej.

§ 12

1. Rejestr Czynności Przetwarzania Danych stanowi formę dokumentowania czynności przetwarzania i stanowi podstawę systemu ochrony Danych Osobowych, umożliwiając Administratorowi rozliczenie większości obowiązków związanych z ochroną Danych Osobowych.
2. Administrator prowadzi Rejestr Czynności Przetwarzania Danych w celu inwentaryzacji Danych Osobowych i monitorowania sposobu, w jakim wykorzystuje Dane Osobowe.
3. Inspektor lub osoba odpowiedzialna za ochronę Danych Osobowych inwentaryzuje procesy przetwarzania Danych Osobowych w przypisując do nich określone czynności przetwarzania.
4. Inspektor lub osoba odpowiedzialna za ochronę Danych Osobowych okresowo dokonuje przeglądów procesów przetwarzania Danych Osobowych w celach aktualizacji prowadzonych rejestrów.
5. Wzór Rejestru Czynności Przetwarzania Danych stanowi Załącznik nr 3 do Polityki.

§ 13

1. Osoby odpowiedzialne za procesy, w których zbierane są Dane Osobowe, mają obowiązek zachowania szczególnej staranności przy ich zbieraniu, w tym:
   1) sprawdzać czy są spełnione podstawy prawne na pozyskiwanie Danych Osobowych, zgodnie z art. 6 RODO oraz art. 9 – 10 RODO;
   zbierać Dane Osobowe dla określonych, zgodnych z prawem celów realizowanych przez Administratora;
   3) zbierać dane w zakresie adekwatnym do celów w jakich dane będą przetwarzane przez Administratora.
2. 2. W przypadku konieczności odbierania zgody na przetwarzanie Danych Osobowych, należy zapewnić dobrowolność jej pozyskania oraz powiadamiać o prawie do odwołania takiej zgody.

§ 14

1. Dane Osobowe są przetwarzane przez czas określony przez właściwe przepisy prawa lub wewnętrzne przepisy Administratora.
2. Za określenie odpowiednich czasów retencji Danych Osobowych w procesach przetwarzania odpowiada Administrator (członkowie zarządu Administratora).
3. Dane Osobowe, dla których okres przetwarzania nie wynika z obowiązujących przepisów prawa i dla których nie jest możliwe określenie z góry tego okresu w wewnętrznych przepisach, są  przetwarzane tak długo, jak długo istnieje jednocześnie podstawa prawna oraz cel dla ich przetwarzania.
4. Ustanie celu przetwarzania Danych Osobowych jest równoznaczne z koniecznością ich usunięcia.
5. Dane Osobowe przetwarzane wyłącznie w oparciu o przesłankę zgody na przetwarzanie Danych Osobowych są usuwane zawsze niezwłocznie po wycofaniu takiej zgody.
6. Administrator, co najmniej jeden raz w każdym roku kalendarzowym, dokonuje weryfikacji zasobów Danych Osobowych prowadzonych w formie papierowej jak i elektronicznej, obejmującej:
   1) sprawdzenie, czy Dane Osobowe, dla których upłynął okres przechowywania wynikający z przepisów prawa lub wewnętrznych przepisów obowiązujących u Administratora zostały usunięte;
   2) sprawdzenie, czy w odniesieniu do Danych Osobowych, których czas przechowywania nie został określony przez właściwe przepisy prawa lub wewnętrzne przepisy obowiązujące u Administratora, nadal istnieje podstawa prawna oraz cel przetwarzania Danych Osobowych.
7. W przypadku ustalenia w trakcie weryfikacji, o której mowa w ust. 6, że okres przetwarzania Danych Osobowych upłynął bądź nie istnieje podstawa prawna lub cel do dalszego ich przetwarzania, Dane Osobowe powinny zostać trwale usunięte z nośników papierowych, elektronicznych oraz systemów informatycznych.

§ 15

1. Osoby, które wykonują zadania związane ze zbieraniem Danych Osobowych są odpowiedzialne za realizację obowiązków informacyjnych określonych w art. 13 i 14 RODO.
2. Administrator określa sposób informowania osób o przetwarzaniu danych niezidentyfikowanych, tam, gdzie jest to możliwe (np. informacja o objęciu obszaru monitoringiem wizyjnym).
3. Wzór klauzuli informacyjnej stanowi Załącznik nr 4 do Polityki.
4. Administrator określa zgodne z prawem i efektywne sposoby wykonywania obowiązków informacyjnych.

§ 16

1. Każdej osobie, której Dane Osobowe przetwarza Administrator przysługują prawa określone w art. 15 – 22 RODO, w tym:
   1) prawo dostępu do danych jej dotyczących;
   2) prawo do sprostowania danych;
   3) prawo do usunięcia danych;
   4) prawo do ograniczenia przetwarzania;
   5) prawo do przenoszenia danych;
   6) prawo do sprzeciwu na przetwarzanie jej danych;
   7) prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu.
2. Jeżeli osoba zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej Danych Osobowych, które są przetwarzane w oparciu o uzasadniony interes Administratora lub o powierzone Administratorowi Dane Osobowe w interesie publicznym, Administrator uwzględni sprzeciw, o ile nie zachodzą po stronie Administratora ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.
3. W sytuacji powierzania Danych Osobowych podmiotom przetwarzającym lub udostępniania Danych Osobowych innym administratorom danych, należy ich powiadamiać o każdym sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych, które było wynikiem realizacji wniosku otrzymanego od osoby, której Dane Osobowe dotyczą.

§ 17

Osoby, które udostępniają w imieniu Administratora, Dane Osobowe do podmiotu zewnętrznego (w formie papierowej lub elektronicznej), przed ich udostępnieniem mają obowiązek sprawdzić czy istnieją podstawy prawne umożliwiające wykonanie tych czynność, w tym:

1. wymóg prawa dotyczący udostępnienia Danych Osobowych;
2. zgoda osoby na udostępnienie Danych Osobowych innemu podmiotowi;
3. wniosek o udostępnienie Danych Osobowych od podmiotu uprawnionego, ze wskazaniem  podstawy prawnej do otrzymywania danego rodzaju Danych Osobowych.

§ 18

1. W sytuacji powierzania czynności przetwarzania Danych Osobowych zewnętrznemu podmiotowi (podmiotowi przetwarzającemu), należy zawrzeć z nim umowę powierzenia przetwarzania danych osobowych obejmującą elementy wymienione z art. 28 ust. 3 RODO.
2. W trakcie dokonywania wyboru podmiotu przetwarzającego należy zweryfikować czy podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i  organizacyjnych, by przetwarzanie spełniało wymogi przepisów RODO i chroniło prawa osób, których dane dotyczą.
3. Osoby, które przygotowują umowę z podmiotem zewnętrznym, któremu zlecone zostanie wykonywanie czynności związanych z przetwarzaniem Danych Osobowych, zobowiązane są skonsultować odpowiednie zapisy dotyczące powierzenia przetwarzania danych z Administratorem lub inną wskazaną przez niego osobą .
4. Wzór umowy powierzenia przetwarzania danych osobowych stanowi Załącznik nr 5 do Polityki.

§ 19

W sytuacji przekazywania danych osobowych do podmiotu znajdującego się w państwie trzecim (poza Europejskim Obszarem Gospodarczym) należy zarejestrować każdy przypadek eksportu Danych Osobowych w Rejestrze Czynności Przetwarzania Danych.

§ 20

1. W sytuacji powzięcia informacji o naruszeniu lub podejrzeniu naruszenia ochrony Danych Osobowych należy postępować zgodnie z zasadami wynikającymi z art. 33 i 34 RODO.
2. Zgłoszenia naruszenia ochrony Danych Osobowych przez osobę, której dane dotyczą lub przez osobę trzecią są przyjmowane i rozpatrywane przez Administratora (członków zarządu Administratora).
3. Szacowanie ryzyka dotyczące sytuacji naruszenia ochrony Danych Osobowych jest przeprowadzane Administratora (członków zarządu Administratora) lub inne upoważnione przez niego osoby.

§ 21

W sytuacji stwierdzenia wystąpienia naruszenia ochrony danych osobowych oraz prawdopodobieństwa zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych, informacja o naruszeniu powinna zostać zgłoszona do PUODO, zgodnie z wymaganiami art. 33 RODO. Zgłoszenie przekazywane jest do PUODO zgodnie z trybem określonym przez ten organ.

§ 22

Administrator stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie
zidentyfikowanego naruszenia ochrony Danych Osobowych do PUODO w terminie 72 godzin od
ustalenia naruszenia.

§ 23

1. Naruszenie przepisów o ochronie danych osobowych jest zagrożone sankcjami karnymi, określonymi w art. 107 – 108 UODO  oraz w art. 130, 266 - 269, 287 ustawy z dnia 6 czerwca 1997 r. - Kodeks karny (t. j. Dz. U. z 2017 r., poz. 2204 z późn. zm.).
2. Niezależnie od odpowiedzialności przewidzianej w przepisach, o których mowa w ust. 1, naruszenie zasad ochrony Danych Osobowych, może zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych i skutkować odpowiedzialnością na podstawie przepisów prawa pracy.

§ 24

Polityka jest dokumentem wewnętrznym i nie może być udostępniania osobom nieupoważnionym w żadnej formie.

§ 25

1. W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie przepisy RODO, UODO oraz inne przepisy prawa powszechnie obowiązującego.
2. Pracownicy i współpracownicy Administratora zobowiązani są do bezwzględnego stosowania zasad określonych w Polityce.