POLITYKA OCHRONY DANYCH OSOBOWYCH w Serwisie internetowym

https://modaswiata.pl prowadzonym przez”MODA ŚWIATA” KRAKOWIAK, KACPRZAK SPÓŁKA CYWILNA, ul. Łęczycka 9a, 95-035 Ozorków , NIP 5070097438, REGON: 388060990, adres poczty elektronicznej: kontakt@modaswiata.pl, telefon kontaktowy: 780 544 788

Na podstawie art. 24 Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z Przetwarzaniem Danych osobowych i w sprawie swobodnego przepływu takich Danych oraz uchylenia dyrektywy 95/46/WE (ogólne Rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1), uznając, że jest to proporcjonalne w stosunku do czynności przetwarzania, wdraża się do stosowania niniejszą politykę ochrony Danych osobowych.

I. Postanowienia ogólne

§ 1.

Administrator, świadomy wagi zagrożeń prywatności, w tym zagrożeń dla bezpieczeństwa przetwarzanych danych osobowych, deklaruje podejmowanie wszelkich możliwych działań koniecznych do zapobiegania m. in. takim zagrożeniom, jak:
1. sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby Systemu informatycznego, jak np. pożar, zalanie pomieszczeń, katastrofa budowlana, napad, kradzież, włamanie;
2. niewłaściwe parametry środowiska, zakłócające pracę urządzeń komputerowych (nadmierna wilgotność lub bardzo wysoka temperatura, oddziaływanie pola elektromagnetycznego i inne);
3. awarie sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne naruszenia ochrony danych, niewłaściwe działanie procedur serwisowych w tym przyzwolenie
  na naprawę sprzętu zawierającego Dane osobowe poza siedzibą Administratora;
4. naruszenie bezpieczeństwa danych przez nieautoryzowane ich Przetwarzanie;
5. ujawnienie osobom nieupoważnionym zasad ochrony danych stosownych przez Administratora;
6. celowe lub przypadkowe rozproszenie danych w Internecie z ominięciem zabezpieczeń Systemu informatycznego lub wykorzystaniem błędów Systemu informatycznego Administratora;
7. ataki z Internetu;
8. naruszenia zasad określonych w dokumentacji z zakresu ochrony danych osobowych przez osoby upoważnione do przetwarzania danych osobowych, związane z nieprzestrzeganiem zasad ochrony danych, w tym zwłaszcza:
9. niezgodne z procedurami zakończenie pracy lub opuszczenie stanowiska pracy;
10. naruszenie bezpieczeństwa danych przez nieautoryzowane ich Przetwarzanie;
ujawnienie osobom nieupoważnionym zasad ochrony danych stosowanych
u Administratora;
ujawnienie osobom nieupoważnionym danych przetwarzanych przez Administratora, w tym również nieumyślne ujawnienie danych osobom postronnym, przebywającym bez nadzoru w niedostatecznie nadzorowanych pomieszczeniach Administratora;
niewykonywanie kopii zapasowych zgodnie z przyjętymi u Administratora procedurami;
Przetwarzanie danych osobowych niezgodnie z celem określonym przez Administratora, w tym dla celów prywatnych;
wprowadzanie zmian do Systemu informatycznego Administratora i instalowanie jakiegokolwiek oprogramowania bez zgody ASI.

§ 2.

Ilekroć dane pojęcie zostanie napisane w Polityce dużą literą, ma ono znaczenie określone poniżej:

Administrator – rozumie się przez to “MODA ŚWIATA” KRAKOWIAK, KACPRZAK SPÓŁKA CYWILNA, ul. Łęczycka 9a, 95-035 Ozorków , NIP 5070097438, REGON: 388060990, adres poczty elektronicznej: kontakt@modaswiata.pl, telefon kontaktowy: 780 544 788, ustalającą cele i sposoby przetwarzania danych osobowych,
Administrator Systemu Informatycznego (ASI) – rozumie się przez to wyznaczoną przez Administratora osobę nadzorującą pracę Systemu informatycznego oraz wykonującą w nim czynności wymagające najwyższych uprawnień;
Anonimizacja – rozumie się przez to takie przekształcenie danych osobowych, po którym niemożliwe jest przyporządkowanie poszczególnych informacji osobistych lub rzeczowych do określonej lub możliwej do zidentyfikowania osoby fizycznej, przy czym proces ten jest nieodwracalny;
Członek personelu – rozumie się przez to osobę zatrudnioną u Administratora na podstawie stosunku pracy, umów cywilnoprawnych (np. umowy o dzieło lub umowy zlecenia), przedsiębiorcę wykonującego działalność osobiście i jednoosobowo (w tym w ramach umów o współpracy), osobę odbywającą praktyki, stażystę, osobę skierowaną do pracy w ramach umów z agencjami pracy tymczasowej wykonującą pracę związaną z Przetwarzaniem danych osobowych u Administratora;
Dane osobowe – rozumie się przez to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („osoba, której Dane dotyczą”). Osobą możliwą do zidentyfikowania jest osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie Identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
Szczególne kategorie Danych osobowych–rozumie się przez to Dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby,
Dane osobowe zwykłe – rozumie się przez to Dane osobowe, które nie
są danymi osobowymi Szczególnych kategorii ani Danymi dotyczącymi wyroków i naruszeń prawa;
Hasło – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie Użytkownikowi;
Identyfikator – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w Systemie informatycznym;
Integralność i poufność danych – rozumie się przez to właściwość zapewniającą odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem Przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych
Komisja – rozumie się przez to Komisję Europejską,
Odbiorca danych – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się Dane osobowe, w tym procesora, z wyjątkiem organów publicznych, które mogą otrzymywać Dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii Europejskiej lub prawem polskim
Ograniczenie przetwarzania– rozumie się przez to oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania
Organ nadzorczy – rozumie się przez to Prezesa Urzędu Ochrony Danych Osobowych
Organizacja międzynarodowa – rozumie się przez to organizację i organy jej podlegające działające na podstawie prawa międzynarodowego publicznego lub inny organ powołany w drodze umowy między co najmniej dwoma państwami lub na podstawie takiej umowy,
Osoba upoważniona do przetwarzania danych osobowych – rozumie się przez
to członka personelu, który został upoważniony przez Administratora
do przetwarzania danych osobowych u Administratora;
Państwo trzecie – rozumie się przez to każde państwo nienależące do Europejskiego Obszaru Gospodarczego (zwanego dalej: EOG),
Powierzenie przetwarzania danych osobowych – rozumie się przez to zlecenie wykonania czynności przetwarzania danych osobowych przez procesora na rzecz Administratora na podstawie stosownego postanowienia w umowie, zapewniającego warunki bezpieczeństwa danych osobowych zgodnie z przepisami Rozporządzenia lub na podstawie odrębnej pisemnej umowy powierzenia przetwarzania danych osobowych zawartej zgodnie z art. 28 ust. 3 Rozporządzenia;
Procesor – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza Dane osobowe w imieniu Administratora,
Przetwarzanie danych – rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
Rozliczalność – rozumie się przez to właściwość zapewniającą możliwość wykazania przestrzegania przepisów Rozporządzenia;
Rozporządzenie – rozumie się przez to Rozporządzenie Parlamentu Europejskiego
i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych
w związku z Przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne Rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1)
System informatyczny Administratora– rozumie się przez to sprzęt komputerowy, oprogramowanie, Dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów, zasad przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych Pacjentów oraz współpracowników ADO;
Ujawnianie danych osobowych – rozumie się przez to przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie danych osobowych;
Ustawa – rozumie się przez to ustawę z dnia 10.05.2018 r. o ochronie danych osobowych (Dz.U. z 2019 poz. 1781 t.j.);
Usuwanie danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której Dane dotyczą;
Uwierzytelnianie – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości osoby fizycznej lub podmiotu;
Użytkownik – rozumie się przez to członka personelu upoważnionego na piśmie
do przetwarzania danych osobowych, któremu ASI nadał Identyfikator i przyznał Hasło;
Zabezpieczenie Systemu informatycznego – rozumie się przez to wdrożenie stosownych środków administracyjnych, technicznych i fizycznych w celu zabezpieczenia zasobów technicznych i informatycznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych, a także ich utratą;
Zbieranie danych osobowych – rozumie się przez to pozyskiwanie danych od osoby, której one dotyczą lub z innych źródeł;
Zgoda osoby, której Dane dotyczą – rozumie się przez to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której Dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na Przetwarzanie dotyczących jej danych osobowych;

§ 3.

Administrator prowadzi działalność gospodarczą w formie spółki cywilnej.
1. Za nadzór i monitorowanie przestrzegania Polityki odpowiada Administrator.
2. Administrator przetwarza Dane osobowe w sposób tradycyjny (papierowy) oraz w sposób częściowo zautomatyzowany tj. przy użyciu Systemów informatycznych, w tym z wykorzystaniem usług chmurowych, zarówno w Systemach zintegrowanych, jak i w rozproszonych zestawieniach.

II. Zasady przetwarzania danych osobowych

§ 4.

Przestrzegając zasad dotyczących przetwarzania Danych osobowych, Administrator zapewnia, by Dane były:
1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której Dane dotyczą (“zgodność z prawem, rzetelność i przejrzystość“),
2. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (“ograniczenie celu“);
3. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (“minimalizacja danych“);
4. prawidłowe i w razie potrzeby uaktualniane; Administrator podejmuje wszelkie rozsądne działania, aby Dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (“prawidłowość“);
5. przechowywane w formie umożliwiającej identyfikację osoby, której Dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których Dane te są przetwarzane; (“ograniczenie przechowywania“);
6. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo Danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem Przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (“integralność i poufność“).
  1. Przetwarzanie Danych osobowych możliwe jest w przypadku spełnienia jednej z przesłanek określonych w art. 6 ust. 1 lit. a-f Rozporządzenia, tj. w przypadku, gdy:
7. osoba, której Dane dotyczą wyraziła zgodę na Przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której Dane dotyczą, lub do podjęcia działań na żądanie osoby, której Dane dotyczą, przed zawarciem umowy;
Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której Dane dotyczą, lub innej osoby fizycznej;
Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której Dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której Dane dotyczą, jest dzieckiem.
1. Przetwarzanie Szczególnych kategorii Danych osobowych jest zabronione, chyba że spełniony jest jeden z warunków określonych w art. 9 ust. 1 lit. a-f Rozporządzenia, tj. w przypadku, gdy:
osoba, której Dane dotyczą, wyraziła wyraźną zgodę na Przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której Dane dotyczą, nie może uchylić zakazu, o którym mowa powyżej;
Przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której Dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której Dane dotyczą;
Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której Dane dotyczą, lub innej osoby fizycznej, a osoba, której Dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
Przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że Przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że Dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których Dane dotyczą;
Przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której Dane dotyczą;
Przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
Przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której Dane dotyczą;
Przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania Systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem odpowiednich warunków i zabezpieczeń;
Przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których Dane dotyczą, w szczególności tajemnicę zawodową;
Przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 Rozporządzenia, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której Dane dotyczą;
Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której Dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której Dane dotyczą, jest dzieckiem.

§ 5.

Administrator na żądanie współpracuje z Organem nadzorczym w ramach wykonywania przez niego swoich zadań, w szczególności na jego żądanie udostępnia mu rejestr czynności przetwarzania w celu monitorowania operacji przetwarzania.
1. Za współpracę z Organem nadzorczym odpowiedzialny jest Administrator. Zapewnia on zgodność przetwarzania danych osobowych z przepisami prawa.

III. Obowiązki Administratora

§ 6.

Administrator wykonuje swoje obowiązki przestrzegając zasady podejścia opartego na ryzyku. W szczególności jest zobowiązany do przeprowadzenia analizy procesów przetwarzania i dokonania ogólnej oceny ryzyka, jakie wiąże się z Przetwarzaniem Danych w konkretnym przypadku, ze szczególnym uwzględnieniem ryzyka dla praw lub wolności osób, których Dane dotyczą.
Po weryfikacji kontekstu przetwarzania Danych osobowych, w szczególności określeniu procesów, w ramach których Dane są przetwarzane, celów przetwarzania, zaangażowanych podmiotów wewnętrznych i zewnętrznych, zakresu i podstawy przetwarzania, a także używanych narzędzi i stosowanych zabezpieczeń, Administrator określa zakres oceny ryzyka, a także dobiera aspekty kluczowe i metodykę ocenną.

§ 7.

Uwzględniając charakter, zakres, kontekst i cele przetwarzania Danych osobowych w strukturach Administratora oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby Przetwarzanie odbywało się zgodnie z Rozporządzeniem, i aby móc to wykazać. Środki te są w miarę potrzeby poddawane przeglądom i uaktualniane.
1. Realizując swoje obowiązki Administrator współpracuje z inspektorem ochrony danych, Procesorami, współadministratorami i osobami, których Dane dotyczą, a także organem nadzorczym.
2. Administrator realizuje zadania w zakresie ochrony Danych osobowych, zmierzające do zapewnienia przestrzegania przepisów Rozporządzenia, w tym w szczególności:
  1. nadzoruje opracowanie i aktualizację dokumentacji ochrony Danych osobowych;
  2. nadzoruje przestrzeganie zasad określonych w dokumentacji ochrony Danych osobowych;
  3. zapewnia adekwatne do zagrożeń i kategorii przetwarzanych Danych osobowych środki techniczne i organizacyjne zapewniające ochronę danych osobowych,
  4. zabezpiecza Dane osobowe przed:
ujawnieniem osobom nieupoważnionym;
zabraniem przez osobę nieuprawnioną;
zmianą, utratą, uszkodzeniem lub zniszczeniem;
1. zapewnia legalność przetwarzania Danych osobowych, a w szczególności dba, by:
Dane osobowe przetwarzane były na podstawie jednej z przesłanek legalizujących Przetwarzanie, które to przesłanki wymienione są w art. 6 ust. 1 lit. a-f albo w art. 9 ust. 2 lit. a-j Rozporządzenia;
został spełniony wobec osoby, której Dane dotyczą obowiązek informacyjny, o którym mowa w art. 13 i 14 Rozporządzenia;
Dane osobowe były przetwarzane zgodnie z obowiązującymi przepisami prawa, dobrymi praktykami i zwyczajami oraz normami i zasadami współżycia społecznego;
Dane osobowe przetwarzane były zgodnie z zasadami określonymi w § 4 ust. 1 Polityki;
1. jeżeli zachodzą przesłanki określone w art. 37 ust. 1 Rozporządzenia powołuje, a w pozostałych przypadkach może powołać w swojej strukturze inspektora ochrony danych, odpowiedzialnego za nadzór nad Przetwarzaniem Danych osobowych zgodnie z przepisami o ochronie danych osobowych;
2. powołuje ASI jako osobę odpowiedzialną za bezpieczeństwo Systemów informatycznych służących do przetwarzania Danych osobowych oraz określa zakres jego zadań;
3. zapewnia zapoznanie osób, którym mają być nadane upoważnienia do przetwarzania Danych osobowych, z przepisami o ochronie danych osobowych oraz zasadami ochrony danych osobowych poprzez zorganizowanie dla nich szkolenia, prowadzonego przez osobę posiadającą odpowiednią wiedzę i kompetencje z zakresu ochrony danych osobowych;
4. upoważnia Członków personelu do przetwarzania Danych osobowych w określonym indywidualnie zakresie;
5. nadzoruje i dba o zgodne z prawem przekazywanie Danych osobowych (Udostępnianie i Powierzanie);
6. zapewnia Użytkownikom odpowiednie stanowiska pracy, w tym sprzęt informatyczny, umożliwiające bezpieczne i zgodne z prawem Przetwarzanie Danych osobowych;
7. podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia zasad bezpiecznego przetwarzania Danych osobowych;
8. w sytuacji przekazywania Danych osobowych do państwa trzeciego, dba o stosowanie przepisów rozdziału V Rozporządzenia;
9. Administrator gwarantuje poszanowanie praw osób, których Dane dotyczą, a w szczególności prawa do uzyskania informacji o:
Administratorze;
celu, zakresie i sposobie przetwarzania danych osobowych;
terminie od kiedy i jakie Dane osobowe są przetwarzane;
źródle, z którego Dane osobowe pochodzą;
sposobie ujawniania danych osobowych oraz ich Odbiorcach.
1. Administrator gwarantuje respektowanie praw osób, których Dane dotyczą, w zakresie:
żądania sprostowania lub uaktualnienia Danych osobowych;
żądania ograniczenia przetwarzania Danych osobowych;
wniesienia sprzeciwu wobec przetwarzania Danych osobowych;
żądania usunięcia Danych osobowych;
żądania potwierdzenia przetwarzania, dostępu do Danych osobowych i uzyskania ich kopii;
żądania przeniesienia Danych osobowych;
odwołania zgody na Przetwarzanie Danych osobowych;
zaniechania zautomatyzowanego podejmowania decyzji.

§ 8.

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym w szczególności:
- pseudonimizację i szyfrowanie Danych osobowych;
  - zdolność do ciągłego zapewnienia poufności, Integralności, dostępności i odporności Systemów i usług przetwarzania;
  - zdolność do szybkiego przywrócenia dostępności Danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  - regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
  - Stosowane przez Administratora zabezpieczenia ochrony fizycznej Danych osobowych opisane są w załączniku do Polityki.
  - Stosowane przez Administratora zabezpieczenia sprzętowe infrastruktury informatycznej i telekomunikacyjnej dla fizycznych elementów Systemu, ich połączeń oraz Systemów operacyjnych opisane są w załączniku do Polityki.
  - Stosowane przez Administratora zabezpieczenia techniczne i programowe dla procedur, aplikacji, programów, baz danych i innych narzędzi programowych przetwarzających Dane osobowe opisane są w załączniku do Polityki.
  - W celu Zabezpieczenie Danych osobowych przed dostępem osób nieuprawnionych Administrator stosuje następującą politykę kluczy:
klucze do szuflad i szaf:
wszystkie szafy i szuflady, w których przechowywane są nośniki (w szczególności dokumenty) zawierające Dane osobowe zamykane są na klucz;
do pobierania kluczy do szuflad i szaf upoważnione są wyłącznie osoby, które zostały upoważnione do przetwarzania Danych osobowych;
po zakończeniu pracy szafy i szuflady zamykane są na klucz przez ostatnią osobę opuszczającą Dane pomieszczenie lub inną osobę, jeżeli szafa lub szuflada z uzasadnionych względów pozostała otwarta. Przez uzasadnione względy rozumie się w szczególności konieczność dostępu do dokumentów, znajdujących się w danej szafie lub szufladzie;
klucze do szuflad i szaf przechowywane są w biurku znajdującym się w siedzibie Administratora
zabrania się wynoszenia kluczy do szuflad i szaf poza miejsce wykorzystywane przez “MODA ŚWIATA” KRAKOWIAK, KACPRZAK SPÓŁKA CYWILNA, ul. Łęczycka 9a, 95-035 Ozorków , NIP 5070097438, REGON: 388060990, adres poczty elektronicznej: kontakt@modaswiata.pl, telefon kontaktowy: 780 544 788
pomieszczenie, w którym znajdują się klucze do szaf i szuflad zawierające dane osobowe zamykane jest po zakończeniu pracy na klucz;
klucze do pomieszczeń i budynku:
klucze do pomieszczeń wykorzystywanych przez “MODA ŚWIATA” KRAKOWIAK, KACPRZAK SPÓŁKA CYWILNA, ul. Łęczycka 9a, 95-035 Ozorków , NIP 5070097438, REGON: 388060990, adres poczty elektronicznej: kontakt@modaswiata.pl, telefon kontaktowy: 780 544 788 otrzymują wyłącznie osoby upoważnione. Upoważnienie obejmuje również dostęp do powyższych pomieszczeń poza godzinami pracy, tj. między 7.00 – 23.00;
upoważnienie, o którym mowa w tiret 1 powyżej obejmuje umocowanie do korzystania z klucza do pomieszczeń, z uwzględnieniem konieczności jego codziennego zdawania;
Osoba upoważniona ma obowiązek sprawować nadzór na przekazanym kluczem przez cały czas dysponowania nim;
każde udzielenie lub anulowanie upoważnienia odnotowywane jest w prowadzonej w tym celu ewidencji przekazanych kluczy.

§ 9.

Administrator prowadzi rejestr czynności przetwarzania, za które odpowiada. W rejestrze tym ujmowane są procesy, dla realizacji których niezbędne jest Przetwarzanie Danych osobowych. Rejestr zawiera co najmniej następujące informacje:
1. nazwę oraz dane kontaktowe Administratora oraz wszelkich współadministratorów;
2. cele przetwarzania;
3. opis kategorii osób, których Dane dotyczą, oraz kategorii danych osobowych;
4. kategorie odbiorców, którym Dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w Organizacjach międzynarodowych;
5. gdy ma to zastosowanie, przekazania Danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi Rozporządzenia, dokumentacja odpowiednich zabezpieczeń;
6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii Danych;
7. ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 Rozporządzenia,

a także inne Dane umożliwiające przeprowadzenie wstępnej analizy ryzyka, ogólnej analizy ryzyka oraz oceny skutków dla ochrony Danych.

Rejestr czynności przetwarzania jest wykorzystywany przy realizacji obowiązków Administratora, o których mowa w §7 Polityki.
1. Osobą odpowiedzialną za prowadzenie rejestru czynności przetwarzania jest inspektor ochrony danych.
2. Rejestr czynności przetwarzania jest prowadzony w formie elektronicznej. Wzór rejestru stanowi załącznik do Polityki.
3. Rejestr czynności przetwarzania jest aktualizowany regularnie, nie rzadziej niż co 6 miesięcy.
4. Na żądanie organu nadzorczego Administrator udostępnia mu rejestr czynności przetwarzania.

IV. Realizacja zasad Privacy by Design i Privacy by Default

§ 10.

Administrator w momencie ustalania sposobów przetwarzania Danych, jak i w trakcie samego procesu przetwarzania, wdraża odpowiednie środki techniczne i organizacyjne, tak aby Przetwarzanie było zgodne z wymogami Rozporządzenia i efektywnie chroniło prawa osób, których Dane dotyczą, przy uwzględnieniu charakteru, zakresu, kontekstu i celu przetwarzania danych oraz wynikającego z nich ryzyka dla praw i wolności osób fizycznych.
1. Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te Dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych Danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie Dane osobowe nie były udostępniane bez interwencji Danej osoby nieokreślonej liczbie osób fizycznych.

§ 11.

Administrator dokumentuje projektowanie ochrony danych osobowych, o którym mowa w § 10, za pomocą listy kontrolnej podsumowującej fazę projektowania ze wskazaniem przeanalizowanych rozwiązań w zakresie ochrony danych osobowych – wzór listy kontrolnej stanowi załącznik do Polityki.

V. Ocena skutków dla ochrony danych

§ 12.

Jeżeli na podstawie analizy ryzyka przeprowadzonej zgodnie z § 6 Polityki wynika, że dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych, zgodnie z postanowieniami działu V Polityki. W celu określenia, czy dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator weryfikuje:

charakter,
zakres,
kontekst i
cele przetwarzania.

§ 13.

Ocena skutków dla ochrony danych, o której mowa w § 12, jest wymagana w szczególności w przypadku, gdy Przetwarzanie spełnia dwa lub więcej z poniższych kryteriów:
Przetwarzanie wiąże się z oceną lub punktacją w tym profilowaniem i prognozowaniem w szczególności na podstawie aspektów dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której Dane dotyczą;
dochodzi do automatycznego podejmowania decyzji wywołującej wobec osoby, której Dane dotyczą, skutki prawne lub w podobny sposób istotnie na nią wpływającej;
Przetwarzanie obejmuje szczególnych kategorii Dane osobowe lub Dane o charakterze wysoce osobistym;
dochodzi do przetwarzania Danych na dużą skalę;
Przetwarzanie jest wykorzystywane do obserwacji, monitorowania lub kontrolowania osób, których Dane dotyczą, w tym Danych gromadzonych za pośrednictwem sieci lub ramach Systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie;
dochodzi do dopasowywania lub łączenia zbiorów Danych, w szczególności pochodzących z co najmniej dwóch różnych operacji przetwarzania Danych, przeprowadzonych w różnych celach lub przez różnych Administratorów Danych w sposób wykraczający poza uzasadnione oczekiwania osób, których Dane dotyczą;
Przetwarzanie obejmuje Dane osobowe osób wymagających szczególnej opieki, w tym np. dzieci lub pracowników;
następuje innowacyjne wykorzystanie lub stosowanie nowych rozwiązań technologicznych lub organizacyjnych;
samo Przetwarzanie uniemożliwia osobom, których Dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy.
1. Dla podobnych operacji przetwarzania Danych wiążących się z podobnym wysokim ryzykiem Administrator przeprowadza pojedynczą ocenę.
2. Administrator uwzględnia wykazy rodzajów operacji przetwarzania podlegających lub niepodlegających wymogowi dokonania oceny skutków dla ochrony Danych, ustanowione przez organ nadzorczy zgodnie z art. 35 ust. 4 i 5 Rozporządzenia.
3. W przypadkach, w których nie jest jasne, czy wymagane jest przeprowadzenie oceny skutków dla ochrony Danych, Administrator przeprowadza taką ocenę.

§ 14.

Ocena skutków dla ochrony Danych powinna rozpocząć się jak najwcześniej w fazie projektowania operacji przetwarzania. Jeżeli zachodzi taka potrzeba, w szczególności ze względu na zastosowane w projekcie środki techniczne lub organizacyjne, w miarę postępu procesu rozwoju lub w związku z istotną modyfikacją procesu, poszczególne etapy oceny należy powtórzyć.
1. Dokonując oceny skutków dla ochrony Danych, Administrator konsultuje się z inspektorem ochrony danych, jeżeli został on powołany, a wyniki konsultacji i podjęte decyzje dokumentuje w ramach oceny skutków dla ochrony Danych.
2. Jeżeli dana operacja przetwarzania jest całkowicie lub częściowo realizowana przez Procesora, Administrator konsultuje się z Procesorem.
3. Jeżeli uzna to za właściwe, Administrator zasięga opinii osób, których Dane dotyczą, lub ich przedstawicieli. Jeżeli ostateczna opinia Administratora różni się od opinii osób, których Dane dotyczą, Administrator dokumentuje powody podjęcia bądź niepodjęcia decyzji. Administrator uzasadnia także niezasięgnięcie opinii osób, których Dane dotyczą, jeśli uzna je za niewłaściwe.
4. W stosownych przypadkach Administrator zasięga opinii niezależnych ekspertów z różnych dziedzin (np. prawników, informatyków, ekspertów z zakresu bezpieczeństwa).
5. W razie potrzeby, przynajmniej gdy zmienia się ryzyko wynikające z operacji przetwarzania, Administrator dokonuje przeglądu, by stwierdzić, czy Przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych.

§ 15.

Administrator sporządza ocenę skutków dla ochrony danych w formie elektronicznej.
1. Dokonując oceny skutków dla ochrony Danych Administrator uwzględnia i dokumentuje co najmniej:
systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez Administratora;
ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
ocenę ryzyka naruszenia praw lub wolności osób, których Dane dotyczą; oraz
środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę Danych osobowych i wykazać przestrzeganie dotyczących jej przepisów, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których Dane dotyczą, i innych osób, których sprawa dotyczy.

VI. Uprzednie konsultacje

§ 16.

Jeżeli ocena skutków dla ochrony Danych, o której mowa w § 12-15, wskaże, że przy braku lub niedostatecznym poziomie planowanych zabezpieczeń środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko Przetwarzanie powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a Administrator uznaje, że ryzyka tego nie da się zminimalizować środkami rozsądnymi z punktu widzenia dostępnych technologii i kosztów wdrożenia, to przed rozpoczęciem przetwarzania Administrator konsultuje się z organem nadzorczym.
1. Konsultując się z organem nadzorczym zgodnie z ust. 1, Administrator przedstawia mu:
gdy ma to zastosowanie – odpowiednie obowiązki Administratora, współadministratorów oraz podmiotów przetwarzających uczestniczących w przetwarzaniu, w szczególności w przypadku przetwarzania w ramach grupy przedsiębiorstw;
cele i sposoby zamierzonego przetwarzania;
środki i zabezpieczenia mające chronić prawa i wolności osób, których Dane dotyczą;
Dane kontaktowe inspektora ochrony danych;
ocenę skutków dla ochrony Danych; oraz
1. Administrator udziela na żądanie organu nadzorczego wszelkich innych informacji.
  1. Projektując operacje przetwarzania, wymagające uprzednich konsultacji, Administrator uwzględnia określone w art. 36 ust. 2 Rozporządzenia terminy na udzielenie przez organ nadzorczy zaleceń lub podjęcie środków naprawczych.
  2. Administrator uwzględnia zalecenia organu nadzorczego wydane na skutek uprzednich konsultacji i stosuje się do innych środków podjętych przez organ.

VII. Polityka zarządzania naruszeniami

§ 17.

Naruszenie ochrony Danych osobowych oznacza każde naruszenie bez względu na jego przyczynę prowadzące do zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, a w szczególności:
1. nieautoryzowany dostęp do Danych osobowych;
2. utratę nośników zawierających Dane osobowe;
3. nieautoryzowaną modyfikację lub zniszczenie Danych osobowych;
4. bezpodstawne udostępnienie Danych osobowych;
5. pozyskiwanie Danych osobowych z nielegalnych źródeł.
6. W przypadku stwierdzenia naruszenia zabezpieczenia Systemu informatycznego lub zaistnienia sytuacji, które mogą wskazywać na naruszenie ochrony Danych osobowych, każdy Członek personelu Administratora przerywa wykonywanie czynności związanych z Przetwarzaniem Danych osobowych i niezwłocznie informuje o tym fakcie Administratora lub bezpośredniego przełożonego, a następnie stosuje się do podjętych przez te osoby decyzji.
7. Powiadomienie o naruszeniu ochrony danych osobowych powinno obejmować:
opis naruszenia ochrony Danych osobowych;
określenie sytuacji, miejsca i czasu, w jakim stwierdzono naruszenie ochrony Danych osobowych;
określenie wszelkich istotnych informacji mogących wskazywać na przyczynę tego naruszenia;
określenie znanych danej osobie sposobów zabezpieczenia Systemu oraz wszelkich kroków podjętych po ujawnieniu zdarzenia.
1. Administrator lub inna upoważniona przez Administratora osoba podejmuje wszelkie działania mające na celu:
minimalizację negatywnych skutków zdarzenia i ich późniejsze zupełne usunięcie;
wyjaśnienie okoliczności zdarzenia;
Zabezpieczenie dowodów zdarzenia;
umożliwienie dalszego bezpiecznego przetwarzania Danych osobowych.
1. W celu realizacji procedury postępowania w przypadku naruszenia ochrony Danych osobowych Administrator lub wyznaczona przez Administratora osoba ma prawo do podejmowania wszelkich działań dopuszczonych przez prawo, a w szczególności:
żądania wyjaśnień od Członków personelu;
korzystania z pomocy konsultantów (w tym zewnętrznych podmiotów);
nakazania przerwania pracy, zwłaszcza w zakresie przetwarzania Danych osobowych.
1. Odmowa udzielenia przez pracownika wyjaśnień lub współpracy z Administratorem może być traktowana jako ciężkie naruszenie podstawowych obowiązków pracowniczych w rozumieniu art. 52 § 1 pkt 1) Kodeksu pracy.
2. Administrator lub wyznaczona przez Administratora osoba, po stwierdzeniu naruszenia ochrony Danych osobowych, opracowuje raport końcowy, w którym przedstawia:
3. okoliczności i charakter powstałego naruszenia, w tym:
4. kategorie i przybliżoną liczbę osób, których Danych dotyczy naruszenie,
5. kategorie i przybliżoną liczbę Danych osobowych, których dotyczy naruszenie,
6. możliwe konsekwencje powstałego naruszenia,
7. wnioski i zalecenia ograniczające możliwość wystąpienia podobnego zdarzenia w przyszłości,

opis podjętych działań zaradczych.

§ 18.

W przypadku stwierdzenia naruszenia ochrony Danych osobowych Administrator bez zbędnej zwłoki – nie później jednak niż w terminie 72 godzin od stwierdzenia naruszenia – zgłasza je organowi nadzorczemu. Jeżeli zgłoszenie zostanie dokonane po upływie 72 godzin – należy dołączyć wyjaśnienie przyczyn opóźnienia – wzór zgłoszenia stanowi załącznik do Polityki.
1. Jeżeli w zakreślonym wyżej czasie Administrator nie jest w stanie zgromadzić i przekazać organowi nadzorczemu wszystkich wymaganych informacji – może ich udzielać sukcesywnie – bez zbędnej zwłoki.
2. Zgłoszenie naruszenia ochrony Danych osobowych (opisane w ust. 1) nie jest wymagane, jeśli jest mało prawdopodobne, aby naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Za dokonanie oceny istnienia lub nieistnienia powyższego ryzyka odpowiada Administrator.
3. W sytuacji, kiedy naruszenie ochrony Danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych – Administrator bez zbędnej zwłoki zawiadamia także osobę, której Dane dotyczą, o wystąpieniu naruszenia. Wzór zawiadomienia stanowi załącznik do Polityki.
4. W zawiadomieniu, o którym mowa w pkt. 4, umieszcza się informacje w zakresie:
5. imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych osobowych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji nt. naruszenia,
6. konsekwencji naruszenia ochrony Danych osobowych, które mogą pojawić się dla osoby, której Dane dotyczą w związku z zaistnieniem naruszenia,
7. środków zastosowanych lub proponowanych przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach, także środków w celu zminimalizowania ewentualnych negatywnych skutków naruszenia.
8. Zawiadomienie, o którym mowa w pkt. 4, nie jest wymagane w następujących przypadkach:
9. zostały wdrożone odpowiednie techniczne i organizacyjne środki ochrony, które zostały zastosowane do Danych osobowych, których dotyczy naruszenie – w szczególności środki takie jak szyfrowanie uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych Danych;
10. następnie zostały zastosowane środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której Dane dotyczą;
11. wymagałoby to niewspółmiernie dużego wysiłku – w takim wypadku należy wydać publiczny komunikat lub zastosować podobny środek, za pomocą którego osoby, których Dane dotyczą, zostają poinformowane w równie skuteczny sposób.
12. Oceny przesłanek wskazanych w ust. 6 dokonuje wyznaczony przez Administratora zespół odpowiedzialny za proces zarządzania ryzykiem.

VIII. Zasady dopuszczania osób wewnątrz organizacji do przetwarzania danych

§ 19.

Do przetwarzania Danych osobowych mogą zostać dopuszczone wyłącznie osoby przeszkolone, którym Administrator nadał na piśmie lub w formie dokumentowej odpowiednie upoważnienie do przetwarzania Danych osobowych – wzór upoważnienia do przetwarzania danych osobowych stanowi załącznik do Polityki.
1. Z zastrzeżeniem ust. 3 niniejszego paragrafu, każdy dopuszczony do przetwarzania Danych osobowych pracownik po odbyciu szkolenia oraz po otrzymaniu upoważnienia do przetwarzania Danych osobowych składa na piśmie oświadczenie o poufności, którego treść uzależniona jest od zakresu obowiązków danego pracownika.
2. W przypadku, gdy do przetwarzania Danych osobowych dopuszczona jest osoba świadcząca pracę w ramach cywilnoprawnej formy zatrudnienia lub osoba prowadząca indywidualną działalność gospodarczą, stale współpracująca z Administratorem, z osobą taką, po nadaniu jej na piśmie lub w formie dokumentowej odpowiedniego upoważnienia do przetwarzania Danych osobowych, zawierana jest umowa o poufności.
3. W przypadku, gdy podmiot zewnętrzny deleguje swoich pracowników lub osoby świadczące u niego pracę w ramach cywilnoprawnych form zatrudnienia do świadczenia usług pod kontrolą i na fizycznym obszarze przetwarzania danych Administratora oraz jeżeli nie zachodzi relacja uzasadniająca zawarcie umowy powierzenia, wyżej wymienionym pracownikom lub osobom nadawane jest na piśmie lub w formie dokumentowej upoważnienie do przetwarzania Danych osobowych i odbierane jest od nich pisemne oświadczenie o poufności.
4. Administrator zapewnia, by każda osoba fizyczna działająca z jego upoważnienia, która ma dostęp do Danych osobowych, przetwarzała je wyłącznie na polecenie Administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.
5. Upoważnienie, o którym mowa w ustępie 1 powyżej, musi być aktualne. W przypadku przedłużającej się nieobecności osoby upoważnionej lub zaprzestania wykonywania przez nią części lub wszystkich obowiązków, uzasadniających potrzebę upoważnienia jej do przetwarzania Danych osobowych, upoważnienie musi zostać w odpowiednim zakresie odwołane.
6. Utrata uprawnień do przetwarzania Danych osobowych objętych upoważnieniem może nastąpić w szczególności w przypadku:
  1. odwołania upoważnienia przez Administratora bez podania przyczyny;
  2. rozwiązania stosunku pracy bądź innego stosunku prawnego łączącego osobę upoważnioną z Administratorem;
  3. zmiany stanowiska pracy osoby upoważnionej u Administratora na stanowisko nieuzasadniające konieczności posiadania dostępu do zbiorów Danych osobowych, jeżeli nowy zakres czynności nie wykazuje obowiązków służbowych związanych z Przetwarzaniem Danych osobowych;
  4. umyślnego naruszenia przez osobę upoważnioną zasad ochrony Danych osobowych określonych w Rozporządzeniu, ustawie, Polityce.
7. W przypadku utraty uprawnień do przetwarzania Danych osobowych, Administrator niezwłocznie odwołuje upoważnienie do przetwarzania Danych osobowych oraz dokonuje zmian w ewidencji osób upoważnionych do przetwarzania Danych osobowych.

§ 20.

Administrator prowadzi ewidencję osób upoważnionych do przetwarzania Danych osobowych w wersji papierowej lub elektronicznej odnotowując informacje o wszystkich wydanych upoważnieniach oraz adnotacje o ich odwołaniu – wzór ewidencji osób upoważnionych stanowi załącznik do Polityki.

§ 21.

Dla wszystkich Użytkowników stosowane są uprawnienia do zasobów i zbiorów wedle zasady niezbędnego minimum potrzebnego do wykonywania obowiązków pracowniczych lub służbowych.
1. ASI nadaje określone uprawnienia dostępu do Systemów informatycznych w porozumieniu z Administratorem.
2. ASI nadaje, zmienia lub odwołuje uprawnienia w Systemie informatycznym zgodnie z dyspozycjami Administratora.
3. Do obsługi Systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do przetwarzania Danych, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania Danych osobowych nadane przez Administratora.
4. Za kontrolę aktualności kont Użytkowników wraz z uprawnieniami im nadanymi odpowiedzialny jest ASI.
5. Osobą zastępującą ASI w sytuacjach awaryjnych jest pracownik działu IT wskazany przez ASI.

§ 22.

Każdy Członek personelu przed nadaniem mu upoważnienia do przetwarzania Danych osobowych zostaje przeszkolony z zakresu ochrony Danych osobowych przez inspektora ochrony danych/ osobę wyznaczoną przez Administratora, przy czym szkolenie to zostaje zakończone podpisaniem przez osobę szkoloną oświadczenia o wzięciu udziału w szkoleniu oraz zobowiązaniu się do przestrzegania przedstawionych w trakcie szkolenia zasad ochrony Danych osobowych.
1. W przypadku zmian przepisów dotyczących ochrony Danych osobowych lub zasad przetwarzani i ochrony Danych osobowych u Administratora inspektor ochrony danych/ osoba wyznaczona przez Administratora organizuje szkolenie dla Członków personelu.
2. Tematyka szkoleń dotyczy w szczególności:
treści przepisów dotyczących ochrony Danych osobowych;
sporządzania i przechowywania sporządzania kopii zapasowych, niszczenia wydruków i zapisów na nośnikach;
sposobów ochrony Danych osobowych przed osobami postronnymi;
procedur udostępniania Danych osobom;
praw osób, których Dane dotyczą;
obowiązków osób upoważnionych do przetwarzania Danych osobowych;
zasad przetwarzania i ochrony Danych osobowych określonych w Polityce.
1. W celu przeprowadzenia szkolenia inspektor ochrony danych/ osoba wyznaczona przez Administratora może korzystać z pomocy wyspecjalizowanych podmiotów zewnętrznych posiadających odpowiednio wysoki poziom wiedzy i kwalifikacje do prowadzenia szkoleń z zakresu ochrony danych osobowych.
2. Inspektor ochrony danych/ osoba wyznaczona przez Administratora prowadzi dokumentację dotyczącą przeprowadzonych szkoleń, w tym sporządza po przeprowadzeniu każdego szkolenia listę osób, które wzięły w nim udział.

IX. Powierzenie przetwarzania danych osobowych

§ 23.

Przetwarzanie Danych przez Procesora, z którego usług korzysta Administrator, odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i Administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj Danych osobowych oraz kategorie osób, których Dane dotyczą, obowiązki i prawa Administratora.
1. Przetwarzanie Danych przez Procesora, z którego usług korzysta Administrator, nie powoduje zmiany właściwego Administratora.
2. Powierzenie Danych osobowych podmiotom mającym siedzibę w jednym z państw EOG podlega ogólnym zasadom powierzenia Danych osobowych wynikającym z Rozporządzenia. Powierzenie Danych osobowych podmiotom mającym siedzibę w państwie trzecim lub organizacji międzynarodowej wymaga dodatkowo wypełnienia przesłanek i obowiązków nałożonych przepisami rozdziału V Rozporządzenia i działu XI Polityki.

§ 24.

Dokonując wyboru Procesora Administrator korzysta z usług tylko takich Procesorów, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby Przetwarzanie Danych spełniało wymogi przepisów i chroniło prawa osób, których Dane dotyczą. Administrator bierze pod uwagę w szczególności fachową wiedzę, wiarygodność i zasoby Procesora.
- Wystarczające gwarancje, o których mowa w ust. 1, Procesor może wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 Rozporządzenia, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42 Rozporządzenia.
  - Weryfikacji zapewniania przez Procesora gwarancji, o których mowa w ust. 1, Administrator dokonuje z wykorzystaniem listy kontrolnej, której wzór stanowi załącznik do Polityki.

§ 25.

Jeżeli inny podmiot polecił Administratorowi Przetwarzanie Danych osobowych w jego imieniu, Administrator, działając jako podmiot przetwarzający, zobowiązany jest:

przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie powierzającego – co dotyczy też przekazywania Danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje powierzającego Dane o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
1. zapewnić, by osoby upoważnione do przetwarzania Danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
2. podejmować wszelkie środki dotyczące bezpieczeństwa przetwarzania, wymagane na mocy art. 32 Rozporządzenia;
3. przestrzegać warunków korzystania z usług innego podmiotu przetwarzającego,
  o których mowa w art. 28 ust. 2 i 4 Rozporządzenia;
4. uwzględniając charakter przetwarzania, w miarę możliwości pomagać powierzającemu Dane poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której Dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia;
5. uwzględniając charakter przetwarzania oraz dostępne informacje, pomagać powierzającemu Dane wywiązać się z obowiązków określonych w art. 32–36 Rozporządzenia;
6. udostępniać powierzającemu wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym ustępie oraz umożliwić powierzającemu lub upoważnionej przez niego osobie przeprowadzenie audytów, w tym inspekcji, i przyczyniać się do nich;
7. prowadzić rejestr kategorii czynności przetwarzania, którego wzór stanowi załącznik do Polityki.

§ 26.

Umowa, na podstawie której odbywa się Przetwarzanie Danych, powinna określać:
1. przedmiot przetwarzania,
2. czas trwania przetwarzania,
3. charakter przetwarzania,
4. cel przetwarzania,
5. rodzaj powierzonych danych osobowych,
6. kategorie osób, których Dane dotyczą,
7. obowiązki i prawa Administratora,
8. obowiązki Procesora, w tym dotyczące przeprowadzania audytu przez Administratora,
9. warunki dalszego powierzenia przetwarzania danych, w szczególności wskazanie, czy wymaga ono szczegółowej, czy ogólnej pisemnej zgody Administratora.
10. Umowa może zostać zawarta w formie pisemnej lub w formie dokumentowej.
11. Wzór umowy powierzenia przetwarzania danych osobowych oraz wzór postanowień regulujących Powierzenie przetwarzania danych osobowych, niestanowiących odrębnej umowy, ale sformułowanych w celu uzupełnienia innych zawieranych umów, stanowią załączniki do Polityki.
12. Administrator odnotowuje w rejestrze czynności przetwarzania umowy powierzenia przetwarzania.

X. Zasady ujawniania danych oDbiorcom innym niż procesorowi

§ 27.

Ujawnianie Danych osobowych odbiorcom innym niż Procesorowi dopuszczalne jest tylko w przypadku spełnienia jednej z przesłanek przetwarzania Danych osobowych określonych w § 4 Polityki.
1. Ujawnianie Danych osobowych może nastąpić tylko po uprzednim przedstawieniu wniosku o ich ujawnienie. Wniosek powinien mieć formę pisemną lub dokumentową i zawierać:
  1. oznaczenie wnioskodawcy;
  2. wskazanie podstaw legalizacyjnych uzasadniających żądanie ujawnienia;
  3. określenie rodzaju i zakresu żądanych informacji oraz formy ich przekazania lub udostępnienia;
  4. wskazanie imienia, nazwiska i stanowiska osoby upoważnionej do otrzymania Danych osobowych lub zapoznania się z ich treścią.
2. Ujawnianie Danych osobowych na podstawie ustnego wniosku zawierającego wszystkie cztery elementy określone w ust. 2 może nastąpić wyłącznie, gdy zachodzi konieczność niezwłocznego działania.

§ 28.

Ujawnianie Danych osobowych podmiotom mającym siedzibę w jednym z państw Europejskiego Obszaru Gospodarczego podlega ogólnym zasadom przetwarzania Danych osobowych wynikającym z Rozporządzenia. Administrator danych z EOG, tak samo jak Administrator przetwarzający Dane na terytorium Polski, jest zobowiązany m.in. do wypełnienia jednego z warunków legalności przetwarzania Danych osobowych, przestrzegania zasad przetwarzania Danych określonych w § 4 oraz do wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających odpowiedni stopień bezpieczeństwa danych.

XI. Transfery danych do państw trzecich

§ 29.

Administrator przekazuje Dane do państwa trzeciego lub organizacji międzynarodowej wyłącznie pod warunkiem spełnienia kryteriów określonych poniżej, dbając o to, by nie został naruszony stopień ochrony osób fizycznych zagwarantowany w Rozporządzeniu.
1. Przekazanie Danych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, jeżeli Komisja stwierdziła, że to Państwo trzecie, terytorium lub określone sektory w tym państwie trzecim lub dana Organizacja międzynarodowa zapewniają odpowiedni stopień ochrony;

prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi;
- wiążących reguł korporacyjnych, szczegółowo uregulowane w art. 47 Rozporządzenia;
- standardowych klauzul ochrony Danych przyjętych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 Rozporządzenia;
- standardowych klauzul ochrony Danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 Rozporządzenia;
- zatwierdzonego kodeksu postępowania zgodnie z art. 40 Rozporządzenia wraz z wiążącymi i egzekwowalnymi zobowiązaniami Administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich gwarancji, w tym w odniesieniu do praw osób, których Dane dotyczą; lub
- zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 Rozporządzenia wraz z wiążącymi i egzekwowalnymi zobowiązaniami Administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich gwarancji, w tym w odniesieniu do praw osób, których Dane dotyczą;
zostały zapewnione odpowiednie zabezpieczenia ochrony Danych osobowych za pomocą jednego z następujących instrumentów:
- klauzul umownych między Administratorem lub Procesorem a Administratorem, Procesorem lub odbiorcą danych w państwie trzecim lub organizacji międzynarodowej; lub
- postanowień porozumień administracyjnych między organami lub podmiotami publicznymi, w których przewidziano egzekwowalne i skuteczne prawa osób, których Dane dotyczą

– pod warunkiem uzyskania zezwolenia właściwego organu nadzorczego.

W braku decyzji Komisji, o której mowa w ust. 2, lub w braku odpowiednich zabezpieczeń, o których mowa w ust. 3, jednorazowe lub wielokrotne przekazanie Danych osobowych do państwa trzeciego może nastąpić, wyłącznie pod warunkiem, że:
1. osoba, której Dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;
2. przekazanie jest niezbędne do wykonania umowy między osobą, której Dane dotyczą, a Administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której Dane dotyczą;
3. przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, której Dane dotyczą, między Administratorem a inną osobą fizyczną lub prawną;
4. przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;
5. przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;
6. przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której Dane dotyczą, lub innych osób, jeżeli osoba, której Dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; lub
7. przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem polskim ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie polskim.

§ 30.

Przekazanie Danych do państwa trzeciego lub organizacji międzynarodowej jest odnotowywane w rejestrze czynności przetwarzania wraz ze wskazaniem podstawy przekazania

XII. Zakończenie przetwarzania – Polityki retencyjne

§ 31.

Dane osobowe są przechowywane przez okres nie dłuższy niż jest to niezbędne do celów, w których Dane te są przetwarzane. Okresy przechowywania poszczególnych kategorii Danych osobowych określa załącznik do Polityki.
Z usunięcia Danych osobowych i ich kopii Administrator sporządza protokół.

XIII. Prawa podmiotu danych

§ 32.

W celu realizacji swoich praw, podmiot danych kontaktuje się z Administratorem.

§ 33.

Przetwarzanie Danych osobowych przez Administratora powinno być zgodne z prawem i rzetelne. Dla osób, których Dane dotyczą, powinno być przejrzyste, że dotyczące ich Dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te Dane osobowe są lub będą przetwarzane. Wszelkie informacje i wszelkie komunikaty związane z Przetwarzaniem tych Danych osobowych powinny być łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których Dane dotyczą, o tożsamości Administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych Danych osobowych ich dotyczących.
- Osobom, których Dane dotyczą, należy uświadamiać ryzyka, zasady, zabezpieczenia i prawa związane z Przetwarzaniem Danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim Przetwarzaniem. W szczególności konkretne cele przetwarzania Danych osobowych przez Administratora powinny być wyraźne, uzasadnione i określone w momencie ich zbierania.

§ 34.

Jeżeli Dane osobowe osoby, której Dane dotyczą, zbierane są od tej osoby, Administrator podczas pozyskiwania Danych osobowych podaje jej informacje określone w § 13 ust. 1, 2 i 3 Rozporządzenia, chyba że ta osoba dysponuje już tymi informacjami.
- Jeżeli Danych osobowych nie pozyskano od osoby, której Dane dotyczą, Administrator podaje jej informacje określone w § 14 ust. 1, 2 i 4 Rozporządzenia, chyba że:
  - ta osoba dysponuje już tymi informacjami;
    - udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku;
    - pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega Administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której Dane dotyczą; lub
    - Dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
  - Informacje, o których mowa w ust. 2, Administrator podaje:
  - w rozsądnym terminie po pozyskaniu Danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania Danych osobowych;
  - jeżeli Dane osobowe mają być stosowane do komunikacji z osobą, której Dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której Dane dotyczą; lub
  - jeżeli planuje się ujawnić Dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
  - Wzory klauzul informacyjnych stosowanych w przypadkach, o których mowa w ust. 1 i 2, stanowią załączniki do Polityki.

§ 35.

Jeżeli podstawą przetwarzania Danych osobowych jest Zgoda osoby, której Dane dotyczą, Administrator musi być w stanie wykazać, że osoba, której Dane dotyczą, wyraziła zgodę na Przetwarzanie swoich Danych osobowych.
- Zgoda powinna być dobrowolnym, konkretnym, świadomym i jednoznacznym okazaniem woli, którym osoba, której Dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na Przetwarzanie dotyczących jej Danych osobowych w konkretnym celu. Na różne cele przetwarzania powinna być odbierana osobna Zgoda.
  - Jeżeli osoba, której Dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
  - Administrator umożliwia osobie, której Dane dotyczą, wycofanie zgody w dowolnym momencie w taki sam sposób, w jaki nastąpiło jej wyrażenie. Administrator w jasny i przejrzysty sposób informuje osobę, której Dane dotyczą, o możliwości wycofania zgody. W przypadku wycofania zgody Administrator niezwłocznie zaprzestaje przetwarzania Danych tej osoby.
  - Wyrażenie zgody na Przetwarzanie Danych nie może stanowić warunku zawarcia umowy lub świadczenia usługi.
  - W przypadku planu zmiany celu przetwarzania Danych, Administrator ponownie zwraca się do osoby, której Dane dotyczą, o zgodę na Przetwarzanie jej Danych co do zmienianego celu.

§ 36.

Administrator umożliwia osobie, której Dane dotyczą, uzyskanie potwierdzenia, czy przetwarzane są Dane osobowe jej dotyczące, a jeżeli ma to miejsce, również uzyskanie dostępu do nich i informacji określonych w § 15 ust. 1 i 2 Rozporządzenia.
- Administrator dostarcza osobie, której Dane dotyczą, kopię Danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której Dane dotyczą, Administrator pobiera opłatę w wysokości 1 zł/str., która wynikają z kosztów administracyjnych. Jeżeli osoba, której Dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się na drodze korespondencji mailowej.

§ 37.

Administrator dokonuje sprostowania nieprawidłowych Danych na żądanie osoby, której Dane dotyczą, niezwłocznie po otrzymaniu takiego żądania.
- Administrator uzupełnia niekompletne Dane osobowe na żądanie osoby, której Dane dotyczą, niezwłocznie po otrzymaniu takiego żądania. Administrator odmawia uzupełnienia Danych osobowych, gdy jest ono niezgodne z celami przetwarzania.
  - Administrator weryfikuje merytoryczną poprawność Danych osobowych wskazanych w żądaniu sprostowania lub uzupełnienia Danych.
  - Administrator informuje o sprostowaniu, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.

§ 38.

Na żądanie osoby, której Dane dotyczą, Administrator usuwa dotyczące je Dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
- Dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
osoba, której Dane dotyczą, cofnęła zgodę, na której opiera się Przetwarzanie, i nie ma innej podstawy prawnej przetwarzania;
osoba, której Dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 Rozporządzenia wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której Dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 Rozporządzenia wobec przetwarzania;
Dane osobowe były przetwarzane niezgodnie z prawem;
Dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega Administrator;
Dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego,
- Jeżeli Administrator upublicznił Dane osobowe, które zgodnie z ust. 1 ma obowiązek usunąć, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować Administratorów przetwarzających te Dane osobowe, że osoba, której Dane dotyczą, żąda, by Administratorzy ci usunęli wszelkie łącza do tych Danych, kopie tych Danych osobowych lub ich replikacje. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.
  - Administrator może odmówić usunięcia Danych w zakresie, w jakim jest ono niezbędne:
do korzystania z prawa do wolności wypowiedzi i informacji;
do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega Administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi;
z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3 Rozporządzenia;
do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 Rozporządzenia, o ile prawdopodobne jest, że usunięcie Danych uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub
do ustalenia, dochodzenia lub obrony roszczeń.
- Administrator zaniecha przetwarzania Danych osobowych niezwłocznie po otrzymaniu sprzeciwu osoby, której Dane dotyczą, jeżeli Przetwarzanie było niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi lub do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią. Administrator może nie uwzględnić sprzeciwu, jeżeli wykaże istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której Dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
  - Administrator zaniecha przetwarzania Danych osobowych do celów marketingu bezpośredniego niezwłocznie po otrzymaniu sprzeciwu osoby, której Dane dotyczą, wobec przetwarzania do takich celów.
    - Żądanie usunięcia danych lub sprzeciw osoba, której Dane dotyczą, może złożyć w formie pisemnej, elektronicznej, w tym za pośrednictwem strony internetowej Administratora, telefonicznie lub ustnie do protokołu w siedzibie Administratora.

§ 39.

Jeżeli Przetwarzanie odbywa się na podstawie zgody osoby, której Dane dotyczą, i w sposób zautomatyzowany, Administrator umożliwia osobom, których Dane dotyczą, otrzymanie kopii ich Danych osobowych w formie elektronicznej, w formacie *.xml, *.json, *.csv lub innym powszechnie używanym, ustrukturyzowanym formacie, nadającym się do odczytu maszynowego, umożliwiającym tej osobie przesłanie Danych do innego dostawcy usług, odczytanie Danych w sposób automatyczny przez innego dostawcę i korzystanie z Danych w ramach usług innego dostawcy.
- O ile jest to technicznie możliwe, na żądanie osoby, której Dane dotyczą, Administrator przesyła Dane osobowe bezpośrednio innemu Administratorowi.
  - Administrator może odmówić udostępnienia kopii Danych zgodnie z ust. 1, jeżeli mogłoby ono niekorzystnie wpływać na prawa i wolności innych.

§ 40.

Administrator ogranicza Przetwarzanie Danych na żądanie osoby, której Dane dotyczą, w następujących przypadkach:
osoba, której Dane dotyczą, kwestionuje prawidłowość Danych osobowych – na okres pozwalający Administratorowi sprawdzić prawidłowość tych Danych;
Przetwarzanie jest niezgodne z prawem, a osoba, której Dane dotyczą, sprzeciwia się usunięciu Danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
Administrator nie potrzebuje już Danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której Dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
osoba, której Dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 Rozporządzenia wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie Administratora są nadrzędne wobec podstaw sprzeciwu osoby, której Dane dotyczą.
- Administrator przechowuje Dane, których Przetwarzanie zostało ograniczone zgodnie z ust. 1, a w pozostałym zakresie przetwarza je wyłącznie:
  - za zgodą osoby, której Dane dotyczą, lub
    - w celu ustalenia, dochodzenia lub obrony roszczeń, lub
    - w celu ochrony praw innej osoby fizycznej lub prawnej, lub
    - z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.
  - Przed uchyleniem ograniczenia przetwarzania Administrator informuje o tym osobę, której Dane dotyczą, która żądała ograniczenia.
  - Administrator informuje ograniczeniu przetwarzania każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.

§ 41.

Administrator dopuszcza podejmowanie decyzji, które opierają się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołują skutki prawne wobec osoby, której Dane dotyczą, lub w podobny sposób istotnie na nią wpływają, wyłącznie jeżeli taka decyzja:
- jest niezbędna do zawarcia lub wykonania umowy między osobą, której Dane dotyczą, a Administratorem;
  - jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega Administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której Dane dotyczą; lub
  - opiera się na wyraźnej zgodzie osoby, której Dane dotyczą.
- W przypadkach, o których mowa w ust. 1 lit. a i c, na żądanie osoby, której Dane dotyczą, Administrator zapewni weryfikację interwencję ludzką. Administrator umożliwi osobie, której Dane dotyczą, wyrażenie własnego stanowiska i zakwestionowanie decyzji podjętej w sposób określony w ust. 1.
- Decyzje, o których mowa w ust. 2, nie mogą opierać się na Szczególnych kategoriach Danych osobowych, chyba że zastosowanie ma art. 9 ust. 2 lit. a) lub g) Rozporządzenia i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której Dane dotyczą.

XIV. Inspektor ochrony danych

§ 42.

Administrator wyznacza inspektora ochrony danych, gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność Administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i Systematycznego monitorowania osób, których Dane dotyczą, na dużą skalę; lub

c) główna działalność Administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę Szczególnych kategorii Danych osobowych lub Danych osobowych dotyczących wyroków i naruszeń prawa.

W pozostałych przypadkach wyznaczenie inspektora ochrony danych jest fakultatywne.

§ 43.

Do pełnienia funkcji inspektora ochrony danych może zostać wyznaczona wyłącznie osoba spełniająca warunki określone w art. 37 ust. 5 Rozporządzenia, tj. posiadająca kwalifikacje zawodowe, a w szczególności fachową wiedzę na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętność wypełnienia powierzonych mu zadań.
Formalne wyznaczenie do pełnienia funkcji inspektora ochrony danych następuje na podstawie dokumentu wyznaczenia inspektora ochrony danych.
Osoba mająca zostać wyznaczona do pełnienia funkcji inspektora ochrony danych przedkłada Administratorowi oświadczenie o spełnieniu warunków określonych w art. 37 ust 5 Rozporządzenia – wzór oświadczenia stanowi załącznik do Polityki. Inspektor ochrony danych zobowiązany jest do niezwłocznego poinformowania Administratora o zmianie okoliczności objętych tym oświadczeniem.
Administrator publikuje Dane kontaktowe inspektora ochrony danych i zawiadamia o nich organ nadzorczy.

§ 44.

Administrator zapewnia, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony Danych osobowych.
- Administrator wspiera inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w § 45 zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do Danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.
- Inspektor ochrony danych nie otrzymuje instrukcji dotyczących wykonywania swoich zadań, nie jest odwoływany ani karany za wypełnianie swoich zadań.
- Inspektor ochrony danych podlega bezpośrednio zarządowi.
- Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań.
- Jeżeli inspektor ochrony danych wykonuje inne zadania i obowiązki, Administrator zapewnia, by takie zadania i obowiązki nie powodowały konfliktu interesów.

§ 45.

Do zadań inspektora ochrony danych należą w szczególności:
informowanie Administratora, współpracujących z nim Procesorów oraz pracowników, którzy przetwarzają Dane osobowe, o obowiązkach spoczywających na nich na mocy Rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
monitorowanie przestrzegania Rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie Danych oraz Polityki, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
udzielanie na żądanie zaleceń co do oceny skutków dla ochrony Danych oraz monitorowanie jej wykonania zgodnie z art. 35 Rozporządzenia;
współpraca z organem nadzorczym;
pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z Przetwarzaniem, w tym z uprzednimi konsultacjami, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach;
kontakt z osobami, których Dane dotyczą, we wszystkich sprawach związanych z Przetwarzaniem ich Danych osobowych oraz z wykonywaniem praw przysługujących im na mocy Rozporządzenia;
przygotowywanie dla Administratora, co najmniej raz w roku, pisemnego sprawozdania ze swojej działalności;
prowadzenie i aktualizowanie dokumentacji dotyczącej ochrony Danych osobowych u Administratora, w szczególności rejestru czynności przetwarzania;
poddawaniu, co najmniej raz w roku, przeglądowi Polityki pod katem jej aktualności oraz zgodności deklarowanego w niej stanu z prawem;
nadzorowanie Powierzania przetwarzania Danych osobowych innym podmiotom, w szczególności nadzorowanie spełnienia wymagań Rozporządzenia przez Procesora;
nadzorowanie udostępniania Danych osobowych;
inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony Danych osobowych;
podejmowanie, wspólnie z Administratorem i ASI, odpowiednich działań w przypadku naruszenia lub podejrzenia naruszenia bezpieczeństwa przetwarzania Danych osobowych;
przygotowywaniu materiałów szkoleniowych z zakresu ochrony Danych osobowych i prowadzeniu cyklicznych szkoleń osób upoważnianych do przetwarzania Danych osobowych lub współpraca w tym zakresie z wyspecjalizowanym podmiotem zewnętrznym;
wyznaczanie w formie pisemnej, w porozumieniu z Administratorem, swojego zastępcy na czas swojej nieobecności.
- W celu prawidłowego wykonywania powierzonych zadań, inspektor ochrony danych jest uprawniony do:
wstępu do pomieszczeń, w których zlokalizowane są Dane osobowe, i przeprowadzenia wszystkich niezbędnych czynności kontrolnych w celu oceny zgodności przetwarzania danych z Rozporządzeniem, ustawą i Polityką;
żądania od członków personelu, w tym od osób upoważnionych, złożenia pisemnych lub ustnych wyjaśnień w zakresie niezbędnym do ustalenia stanu faktycznego dotyczącego przetwarzania Danych i ich zabezpieczenia,
żądania udostępnienia do kontroli zgodności przetwarzania Danych z przepisami o ochronie danych dokumentacji, urządzeń, nośników oraz Systemów informatycznych służących do przetwarzania Danych osobowych u Administratora,
występowania w porozumieniu z Administratorem do Procesora o wyjaśnienia i informacje dotyczące przetwarzania powierzonych Danych,
prowadzenia działań kontrolnych u Procesora w zakresie zgodności przetwarzania powierzonych Danych z przepisami o ochronie Danych i z umową o której mowa w art. 28 Rozporządzenia, w tym także żądania okazania dokumentów,
wyznaczania, rekomendowania i egzekwowania od członków personelu wykonania zadań związanych z ochroną Danych osobowych;
wydawania członkom personelu wiążących poleceń dotyczących przetwarzania i ochrony Danych osobowych u Administratora.
- Inspektor ochrony Danych nadzoruje przestrzeganie zasad przetwarzania i ochrony Danych osobowych, zwłaszcza poprzez:
prowadzenie sprawdzeń planowych i doraźnych oraz dokumentowanie czynności kontrolnych,
coroczne opracowywanie planu sprawdzeń w zakresie ochrony Danych osobowych – plan kontroli obejmuje rok kalendarzowy;
przeprowadzanie kontroli Systemu informatycznego;
przeprowadzanie kontroli zabezpieczeń fizycznych;
pisemne informowanie Administratora o wynikach przeprowadzonych kontroli.
- Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

XV. Odpowiedzialność osób przetwarzających Dane w ramach organizacji

§ 46.

Nieprzestrzeganie zasad określonych w Polityce stanowi w przypadku pracowników naruszenie obowiązków pracowniczych i może być przyczyną odpowiedzialności pracowniczej określonej w Kodeksie pracy.
1. Jeżeli skutkiem działania określonego w ustępie powyżej jest szkoda, Członek personelu:
2. będący pracownikiem ponosi odpowiedzialność materialną na zasadach określonych w Kodeksie pracy,
3. niebędący pracownikiem ponosi odpowiedzialność za zasadach ogólnych Kodeksu cywilnego.

XVI. Postanowienia końcowe

§ 47.

Polityka jest dokumentem wewnętrznym i nie może być udostępniania osobom nieupoważnionym w jakiejkolwiek formie.
1. Członek personelu zobowiązany jest złożyć oświadczenie o tym, iż został zapoznany z przepisami Rozporządzenia i ustawy oraz postanowieniami Polityki wdrożonej do stosowania u Administratora, a także o zobowiązaniu się do ich przestrzegania.
2. Oświadczenie, o którym mowa w ust. 2 powyżej, złożone przez Użytkownika będącego pracownikiem przechowywane jest jego w aktach osobowych.
3. Wszyscy upoważnieni do przetwarzania danych osobowych zobowiązani są do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w Polityce.
4. W sprawach nieuregulowanych w Polityce zastosowanie mają przepisy Rozporządzenia i ustawy.