RODO - Procontent Comunication

POLITYKA OCHRONY DANYCH OSOBOWYCH

 

  1. WSTĘP

Polityka ochrony danych osobowych (dalej jako „Polityka”) została wydana na podstawie art. 24 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE 119 z dnia 4 maja 2016 roku, s. 1) (dalej jako „Rozporządzenie”).

Celem Polityki jest całościowe opisanie rozwiązań w zakresie bezpieczeństwa danych osobowych zastosowanych w Procontent sp. z o.o. z siedzibą w Warszawie, ul. Marszałkowska 140 lok 46, 00-061 Warszawa, zarejestrowana w Krajowym Rejestrze Sądowym pod numerem KRS 0000407595 : (dalej jako „Spółka” bądź „Pracodawca” bądź „Potencjalny Pracodawca”).

Polityka ma zastosowanie do wszelkich danych osobowych przetwarzanych w Spółce w ramach prowadzonych przez nią działalności.

Wszyscy pracownicy/współpracownicy są zobowiązani do stosowania zasad opisanych w Polityce.

 

2. CZYJE DANE OSOBOWE PRZETWARZAMY?

Przetwarzamy dane osobowe:

  • pracowników/współpracowników,
  • byłych pracowników/współpracowników,
  • potencjalnych pracowników/współpracowników,
  • dziennikarzy, klientów, partnerów handlowych i partnerów biznesowych
  • pracowników instytucji, organizacji pożytku publicznego, szkół, jednostek badawczych.

 

3. JAKIE DANE OSOBOWE PRZETWARZAMY I W JAKICH CELACH?

Pracownicy i współpracownicy

Przetwarzamy dane osobowe pracowników, które obejmują przede wszystkim wszystkie te informacje na temat pracowników, które pracodawca obowiązany jest posiadać i archiwizować zgodnie z obowiązującymi przepisami prawa.

W odniesieniu do współpracowników przetwarzamy dane osobowe zawarte w umowach z nimi podpisanych.

Ponadto przetwarzamy takie dane osobowe jak numer telefonu prywatnego oraz adres prywatnej poczty elektronicznej pracownika i współpracownika.

Dane osobowe pracowników i współpracowników przetwarzamy wyłącznie do celów związanych z wykonaniem obowiązków wynikających z umów, które z nimi zawarliśmy. Dane osobowe mogą być też wykorzystane w ramach naszej grupy kapitałowej do celów związanych z kształtowaniem polityki kadrowej, wymianą doświadczeń, organizowania szkoleń pracowników i współpracowników, raportowania lub wspólnej realizacji projektów biznesowych w ramach naszej grupy.

 

Byli pracownicy i byli współpracownicy

W przypadku byłych pracowników i współpracowników, przetwarzamy dane osobowe wyłącznie do celów archiwizacyjnych (w zakresie wynikających z bezwzględnie obowiązujących przepisów prawa).

Ponadto przetwarzamy dane takich osób w celu ewentualnego dochodzenia roszczeń od byłego pracownika lub współpracownika w związku z obowiązującą wcześniej umową, a także w celu weryfikacji zasadności roszczeń, które były pracownik lub współpracownik mogą do nas kierować.

 

Potencjalni pracownicy i współpracownicy

Przetwarzamy dane osobowe kandydatów na pracowników i współpracowników przede wszystkim w zakresie, w jakim wynika to z obowiązujących przepisów prawa i jest niezbędne do nawiązania stosunku pracy lub współpracy, albo do przeprowadzenia rekrutacji zmierzającej do nawiązania stosunku pracy/współpracy.

W zależności od sytuacji, przetwarzamy dane osobowe wyłącznie do celów konkretnej rekrutacji na dane stanowisko lub do celów związanych także z innymi prowadzonymi przez nas rekrutacjami na dostępne w przyszłości stanowiska (jeśli kandydat na pracownika lub współpracownika wyraził zgodę na przetwarzanie danych osobowych także do celów przyszłych rekrutacji).

Dane osobowe kandydatów na pracowników i współpracowników pozyskujemy bezpośrednio od nich samych albo za pośrednictwem wyspecjalizowanych podmiotów świadczących usługi pośrednictwa pracy lub doradztwa zawodowego. W tym ostatnim przypadku przetwarzamy dane osobowe tylko w zakresie, w jakim zezwala nam na to umowa zawarta z firmą, która przekazuje informacje o kandydatach i zgody, jakie ci kandydaci udzielili na przetwarzanie ich danych osobowych.

 

Klienci i partnerzy handlowi

Naszymi klientami i partnerami handlowymi są zazwyczaj osoby prawne i nieposiadające osobowości prawnej jednostki organizacyjne (w tym instytucje publiczne), których dane nie podlegają ochronie. Niemniej jednak zdarza się, że w umowach z nimi zawartych wskazane są dane osobowe ich pracowników lub współpracowników (dane osób odpowiedzialnych za projekt, osób do kontaktu, osób upoważnionych do reprezentacji osoby prawnej itp.). Zazwyczaj są to do dane osobowe ograniczające się do imienia, nazwiska, zajmowanego stanowiska oraz do danych kontaktowych. Te dane osobowe przetwarzamy wyłącznie do celów związanych z realizacją umów oraz dochodzenia roszczeń z tytułu umowy.

Powyższe dane osobowe pozyskujemy bezpośrednio od podmiotów, z którymi pozostajemy w relacjach handlowych, zobowiązując się zarazem do nieprzetwarzania ich do innych celów niż wskazane powyżej, oraz do ich ochrony.

Pozyskujemy również dane potencjalnych klientów usług public relationspoprzez udział w imprezach branżowych, pozyskiwanie leadów z reklamy Google Adwards oraz publicznie dostępnych informacji w Internecie. Są one przetwarzane wyłącznie w celu złożenia ofert na działania Public Relations.

 

Dziennikarze

Jako firma prowadząca działalność agencji public relations, przetwarzamy dane osobowe dziennikarzy, z którymi pozostajemy w stałych kontaktach w związku z charakterem naszego biznesu a także dane osobowe osób, z którymi pozostajemy w stałych kontaktach biznesowych, nawet jeśli nie mamy żadnej umowy zawartej z nimi ani z podmiotami, które reprezentują lub w których pracują. Dane te pozyskujemy bezpośrednio od tych osób w formie wymiany wizytówek, w formie ustnej podczas rozmowy telefonicznej lub w drodze wymiany korespondencji elektronicznej. Dane te pochodzić mogą z baz danych instytutów monitorowania mediów, przekazywanych nam wizytówek, list obecności na organizowanych przez nas konferencjach, stron internetowych mediów, adresów email podawanych w mediach drukowanych. Każda osoba przekazuje nam bezpośrednio swoje dane osobowe w tej formie w sposób dobrowolny i wyłącznie do celów biznesowych lub w związku z działalnością dziennikarską, to jest w celu umożliwienia kontaktu zawodowego, propozycji współpracy, przekazywania informacji prasowych, zapraszania na konferencje, umawiania wywiadów itp. Dane osobowe pozyskiwane nie od osoby, której dane dotyczą, pozyskujemy w tym samym celu w ramach naszego uzasadnionego interesu w polegającego na utrzymywaniu z dziennikarzami relacji wynikających z naszej działalności (agencja public relations) i specyfiki wykonywanego przez dziennikarzy zawodu.

Instytucje publiczne, jednostki samorządowe, organizacje pożytku publicznego, szkoły

W ramach realizacji programów edukacyjnych kontaktujemy się z ww. podmiotami w celu organizacji projektów edukacyjnych i informacyjnych, pozyskania patronatów, zaproszenia do udziału w konkursach i badaniach opinii. W tym celu gromadzimy dane osobowe osób zatrudnionych w tych instytucjach. Pozyskujemy je ze stron internetowych prowadzonych przez te instytucje, publicznie dostępnych wykazów lub są one nam przekazywane przez naszych klientów do celów przeprowadzenia wybranej akcji albo bezpośrednio pozyskiwane w powyższych instytucjach. Wszystkie te dane osobowe przetwarzamy na podstawie naszego uzasadnionego interesu w polegającego na utrzymywaniu z instytucjami publicznymi relacji wynikających z naszej działalności.

 

4.  GDZIE DANE OSOBOWE SĄ PRZECHOWYWANE?

Akta osobowe pracowników są one przechowywane w siedzibie Spółki. Skany akt osobowych pracowników są przesyłane podmiotowi, z którym podpisaliśmy umowę o świadczenie usług kadrowo-płacowych oraz umowę o powierzeniu przetwarzania danych osobowych.

Pozostałe dokumenty zawierające dane osobowe (dane naszych pracowników i współpracowników, dane pracowników naszych klientów, podwykonawców, partnerów biznesowych i instytucji publicznych) przechowywane są w siedzibie Spółki.

 

5. JAK DŁUGO PRZETWARZAMY DANE OSOBOWE?

Przetwarzamy dane osobowe przez czas określony przez odpowiednie przepisy prawa. Jeżeli okres takiego przetwarzania nie wynika z obowiązujących przepisów praw, przetwarzamy je tak długo, jak długo istnieje jednocześnie podstawa prawna i cel dla ich przetwarzania.

Usuwamy dane osobowe niezwłocznie po otrzymaniu informacji o cofnięciu zgody na ich przetwarzanie.

Usuwamy dane osobowe niezwłocznie po ustaniu celu przetwarzania danych osobowych.

Raz do roku Zarząd Spółki dokonuje weryfikacji przetwarzanych przez Spółkę danych osobowych.

 

6. KTO ZARZĄDZA PRZETWARZANIEM DANYCH OSOBOWYCH W SPÓŁCE ORAZ ICH BEZPIECZEŃSTWEM?

Za przetwarzanie danych osobowych i ochronę danych w Spółce odpowiada Zarząd Spółki.

Zarząd Spółki jest odpowiedzialny za:

  • przygotowanie upoważnień do przetwarzania danych osobowych do podpisu wraz z umową o pracę/o współpracy oraz oświadczeń o zachowaniu w tajemnicy danych osobowych i sposobów ich zabezpieczenia,
  • przechowywanie upoważnień do przetwarzania danych osobowych oraz oświadczeń o zachowaniu w tajemnicy danych osobowych i sposobów ich zabezpieczenia,
  • prowadzenie aktualnej ewidencji osób upoważnionych do przetwarzania danych osobowych,
  • wykonanie umów o powierzeniu przetwarzania danych osobowych zgodnie z  postanowieniami ww. umów,
  • prowadzenie rejestru naruszeń,
  • dokonywanie okresowej analizy zgodności dokumentacji dotyczącej przetwarzania danych osobowych w Spółce z obowiązującymi przepisami oraz w razie konieczności przeprowadzenie jej aktualizacji.
  • monitorowania wpływu zapytań na skrzynkę e-mail iod@procontent.pl od osób, których dane dotyczą, oraz niezwłocznego poinformowania Zarządu o otrzymaniu takiegoż zapytania,

Podpisaliśmy umowę o współpracy z podmiotem z branży informatycznej, który jest:

  • odpowiedzialny za zarządzanie systemem informatycznym,
  • współpracuje z Zarządem Spółki w zakresie zapewnienia bezpieczeństwa systemu informatycznego przetwarzającego dane osobowe.

Każdy z Dyrektorów Spółkijest odpowiedzialny za zarządzanie procesami przetwarzania danych osobowych w swoim dziale i niezwłocznie informuje Zarząd, jeżeli ma jakiekolwiek wątpliwości w kwestii przetwarzania danych osobowych w Spółce.

W Spółce nie zostaje powołany Inspektor Ochrony Danych Osobowych.

 

7. KTO JEST UPOWAŻNIONY DO PRZETWARZANIA DANYCH OSOBOWYCH W SPÓŁCE ?

Każda osoba, która wykonuje jakiekolwiek czynności związane z przetwarzaniem danych osobowych, posiada odpowiednie upoważnienie do przetwarzania danych osobowych, podpisała oświadczenie o zachowaniu w tajemnicy danych oraz sposobów ich zabezpieczenia oraz została odpowiednio przeszkolona z zakresu ochrony danych osobowych.

Upoważnienia do przetwarzania danych w Spółce nadaje Zarząd Spółki.

 

8. JAK POWINNA POSTĘPOWAĆ OSOBA UPOWAŻNIONA?

Osoba upoważniona do przetwarzania danych osobowych powinna:

  • zapoznać się z Polityką oraz z innymi dokumentami dotyczącymi przetwarzania danych w Spółce,
  • przetwarzać dane osobowe wyłącznie dla konkretnego, jasno określonego i  zgodnego z prawem celem,
  • nie pozostawiać dokumentów, zawierających dane osobowe na drukarkach,
  • nie pozostawiać na biurku dokumentów papierowych zawierających dane osobowe („zasada czystego biurka”),
  • zapewnić, by nie korzystać z powierzonego sprzętu elektronicznego i innych urządzeń, na których mogą znajdować się dane osobowe w sposób, który mógłby spowodować dostęp innych nieupoważnionych osób do danych osobowych,
  • nie korzystać z poczty prywatnej do celów zawodowych,
  • zachować szczególną ostrożność przy zapisywaniu dokumentów zawierających dane osobowe na przenośnych nośnikach pamięci – powinno to mieć miejsce tylko w razie absolutnej konieczności i przy zapewnieniu kontroli nad nośnikiem, na którym dane zostały zapisane, by nie dostał się on w ręce osób nieupoważnionych.
  • zachować należytą staranność podczas przekazywania danych osobowych,

Każda osoba posiadająca w Spółce upoważnienie do przetwarzania danych osobowych powinna dbać, by swoim działaniem nie umożliwić osobom nieupoważnionym dostępu do danych osobowych przetwarzanych przez Spółkę.

W szczególności każdy pracownik i współpracownik powinien dbać o to, by żadna osoba nieupoważniona nie miała dostępu do miejsc w siedzibie Spółki, w których przechowywane są dane osobowe. Dotyczy do w szczególności sytuacji, w których do siedziby Spółki zapraszani są goście, dziennikarze, klienci, kandydaci do pracy lub partnerzy biznesowi.

Przetwarzając dane osobowe, każdy pracownik i współpracownik powinien pamiętać o tym, żeby nie wykorzystywać danych osobowych do celów innych niż te, do jakich zostały przez Spółkę zebrane. W szczególności powinien pamiętać, że dane osobowe kandydatów do pracy mogą być przetwarzane wyłącznie w ramach procesu rekrutacyjnego, dane osobowe klientów, pracowników i współpracowników – wyłącznie do celów związanych z wykonaniem umów i ewentualnego wzajemnego dochodzenia roszczeń lub badania ich zasadności, a dane osobowe dziennikarzy i innych partnerów biznesowych, z którymi Spółka nie ma zawartych żadnych umów – tylko do celów utrzymywania relacji zawodowych i biznesowych.

Każdy pracownik i współpracownik winien mieć na względzie, by nie wykorzystywać danych osobowych pozyskanych od innych osób (chyba, że dane te zostały powierzone przez firmę, z którą Spółka ma podpisaną umowę o powierzenie przetwarzania danych osobowych, lub Spółka ma uzasadniony interes prawny w przetwarzaniu danych osobowych). Na przykład pracownicy i współpracownicy nie powinni wykorzystywać danych osobowych pochodzących ze źródeł innych niż osoby, których dane dotyczą, albo przekazanych w inny legalny sposób przez inne podmioty. Pracownicy i współpracownicy Spółki powinni wiedzieć, że Spółka nie zdobywa żadnych danych osobowych bez zgody osób, których dane dotyczą, i  nie korzysta z żadnych serwisów umożliwiających nabywanie pakietów danych osobowych (z wyjątkiem instytutów monitorowania mediów, od których Spółka pozyskuje dane kontaktowe dziennikarzy).

Przed przekazaniem jakichkolwiek danych osobowych osobom nieupoważnionym (w szczególności osobom niebędącym pracownikami lub współpracownikami Spółki), każdy pracownik lub współpracownik Spółki powinien upewnić się, że w danym przypadku przekazanie danych osobowych jest dozwolone. W razie wątpliwości należy skontaktować się z Zarządem Spółki w celu uzyskania dodatkowych instrukcji.

W razie zawierania jakiejkolwiek umowy, której skutkiem będzie konieczność udostępnienia danych osobowych innym podmiotom, odpowiedzialny za zawarcie takiej umowy pracownik lub współpracownik Spółki winien upewnić się, że :

  • Spółka zawarła wcześniej z tym podmiotem odpowiednią umowę o powierzeniu przetwarzania danych osobowych lub
  • odpowiednia klauzula powierzenia przetwarzania danych osobowych zawarta jest w projekcie umowy, której zawarcie jest planowane.

 

9. W JAKI SPOSÓB REALIZUJEMY OBOWIĄZKI INFORMACYJNE?

Każda osoba, której dane przetwarzamy ma prawo zgodnie z art. 15-22 Rozporządzenia do:

  • dostępu do swoich danych osobowych, w tym do uzyskania kopii,
  • żądania sprostowania danych osobowych,
  • do usunięcia danych osobowych (w określonych sytuacjach),
  • do ograniczenia przetwarzania danych osobowych,
  • do wniesienia sprzeciwu na przetwarzanie danych,
  • wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Dodatkowo w zakresie, w jakim dane są przetwarzane na podstawie zgody bądź w ramach świadczonej usługi/wykonywania umowy każdej osobie przysługuje prawo do:

  • wycofania zgody w zakresie, w jakim są przetwarzane na tej podstawie. Wycofanie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.

Każda z zainteresowanych osób może skontaktować się z nami, kierując swoje zapytanie/prośbę na specjalnie w tym celu stworzony e-mail: iod@proconent.pl. Odpowiemy na każdy e-mail niezwłocznie, przy czym nie później niż w terminie 1 miesiąca od otrzymania zapytania/prośby.

W momencie pozyskiwania danych osobowych od osoby, której dane dotyczą, a więc od pracownika/współpracownika, potencjalnego pracownika/współpracownika, dziennikarza bądź od klienta (jeżeli dotyczy) przedstawiamy wszelkie wymagane prawem informacje zgodnie z art. 13 i 14 Rozporządzenia. Informacje takie odnoszą się w szczególności do naszych danych kontaktowych, wskazania celu/celów przetwarzania danych osobowych, podstawy prawnej przetwarzania, a także przysługujących prawach.

Informacje takie otrzymuje każdy pracownik/współpracownik w momencie podpisywania umowy o pracę/o współpracę.

W przypadku przetwarzania danych osobowych pozyskanych z innych źródeł, niezwłocznie po uwzględnieniu w naszej bazie danych kontaktowych tych osób wysyłamy im informację o przetwarzaniu ich danych oraz o ich prawach.

Osoby, które wykonują jakiekolwiek zadania związane ze zbieraniem danych osobowych, są odpowiedzialne za realizację obowiązków informacyjnych. Osoby te w razie jakichkolwiek wątpliwości są zobowiązane do niezwłocznego skontaktowania się z Zarządem.

 

10.  CZY POSIADAMY ODPOWIEDNIE ZGODY NA PRZETWARZANIE DANYCH OSOBOWYCH?

Dane osobowe pracowników i potencjalnych pracowników

Jako Pracodawca oraz Potencjalny Pracodawca co do zasady nie potrzebujemy uzyskania zgody na przetwarzanie wskazanych w kodeksie pracy danych osobowych w zakresie niezbędnym do nawiązania i realizacji stosunku pracy. Nie potrzebujemy także zgód pracowników na przetwarzanie ich danych, jeżeli korzystamy z nich w ramach naszego uzasadnionego interesu prawnego .

W zakresie, w jakim przetwarzamy dane osobowe wykraczające poza to, czego od nas wymaga Kodeks pracy lub uzasadniony interes prawny, przed przystąpieniem do przetwarzania danych osobowych zbieramy zgody pracowników i potencjalnych pracowników obejmujące cel i zakres, do jakiego będziemy wykorzystywać dane osobowe.

Odpowiednie formularze takiej zgody są przedstawiane pracownikowi przy podpisywaniu umowy o pracę.

Również w przypadku osób świadczących na naszą rzecz usługi na podstawie umów cywilnoprawnych, przetwarzamy wyłącznie dane osobowe zawarte w umowach z nimi zawartych i do celu ich wykonania, lub w ramach naszego uzasadnionego interesu prawnego, a więc nie są wymagane odrębne zgody na przetwarzanie danych osobowych. Jedynie gdy przetwarzamy dodatkowe dane przekazywane nam w trakcie wykonania umowy, czynimy to zawsze na podstawie dodatkowej zgody przekazywanej nam przez współpracownika.

Dane osobowe byłych pracowników przetwarzamy zasadniczo jedynie w zakresie bezwzględnie wymaganym przepisami prawa, więc nie musimy na to uzyskiwać odrębnych zgód. Zgody takie pozyskujemy jednak od pracowników (jeszcze przed ustaniem stosunku pracy), jeżeli chcemy przetwarzać dane osobowe w szerszym zakresie niż wynikający z przepisów. Podobnie postępujemy z danymi osobowymi byłych współpracowników świadczących na naszą rzecz usługi na podstawie innej niż umowa o pracę.

Zawsze informujemy, że uzyskiwane od pracowników, potencjalnych pracowników i współpracowników zgody są dobrowolne oraz że mogą być w dowolnym momencie cofnięte.

 

Dane osobowe zawarte w umowach z klientami, dziennikarzami i partnerami handlowymi

Dane osobowe pozyskane przez Spółkę w ramach umów z klientami i partnerami handlowymi, obejmują albo dane do kontaktu w przedsiębiorstwie (co oznacza, że na podstawie obowiązujących przepisów nie jest wymagane pozyskanie zgody na ich przetwarzanie), albo dane powierzane nam przez firmę, w której są zatrudnione osoby, których dane dotyczą. Możemy przetwarzać te dane bez zgody wspomnianych osób, zapewniając jednak ich pełną ochronę i wykorzystując je jedynie do celów określonych w umowie z naszym klientem lub partnerem handlowym.

W odniesieniu do dziennikarzy, pracowników instytucji publicznych i innych osób będących naszymi partnerami biznesowymi, podstawą prawną przetwarzania danych osobowych jest co do zasady nasz uzasadniony interes, polegający na utrzymywaniu relacji biznesowych wynikających z charakteru naszej działalności (agencja public relations)

 

11.  CZY PODPISUJEMY UMOWY O POWIERZENIU PRZETWARZANIA DANYCH OSOBOWYCH?

Tak. Współpracujemy jedynie z takimi podmiotami, które gwarantują wdrożenie środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa przetwarzania danych osobowych. Umowa o powierzeniu przetwarzania danych osobowych zawiera klauzule wymagane przez prawo zgodnie z art. 28 ust. 3 Rozporządzenia.

Każda umowa o powierzeniu danych osobowych jest konsultowana z Zarządem Spółki bądź z wskazaną przez niego osobę.

 

12. CZY PRZEKAZUJEMY DANE OSOBOWE POZA OBSZAR EUROPEJSKIEGO OBSZARU GOSPODARCZEGO?

Nie przekazujemy danych osobowych podmiotom znajdującym się poza obszarem Europejskiego Obszaru Gospodarczego. W przypadku zamiaru przekazywania danych Zarząd Spółki uprzednio ustali wzory umów z takimi podmiotami.

 

13.  CZY UDOSTĘPNIAMY DANE OSOBOWE?

Tak. Dane osobowe mogą być udostępnione podmiotom uprawnionym do ich uzyskania na podstawie obowiązującego prawa np. organom ścigania w razie zgłoszenia przez organ żądania na odpowiedniej podstawie prawnej.

Dane osobowe naszych pracowników i współpracowników mogą być także udostępniane w ramach naszej grupy kapitałowej do celów związanych z kształtowaniem polityki kadrowej, wymianą doświadczeń, organizowania szkoleń pracowników i współpracowników, raportowania lub wspólnej realizacji projektów biznesowych w ramach naszej grupy. Nie wymaga to uzyskania żadnych dodatkowych zgód.

 

14. CZY STOSUJEMY ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI?

Nie, w naszej działalności nie stosujemy żadnych mechanizmów zautomatyzowanego podejmowania decyzji.

 

15. W JAKI SPOSÓB CHRONIMY DANE OSOBOWE?

Wdrożyliśmy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku z uwzględnieniem stanu wiedzy technicznej, kosztu wdrożenia oraz charakteru, zakresu, celu i kontekstu przetwarzania oraz ryzyka naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. W szczególności uwzględniamy ryzyko wiążące się z przetwarzaniem danych wynikających z: nieuprawnionego dostępu do danych osobowych przechowywanych, przesyłanych lub w inny sposób przetwarzanych.

 

16. JAK POSTĘPUJEMY, GDY NARUSZONE ZOSTAŁO BEZPIECZEŃSTWO DANYCH OSOBOWYCH?

Każdy z pracowników/współpracowników w razie stwierdzenia, że bezpieczeństwo danych osobowych zostało naruszone, zobowiązany jest postępować zgodnie z „Instrukcją postępowania w przypadku naruszenia ochrony danych osobowych”. Instrukcja postępowania w przypadku naruszenia ochrony danych osobowych stanowi Załącznik nr 2 do Polityki

Instrukcja jest przekazywana każdemu z pracowników/współpracowników w momencie nawiązania stosunku pracy/współpracy.

W sytuacji stwierdzenia wystąpienia naruszenia ochrony danych osobowych oraz prawdopodobieństwa zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych, Zarząd zgłosi naruszenie w terminie 72 godzin po stwierdzeniu naruszenia, zgodnie z art. 33 Rozporządzenia, Prezesowi Urzędu Ochrony Danych Osobowych.

W sytuacji, w której naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, zawiadomimy osobę, której dane dotyczą o takim naruszeniu.

Wszelkie stwierdzone naruszenia ochrony danych osobowych są udokumentowane w rejestrze naruszeń przez Zarząd Spółki we współpracy z podmiotem z branży informatycznej, który jest odpowiedzialny za zarządzanie systemem informatycznym Spółki.

 

17. KIEDY POLITYKA WCHODZI W ŻYCIE?

Polityka wchodzi w życie w dniu 25 maja 2018 roku.

Uchwałą z dnia 23 maja 2018 r. została zatwierdzona przez Zarząd Spółki.

18. POSTANOWIENIA KOŃCOWE

W sprawach nieuregulowanych mają zastosowanie przepisy Rozporządzenia oraz ustawy o ochronie danych osobowych.