Administrator - 22bit OÜ z siedzibą w Männimäe, Pudisoo küla, Kuusalu vald, Harju maakond – działając w oparciu o art. 24 Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1), w celu zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych, wprowadza niniejszym wewnętrzny system regulacji z zakresu danych osobowych. Opracowany on został na podstawie:
Polityka Bezpieczeństwa Ochrony Danych Osobowych określa reguły przetwarzania danych osobowych oraz sposobów ich zabezpieczenia, jako zestaw praw, zasad i zaleceń regulujących sposób ich zarządzania, ochrony i dystrybucji w 22bit OÜ z siedzibą w Männimäe, Pudisoo küla, Kuusalu vald, Harju maakond.
Polityka zawiera informacje dotyczące rozpoznawania procesów przetwarzania danych osobowych oraz wprowadzonych zabezpieczeń techniczno-organizacyjnych, zapewniających ochronę przetwarzanych danych osobowych.
Zgodnie z RODO podmiot przetwarzający dane osobowe powinien kierować się następującymi zasadami:
Art. 5 ust. 1 lit a) RODO wysuwa ogólny postulat, który wymaga od Administratora danych przetwarzania danych zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
Zasad przejrzystości wymaga od Administratora danych podania osobie, której dane dotyczą dla jakich celów przedmiotowe dane są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Ponadto zasada ta wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.
Wszelkie informacje te mogą być przekazywane w formie elektronicznej a w stosownych wypadkach dodatkowo wizualizowane, na przykład za pomocą strony internetowej, gdy są kierowane do ogółu społeczeństwa. Dotyczy to w szczególności sytuacji, gdy duża liczba podmiotów i złożoność technologiczna działań sprawiają, że osobie, której dane dotyczą, trudno jest dowiedzieć się i zrozumieć, czy dotyczące jej dane osobowe są zbierane, przez kogo oraz w jakim celu, na przykład w przypadku reklamy w internecie.
Gdy przetwarzanie dotyczy dziecka – powinny być sformułowane tak jasnym i prostym językiem, by dziecko mogło je bez trudu zrozumieć.
Powyższa zasad nakłada na Administratora danych obowiązek zbierania danych w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
Przetwarzanie danych osobowych do celów innych niż cele, w których dane te zostały pierwotnie zebrane, powinno być dozwolone wyłącznie w przypadkach, gdy jest zgodne z celami, w których dane osobowe zostały pierwotnie zebrane. Za przypadki, o których jest mowa powyżej badania naukowe, historyczne lub cele statystyczne.
Natomiast jeżeli Administrator danych planuje przetwarzać dane osobowe w celu innym niż cel, w których dane osobowe zostały zebrane, powinien on przed takim dalszym przetwarzaniem poinformować osobę, której dane dotyczą, o innym celu oraz dostarczyć jej w tym zakresie innych niezbędnych informacji.
Zgodnie z przepisami RODO od Administratora danych wymaga się by adekwatnie, stosownie oraz w sposób ograniczony do swoich celów gromadził i przechowywał dane osobowe.
Chodzi tu w szczególności o zapewnienie ograniczenia okresu przechowywania danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu.
Na Administratorze danych ciąży obowiązek by dane osobowe przez niego posiadane były prawidłowe natomiast w przypadku ich niezgodności zobowiązany jest on do ich aktualizacji.
W celu realizacji nałożonych na Administratora danych obowiązków zobowiązany jest on podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.
Administrator danych zobligowany jest do przechowywania danych w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.
Powyższa zasada oraz obowiązki z niej wynikające nałożone na Administratora Danych wymagają w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu.
Administrator danych przetwarzając dane osobowe powinien zapewnić im odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Oznacza to ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu.
Administrator musi wykazać, że określone decyzje odnoszące się do procesów przetwarzania danych osobowych zostały przeanalizowane z punktu widzenia zgodności z ogólnymi zasadami przetwarzania danych, a przede wszystkim, że są z nimi zgodne.
Celem Polityki Bezpieczeństwa Danych Osobowych jest określenie oraz wdrożenie zasad bezpieczeństwa i ochrony danych osobowych przetwarzanych w 22bit OÜ z siedzibą w Männimäe, Pudisoo küla, Kuusalu vald, Harju maakond, a w szczególności:
Administrator danych zezwala na przetwarzanie danych osobowych przez pracowników bądź inne osoby jedynie wówczas, gdy zostało uprzednio udzielone imienne upoważnienie do przetwarzania, w zakresie przewidzianym w upoważnieniu. Niedopuszczalnym jest przetwarzanie danych osobowych przez osoby nieupoważnione lub przetwarzanie w większym zakresie niż określony w upoważnieniu.
Administrator danych udziela upoważnienia w formie pisemnej oraz prowadzi rejestr upoważnień. Rejestr podlega bieżącej kontroli przeprowadzanej co 12 miesięcy. Kontrola obejmuje aktualność i prawidłowość danych ujętych w rejestrze, w tym w zakresie faktycznego zakresu przetwarzania danych zgodnie z upoważnieniami.
Upoważnienie wydawane jest po uprzednim zapoznaniu pracownika bądź osoby przetwarzającej dane osobowe w przedsiębiorstwie, której upoważnienie ma zostać nadane po odebraniu od niej oświadczenia o poufności. Upoważnienie wydawane jest na okres nie dłuższy niż 24 miesiące i może zostać przez Administratora danych w każdym czasie odwołane. Odwołanie upoważnienia następuje każdorazowo w przypadku, gdy:
Do obowiązków osób upoważnionych do przetwarzania danych osobowych należy:
Administrator danych przetwarza dane wyłącznie w przypadku, gdy spełniony jest co najmniej jeden z poniższych warunków:
Pracownik bądź inna osoba w przedsiębiorstwie posiadający upoważnienie do przetwarzania danych osobowych winna w toku podejmowanych czynności, na bieżąco monitorować czy przetwarzane przez niego dane spełniają ww. kryteria legalności.
W przypadkach, gdy koniecznym jest uzyskanie zgody na przetwarzanie danych osobowych, Administrator danych zapewnia, ażeby osoba udzielająca zgody miała pełną świadomość skutków udzielenia zgody.
Za skutecznie udzielenie zgody na przetwarzanie danych uważa się złożenie oświadczenia o wyrażeniu zgody, które spełnia poniższe kryteria:
Przed uzyskaniem zgody od osoby, której dane dotyczą, Administrator danych informuje, że zgoda może być odwołana w każdym czasie.
Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.
Administrator jest w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania. Administrator danych prowadzi ewidencje udzielonych zgód na przetwarzanie danych osobowych podmiotu. Jeżeli zgoda udzielona została ustnie, celem spełnienia zasady rozliczalności, członek personelu Administratora danych sporządza notatkę służbową wskazującą przez kogo i w jakim zakresie udzielona została zgoda.
Wzór zgody na przetwarzanie danych o sobowych stanowi załącznik do niniejszej Polityki.
Administrator danych uprawniony jest do przetwarzania danych osobowych również wówczas, gdy wynika to z:
Administrator danych szczegółowo określa podstawę przetwarzania przez niego danych osobowych, w tym wskazuje swój uzasadniony interes.
Administrator danych może zlecić innemu podmiotowi przetwarzanie danych osobowych w celu realizacji określonego zadania. W sytuacji powierzenia przetwarzania danych osobowych podmiotowi zewnętrznemu, w umowie powierzenia przetwarzania danych osobowych określa się przede wszystkim cel i zakres przetwarzania danych osobowych
Administrator danych zobowiązany jest do zapewnienia realizacji praw osób, których dane dotyczą, podejmuje w tym celu następujące działania:
Niezależnie od podstawy przetwarzania danych osobowych, osoba, które dane dotyczą uzyskuje stosowne informacje. Treść klauzuli informacyjnej uzależniona jest od sposobu pozyskania danych.
Jeżeli dane pozyskiwane są bezpośrednio od osoby, której dotyczą Administrator danych udziela informacji zgodnie z załącznikiem – Klauzula informacyjna – art. 13 RODO
Jeżeli dane osoby, której dane dotyczą pozyskiwane są od osoby trzeciej, Administrator udziela informacji zgodnie z załącznikiem – Klauzula informacyjna – art. 14 RODO
Administrator może odstąpić od udzielenia informacji objętych klauzulami jeżeli osoba, której dane dotyczą je posiada, a Administrator danych jest w stanie tą okoliczność wykazać.
Odstąpienie od udzielenia informacji wymaga indywidualnej decyzji Administratora danych i zostaje stosownie udokumentowane.
Informacje o przetwarzaniu danych osobowych dotyczących osoby, której dane dotyczą, należy przekazać tej osobie w momencie zbierania danych, a jeżeli danych nie uzyskuje się od osoby, której dane dotyczą, lecz z innego źródła – w rozsądnym terminie, nie dłuższym niż 30 dni.
W przypadku kiedy dane osobowe stosowane są wyłącznie do komunikacji z osobą, której dotyczą w związku z realizacją umowy zawartej z podmiotem trzecim będącym Administratorem danych osoby, 22bit OÜ najpóźniej przy pierwszej takiej komunikacji z osobą, informuje o przetwarzaniu danych oraz udziela stosownych, dalszych informacji.
Administrator danych zapewnia realizację praw osoby, której dane dotyczą poprzez poinformowanie jej o przysługujących prawach i sposobach ich realizacji, na następujących zasadach.
Każda osoba, której dane są przez Administratora danych przetwarzane ma możliwość zgłoszenia żądania:
Żądania określone w pkt 1 – 4 oraz 6, zostają zgłoszone przez osobę uprawnioną w formie pisemnej lub elektronicznej.
Wszelkie zgłoszenia rozpoznane są niezwłocznie, w terminie nie dłuższym niż 30 dni. Jeżeli z przyczyn niezawinionych przez Administratora zachowanie ww. terminu nie jest możliwe, Administrator danych zawiadamia zgłaszającego o planowanym rozpatrzeniu zgłoszenia. Powyższy termin może zostać przedłużony maksymalnie do 3 miesięcy łącznie, z uwagi na skomplikowany charakter żądania lub znaczną liczbę żądań.
Administrator danych informuje również o nieuwzględnieniu żądania i wskazuje podstawy takiej decyzji.
Jeśli zgłaszający przekazał żądanie za pomocą komunikacji drogą elektroniczną, kanał ten zostaje zachowany, chyba że osoba, której dane dotyczą, zażąda innej formy komunikacji.
Każdy pracownik Administratora danych lub inna osoba przetwarzająca dane osobowe w przedsiębiorstwie, posiadająca uprawnienia do przetwarzania danych obowiązana jest na żądanie osoby, której dane dotyczą, do udzielenia informacji o jej prawach i sposobach ich realizacji.
Administrator danych prowadzi dokumentację dotyczącą wniesionych żądań w formie elektronicznej. Dokumentacja obejmuje wszystkie czynności podjęte w ramach postępowania z wniosków osób, których dane dotyczą, a po jego zakończeniu przechowywana jest przez okres 1 roku
Każda osobo, której dane dotyczą ma prawo pozyskania informacji czy Administrator danych przetwarza jej dane osobowe, a jeżeli tak to w jakim zakresie i na jakich zasadach. W celu zapewnienia realizacji przedmiotowego uprawnienia, Administrator danych zapewnia, żeby każda osoba, której dane dotyczą mogła uzyskać informację o przetwarzaniu jej danych poprzez zgłoszenie żądania w tym zakresie.
Zapytanie o przetwarzanie danych może zostać zgłoszone w formie pisemnej lub elektronicznej jednakże jeżeli obejmuje wniosek o udzielenie informacji o celach przetwarzania, kategorii przetwarzanych danych, informacji o odbiorcach danych i innych szczegółowych informacji, lub żądanie udostępnienia kopii danych, Administrator danych poprzedzi odpowiedź, dokonując czynności weryfikacyjnych mających na celu zidentyfikowanie czy otrzymane zgłoszenie zostało przedłożone rzeczywiście przez osobę, której dane dotyczą.
Osoba, której dane dotyczą ma prawo do następujących informacji dotyczących przetwarzania jego danych przez Administratora danych w poniższym zakresie:
Niezależnie od żądania informacyjnego, osoba, której dane są przetwarzane przez Administratora danych ma prawo żądania uzyskania do tych danych bezpośredniego dostępu. Realizacja tego prawa następuje poprzez udostępnienie przez Administratora kopii danych.
Podmiot danych, którego dane osobowe są przetwarzane przez Administratora danych ma prawo weryfikacji aktualności i poprawności przetwarzanych swoich danych osobowych.
Za nieprawidłowe uznawane są takie dane, które odbiegają od danych rzeczywistych, w szczególności wówczas gdy dane:
Podmiot danych wskazuje w żądaniu dane, które są nieprawidłowe podając jednocześnie właściwą wersje danych. Celem weryfikacji, Administrator może zobowiązać Podmiot danych do złożenia stosownego oświadczenia.
Podmiot danych uprawniony jest do żądania sprostowania lub uzupełnienia danych.
Na czas prowadzenia czynności wyjaśniających przez Administratora, Podmiot danych może żądać ograniczenia przetwarzania danych w zakresie objętym wnioskiem.
Podmiot danych, którego dane osobowe są przetwarzane przez Administratora danych:
oraz
ma prawo wniesienia żądania przeniesienia jego danych osobowych.
Spełnienie ww. warunków musi nastąpić łącznie.
Prawo osoby, której dane dotyczą wyraża się:
Dane zostają przekazane w ujednoliconym, powszechnie używanym formacie nadającym się do odczytu maszynowego tj. formie pliku .docx lub wydruku komputerowego, w zależności od formy wystąpienia z żądaniem
Tym samym Administrator danych zapewnia Podmiotowi danych, gwarancje ponownego i pełnego wykorzystania danych osobowych zapisanych w formacie udostępnianego pliku.
Osoba, której dane dotyczą ma prawo zgłosić żądanie ograniczenia przetwarzania danych jego dotyczycących, w przypadku:
Ograniczenie przetwarzania następuje od chwili wniesienia żądania, przez czas konieczny do przeprowadzenia postępowania wyjaśniającego przez Administratora danych.
W czasie ograniczenia przetwarzania danych, Administrator uprawniony jest wyłącznie do ich przechowywania. Pozostałe operacje na danych wymagają zgody osoby, której dane dotyczą. Dopuszczalnym jest jednak przetwarzanie danych w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej.
Administrator ogranicza przetwarzanie danych osobowych poprzez:
Osoba, której dane dotyczą ma prawo zgłosić żądanie usunięcia danych jego dotyczycących, przetwarzanych przez Administratora danych, w następujących sytuacjach:
Dane nie podlegają usunięciu jeżeli ich przetwarzanie jest niezbędne:
Administrator danych jako podmiot działający w sektorze prywatnym ze szczególną uwagą weryfikuje wystąpienie okoliczności ujętych w pkt 2 i 5.
Jeżeli żądanie usunięcia danych dotyczy danych udostępnionych przez Administratora danych podmiotom trzecim, Administrator zawiadamia powyższe podmioty, które przetwarzają takie dane osobowe o usunięciu wszelkich łączy do tych danych, kopii lub powieleń tych kopii.
Osoba, które dane dotyczą ma prawo do wniesienia sprzeciwu dotyczącego przetwarzania danych jego dotyczycących, wyłącznie wówczas gdy:
Prawo do wniesienia sprzeciwu nie jest ograniczone czasowo, Podmiot danym może wnieść sprzeciw w każdym czasie.
Pomimo wniesienia sprzeciwu Administrator danych jest uprawniony ich przetwarzania wyłącznie wówczas, gdy:
Ciężar wykazania, istnienia ważnych prawnie uzasadnionych interesów Administratora danych spoczywa na nim samym.
Administrator danych wdraża odpowiednie środki techniczne, fizyczne i organizacyjne, celem zapewnienia właściwego poziomu bezpieczeństwa przetwarzanych danych osobowych.
W oparciu o przeprowadzoną analizę ryzyka naruszenia praw lub wolności osób związaną z przetwarzaniem danych, uwzgledniającą różny stopień prawdopodobieństwie wystąpienia i wagę zagrożenia, Administrator wprowadził stosowne zabezpieczenia.
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres i cele przetwarzania oraz ww. ryzyko, Administrator danych wprowadził poziomy zabezpieczeń:
Zabezpieczenia tego poziomu obowiązują na wszystkich stanowiskach, na których dochodzi do przewarzania danych, niezależnie od zakresu przetwarzania i częstotliwości.
Poziom standardowy zabezpieczeń obejmuje przetwarzanie danych standardowych oraz danych których ryzyko przetwarzania nie przekracza ustalonego poziomu granicznego.
Każdy pracownik bądź inna osoba przetwarzająca dane osobowe w przedsiębiorstwie upoważniona do ich przetwarzania obowiązana jest stosować następujące zasady:
Przetwarzanie danych odbywa się przy zachowaniu poniższych zasad:
Dane osobowe znajdujące się w obszarach, o których mowa w art. 7 ust. 1 pkt 3 zabezpieczone są przy użyciu następujących środków technicznych:
Udostępnienie danych osobowych w firmie dopuszcza się na podstawie jednej z podstaw prawnych określonych w RODO lub na podstawie przepisów innych ustaw. Administrator danych prowadzi ewidencję udostępniania danych osobowych instytucjom i osobom spoza przedsiębiorstwa.
Przez naruszenie ochrony danych (incydent) należy rozumieć każde zdarzenie skutkujące lub mogące skutkować (naruszenie potencjalne):
Naruszenie może wystąpić na każdym etapie przetwarzania danych, w toku zbierania, utrwalania, przechowywania, opracowywania, zmieniania, udostępniania i usuwania.
Naruszenie może wystąpić w obszarze przetwarzania danych w wersji papierowej jak i w systemie informatycznym.
Każdy pracownik lub inna osoba przetwarzająca dane osobowe w przedsiębiorstwie Administratora danych niezwłocznie po powzięciu informacji lub uzasadnionego podejrzenia o incydencie obowiązana jest:
Administrator danych niezwłocznie po zawiadomieniu podejmuje działania:
Z przebiegu zdarzenia oraz przyjętych środków minimalizujących wystąpienie zdarzenia w przyszłości sporządzana zostaje stosowna dokumentacja. Wnioski w niej ujęte uwzględniane zostają w toku prac aktualizacyjnych nad systemem bezpieczeństwa danych Administratora danych
Administrator danych prowadzi rejestr wszystkich ujawnionych naruszeń ochrony danych, w tym naruszeń nie podlegających notyfikacji lub zawiadomieniu osoby, której dane dotyczą
Każdorazowo w przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator danych zawiadamia organ nadzorczy. Zawiadomienie następuje niezwłocznie, nie później jednak niż w terminie 72 godzin od stwierdzenia naruszenia.
Niezachowanie ww. terminu dopuszczalne jest wyłącznie w drodze wyjątku, w szczególnie uzasadnionych przypadkach. Wówczas zawiadomienie zawiera wyjaśnienie przyczyn opóźnienia.
Obowiązek notyfikacji nie dotyczy naruszenia ochrony danych jeżeli prawdopodobieństwo, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych jest znikome. Decyzję w tym zakresie podejmuje Administrator danych
Wzór formularza zawiadomienie zawarty stanowi załącznik do niniejszej Polityki – Zawiadomienie o naruszeniu.
Wzór formularza zawiadomienie stanowi załącznik do niniejszej Polityki - Zawiadomienie o naruszeniu
Przedmiotowa Polityka Bezpieczeństwa Ochrony Danych Osobowych stanowi dokument wewnętrzny Administratora danych, z którego treścią zapoznani zostają wszyscy pracownicy Administratora danych
Nie może ona zostać udostępniona osobom nieupoważnionym, chyba, że jest to konieczne dla realizacji obowiązków Administratora danych wynikających z przepisów prawa lub w celu realizacji umowy. Każdorazowa decyzja o udostępnieniu Polityki lub wyciągu z niej poprzedzona zgodą Administratora udzieloną na piśmie.
Każdy z pracowników Administratora danych zobowiązany jest złożyć oświadczenie o tym, iż został zapoznany z obowiązującymi przepisami oraz przyjętymi regulacjami znajdującymi się w niniejszej Polityce, a także o zobowiązaniu się do ich przestrzegania.
W sprawach nieuregulowanych w przyjętej Polityce i dokumentacji wewnętrznej Administratora danych z zakresu bezpieczeństwa danych zastosowanie mają przepisy RODO oraz krajowych aktów prawa powszechnie obowiązującego.