Polityka ochrony danych osobowych

______________________________

POLITYKA OCHRONY
DANYCH OSOBOWYCH

______________________________

 

 

Administrator Danych Osobowych:

[Sklep internetowy Strefa Budowy należący do F.H.U.P. EURO-PROFIL 2 Tomasz Zakrzewski ul. Zielona 28, 64-000 Pelikan]

 

Obowiązuje od:

[01.09.2020]

 

 

 

§ 1 – Definicje

Poniższym pojęciom występującym w niniejszej dokumentacji nadano znaczenie zgodne z definicjami zawartymi w niniejszym paragrafie:

  1. Administrator Danych Osobowych, Administrator lub ADO – [F.H.U.P. EURO-PROFIL 2 Tomasz Zakrzewski, ul. Zielona 28, 64-000 Pelikan NIP 7651554826 REGON: 321317777]

  2. Analiza ryzyka – Analiza ryzyka związanego z przetwarzaniem danych przez ADO, przeprowadzona zgodnie z art. 32 ust. 2 RODO;

  3. Dane dzieci – dane osobowe osób, które nie ukończyły 16 roku życia;

  4. Dane wrażliwe – dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczących zdrowia, seksualności lub orientacji seksualnej osoby, a także dane osobowe dotyczące wyroków skazujących i naruszeń prawa lub powiązanych środków bezpieczeństwa;

  5. IOD lub Inspektor Ochrony Danych Osobowych – Inspektor Ochrony Danych w rozumieniu przepisów Rozporządzenia;

  6. Obszar przetwarzania budynki, pomieszczenia lub części pomieszczeń, w których przetwarzane są dane osobowe, w szczególności siedziba ADO;

  7. Organ nadzorczy – organ nadzorczy w rozumieniu przepisów RODO, w szczególności polski Urząd Ochrony Danych Osobowych;

  8. Osoba upoważniona – pracownik lub współpracownik ADO, który został upoważniony do przetwarzania danych osobowych;

  9. Polityka – niniejsza polityka ochrony danych osobowych;

  10. Procesor – podmiot przetwarzający w rozumieniu Rozporządzenia, któremu ADO powierzył przetwarzanie danych osobowych;

  11. Rejestr czynności przetwarzania – rejestr czynności przetwarzania danych osobowych, o którym mowa w art. 30 ust. 1 RODO;

  12. Rozporządzenie lub RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – czyli ogólne rozporządzenie o ochronie danych;

  13. Ustawa – polska ustawa o ochronie danych osobowych wraz z właściwymi przepisami wykonawczymi wydanymi na jej podstawie.

§ 2 – Postanowienia Ogólne

  1. Niniejsza dokumentacja stanowi wykaz środków technicznych i organizacyjnych podjętych przez Administratora Danych Osobowych, aby przetwarzanie odbywało się zgodnie z RODO.

  2. W celu zapewnienia najwyższych standardów ochrony danych osobowych przetwarzanych Administrator w szczególności:

    1. przeprowadził Analizę ryzyka;

    2. opracował i wdrożył Politykę;

    3. prowadzi Rejestr czynności przetwarzania;

    4. nadaje i cofa upoważnienia do przetwarzania danych osobowych wszystkim osobom mającym mieć dostęp do przetwarzanych danych osobowych lub mającym przetwarzać dane osobowe – z tym zastrzeżeniem, że Administrator może odstąpić od pisemnego dokumentu upoważnienia w przypadku podmiotów, z którymi zawierana jest umowa powierzenia;

    5. prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych;

    6. w przypadku powierzenia przetwarzania danych osobowych – zawiera stosowne umowy powierzenia.

  3. Administrator nie występuje w charakterze podmiotu przetwarzającego i nie przyjmuje danych do przetwarzania w imieniu innych administratorów.

  4. Działalność Administratora, będącego podmiotem prywatnym, polega przede wszystkim na [Aktywna sprzedaż materiałów budowlanych, pokryć dachowych, usługi cięcia, gięcia i profilowania blach].

  5. Administrator nie prowadzi działalności regulowanej, w tym działalności wymagającej zezwoleń, licencji czy koncesji.

  6. W ramach swojej działalności Administrator nie przetwarza danych osobowych w sposób, który wymagałby przeprowadzenia oceny skutków przetwarzania w rozumieniu przepisów Rozporządzenia.

 

§ 3 – Inspektor Ochrony Danych Osobowych

  1. Przepisy prawa powszechnie obowiązującego w Polsce, w tym przepisy prawa Unii Europejskiej, nie wymagają wyznaczenia przez ADO Inspektora Ochrony Danych. Oznacza to w szczególności, że:

  1. ADO nie jest organem lub podmiotem publicznym;

  2. główna działalność ADO nie polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;

  3. główna działalność ADO nie polega na przetwarzaniu na dużą skalę Danych wrażliwych.

  1. W ramach swojej działalności ADO może wprawdzie przetwarzać Dane wrażliwe w odniesieniu do swoich pracowników, jednakże będzie to czynił jedynie w tym zakresie, w jakim jest do tego zobowiązany przez przepisy prawa powszechnie obowiązującego. Przetwarzanie Danych wrażliwych nie stanowi więc głównej działalności ADO.

  2. Administrator odstępuje od dobrowolnego powołania Inspektora Ochrony Danych Osobowych.

 

§ 4 – Zasady Ochrony Danych Osobowych

  1. Administrator Danych Osobowych przetwarza dane osobowe mając przede wszystkim na celu ochronę danych osobowych oraz poszanowanie praw i wolności osób, których dane osobowe dotyczą, w szczególności stosuje następujące zasady:

    1. zasadę legalności, zgodnie z którą dane przetwarzane są wyłącznie zgodnie z prawem, w oparciu o właściwą podstawę prawną wynikającą z RODO;

    2. zasadę celowości, zgodnie z którą dane przetwarzane są wyłącznie w celu, w jakim zostały prawidłowo zebrane;

    3. zasadę adekwatności, zgodnie z którą przetwarzane są wyłącznie dane niezbędne do spełnienia celu przetwarzania;

    4. zasadę merytorycznej poprawności, zgodnie z którą przetwarzane są w szczególności dane zgodne ze stanem faktycznym;

    5. zasadę rozliczalności, zgodnie z którą dane przetwarzane są w sposób umożliwiający wykazanie zgodności przetwarzania z prawem;

    6. zasadę przejrzystego przetwarzania, zgodnie z którą dane przetwarzane są w sposób transparentny dla osób, których dane dotyczą.

  1. ADO stale monitoruje przestrzeganie zasad przetwarzania danych osobowych.

 

 

§ 5 – Środki techniczne i organizacyjne

  1. Administrator Danych Osobowych stosuje następujące środki techniczne mające na celu zapewnienie prawidłowego przetwarzania danych osobowych, w szczególności zapewnienie poufności, dostępności, integralności i rozliczalności przetwarzanych danych:

    1. wszystkie pomieszczenia, w których przetwarzane są dane osobowe, są zabezpieczone przy użyciu drzwi zamykanych na klucz lub inny rodzaj zamka, co zapewnia dostęp do pomieszczenia tylko osobom wyposażonym w klucz lub właściwe urządzenia lub informacje dostępowe;

    2. dane osobowe zapisane na trwałych nośnikach, a w szczególności na papierze, przechowuje się wyłącznie w zamkniętych pomieszczeniach, w sposób uniemożliwiający zapoznanie się z nimi przez osoby niepowołane (w szczególności w szafkach zamykanych na klucz);

    3. dokumenty i nośniki zawierające dane osobowe niszczone są w sposób uniemożliwiający ich odtworzenie, w szczególności przy użyciu dedykowanych do tego niszczarek, spełniających właściwe normy bezpieczeństwa;

    4. dla każdego użytkownika systemów teleinformatycznych służących do przetwarzania danych osobowych rejestrowany jest odrębny login (identyfikator);

    5. dostęp do urządzeń teleinformatycznych służących do przetwarzania danych osobowych (w szczególności komputerów osobistych, smartfonów, tabletów) zabezpieczony jest przy użyciu loginu (identyfikatora) i hasła;

    6. wszelkie urządzenia teleinformatyczne służące przetwarzaniu danych osobowych, które mogą być wynoszone poza Obszar przetwarzania (np. komputery przenośne, smartfony, tablety) są szyfrowane i zabezpieczone w sposób uniemożliwiający dostęp do danych w przypadku zgubienia tych urządzeń ;

    7. urządzenia teleinformatyczne posiadają zainstalowane aktualne oprogramowanie antywirusowe, a systemy i oprogramowanie są na bieżąco aktualizowane – celem zabezpieczenia przed nieuprawnionym dostępem przy użyciu oprogramowania szpiegującego;

    8. dostęp zdalny do systemów informatycznych realizowany jest przy użyciu połączeń szyfrowanych (VPN, SSH);

    9. serwery oraz stacje robocze, na których przetwarzane są dane osobowe, wyposażone są w urządzenia podtrzymujące zasilanie, np. zasilacze UPS lub sprawne baterie;

    10. na monitorach urządzeń używanych do pracy zastosowane są filtry prywatyzujące, które uniemożliwiają lub znacznie utrudniają osobom postronnym zapoznanie się z treścią znajdującą się na monitorze – treść ta jest dobrze widoczna jedynie dla osoby siedzącej dokładnie naprzeciwko ekranu. W ten sposób minimalizowane jest ryzyko uzyskania dostępu do danych osobowych wyświetlanych na monitorze przez osoby niepowołane;

    11. stosowane są funkcje systemowe blokujące dostęp do systemu po czasie bezczynności nie dłuższym niż 5 minut (np. wygaszacze ekranu zabezpieczone hasłem);

    12. wszystkie sieci Wi-Fi oraz gniazdka Ethernet zabezpieczone są przed dostępem osób nieupoważnionych.

  2. ADO stosuje w szczególności następujące środki w celu zabezpieczenia miejsca przetwarzania danych osobowych:

    1. alarm;

    2. monitoring;

    3. drzwi zamykane na klucz;

    4. drzwi antywłamaniowe;

    5. zamki atestowane – antywłamaniowe;

    6. zamki/zabezpieczenia biometryczne;

    7. wzmocnione ściany;

    8. strefy ograniczonego dostępu;

    9. ochrona;

    10. gaśnica;

 

  1. Administrator Danych Osobowych stosuje następujące środki organizacyjne mające na celu zapewnienie poufności, integralności i rozliczalności przetwarzanych danych:

    1. została opracowana i wdrożona Polityka;

    2. administrator stosuje tzw. politykę czystego biurka i czystej drukarki, zgodnie z którą na biurkach i urządzeniach (w szczególności drukarkach i kopiarkach) nie powinny znajdować się nieużywane lub pozostawione bez właściwego nadzoru osoby upoważnionej do przetwarzania danych osobowych dokumenty i nośniki zawierające dane osobowe;

    3. stosowana jest polityka bezpiecznych haseł;

    4. dane osobowe przetwarzane są wyłącznie przez osoby posiadające właściwe upoważnienia nadane przez ADO lub osoby, którym powierzono przetwarzanie danych;

    5. Osoby upoważnione zostały przeszkolone z zasad ochrony danych osobowych oraz prawidłowego stosowania Polityki i przepisów RODO oraz Ustawy;

    6. prowadzona jest ewidencja osób upoważnionych;

    7. każda Osoba upoważniona posiada własne dane uwierzytelniające pozwalające jej uzyskać dostęp do danych (login, hasło);

    8. przetwarzanie danych osobowych odbywa się w warunkach zabezpieczających te dane przed dostępem osób nieupoważnionych i ich kompromitacją;

    9. osoby nieupoważnione mogą przebywać w Obszarze przetwarzania danych osobowych jedynie w obecności Osób upoważnionych, dbających o zapewnienie bezpieczeństwa przetwarzanych danych osobowych;

    10. zabrania się wynoszenia danych osobowych poza Obszar przetwarzania bez zgody ADO oraz bez zapewnienia odpowiednich i zgodnych z Polityką warunków bezpieczeństwa przetwarzania danych osobowych, jakie obowiązują w Obszarze przetwarzania, w szczególności zabronione jest wynoszenie danych zapisanych na nośnikach nieszyfrowanych;

    11. zachowuje się szczególną ostrożność podczas transportu, przechowywania i użytkowania nośników zawierających dane osobowe.

  2. Polityka bezpiecznych haseł polega w szczególności na zapewnieniu, że:

    1. hasła do systemów, w których przetwarzane są dane osobowe, powinny składać się co najmniej z 8 znaków;

    2. hasło powinno zawierać:

      1. co najmniej jedną wielką literę;

      2. co najmniej jedną małą literę;

oraz

      1. co najmniej jedną cyfrę;

    1. hasło nie może się składać ze słów/zwrotów bezpośrednio powiązanych z:

      1. użytkownikiem, np. nie powinno zawierać jego imienia, nazwiska, loginu, daty urodzenia, itp.;

      2. aktualną porą roku czy datą, np. nie powinno zawierać oznaczeń miesiąca, którego dotyczy;

      3. systemem do którego zapewnia dostęp, np. hasło do bazy danych MySQL nie może zawierać w sobie nazwy bazy, typu bazy, czy słów takich jak: „baza”, „db”, „data”, „database”.

    2. hasło nie powinno być w żaden sposób utrwalane przez Użytkownika, w szczególności nie może być zapisywane na kartkach znajdujących się w pobliżu stanowiska pracy (zabronione jest umieszczanie haseł na monitorze czy pod klawiaturą);

    3. hasło nie może być udostępniane osobom trzecim;

    4. powinny być stosowane różne hasła do różnych systemów;

    5. dozwolone jest stosowanie oprogramowania do zarządzania hasłami.

  1. Nośniki danych osobowych (takie jak komputery, dyski twarde, smartfony, urządzenia typu pendrive, itp.) przechowuje się w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym, jak i zabezpieczający je przed uszkodzeniem powodowanym oddziaływaniem czynników zewnętrznych, w szczególności stosując zabezpieczenia wskazane w niniejszej Polityce.

  2. ADO stosuję następującą politykę tworzenia kopii zapasowych oraz ich przechowywania:

    1. kopie zapasowe danych osobowych wykonuje się cyklicznie, w zależności od przyrostu danych objętych kopią;

    2. osoba sporządzająca kopie zapasowe jest zobowiązana do ich oznaczenia oraz sprawdzenia spójności danych i możliwości ich ponownego odtworzenia;

    3. kopie zapasowe danych osobowych w wersji elektronicznej mogą być przechowywane na zewnętrznym nośniku danych, w szczególności w sposób zapewniający ich zabezpieczenie przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem, w tym przed oddziaływaniem czynników zewnętrznych, np. w sejfie lub przez podmiot zewnętrzny, któremu powierzono przetwarzanie danych osobowych;

    4. kopie zapasowe przechowuje się przez okres konieczny do zapewnienia właściwego zabezpieczania przetwarzanych danych, każdorazowo określany przez ADO indywidualnie w zależności od charakteru kopii, z uwzględnieniem właściwych przepisów prawa, np. w zakresie przechowywania dokumentów księgowych;

    5. po upływie okresu przechowywania kopie zapasowe są trwale niszczone lub anonimizowane.

 

§ 6 – Rejestr czynności przetwarzania

  1. ADO prowadzi Rejestr czynności przetwarzania w celu zapewnienia odpowiednich standardów ochrony danych osobowych, a także w celu doprecyzowania i uporządkowania przetwarzanych danych.

  2. ADO prowadzi Rejestr czynności przetwarzania, w którym wyróżnia takie kategorie jak: kategorie osób, których dane są przetwarzane, kategorie przetwarzanych danych, cel przetwarzania danych, kategorie odbiorców, którym dane są lub będą ujawnione, a także planowane terminy usunięcia kategorii przetwarzanych danych. Rejestr czynności przetwarzania umożliwia ADO sprawowanie należytej kontroli nad przetwarzanymi danymi.

  3. ADO udostępnia Rejestr czynności przetwarzania na żądanie Organu nadzorczego.

 

§ 7 – Rejestr kategorii czynności przetwarzania

  1. Administrator nie występuje jako podmiot przetwarzający i nie prowadzi rejestru kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO.

 

§ 8 – Privacy by design / Privacy by default

  1. Wszelkie projekty i rozwiązania prowadzone przez ADO są projektowane z uwzględnieniem przepisów RODO.

  2. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, ADO wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą.

  3. ADO wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. ADO wypełnia obowiązek w odniesieniu do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji dane osoby nieokreślonej liczbie osób fizycznych.

§ 9 – Osoby upoważnione

  1. ADO zapewnia regularne szkolenie Osób upoważnionych w zakresie ochrony danych osobowych.

  2. Szkolenie Osób upoważnionych może odbywać się w szczególności:

    1. w trybie samoszkolenia – poprzez zobowiązanie Osoby uprawnionej do stałego podnoszenia kwalifikacji zawodowych;

    2. w ramach szkoleń wewnętrznych organizowanych przez ADO;

    3. poprzez bieżące przekazywanie przez ADO Osobom upoważnionym najważniejszych informacji związanych z ochroną danych osobowych;

    4. poprzez zapewnienie możliwości uczestnictwa w szkoleniach, warsztatach, webinarach i innych kursach organizowanych przez podmioty zewnętrzne.

  3. Na stanowiskach z dostępem do danych osobowych nie następuje częsta rotacja. Takie rozwiązanie pozwala na zachowanie należytych standardów w zakresie ochrony danych przetwarzanych w Przedsiębiorstwie ADO.

  4. Osoby mające dostęp do danych osobowych nie są uprawnione do przechowywania takich danych na prywatnych urządzeniach. Prowadzi to do zwiększenia poziomu bezpieczeństwa danych osobowych i wyklucza ryzyko niestosowania odpowiednich środków zabezpieczających w urządzeniach prywatnych, a także utraty urządzenia prywatnego z dostępem do danych osobowych, co wpływa na zminimalizowanie zagrożenia.

  5. Osoby mające dostęp do danych osobowych otrzymują od Administratora stosowne upoważnienia.

  6. Uprawnienia do przetwarzania danych osobowych w postaci pisemnego upoważnienia nadaje się według następującej procedury:

  1. upoważnienia do przetwarzania danych osobowych nadaje ADO;

  2. przed nadaniem upoważnienia do przetwarzania danych osobowych ADO zapoznaje osobę upoważnianą z zasadami przetwarzania danych osobowych;

  3. osoba posiadająca upoważnienie do przetwarzania danych osobowych podpisuje oświadczenie o zachowaniu poufności danych osobowych do których ma dostęp;

  4. upoważnienie rejestrowane jest przez ADO, niezwłocznie po jego nadaniu, ponadto ADO odnotowuje w rejestrze upoważnień fakt cofnięcia upoważnienia.

 

§ 10 – Powierzenie przetwarzania danych osobowych

    1. Dane osobowe mogą być powierzone do przetwarzania Procesorowi.

    2. W przypadku potrzeby powierzenia przetwarzania danych osobowych Procesorowi, ADO:

    1. wybierze tylko takie podmioty, które zapewniają gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, tak by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą;

    2. powierzy przetwarzanie na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego.

    1. Umowa lub instrument prawny powinny zawierać co najmniej elementy wymagane przez RODO.

§ 11 – Żądania osoby, której dane dotyczą

  1. W przypadku gdy osoba, której dane dotyczą, zgłosi do ADO żądanie dotyczące:

a. dostępu do treści swoich danych osobowych,

b. sprostowania swoich danych osobowych,

c. usunięcia swoich danych osobowych,

d. ograniczenia przetwarzania swoich danych,

e. wniesienia sprzeciwu wobec przetwarzania swoich danych,

f. przeniesienia swoich danych osobowych,

- żądanie to będzie podlegało weryfikacji przez Osobę upoważnioną.

  1. Weryfikacja uwzględnia przede wszystkim dążenie do uzyskania niebudzącej wątpliwości informacji o tym, że:

  1. żądanie pochodzi od osoby, której dane dotyczą;

  2. zachodzą określone w prawie przesłanki, uzasadniające spełnienie żądania.

  1. Osoba upoważniona może w szczególności sprawdzić, czy żądanie zostało wysłane z adresu e-mail przypisanego do konta danego użytkownika w usługach ADO.

  2. W przypadku, gdy weryfikacja tożsamości osoby występującej z żądaniem nie przyniesie rezultatu w postaci uzyskania wiarygodnej informacji o tym, że żądanie pochodzi od osoby, której dane dotyczą, lub Osoba upoważniona poweźmie uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, Osoba upoważniona zwróci się z prośbą do osoby, której dane dotyczą, o przedstawienie dowodów na potwierdzenie swojej tożsamości, z uwzględnieniem rodzaju żądania tej osoby i skutków, jakie może pociągnąć za sobą spełnienie tego żądania.

  3. W przypadku, gdy osoba zgłaszająca żądanie nie przedstawi dowodów na potwierdzenie swojej tożsamości, lub dowody te nie uwiarygadniają tożsamości tej osoby, Osoba upoważniona odmawia realizacji żądania, informując o tym osobę zgłaszającą żądanie, wskazując podstawę odmowy.

  4. Osoba upoważniona wykonuje swoje obowiązki wynikające z niniejszego paragrafu w sposób pozwalający na wykazanie ich spełnienia, np. poprzez wiadomości e-mail wysłane do osoby, której dane dotyczą.

  5. Udzielenie informacji o działaniach podjętych w związku z żądaniem osoby, której dane dotyczą:

    1. następuje bez zbędnej zwłoki, jednak nie później niż w ciągu 1 miesiąca od otrzymania tego żądania;

    2. dotyczy zarówno spełnienia żądania, jak i odmowy jego spełnienia;

    3. jest wolne od opłat.

  6. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.

  7. W przypadku, gdyby Osoba upoważniona nie podjęła działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie, jednak nie później niż w terminie miesiąca od otrzymania żądania, informuje osobę, której dane dotyczą, o:

    1. powodach niepodjęcia działań;

    2. możliwości wniesienia skargi do organu nadzorczego;

    3. możliwości skorzystania ze środków ochrony prawnej przed sądem.

  8. W przypadku zgłoszenia przez osobę, której dane dotyczą, żądania o skomplikowanym charakterze lub w przypadku zgłoszenia żądań w liczbie powodującej trudności z ich rozpoznaniem w terminie miesiąca od otrzymania, Osoba upoważniona uprawniona jest do przedłużenia terminu na udzielenie informacji osobie, której dane dotyczą, maksymalnie o 2 miesiące. W takim przypadku, w ciągu miesiąca od otrzymania żądania, Osoba upoważniona poinformuje osobę, której dane dotyczą, o przedłużeniu terminu i o jego przyczynach.

  9. W przypadku zgłoszenia przez osobę, której dane dotyczą, żądań ewidentnie nieuzasadnionych lub nadmiernych, w szczególności ze względu na swój ustawiczny charakter, Osoba upoważniona może:

    1. pobrać od osoby, której dane dotyczą, rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań;

    2. odmówić podjęcia działań w związku z żądaniem.

  10. Osoba upoważniona podejmuje powyższe decyzje z uwzględnieniem faktu, że spoczywa na niej obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter.

 

§ 12 – Zgłaszanie naruszeń

1. W przypadku naruszenia ochrony danych osobowych, ADO bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je odpowiedniemu Organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

2. Zgłoszenie spełnia wymogi określone w RODO.

Do zgłoszenia przekazanego Organowi nadzorczemu po upływie 72 godzin ADO dołącza wyjaśnienie przyczyn opóźnienia.

3. Administrator dokumentuje wszelkie przypadki naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.

4. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ADO bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu, na warunkach wskazanych w RODO, chyba że:

  1. ADO wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;

  2. ADO zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;

  3. zawiadomienie wymagałoby niewspółmiernie dużego wysiłku - w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

1. ADO prowadzi rejestr naruszeń ochrony danych osobowych.

 

§ 13 – Postanowienia końcowe

  1. Niniejsze zasady powinny być przestrzegane przez ADO oraz Osoby upoważnione do przetwarzania danych.

  2. ADO przeprowadza cykliczną (nie rzadziej niż raz na dwa lata), wewnętrzną weryfikację zgodności Polityki, a w szczególności zawartych w niej procedur, z aktualnymi praktykami rynkowymi w zakresie ochrony danych osobowych, w szczególności analizuje Politykę pod kątem poprawienia bezpieczeństwa przetwarzanych danych w związku z aktualnym stanem techniki i zasadnością wprowadzenia takich działań.

  3. Integralną część niniejszej dokumentacji stanowią Rozporządzenie oraz Ustawa, wraz z załącznikami – w aktualnym brzmieniu.

do góry
Sklep jest w trybie podglądu
Pokaż pełną wersję strony
Sklep internetowy Shoper.pl