Polityka RODO

Polityka RODO w podmiocie „Słoneczna Polana” Sp. z o.o.

I. Preambuła

1. Niniejsza Polityka RODO wraz z procedurami i instrukcjami RODO została opracowana w celu zapewnienia stosowania RODO w Podmiocie i stanowi podstawowy i nadrzędny zbiór dokumentów opisujący sposób realizacji obowiązków Podmiotu wynikających z RODO.

2. Niniejsza Polityka RODO obowiązuje wszystkie osoby przetwarzające dane osobowe w Podmiocie, niezależnie od formy współpracy z Podmiotem: pracowników, zleceniobiorców, stażystów, wolontariuszy, innych oraz niezależnie od posiadania upoważnienia do przetwarzania danych osobowych.

3. W przypadku niedającego się pogodzić zbiegu przepisów niniejszej Polityki z innymi przepisami wewnętrznymi w Podmiocie, pierwszeństwo znajdują przepisy Polityki RODO.

4. Regulacje dotyczące niniejszej Polityki RODO, w szczególności jej nadrzędność wobec innych przepisów wewnętrznych, dotyczą na równi procedur i instrukcji RODO.

II. Definicje stosowane w Polityce RODO

1. Ilekroć w Polityce RODO stosuje się poniższe określenia, nadaje się im następujące znaczenie:

 

Lp. Określenie Znaczenie

1 Administrator Administrator danych osobowych w rozumieniu RODO, tj. podmiot, który ustala cele i sposoby przetwarzania danych osobowych

2 Dane osobowe Wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer PESEL, adres zamieszkania, adres korespondencyjny lub jeden bądź kilka szczególnych czynników określających fizyczne, fizjologiczne, genetyczne, psychiczne, ekonomiczne, kulturowe lub społeczne tożsamość osoby fizycznej

3 Dane Osobowe dane osobowe, których Administratorem jest Podmiot

4 DPIA/Ocena Tak zwana DPIA, czyli ocena skutków dla ochrony danych osobowych w rozumieniu RODO

Skutków dla

Ochrony Danych

5 Incydent Naruszenie lub podejrzenie naruszenia bezpieczeństwa danych osobowych

Bezpieczeństwa

Danych

6 IOD Inspektor Ochrony Danych

7 Kierownik Każdy Pracownik na stanowisku kierowniczym, menedżerskim lub dyrektorskim lub stojący na czele wewnętrznej komórki organizacyjnej Podmiotu, odpowiedzialna za realizację lub organizację pracy tej komórki wewnętrznej

8 Komórka Komórka wewnętrzna Podmiotu, za której działania odpowiada Kierownik, np. dział marketingu, dział sprzedaży, dział HR

organizacyjna

9 Obowiązki RODO Obowiązki wynikające z RODO, Polityki RODO, procedur lub instrukcji RODO lub innych regulacji wewnętrznie obowiązujących w Podmiocie dotyczących przetwarzania lub ochrony Danych Osobowych

10 Ocena Skutków dla Tak zwana DPIA, czyli ocena skutków dla ochrony danych osobowych w rozumieniu RODO

Ochrony

Danych/DPIA

11 Osoba Osoba upoważniona przez Podmiot do przetwarzania Danych Osobowych w Podmiocie: pracownik, zleceniobiorca, stażysta, wolontariusz, jeżeli wykonuje pracę lub zadania z ramienia Podmiotu

Upoważniona

12 Podmiot ul. Kwiatowa 1, 00-000 Warszawa

13 Prawa RODO Prawa osób, których Dane Osobowe dotyczą, przysługujące im na gruncie RODO, tj. prawo do informacji, prawo dostępu do informacji, prawo do otrzymania kopii Danych Osobowych, prawo do przenoszenia Danych Osobowych, prawo do sprostowania Danych Osobowych, prawo do ograniczenia przetwarzania Danych Osobowych, prawo do sprzeciwu, prawo do cofnięcia zgody na przetwarzanie Danych Osobowych, prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji (art. 13-22 RODO)

14 Prawo autorskie Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych

(Dz.U. z 2021 r. poz. 1062)

15 Przetwarzanie Operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych, np. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie

16 Przetwarzający Podmiot przetwarzający dane osobowe w imieniu i na rzecz Administratora

17 PUODO Prezes Urzędu Ochrony Danych Osobowych – organ nadzorczy w Polsce właściwy w sprawach ochrony danych osobowych

18 RODO Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

(Dz. Urz. UE L 119 z 04.05.2016, str. 1)

19 Specjalista RODO Osoba dedykowana w Podmiocie do realizacji zadań Podmiotu dotyczących Danych Osobowych, niezastrzeżonych do kompetencji IOD

20 Ustawa o ochronie Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych

 

2. Pojęcia występujące w RODO mają znaczenie zgodne z RODO, chyba że coś innego wynika z tabeli zawartej powyżej.

III. Postanowienia ogólne

1. Politykę RODO stosuje się do wszystkich:

1) Danych Osobowych,

2) Danych Osobowych, wobec których Podmiot jest Przetwarzającym,

3) osób przetwarzających Dane Osobowe w Podmiocie,

4) osób posiadających dostęp do Danych Osobowych w Podmiocie,

5) czynności przetwarzania Danych Osobowych,

6) kopii i nośników Danych Osobowych.

2. Każda osoba rozpoczynająca pracę w Podmiocie, niezależnie od formy zatrudnienia, składa pisemne zobowiązanie do zachowania w tajemnicy Danych Osobowych oraz sposobów ich przetwarzania, o których dowiedziała się w związku z wykonywaniem swoich obowiązków, niezależnie od tego, czy została upoważniona do przetwarzania Danych Osobowych i czy jest uprawniona do posiadania tych informacji. Oświadczenia przechowuje się w teczkach osobowych pracowników, a oświadczenia osób współpracujących w oparciu o inną podstawę – wraz z umową o współpracy.

3. Wzór oświadczenia stanowi załącznik nr 1 do Polityki.

4. Zakazane jest przetwarzanie Danych Osobowych, w tym realizacja dostępu do Danych Osobowych, bez otrzymania uprzedniego upoważnienia Podmiotu oraz polecenia przetwarzania.

5. Każda osoba posiadająca dostęp do Danych Osobowych ma obowiązek upewnić się, że posiada stosowne upoważnienie i że przetwarzanie Danych Osobowych jest wynikiem polecenia ich przetwarzania. Każda osoba nieposiadająca upoważnienia do przetwarzania Danych Osobowych, a posiadająca choćby potencjalny dostęp do Danych Osobowych, jest obowiązana niezwłocznie poinformować o tym swojego Kierownika.

6. Podmiot powołuje IOD w celu zapewnienia realizacji zadań IOD określonych w RODO, posiadającego odpowiednią wiedzę fachową i kwalifikacje zawodowe w zakresie RODO i ochrony danych osobowych, pozwalające na kompleksowe wsparcie Podmiotu we właściwej realizacji obowiązków RODO. W tym celu Podmiot wdrożył Instrukcję pełnienia funkcji IOD i Specjalisty RODO.

7. Podmiot powołuje Specjalistę RODO posiadającego odpowiednią wiedzę i kwalifikacje niezbędne do bieżącej realizacji zadań Podmiotu w celu spełniania obowiązków RODO, bieżącego wsparcia wszystkich osób przetwarzających Dane Osobowe przy realizacji obowiązków nałożonych przez RODO oraz na wsparcie IOD-a w bieżących czynnościach związanych z przetwarzaniem Danych Osobowych.

8. Podmiot zamieszcza informację o Janie Kowalskim wraz z numerem telefonu 123 456 789 do IOD oraz do Specjalisty RODO w siedzibie firmy/na stronie internetowej/w intranecie.

9. Podmiot zapewnia odpowiednie szkolenia cykliczne z zakresu RODO wszystkim Osobom Upoważnionym przetwarzającym Dane Osobowe. Specjalista RODO prowadzi rejestr szkoleń RODO. W tym celu Podmiot wdrożył Instrukcję RODO dotyczącą pełnienia funkcji IOD/Specjalisty RODO w Podmiocie.

10. Podmiot zapewnia odpowiednią ochronę Danych Osobowych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych, z uwzględnieniem ryzyka naruszenia praw lub wolności osób fizycznych oraz wyniku przeprowadzonej Oceny Skutków dla Ochrony Danych. W tym celu Podmiot wdrożył Procedurę RODO dotyczącą Oceny Skutków dla Ochrony Danych.

11. Podmiot zapewnia właściwe podstawy prawne przetwarzania Danych Osobowych oraz realizuje obowiązki informacyjne z poszanowaniem zasady transparentności wobec osób, których Dane Osobowe dotyczą. W tym celu Podmiot wdrożył Procedurę RODO dotyczącą przetwarzania Danych Osobowych.

12. Podmiot weryfikuje Przetwarzających przed umożliwieniem im dostępu do Danych Osobowych i zawiera umowy powierzania przetwarzania danych osobowych (art. 28 RODO) wyłącznie z Przetwarzającymi, którzy dają gwarancję odpowiedniej ochrony powierzonych Danych Osobowych zgodnie z RODO. W tym celu Podmiot wdrożył Procedurę RODO dotyczącą powierzania przetwarzania Danych Osobowych.

13. Podmiot zapewnia właściwą realizację praw osób, których Dane Osobowe dotyczą oraz pomaga osobom w dochodzeniu swoich praw wobec Podmiotu. W tym celu Podmiot wdrożył Procedurę RODO dotyczącą realizacji praw osób, których Dane Osobowe dotyczą.

14. Podmiot wdraża odpowiednie procedury zarządzania Incydentami Bezpieczeństwa Danych w celu zapewnienia jak najlepszej ochrony Danych Osobowych po zaistnieniu Incydentu i odwrócenia jego negatywnych skutków, realizacji obowiązku informowania PUODO oraz osób, których Dane Osobowe dotyczą. W tym celu Podmiot wdrożył Procedurę RODO dotyczącą zarządzania Incydentami Bezpieczeństwa Danych Osobowych.

IV. Zasada rozliczalności

1. Wszystkie czynności podejmowane w celu realizacji niniejszej Procedury RODO lub inne czynności podejmowane w zakresie dotyczącym przetwarzania lub ochrony Danych Osobowych w Podmiocie muszą być należycie dokumentowane przez osoby te czynności podejmujące, tak, aby Podmiot mógł wykazać przestrzeganie RODO zgodnie z zasadą rozliczalności.

2. Zasada rozliczalności oznacza, że Podmiot jest odpowiedzialny za przestrzeganie przepisów RODO i musi być w stanie wykazać ich przestrzeganie.

V. Odpowiedzialność za przestrzeganie RODO w Podmiocie

1. Podstawowe obowiązki RODO Podmiotu to:

1) zapewnienie bezpieczeństwa danych osobowych, tj. zapewnienie, że dane osobowe nie będą dostępne dla osób nieuprawnionych do ich przetwarzania,

2) dokonywanie oceny skutków dla ochrony danych,

3) informowanie o naruszeniach bezpieczeństwa danych osobowych organu nadzoru oraz osób, których dane osobowe dotyczą,

4) zapewnienie podstawy prawnej do przetwarzania danych osobowych,

5) zapewnienie podstawy prawnej do profilowania oraz zautomatyzowanego podejmowania decyzji w indywidualnych sprawach,

6) realizacja zasady minimalizacji danych oraz ograniczenia celu,

7) realizacja zasady ograniczenia przetwarzania,

8) spełnianie obowiązków informacyjnych wobec osób, których dane osobowe dotyczą,

9) realizacja praw osób, których dane dotyczą,

10) spełnianie obowiązków w zakresie zawierania umów powierzania przetwarzania danych osobowych,

11) powołanie Inspektora Ochrony Danych, jeżeli przedsiębiorca podlega temu obowiązkowi,

12) prowadzenie rejestru czynności przetwarzania danych osobowych oraz rejestru kategorii czynności przetwarzania,

13) realizacja zasady rozliczalności.

2. Podmiot realizuje obowiązki RODO za pomocą poszczególnych osób wyznaczonych do realizacji tych zadań.

3. Za realizację RODO w Podmiocie odpowiadają:

1) osoby uprawnione do reprezentacji Podmiotu i podejmujące decyzje w imieniu Podmiotu,

2) IOD,

3) Specjalista RODO,

4) Dyrektor ds. Personalnych,

5) Główny Księgowy Spółki,

6) Kierownik Działu IT,

7) Administrator Systemu CRM,

8) Kierownik Działu Marketingu.

4. Osoby uprawnione do reprezentacji Podmiotu i podejmujące decyzje w imieniu Podmiotu odpowiadają za:

1) przyjęcie do stosowania i zapewnienie wdrożenia Polityki RODO wraz z procedurami i instrukcjami RODO;

2) powołanie IOD i zapewnienie mu rzetelnej realizacji zadań IOD;

3) zapewnienie rzetelnej realizacji obowiązków wynikających z RODO zgodnie z wdrożoną w Podmiocie Polityką RODO poprzez:

a) ustanowienie Specjalisty RODO i zapewnienie mu właściwej realizacji jego zadań,

b) zapewnienie przestrzegania Polityki RODO przez wszystkie osoby przetwarzające dane osobowe poprzez odpowiednie wdrożenie Polityki RODO, a w razie jej nieprzestrzegania, wyciąganie konsekwencji adekwatnych do zawinienia osób.

5. Inspektor Ochrony Danych odpowiada za:

1) informowanie Podmiotu, administratora danych oraz przetwarzającego o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów dotyczących ochrony danych oraz doradzanie im w tym zakresie,

2) monitorowanie przestrzegania RODO, innych przepisów dotyczących ochrony danych, niniejszej Polityki RODO, procedur i instrukcji RODO oraz innych regulacji wewnętrznych Podmiotu dotyczących przetwarzania Danych Osobowych, a wobec danych osobowych, które są przetwarzane przez Podmiot jako Przetwarzającego – polityki ochrony danych administratora; w tym monitorowanie przydziału upoważnień, monitorowanie przestrzegania polityki przez personel uczestniczącego w operacjach przetwarzania oraz powiązane z tym środki bezpieczeństwa,

3) udzielanie na żądanie zaleceń co do Oceny Skutków dla Ochrony Danych oraz monitorowanie jej wykonania,

4) współpracę z PUODO,

5) pełnienie funkcji punktu kontaktowego dla PUODO w kwestiach związanych z przetwarzaniem, w tym z konsultacjami z PUODO, a w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach,

6) realizację innych zadań nałożonych na IOD w Podmiocie.

6. Specjalista RODO odpowiada za realizację bieżących zadań Podmiotu w zakresie spełniania wymogów RODO poprzez wykonywanie obowiązków nałożonych na Specjalistę RODO w niniejszej Polityce RODO, procedurach i instrukcjach RODO oraz ewentualnych innych regulacjach wewnętrznych obowiązujących w Podmiocie, w szczególności za:

1) wdrożenie Polityki RODO, procedur i instrukcji RODO w Podmiocie,

2) bieżące wsparcie pracowników i kierowników w zakresie przetwarzania Danych Osobowych i realizacji ich zadań związanych z przetwarzaniem Danych Osobowych, w szczególności udzielanie odpowiedzi na pytania i rozwiązywanie zgłaszanych spraw oraz udzielanie pomocy dotyczącej ochrony Danych Osobowych,

3) prowadzenie rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania,

4) przeprowadzanie szkoleń RODO dla osób upoważnionych do przetwarzania Danych Osobowych,

5) rozpatrywanie wniosków osób, których Dane Osobowe dotyczą i koordynowanie ich realizacji przez Podmiot,

6) koordynowanie przeprowadzania Oceny Skutków dla Ochrony Danych,

7) koordynowanie zarządzania Incydentami Bezpieczeństwa Danych oraz prowadzenie rejestru incydentów,

8) włączanie IOD we wszystkie sprawy dotyczące przetwarzania danych osobowych wymagające wiedzy specjalistycznej z zakresu RODO lub wzbudzające wątpliwości,

9) kierowanie spraw do konsultacji z IOD,

10) występowanie do IOD o wydanie zaleceń dotyczących przeprowadzanej Oceny Skutków dla Ochrony Danych,

11) występowanie do IOD z zapotrzebowaniem na szkolenia z zakresu RODO,

12) realizację zaleceń lub wskazówek IOD-a dotyczących realizacji zadań przez Specjalistę RODO,

13) koordynację realizacji zaleceń lub wskazówek IOD-a dotyczących realizacji zadań przez pracowników lub kierowników.

7. Kierownik odpowiada za:

1) przestrzeganie RODO, Polityki, procedur i instrukcji RODO oraz innych regulacji wewnętrznych w komórce organizacyjnej, na której czele stoi, w tym za działania lub zaniechania podległych mu pracowników, jeżeli wiedział lub przy dołożeniu należytej staranności mógł wiedzieć o naruszeniu i nie podjął działań mających na celu jego usunięcie oraz zapobieganiu występowania naruszenia w przyszłości,

2) wykonywanie zaleceń i wskazówek Specjalisty RODO oraz IOD dotyczących przetwarzania Danych Osobowych,

3) kierowanie wszystkich spraw związanych z przetwarzaniem danych osobowych do Specjalisty RODO.