Procedura przetwarzania danych osobowych

Procedura RODO dotycząca przetwarzania

danych osobowych w Słoneczne Domy Sp. z o.o.

I. Rodzaje Danych Osobowych

1. Dane Osobowe mogą być przetwarzane wyłącznie zgodnie z niniejszą Procedurą RODO.

2. Dane Osobowe to każda informacja o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak:

1) Jan i Kowalski,

2) PESEL,

3) Adres zamieszkania,

4) Adres IP,

5) jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

3. Przy ocenie, czy określone informacje stanowią Dane Osobowe, nie ma znaczenia:

1) kim jest osoba fizyczna: Dyrektor,

2) czy informacje są chronione czy jawne, np. opublikowane w Internecie,

3) czy informacje o osobie fizycznej są istotne, nieistotne, ważne lub nieważne, pozytywne czy negatywne.

4. Dane Osobowe mogą stanowić:

1) dane osobowe zwykłe,

2) dane osobowe szczególnych kategorii,

3) dane dotyczące wyroków skazujących.

5. Dane osobowe zwykłe to wszystkie dane niebędące danymi osobowymi szczególnych kategorii ani danymi dotyczącymi wyroków skazujących.

6. Dane osobowe szczególnych kategorii to dane ujawniające:

1) pochodzenie rasowe lub etniczne,

2) poglądy polityczne,

3) przekonania religijne lub światopoglądowe,

4) przynależność do związków zawodowych,

5) dane genetyczne,

6) dane biometryczne,

7) dane dotyczące zdrowia,

8) orientację seksualną.

II. Ogólne zasady przetwarzania Danych Osobowych

Przy przetwarzaniu Danych Osobowych Słoneczne Domy Sp. z o.o. przestrzega następujących zasad:

1) zasada zgodności z prawem, rzetelności i przejrzystości – co oznacza, że Dane Osobowe są przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą; jest realizowana w Słoneczne Domy Sp. z o.o. poprzez odpowiednią weryfikację podstaw prawnych przetwarzania oraz realizację obowiązków informacyjnych;

2) zasada ograniczenia celu – co oznacza, że Dane Osobowe są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; jest realizowana w Słoneczne Domy Sp. z o.o. poprzez odpowiednią weryfikację celów przetwarzania Danych Osobowych oraz podstawy prawne osobne do każdego z celów przetwarzania;

3) zasada minimalizacji danych – co oznacza, że przetwarzane Dane Osobowe są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane; jest realizowana poprzez weryfikację zakresów przetwarzania Danych Osobowych osobno do każdego celu oraz podstawy prawnej przetwarzania;

4) zasada prawidłowości – co oznacza, że Dane Osobowe są prawidłowe i w razie potrzeby uaktualniane, a dane nieprawidłowe usunięte lub sprostowane; jest realizowana poprzez procedurę retencji Danych Osobowych;

5) zasada ograniczenia przechowywania – co oznacza, że Dane Osobowe są przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez 5 lat nie dłuższy niż jest to niezbędne do celów, w których Dane Osobowe te są przetwarzane; jest realizowana poprzez procedurę retencji Danych Osobowych;

6) zasada integralności i poufności – co oznacza, że Dane Osobowe są przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych; jest realizowana za pomocą procedur RODO dotyczących przetwarzania oraz bezpieczeństwa Danych Osobowych.

III. Rozpoczynanie przetwarzania Danych Osobowych

1. Dane Osobowe mogą być przetwarzane wyłącznie:

1) w zakresie, w jakim ich przetwarzanie jest niezbędne do osiągnięcia określonego celu,

2) w ściśle określonych celach zmierzających do osiągnięcia określonego efektu,

3) przez okres niezbędny do osiągnięcia celu przetwarzania, chyba że dłuższy okres przetwarzania jest obowiązkiem wynikającym z przepisów prawa.

2. Zakazane jest przetwarzanie Danych Osobowych:

1) na zapas,

2) bez określonego celu, wyłącznie dla samego posiadania Danych Osobowych bez sprecyzowanej potrzeby,

3) przez okres dłuższy niż Dane Osobowe są potrzebne.

3. Każda zmiana w obszarze przetwarzania Danych Osobowych, w szczególności rozpoczęcie przetwarzania nowych kategorii Danych Osobowych, rozszerzenie lub zmiana zakresu obecnie przetwarzanych Danych Osobowych, zmiana celów przetwarzania lub okoliczności związanych z przetwarzaniem Danych Osobowych wymaga uprzedniej akceptacji Inspektora Ochrony Danych.

4. Akceptacji podlega w szczególności podjęcie decyzji o:

1) rozpoczęciu przetwarzania nowych kategorii Danych Osobowych, np. obecnie przetwarzane są Dane Osobowe klientów, lecz Zarząd podejmuje decyzję o rozpoczęciu przetwarzania Danych Osobowych potencjalnych klientów i cyklicznego wysyłania im oferty handlowej;

2) rozszerzeniu zakresu przetwarzanych Danych Osobowych, np. obecnie przetwarzane są Dane Osobowe o klientach w zakresie imienia i nazwiska, adresu zamieszkania oraz numeru telefonu, ale z powodu wdrożenia programu lojalnościowego Dział Marketingu planuje rozszerzyć zakres informacji pozyskiwanych od klientów o PESEL, numer dowodu osobistego oraz adres korespondencyjny; Dyrektor zamierza zainstalować system monitoringu we własnych pomieszczeniach biurowych i w ten sposób pozyskiwać informacje o obecności o pracownikach w godzinach pracy;

3) wykorzystywaniu Danych Osobowych do nowych celów, np. Dane Osobowe klientów obecnie są wykorzystywane do realizacji umowy i kontaktu telefonicznego, lecz Zarząd planuje wysyłanie newslettera; dane osób śledzących profil firmowy na Facebooku nie są aktywnie wykorzystywane, lecz Dział Marketingu planuje analizować dane demograficzne aby w ten sposób dostosować przekaz reklamowy;

4) planowanej zmianie realizacji procesu sprzedaży, w toku którego dochodzi do przetwarzania Danych Osobowych, np. obecnie klienci składają zamówienia u pracowników, lecz Zarząd planuje wdrożyć automatyczny system składania zamówień online;

5) planowanym wprowadzeniu nowego lub modyfikacji obecnie wykorzystywanego systemu CRM, np. Zarząd planuje wdrożyć nowy system CRM, zakup nowego oprogramowania, Administrator planuje zmodyfikować obecny system CRM na stronie internetowej;

6) planowanym zawarciu umowy z firmą zewnętrzną, jeżeli w toku realizacji tej umowy firma zewnętrzna będzie miał dostęp do Danych Osobowych, np. umowa z firmą księgową; umowa z firmą prawniczą.

5. Każdy pracownik jest obowiązana zgłosić ten fakt Inspektorowi Ochrony Danych niezwłocznie po rozpoczęciu działań mających na celu wprowadzenie planowanej zmiany.

6. Po otrzymaniu informacji o planowanej zmianie, Inspektor Ochrony Danych dokonuje weryfikacji planowanych czynności przetwarzania pod względem RODO, tj.:

1) weryfikacji zgodności planowanego przetwarzania z ogólnymi zasadami przetwarzania Danych Osobowych,

2) weryfikacji podstawy prawnej do planowanego przetwarzania Danych Osobowych, zgodnie z art. 6, 9 i 10 RODO,

3) jeżeli przetwarzanie Danych Osobowych będzie odbywało się na podstawie zgody, weryfikacji poprawności treści klauzuli zgody oraz planowanego sposobu jej pozyskiwania,

4) weryfikacji poprawności planowanej treści i sposobu spełniania obowiązków informacyjnych wobec osób, których Dane Osobowe dotyczą,

5) weryfikacji planowanych zabezpieczeń Danych Osobowych, w tym przestrzegania obowiązku uwzględniania ochrony Danych Osobowych w fazie projektowania oraz domyślnej ochrony Danych Osobowych,

6) weryfikacji konieczności przeprowadzenia oceny skutków przetwarzania dla ochrony danych, a w przypadku wystąpienia takiej konieczności zgodnie z RODO – koordynacji jej przeprowadzenia i sporządzenia odpowiedniego raportu,

7) jeżeli z planowanym przetwarzaniem Danych Osobowych wiąże się powierzenie przetwarzania – weryfikacji poprawności planowanej treści umowy powierzenia,

8) jeżeli planowane jest powierzenie przetwarzania przez Słoneczne Domy Sp. z o.o. do innego podmiotu, weryfikacji zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których Dane Osobowe dotyczą, przez planowanego podmiot,

9) jeżeli z planowanym przetwarzaniem