Polityka ochrony danych osobowych Kancelarii
Regulamin ochrony danych osobowych
Zamość, 9 lipca 2018 r. |
Polityka ochrony danych
w Kancelarii Radcy Prawnego Michała Wierzchowskiego
Rozdział I
Postanowienia ogólne
§ 1
- Polityka ochrony danych (zwana dalej „Polityką”) określa zasady dotyczące przetwarzania i zabezpieczenia danych osobowych w Kancelarii Radcy Prawnego Michała Wierzchowskiego (zwanej dalej Kancelarią) zgodnie z wymaganiami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – zwanego dalej RODO).
- Niniejszy dokument stanowi wykonanie obowiązku, o którym mowa w art. 24 ust. 2 RODO.
- Polityka ma zastosowanie do wszystkich danych osobowych przetwarzanych w Kancelarii w ramach procesów przetwarzania danych osobowych.
- Obowiązek ochrony danych osobowych przetwarzanych w Kancelarii dotyczy wszystkich osób, które mają do nich dostęp bez względu na zajmowane stanowisko oraz miejsce wykonywania pracy, jak również charakter stosunku pracy.
- Każda osoba, która ma mieć dostęp do danych osobowych, będzie mogła je przetwarzać wyłącznie na podstawie otrzymanego upoważnienia.
- Osoby mające dostęp do danych osobowych są zobowiązane do zapoznania się z Polityką i innymi powiązanymi z nią dokumentami oraz stosowanie zawartych w nich regulacji.
- Polityka zachowuje zgodność z innymi wewnętrznymi regulacjami z obszaru bezpieczeństwa informacji i systemów informatycznych obowiązującymi w Kancelarii.
- Nadzór nad opracowaniem i aktualizacją Polityki sprawuje radca prawny Michał Wierzchowski.
- Radca Prawny Michał Wierzchowski zatwierdza w drodze zarządzenia Politykę i jej aktualizacje.
- § 2
Występujące w niniejszej Polityce zwroty oznaczają:
Administrator Danych Osobowych (ADO) – radca prawny Michał Wierzchowski.
Kancelaria – Kancelaria Radcy Prawnego Michała Wierzchowskiego
Dane osobowe – wszelkie informacje, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Dane osobowe wrażliwe – szczególne kategorie danych określone w art. 9 RODO, w tym: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych; dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej; dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby; jak również dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa, o których mowa w art. 10 RODO.
Osoba odpowiedzialna za ochronę danych osobowych w Kancelarii – radca prawy Michał Wierzchowski
Naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Obszar przetwarzania danych osobowych – pomieszczenia lub części pomieszczeń we wszystkich lokalizacjach Kancelarii, w których są przetwarzane dane osobowe, zarówno w formie papierowej, jak i w systemie informatycznym.
Odbiorca danych – podmiot, któremu udostępniane są dane osobowe.
Osoba upoważniona – osoba upoważniona do przetwarzania danych osobowych przez Administratora danych lub osobę przez niego upoważnioną, mająca bezpośredni dostęp do danych, przetwarzanych w systemie informatycznym lub w dokumentacji papierowej.
Podmiot przetwarzający – podmiot, któremu Kancelaria powierza czynności przetwarzanie danych osobowych w swoim imieniu.
Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Przetwarzanie danych osobowych – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
PUODO – Prezes Urzędu Ochrony Danych Osobowych.
RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
UODO – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018, poz. 1000).
Zasób danych osobowych – wszystkie dane osobowe, niezależnie od sposobu ich utrwalenia, zarówno w formie elektronicznej – w systemie informatycznym oraz na nośnikach (płyty CD/DVD/BD, pamięci flash i inne) jak i papierowej przetwarzane przez KO/Kancelarię[1] w celu realizacji jej zadań.
Rozdział II
Zarządzanie przetwarzaniem danych osobowych oraz ich bezpieczeństwem
§ 3
- Radca prawny Michał Wierzchowski jest odpowiedzialny za przetwarzanie i ochronę danych osobowych w Kancelarii, zgodnie przepisami prawa, w tym za zaakceptowanie niniejszej Polityki.
- Radca prawny Michał Wierzchowski wyznacza osobę odpowiedzialną za ochronę danych osobowych w Kancelarii, który wykonuje zadania w zakresie monitorowania zasad przetwarzania danych osobowych w Kancelarii.
§ 4
- Osoba zarządzająca Kancelarią jest odpowiedzialna za zarządzanie procesami przetwarzania danych osobowych w swoich w Kancelarii. Do obowiązków osoby zarządzającej Kancelarią należą:
a) zarządzanie czynnościami przetwarzania danych osobowych w ramach zadań, realizowanych przez Kancelarię;
b) występowanie z wnioskami o nadanie, zmianę lub cofnięcie uprawnień pracownikom do określonych zasobów danych osobowych przetwarzanych w systemie informatycznym, zgodnie z zakresem upoważnienia do przetwarzania danych osobowych;
c) zapoznanie podległych pracowników i innych osób (np. współpracowników) z zasadami przetwarzania i ochrony danych w Kancelarii;
d) wypełnianie obowiązków dotyczących zabezpieczenia obszaru przetwarzanych danych osobowych w podległej w Kancelarii;
e) zgłaszanie do osoby odpowiedzialnej za ochronę danych osobowych w Kancelarii zamiaru rozpoczęcia nowego procesu przetwarzania danych osobowych lub zmiany w czynnościach przetwarzania danych realizowanych w KO/ w Kancelarii;
f) w przypadku zbierania danych osobowych, konsultowanie z prawnikiem odpowiedzialnym za ochronę danych osobowych w Kancelarii oraz osobą odpowiedzialną za ochronę danych osobowych w Kancelarii podstaw prawnych przetwarzania danych osobowych, w tym zbierania i archiwizowanie zgód osób na przetwarzanie ich danych osobowych wymaganych przypadkach;
g) ustalanie zasad tworzenia kopii zapasowych plików z danymi osobowymi, znajdującymi się na stacjach roboczych użytkowników w Kancelarii;
h) realizacja procesu udostępniania danych osobowych innemu podmiotowi lub osobie, której dane dotyczą;
i) realizacja procesów związanych z powierzaniem przetwarzania danych osobowych przez Kancelarię innym podmiotom - zgodnie z zawartymi umowami powierzenia przetwarzania danych osobowych.
§ 5
- Radca prawny Michał Wierzchowski jest odpowiedzialny za:
a) przygotowanie upoważnienia do przetwarzania danych osobowych wraz
z umową o pracę/zlecenia/dzieło;
b) przechowywanie nadanych upoważnień do przetwarzania danych osobowych oraz oświadczeń o zachowaniu tajemnicy danych osobowych i sposobów ich zabezpieczania wraz z aktami osobowymi pracowników lub umowami zlecenia.
c) prowadzenie aktualnej ewidencji osób upoważnionych do przetwarzania danych osobowych.
§ 6
- Radca prawny Michał Wierzchowski jest odpowiedzialny za zarządzanie systemem informatycznym służącym do przetwarzania danych osobowych w Kancelarii.
- Radca prawny Michał Wierzchowski ściśle współpracuje z osobą odpowiedzialną za ochronę danych osobowych w Kancelarii w zakresie zapewnienia bezpieczeństwa systemów informatycznych przetwarzających dane osobowe.
Rozdział III
Upoważnianie osób do przetwarzania danych osobowych
§ 7
- Wszystkie osoby, które wykonują czynności związane z przetwarzaniem danych osobowych w Kancelarii, w ramach wykonywania zadań służbowych na stanowiskach pracy lub prac zleconych, muszą posiadać pisemne upoważnienie do przetwarzania danych osobowych oraz podpisać oświadczenie o zachowaniu tajemnicy danych oraz sposobów ich zabezpieczenia (wzór upoważnienia oraz oświadczenia - załącznik nr 1 do niniejszej polityki).
- Upoważnienia do przetwarzania danych osobowych nadaje Radca prawny Michał Wierzchowski.
- Upoważnienia do przetwarzania danych są przygotowywane i przechowywane przez Radcę prawnego Michała Wierzchowskiego. Każda osoba upoważniona do przetwarzania danych osobowych przechodzi szkolenie z zasad ochrony danych w Kancelarii.
- Szkolenia wstępne i okresowe dla osób upoważnionych przeprowadzi osoba odpowiedzialna za ochronę danych osobowych w Kancelarii wg ustalonego planu.
Rozdział IV
Podstawowe zasady, które powinny przestrzegać osoby upoważnione do przetwarzania danych osobowych
§8
- Osoba upoważniona do przetwarzania danych osobowych w Kancelarii jest zobowiązana do:
a) zapoznania się z obowiązującymi przepisami prawa z zakresu ochrony danych osobowych oraz dokumentacją dotyczącą ochrony danych osobowych w Kancelarii;
b) przechodzenia okresowych szkoleń z obszaru ochrony danych osobowych;
c) przetwarzania danych osobowych wyłącznie w celu i zakresie wynikającym z nałożonych obowiązków służbowych;
d) zachowania wyjątkowej staranności przy przetwarzaniu danych osobowych, w szczególności danych wrażliwych w celu ochrony interesów osób, których dane dotyczą;
e) stosowania określonych w Kancelarii procedur i środków przetwarzania oraz zabezpieczania danych osobowych;
f) podporządkowania się poleceniom osoby odpowiedzialnej za ochronę danych osobowych w Kancelarii, osoby zarządzającej Kancelarią w zakresie ochrony danych osobowych;
g) zachowania w poufności danych osobowych oraz danych objętych tajemnicą przedsiębiorstwa;
h) zabezpieczenia danych osobowych przed: ich utratą, uszkodzeniem lub zniszczeniem, zmianą lub ich udostępnieniem osobom nieupoważnionym;
i) dopilnowania, aby przebywanie osób nieupoważnionych w pomieszczeniach, w których przetwarzane są dane osobowe, miało miejsce wyłącznie w obecności osoby upoważnionej;
j) dopilnowania, aby przeznaczone do usunięcia dokumenty, zawierające dane osobowe niszczone były w stopniu uniemożliwiającym ich odczytanie - zabronione jest wyrzucanie dokumentów do koszy na śmieci bez ich właściwej anonimizacji;
k) przestrzegania procedur właściwego użytkowania systemów informatycznych, w których przetwarza się dane osobowe, w tym do nieujawniania innym użytkownikom swoich loginów i haseł;
l) zachowania należytej staranności podczas przekazywania danych osobowych drogą telefoniczną (konieczność właściwej identyfikacji rozmówcy, konieczność ustalenia, czy rozmówca jest uprawniony do pozyskania danych osobowych, przekazywanie jedynie niezbędnych informacji);
m) przesyłania danych osobowych za pomocą sieci Internet jedyne z użyciem metod kryptograficznych (szyfrowanie danych, kanały bezpiecznej transmisji);
n) niewysyłania za pomocą wiadomości e-mail danych osobowych na prywatne adresy, niekopiowanie danych na inne nośniki bez uzasadnionej potrzeby biznesowej;
- o) zachowania należytej ostrożności przy transporcie dokumentów oraz nośników informatycznych, zawierających dane osobowe, poza obszarem przetwarzania w Kancelarii.
p) niepozostawiania dokumentów, zawierających dane osobowe na urządzeniach wielofunkcyjnych (drukowanie, kopiowanie);
q) nieopuszczania stanowiska bez zabezpieczenia dokumentów papierowych, zawierających dane osobowe (zasada „czystego biurka”) oraz bez zabezpieczania dostępu do danych przetwarzanych w systemie informatycznym (zasada „czystego ekranu”);
r) informowania o zdarzeniu operacyjnym dotyczącym danych osobowych, zgodnie z obowiązującymi w tym zakresie procedurami;
s) zaprzestania przetwarzania danych osobowych po ustaniu stosunku zatrudnienia.
Rozdział V
Prowadzenie rejestrów czynności przetwarzania danych osobowych
§ 9
- Kancelaria prowadzi rejestr czynności przetwarzania danych osobowych zgodnie z wymaganiami art. 30 ust. 1 RODO w stosunku do danych których Kancelaria jest administratorem;
- Wzór rejestru czynności jest określony w Załączniku nr 2 do niniejszej Polityki.
- Za prowadzenie rejestrów czynności odpowiedzialny jest osoba odpowiedzialna za ochronę danych osobowych w kancelarii.
- Osoba odpowiedzialna za ochronę danych osobowych w kancelarii inwentaryzuje procesy przetwarzania danych osobowych w Kancelarii, przypisując do nich określone czynności przetwarzania danych.
- Osoba odpowiedzialna za ochronę danych osobowych w Kancelarii okresowo dokonuje przeglądów procesów przetwarzania danych w celach aktualizacji prowadzonych rejestrów.
- Osoba zarządzająca Kancelarię mają obowiązek na bieżąco informować osobę odpowiedzialną za ochronę danych osobowych w Kancelarii o procesach przetwarzania danych osobowych realizowanych w Kancelarii oraz o wszelkich zmianach w tych procesach, w szczególności dotyczących:
- celów przetwarzania danych, w tym realizowanych czynności;
- kategorii osób, których dane są przetwarzane;
- zakresów przetwarzanych danych;
- podmiotów przetwarzających, którym dane są powierzane;
- odbiorców danych, którym dane są udostępniane.
Rozdział VI
Realizacja obowiązków przy przetwarzaniu danych osobowych
§ 10
- Osoby odpowiedzialne w Kancelarii za procesy, w których zbierane są dane osobowe, mają obowiązek zachowania szczególnej staranności przy ich zbieraniu, w tym:
- sprawdzać czy są spełnione podstawy prawne na pozyskiwanie danych osobowych, zgodnie z art. 6 RODO oraz art. 9 – 10 RODO;
- zbierać dane osobowe dla określonych, zgodnych z prawem celów realizowanych w Kancelarii;
- zbierać dane w zakresie adekwatnym do celów w jakich dane będą przetwarzane w Kancelarii.
- W przypadku konieczności odbierania zgody na przetwarzanie danych osobowych, należy zapewnić dobrowolność jej pozyskania oraz powiadamiać o prawie do odwołania takiej zgody.
- Za stosowanie właściwych oświadczeń zgody przy zbieraniu danych osobowych odpowiada osoba zarządzająca Kancelarię odpowiedzialnej za proces zbierania danych.
- Oświadczenia dotyczące odbierania zgody na przetwarzanie danych osobowych muszą być konsultowane z prawnikiem odpowiedzialnym za ochronę danych osobowych w Kancelarii.
- Inspektor w porozumieniu z prawnikiem odpowiedzialnym za ochronę danych osobowych w Kancelarii może ustalić obowiązujące wzory oświadczeń zgody dla poszczególnych procesów przetwarzania danych realizowanych w Kancelarii.
§ 11
- Osoby, które wykonują zadania związane ze zbieraniem danych osobowych są odpowiedzialne za realizację obowiązków informacyjnych określonych w art. 13 i 14 RODO.
- Za stosowanie właściwych klauzuli informacyjnych przy zbieraniu danych osobowych odpowiada osoba zarządzająca Kancelarią.
- Klauzule informacyjne muszą być konsultowane z prawnikiem odpowiedzialnym za ochronę danych osobowych w Kancelarii.
- Inspektor w porozumieniu z prawnikiem odpowiedzialnym za ochronę danych osobowych w Kancelarii może ustalić obowiązujące wzory klauzul informacyjnych dla poszczególnych procesów przetwarzania danych realizowanych w Kancelarii.
§ 12
- Dane osobowe zbierane w ramach procesów realizowanych w Kancelarii są przetwarzane przez czas określony przez właściwe przepisy prawa lub wewnętrzne przepisy kancelaryjno-archiwalne.
- Za określenie odpowiednich czasów retencji danych osobowych w procesach przetwarzania danych w Kancelarii odpowiada z prawnik odpowiedzialny za ochronę danych osobowych w Kancelarii.
- Dane osobowe, dla których okres przetwarzania nie wynika z obowiązujących przepisów prawa i dla których nie jest możliwe określenie z góry tego okresu w wewnętrznych przepisach kancelaryjno archiwalnych, są przetwarzane tak długo, jak długo istnieje jednocześnie podstawa prawna oraz cel dla ich przetwarzania.
- Ustanie celu przetwarzania danych jest równoznaczne z koniecznością usunięcia danych osobowych.
- Dane osobowe przetwarzane wyłącznie w oparciu o przesłankę zgody na przetwarzanie danych osobowych są usuwane zawsze niezwłocznie po wycofaniu takiej zgody.
- W Kancelarii, co najmniej jeden raz w każdym roku kalendarzowym odbywa się weryfikacja zasobów danych osobowych prowadzonych w formie papierowej jak i elektronicznej, obejmująca:
- sprawdzenie, czy dane osobowe, dla których upłyną okres przechowywania wynikający z przepisów prawa lub wewnętrznych przepisów kancelaryjno-archiwalnych zostały usunięte;
- sprawdzenie, czy w odniesieniu do danych osobowych, których czas przechowywania nie został określony przez właściwe przepisy prawa lub wewnętrzne przepisy kancelaryjno-archiwalne, nadal istnieje podstawa prawna oraz cel przetwarzania danych osobowych.
- W przypadku ustalenia w trakcie weryfikacji, o której mowa w ust. 6, że okres przetwarzania danych osobowych upłynął bądź nie istnieje podstawa prawna lub cel do dalszego przetwarzania danych osobowych, dane osobowe powinny zostać trwale usunięte z nośników papierowych, elektronicznych oraz systemów informatycznych.
- Szczegółowe zasady usuwania lub anonimizacji danych w systemach informatycznych są ustalane i realizowane przez Radcę prawnego Michała Wierzchowskiego.
§ 13
- Osoby, które udostępniają w imieniu Kancelarii dane osobowe do podmiotu zewnętrznego (w formie papierowej lub elektronicznej), przed ich udostępnieniem mają obowiązek sprawdzić czy istnieją podstawy prawne umożliwiające wykonanie tych czynność, w tym:
- wymóg prawa dotyczący udostępnienia danych;
- zgoda osoby na udostępnienie danych innemu podmiotowi;
- zapis w umowie z podmiotem współpracującym, przy spełnieniu warunku, że udostępnienie nie narusza praw i wolności osoby, której dane dotyczą;
- wniosek o udostępnienie danych od podmiotu uprawnionego, ze wskazaniem podstawy prawnej do otrzymywania danego rodzaju danych osobowych.
- Każda sytuacja dotycząca udostępnienia danych osobowych musi być konsultowana z prawnikiem odpowiedzialnym za ochronę danych osobowych w Kancelarii.
§ 14
- W sytuacji powierzania czynności przetwarzania danych osobowych zewnętrznemu podmiotowi (podmiotowi przetwarzającemu), należy zawrzeć z nim umowę powierzenia przetwarzania danych osobowych zgodnie z art. 28 ust. 3 RODO.
- W trakcie dokonywania wyboru podmiotu przetwarzającego należy zweryfikować czy podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi przepisów RODO i chroniło prawa osób, których dane dotyczą.
- Osoby, które przygotowują w imieniu Kancelarii umowę z podmiotem zewnętrznym, któremu zlecone zostanie wykonywanie czynności związanych z przetwarzaniem danych osobowych zobowiązane są skonsultować odpowiednie zapisy dotyczące powierzenia przetwarzania danych z prawnikiem odpowiedzialnym za ochronę danych osobowych w Kancelarii.
- Wzór umowy powierzenia znajduje się w Załączniku nr 3 do niniejszej Polityki.
- Kontrola podmiotów przetwarzających, którym zostały powierzone czynności przetwarzania danych osobowych należących do Kancelarii jest przeprowadzana przez Inspektora lub inne wyznaczone osoby zgodnie z zapisami zawartymi w umowach powierzenia przetwarzania danych osobowych, w odniesieniu do uprawnienia określonego w art. 28 ust. 3 lit. h RODO.
§ 15
- W sytuacji przekazywania danych osobowych do podmiotu znajdującego się w państwie trzecim (poza Europejskim Obszarem Gospodarczym) należy taką sytuację skonsultować z prawnikiem odpowiedzialnym za ochronę danych osobowych w Kancelarii.
- Prawnik odpowiedzialny za ochronę danych osobowych w Kancelarii może ustalić wzory zapisów do umów w ramach, których dochodzi do transferu danych do państwa trzeciego lub organizacji międzynarodowej.
Rozdział VII
Realizacja praw osób, których dane dotyczą
§ 16
- Każdej osobie, której dane osobowe są przetwarzane przez Kancelarii przysługują prawa określone w art. 15 – 22 RODO, w tym:
- prawo dostępu do danych jej dotyczących;
- prawo do sprostowania danych;
- prawo do usunięcia danych;
- prawo do ograniczenia przetwarzania;
- prawo do przenoszenia danych;
- prawo do sprzeciwu na przetwarzanie jej danych;
- prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu.
- Za rozpatrywanie złożonych do kancelarii żądań w zakresie uprawnień, o których mowa w uat.1 odpowiada w Kancelarii Radca prawny Michał Wierzchowski.
- W sytuacji powierzania danych podmiotom przetwarzającym lub udostępniania danych innym administratorom danych należy ich powiadamiać o każdym sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych, które było wynikiem realizacji wniosku otrzymanego od osoby, której dane dotyczą.
Rozdział VIII
Dobór środków technicznych i organizacyjnych dotyczących przetwarzania
i zabezpieczania danych osobowych
§ 17
- Dobór środków technicznych i organizacyjnych dotyczących przetwarzania i zabezpieczania danych osobowych w Kancelarii realizowany jest w oparciu o szacowanie ryzyka naruszenia praw i wolności osób, których dane dotyczą.
- Przy doborze zabezpieczeń należy i oceniać ryzyko zarówno w kontekście skutków dla osoby, której dane dotyczą w tym np. dyskryminacja, pozbawienie przysługujących praw, szkody majątkowe i niemajątkowe), jak również ryzyko w kontekście skutków dla Kancelarii w przypadku niepodjęcia działań związanych z zapewnieniem przetwarzania danych osobowych zgodnie z RODO.
- Ustalone wymagania dotyczące zabezpieczenia danych osobowych w odniesieniu do danego procesu przetwarzania danych osobowych są odnotowywane przez osobę odpowiedzialną za ochronę danych osobowych w Kancelarii w prowadzonym rejestrze czynności przetwarzania danych osobowych.
§ 18
- Planowanie realizacji nowych procesów związanych z przetwarzaniem danych osobowych, w tym w szczególności nowych systemów informatycznych służących do przetwarzania danych osobowych, musi uwzględniać zasady ochrony danych w fazie projektowania („privacy by design”) oraz domyślnej ochrony danych („privacy by default”)
- 2. Za realizację w Kancelarii obowiązków, o których mowa w ust.1 odpowiada Radca prawny Michał Wierzchowski.
§ 19
- W przypadku realizacji procesów przetwarzania danych osobowych w Kancelarii, które ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, przed rozpoczęciem przetwarzania należy dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych zgodnie z art. 35 RODO.
- Za realizację w Kancelarii obowiązków, o których mowa w ust. 1 odpowiada Radca prawny Michał Wierzchowski.
- Wykonanie oceny skutków dla danego procesu przetwarzania danych jest konsultowane z osobą odpowiedzialną za ochronę danych osobowych w Kancelarii, który stwierdza czy w danym przypadku takie działanie jest konieczne.
- Osoba odpowiedzialna za ochronę danych osobowych w Kancelarii prowadzonym rejestrze czynności przetwarzania danych osobowych, wskazuje procesy dla których należy przeprowadzać ocenę skutków oraz odnotowuje jej przeprowadzenie.
- Jeżeli dokonana ocena skutków dla ochrony danych wykaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby nie zostały zastosowane środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania należy skonsultować się z PUODO.
- W przypadku konieczności przeprowadzenia konsultacji z organem nadzorczym osoba odpowiedzialna za ochronę danych osobowych w Kancelarii przygotowuje odpowiedni wniosek o konsultacje zgodnie z art. 36 RODO i kontaktuje się w tej sprawie z organem.
Rozdział IX
Postępowanie w sytuacji naruszenia ochrony danych
§ 20
- W sytuacji powzięcia informacji o naruszeniu lub podejrzeniu naruszenia ochrony danych osobowych należy postępować zgodnie z zasadami wynikającymi z art. 33 i 34 RODO.
- Radca prawny Michał Wierzchowski przygotowuje wykaz sytuacji, które można uznać za naruszenie ochrony danych osobowych, z uwzględnieniem naruszenia prawa i wolności osób, których dane dotyczą.
- Zgłoszenia naruszenia ochrony danych osobowych przez osobę, której dane dotyczą lub inną osobę inną osobę spoza Kancelarii są przyjmowane i rozpatrywane przez osobę odpowiedzialną za ochronę danych osobowych w Kancelarii.
- Szacowanie ryzyka dotyczące sytuacji naruszenia ochrony danych jest przeprowadzane przez osobę odpowiedzialną za ochronę danych osobowych w Kancelarii.
§ 21
- W sytuacji stwierdzenia wystąpienia naruszenia ochrony danych osobowych oraz prawdopodobieństwa zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych, informacja o naruszeniu powinna zostać zgłoszona do PUODO.
- Zgłoszenie naruszenia przygotowuje osoba odpowiedzialna za ochronę danych osobowych w Kancelarii w terminie 72 godzin po stwierdzeniu naruszenia, zgodnie z wymaganiami art. 33 RODO.
- Zgłoszenie przekazywane jest do PUODO w formie elektronicznej za pomocą systemu informatycznego zgodnie z trybem określonym przez organ.
§ 22
- W sytuacji gdy stwierdzone naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, o naruszeniu należy zawiadomić wszystkie osoby, których dane dotyczą. Inspektor analizuje czy w odniesieniu do wymogów art. 34 ust. 3 RODO zawiadomienie osób, których dane dotyczą, będzie wymagane.
- Zawiadomienie o naruszeniu przygotowuje osoba odpowiedzialna za ochronę danych osobowych w Kancelarii po potwierdzeniu konieczności jego realizacji zgodnie z załącznikiem nr 5 do Polityki.
§ 23
- Wszystkie stwierdzone naruszenia ochrony danych osobowych są dokumentowane przez osobę odpowiedzialną za ochronę danych osobowych w Kancelarii.
- Wzór ewidencji naruszeń ochrony danych osobowych stanowi załącznik nr 4 do Polityki.
Rozdział X
Rozliczalność zgodności realizacji obowiązków RODO
§ 24
- W celu weryfikacji zastosowanych w Kancelarii środków technicznych i organizacyjnych, zapewniających przetwarzanie danych osobowych zgodnie z RODO, wykonuję się ich monitorowanie.
- Monitorowanie ochrony danych osobowych prowadzone jest:
a) na bieżąco przez osobę zarządzającą Kancelarią;
b) poprzez audyty okresowe i doraźne (w sytuacji wystąpienia incydentów naruszenia ochrony danych) wykonywane przez osobę odpowiedzialną za ochronę danych osobowych w Kancelarii;
c) podczas audytów wewnętrznych przeprowadzanych przez upoważnione podmioty.
- Osoba odpowiedzialna za ochronę danych osobowych w Kancelarii okresowo analizuje zgodność dokumentacji przetwarzania danych osobowych przyjętej w Kancelarii z przepisami o ochronie danych osobowych oraz nadzoruje jej aktualizację.
Rozdział XI
Odpowiedzialność karna za naruszenie zasad ochrony danych
§ 25
- Naruszenie przepisów o ochronie danych osobowych jest zagrożone sankcjami karnymi, określonymi w art. 107 – 108 UODO oraz w art. 130, 266 - 269, 287 Kodeksu karnego.
- Niezależnie od odpowiedzialności przewidzianej w przepisach, o których mowa w pkt 1, naruszenie zasad ochrony danych osobowych, obowiązujących Kancelarię, może zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych i skutkować odpowiedzialnością na podstawie przepisów prawa pracy.
Rozdział XII
Postanowienia końcowe
§ 26
- Polityka jest dokumentem wewnętrznym i nie może być udostępniania osobom nieupoważnionym w żadnej formie.
- Osoba zarządzająca Kancelarią jest obowiązana zapoznać z treścią Polityki swoich pracowników i współpracowników.
§ 27
- W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie przepisy RODO oraz UODO.
- Pracownicy i współpracownicy Kancelarii zobowiązani są do bezwzględnego stosowania zasad określonych w Polityce.
Załączniki:
- Wzór dokumentu upoważnienia do przetwarzania danych osobowych
- Wzór rejestru czynności przetwarzania danych osobowych prowadzonego przez administratora
- Wzór umowy powierzenia przetwarzania danych osobowych
- Wzór ewidencji naruszeń ochrony danych
- Wzór zawiadomienia osoby, której dane dotyczą, o naruszeniu jej danych osobowych
- Wzór dokumentu wyznaczenia Inspektora ochrony danych
Opinie o Kancelarii
Pan Michał to jeden z najlepszych radców prawnych z którym miałem przyjemność pracować. Pan Michał posiada odpowiednie kompetencje i zapewnia wysoki poziom obsługi oraz jest naprawdę niezastąpiony przy tworzeniu nowych umów. Zdecydowanie i szczerze polecam.
Mirosław Bogusz
Kontakt z Kancelarią Prawną
Adres pocztowy
ul. Marszałka Józefa Piłsudskiego 1 (I piętro)
22-400 Zamość
Godziny pracy
Pon-Pt: 8:00 - 16:30
Istnieje możliwość spotkania w innych godzinach po uprzednim kontakcie.
Adres e-mail
Kontakt telefoniczny
Mapka dojazdowa