Zadzwoń +48 505 227 032

Polityka ochrony danych osobowych

Polityka ochrony danych osobowych

1) ZAKRES STOSOWANIA

1. Niniejszy dokument zatytułowany jako „Polityka Ochrony Danych Osobowych” (dalej jako Polityka) ma zadanie stanowić mapę wymogów, zasad i regulacji ochro-ny danych osobowych w AGRO TECHNIKA spółka z ograniczoną odpowie-dzialnością (dalej jako Spółka) w rozumieniu Rozporządzenia Parlamentu Euro-pejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swo-bodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119/1). Jest to zestaw zasad i re-guł w zakresie zarządzania danymi osobowymi wewnątrz Spółki. Polityka odnosi się całościowo do problemu zabezpieczenia danych osobowych, tj. zarówno do zabez-pieczenia danych przetwarzanych tradycyjnie, jak i danych przetwarzanych w syste-mach informatycznych.
2. Polityka zawiera:
a) opis obowiązujących w Spółce zasad ochrony danych osobowych,
b) odwołania do załączników uszczegóławiających, w tym zwłaszcza do ewi-dencji i rejestrów dotyczących poszczególnych obszarów z zakresu ochrony danych osobowych wymagających doprecyzowania w odrębnych dokumen-tach.
3. Politykę stosuje się przede wszystkim do:
a) informacji dotyczących danych osobowych pracowników oraz osób współ-pracujących ze Spółką na podstawie umów cywilnoprawnych,
b) danych kandydatów na pracowników zbieranych w toku rekrutacji,
c) informacji dotyczących kontrahentów Spółki,
d) informacji dotyczących klientów Spółki, w tym klientów sklepu internetowe-go,
e) rejestru podmiotów, którym powierza się przetwarzanie danych,
f) innych dokumentów zawierających dane osobowe.
4. Odpowiedzialny za wdrożenie i utrzymanie niniejszej Polityki jest Prezes Spółki.
5. Odpowiedzialni za stosowanie niniejszej Polityki są wszyscy członkowie personelu Spółki, przez których rozumie się pracowników Spółki, a także osoby świadczące usługi na innej podstawie prawnej.
6. W Spółce przetwarzane są przede wszystkim dane osobowe pracowników oraz osób współpracujących na podstawie umów cywilnoprawnych kontrahentów. Wykaz po-szczególnych rejestrów danych osobowych wraz ze wskazaniem programów zasto-sowanych do przetwarzania danych w Spółce stanowi Rejestr Czynności Przetwa-rzania Danych Osobowych, zgodny z treścią załącznika nr 1. do Polityki.
7. Dane osobowe we wskazanych powyżej ewidencjach są przetwarzane i składowane zarówno w postaci tradycyjnej, jak i elektronicznej.

2) SKRÓTY I DEFINICJE

1. Polityka – oznacza niniejszą Politykę, o ile co innego w sposób wyraźny nie wynika z kontekstu.
2. Spółka – oznacza AGRO TECHNIKA spółka z ograniczoną odpowiedzialnością.
3. Kontrahent – oznacza osobę współpracującą z AGRO TECHNIKA spółka z ograniczoną odpowiedzialnością na podstawie umowy cywilnoprawnej.
4. RODO – oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE 119/1).
5. Dane osobowe – oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
6. Osoba zidentyfikowana – oznacza osobę, której tożsamość znamy i którą możemy wskazać spośród innych osób.
7. Osoba możliwa do zidentyfikowania – oznacza osobę, którą można bezpośred-nio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora ta-kiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator in-ternetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjo-logiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
8. Zbiór danych osobowych – oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.
9. Przetwarzanie danych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, w szczególności zbieranie, utrwalanie, organizowanie, po-rządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, prze-glądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
10. Powierzenie przetwarzania danych – oznacza powierzenie przez Spółkę przetwa-rzania danych osobowych innemu podmiotowi, osobie, organizacji (np. usługodawcy IT, zewnętrznej księgowości).
11. Usuwanie danych – oznacza zniszczenie danych osobowych lub taką ich modyfi-kację, która nie pozwoli na ustalenie tożsamości osoby, której dotyczą.
12. Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokaliza-cji lub przemieszczania się.
13. Pseudonimizacja – oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są prze-chowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożli-wiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
14. Zgoda osoby, której dane dotyczą – oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, w którym osoba, której dane dotyczą, w formie oświad-czenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie doty-czących jej danych osobowych.
15. Naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do da-nych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarza-nych.
16. System informatyczny – oznacza zespół współpracujących ze sobą urządzeń, pro-gramów, procedur przetwarzania informacji i narzędzi programowych, zastosowa-nych w celu przetwarzania danych osobowych.
17. Rejestr Czynności Przetwarzania Danych – oznacza formę dokumentowania czynności przetwarzania danych.

3) ZASADY OGÓLNE

1. Filarami ochrony danych osobowych w Spółce są:
a) legalność – Spółka dba o ochronę prywatności i przetwarza dane zgodnie z prawem.
b) bezpieczeństwo – Spółka zapewnia odpowiedni poziom bezpieczeństwa da-nych podejmując stale działania w tym zakresie.
c) poszanowanie praw jednostki – Spółka umożliwia osobom, których dane przetwarza na wykonywanie swoich praw i prawa te realizuje.
d) rozliczalność – Spółka dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej chwili móc wykazać zgodność.
2. Spółka przetwarza dane osobowe:
a) w oparciu o podstawę prawną i zgodnie z prawem (legalizm);
b) rzetelnie i uczciwie (rzetelność);
c) w sposób przejrzysty dla osoby, której dane dotyczą (transparentność);
d) w konkretnych celach (minimalizacja);
e) nie więcej niż potrzeba (adekwatność);
f) nie dłużej niż potrzeba (czasowość);
g) z dbałością o prawdziwość danych (prawidłowość);
h) zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo).

4) REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH

1. Spółka prowadzi Rejestr Czynności Przetwarzania Danych, w których inwentary-zuje i monitoruje sposób, w jaki wykorzystuje dane osobowe.
2. Rejestr Czynności Przetwarzania Danych stanowi formę dokumentowania czyn-ności przetwarzania danych i jest jednym z kluczowych elementów umożliwiają-cych realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności.
3. Rejestr jest jednym z podstawowych narządzi umożliwiających Spółce rozliczanie większości obowiązków ochrony danych osobowych.
4. W Rejestrze dla każdej czynności przetwarzania danych Spółka odnotowuje co najmniej:
a) nazwę zbioru/zasobu danych osobowych,
b) formę prowadzenia przetwarzania danych,
c) lokalizację miejsca przetwarzania danych,
d) zastosowane oprogramowanie,
e) cel przetwarzania,
f) opis technicznych i organizacyjnych środków gromadzenia i ochrony da-nych.

5) EWIDENCJA OSÓB UPOWAŻNIONYCH DO PRZETWARZANIA DANYCH OSOBOWYCH

1. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Spółkę.
2. Upoważnienie do przetwarzania danych osobowych mogą uzyskać wyłącznie pra-cownicy Spółki, w tym także stażyści i praktykanci Spółki, a także osoby fizyczne współpracujące ze Spółką, które uzyskają dostęp do danych osobowych w związ-ku ze świadczeniem na rzecz Spółki usług na podstawie umów cywilnoprawnych.
3. Upoważnienia są nadawane indywidualnie przed rozpoczęciem przez osobę prze-twarzania danych osobowych.
4. Upoważnienie do przetwarzania danych osobowych może być w każdym czasie odwołane przez Spółkę. Oświadczenie o odwołaniu upoważnienia sporządza się w formie pisemnej.
5. Upoważnienie do przetwarzania danych osobowych wygasa z chwilą ustania prze-słanki będącej podstawą wydania upoważnienia, w tym zwłaszcza wygaśnięcie stosunku pracy lub umowy cywilnoprawnej.
6. Spółka prowadzi Ewidencję Osób Upoważnionych do Przetwarzania Danych Osobowych, zgodną z treścią załącznika nr 2. Polityki.
7. W Ewidencji dla każdej czynności upoważnienia do przetwarzania danych oso-bowych Spółka odnotowuje co najmniej:
a) numer upoważnienia,
b) data nadania upoważnienia,
c) imię i nazwisko osoby upoważnionej wraz ze stanowiskiem,
d) nazwę zbioru danych,
e) zakres upoważnienia,
f) datę wygaśnięcia lub cofnięcia upoważnienia,
g) uwagi, w tym zwłaszcza przyczyny cofnięcia upoważnienia.
8. Formę pisemną upoważnienia do przetwarzania danych określono w załączniku nr 4. Polityki.
9. Za bieżącą operacyjną ochronę danych osobowych odpowiada każda osoba prze-twarzająca te dane w zakresie zgodnym z upoważnieniem oraz rolą sprawowaną w procesie przetwarzania.
10. Każda z osób mająca styczność z danymi osobowymi jest zobowiązana do ochro-ny danych osobowych oraz przetwarzania ich w granicach udzielonego jej upo-ważnienia.
11. Do najważniejszych obowiązków osób upoważnionych do przetwarzania danych należy:
a) znajomość, zrozumienie i stosowanie wszelkich środków ochrony danych osobowych,
b) przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami prawa oraz przyjętymi przez Spółkę regulacjami,
c) postępowanie zgodnie z ustalonymi regulacjami wewnętrznymi dotyczącymi przetwarzania danych osobowych,
d) uniemożliwienie osobom nieuprawnionym dostępu do miejsca przetwarza-nia danych,
e) zachowanie w tajemnicy danych osobowych, do których uzyskały dostęp oraz informacji o sposobach ich zabezpieczenia,
f) informowanie Spółki o wszelkich podejrzeniach naruszeń lub zauważonych naruszeniach, a także o słabościach systemu przetwarzającego dane osobo-we,
g) zapoznanie się z niniejszą Polityką.

6) REJESTR POWIERZANIA PRZETWARZANIA DANYCH OSOBO-WYCH

1. Powierzanie przez Spółkę na rzecz innych podmiotów przetwarzania danych jest dopuszczalne po uprzednim zawarciu umowy o powierzenie przetwarzania da-nych.
2. Umowa o przetwarzanie danych zawiera co najmniej następujące elementy:
a) przedmiot przetwarzania,
b) czas trwania przetwarzania,
c) charakter i cel przetwarzania,
d) rodzaj danych osobowych,
e) kategorię osób, których dane dotyczą,
f) obowiązki i prawa administratora,
g) obowiązki podmiotu przetwarzającego.
3. Spółka prowadzi Rejestr Powierzania Przetwarzania Danych Osobowych, zgodny z treścią załącznika nr 3. do Polityki, który zawiera co najmniej:
a) określenie podmiotu, któremu powierza się przetwarzanie danych osobo-wych,
b) cel i zakres powierzenia,
c) opis technicznych i organizacyjnych środków powierzenia danych osobo-wych.

7) SZKOLENIE PERSONELU

1. Każda osoba upoważniona przez Spółkę do przetwarzania danych osobowych przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym da-ne osobowe lub zbiorami danych osobowych w wersji papierowej winna być poddana przeszkoleniu w zakresie ochrony danych osobowych w zbiorach elek-tronicznych i papierowych.
2. Za przeprowadzenie szkolenia odpowiada Prezes Spółki.
3. Zakres szkolenia powinien obejmować zaznajomienie osoby upoważnionej z przepisami RODO oraz wydanymi na tej podstawie aktami prawnymi oraz aktami wewnętrznymi Spółki w zakresie ochrony danych osobowych.
4. Po zaznajomieniu się ze wskazanymi powyżej regulacjami, osoba upoważniona, przed dopuszczeniem do przetwarzania danych, zobowiązuje się do ich przestrze-gania poprzez podpisanie oświadczenia o treści zgodnej z załącznikiem nr 5. Poli-tyki.

8) PODSTAWY PRZETWARZANIA

1. Spółka dokumentuje podstawy prawne przetwarzania danych dla poszczególnych czynności przetwarzania, w tym między innymi zgody na przetwarzanie danych osobowych udzielane na piśmie, zgodnie z treścią załącznika nr 8. do Polityki, umowy, a także notatki o przetwarzaniu na podstawie nałożonych obowiązków prawnych, istotnych interesów, zadań publicznych i uzasadnionego celu Spółki.
2. Spółka wdraża metody zarządzania zgodami, umożliwiające rejestrację i weryfika-cję posiadania zgody osoby na przetwarzanie jej danych osobowych, zgody na komunikację na odległość (e-mail, telefon, sms) oraz rejestrację odmowy zgody, cofnięcia zgody i podobnych czynności.

9) INNE OBOWIĄZKI SPÓŁKI

1. Spółka określa zgodne z prawem i efektywne sposoby wykonywania obowiązków informacyjnych.
2. Spółka dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań osób.
3. Spółka informuje osobę o przetwarzaniu jej danych przy pozyskiwaniu danych od tej osoby.
4. Spółka informuje o planowanej zmianie celu przetwarzania danych.
5. Spółka informuje odbiorców o sprostowaniu, usunięciu lub ograniczeniu prze-twarzania danych, chyba że będzie to wymagało niewspółmiernie dużego wysiłku lub będzie to niemożliwe.
6. Spółka informuje osobę o prawie sprzeciwu względem przetwarzania danych naj-później przy pierwszym kontakcie z tą osobą.
7. Spółka bez zbędnej zwłoki rozpatruje żądania osób. O przedłużeniu ponad mie-siąc terminu na rozpatrzenie żądania Spółka informuje osobę wraz z podaniem przyczyn przedłużenia.
8. Spółka bez zbędnej zwłoki zawiadamia osobę o naruszeniu ochrony danych oso-bowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolno-ści tej osoby.
9. Prawa osób trzecich. Realizując prawa osób, których dane dotyczą, Spółka wprowadza proceduralne gwarancje ochrony praw i wolności osób trzecich. W szczególności w przypadku powzięcia wiarygodnej wiadomości o tym, że wyko-nanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób (np. prawa związa-ne z ochroną danych innych osób, prawa własności intelektualnej, tajemnicę han-dlową, dobra osobiste itp.), Spółka może zwrócić się do osoby w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową za-dośćuczynienia żądaniu.
10. Nieprzetwarzanie. Spółka informuje osobę o tym, że nie przetwarza danych jej dotyczących, jeśli taka osoba zgłosiła żądanie dotyczące jej praw.
11. Odmowa. Spółka informuje osobę w ciągu miesiąca od otrzymania żądania o odmowie rozpatrzenia żądania i o prawach osoby z tym związanych.
12. Dostęp do danych. Na żądanie osoby dotyczące dostępu do jej danych, Spółka informuje osobę, czy przetwarza jej dane oraz informuje osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO (zakres odpowiada obowiązkowi infor-macyjnemu przy zbieraniu danych), a także udziela osobie dostępu do danych jej dotyczących.
13. Kopie danych. Na żądanie osoby, Spółka wydaje osobie kopię danych jej doty-czących i odnotowuje fakt wydania pierwszej kopii danych.
14. Sprostowanie danych. Spółka dokonuje sprostowania nieprawidłowych danych na żądanie osoby. Spółka ma prawo odmówić sprostowania danych, chyba że osoba w rozsądny sposób wykaże nieprawidłowości danych, których sprostowa-nia się domaga. W przypadku sprostowania danych Spółka informuje osobę o odbiorcach danych, na żądanie tej osoby.
15. Uzupełnienie danych. Spółka uzupełnia i aktualizuje dane na żądanie osoby. Spółka ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby nie-zgodne z celami przetwarzania danych (np. Spółka nie musi przetwarzać danych, które są Spółce zbędne). Spółka może polegać na oświadczeniu osoby, co do uzupełnianych danych, chyba że będzie to niewystarczające w świetle przyjętych przez Spółkę procedur (np. co do pozyskiwania takich danych) lub zaistnieją pod-stawy, aby uznać oświadczenie za niewiarygodne.
16. Usunięcie danych. Na żądanie osoby, Spółka usuwa dane, gdy:
a) dane nie są niezbędne do celów, w których zostały zebrane ani nie są nie-zbędne do przetwarzania w innych celach,
b) zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy praw-nej przetwarzania,
c) osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych,
d) dane były przetwarzane niezgodnie z prawem,
e) konieczność usunięcia wynika z obowiązku prawnego,
f) żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośred-nio dziecku.
17. Spółka określa sposób obsługi prawa do usunięcia danych w taki sposób, aby za-pewnić efektywną realizację tego prawa przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpieczeństwa, a także weryfikację, czy nie zachodzą wy-jątki, o których mowa w art. 17. ust. 3 RODO.
18. Jeżeli dane podlegające usunięciu zostały upublicznione przez Spółkę, Spółka po-dejmuje rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe, o potrzebie usunięcia danych i dostępu do nich.
19. W przypadku usunięcia danych Spółka informuje osobę o odbiorcach danych, na żądanie tej osoby.
20. Ograniczenie przetwarzania. Spółka dokonuje ograniczenia przetwarzania da-nych na żądanie osoby, gdy:
a) osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość,
b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprze-ciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
c) Spółka nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
d) osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie Spółki zacho-dzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.
W trakcie ograniczenia przetwarzania Spółka przechowuje dane, natomiast nie przetwarza ich (nie wykorzystuje, nie przekazuje), bez zgody osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego. Spółka informuje osobę przed uchyleniem ograniczenia przetwarzania. W przypadku ograniczenia przetwarzania danych Spółka informuje osobę o odbiorcach danych, na żądanie tej osoby.
21. Przenoszenie danych. Na żądanie osoby Spółka wydaje w powszechnie używa-nym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła ona Spółce, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wy-konania umowy z nią zawartej, w systemach informatycznych Spółki.
22. Sprzeciw w szczególnej sytuacji. Jeżeli osoba zgłosi umotywowany jej szcze-gólną sytuacją sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez Spółkę w oparciu o uzasadniony interes Spółki lub o powierzone Spółce zadanie w interesie publicznym, Spółka uwzględni sprzeciw, o ile nie zachodzą po stronie Spółki ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.
23. Sprzeciw przy badaniach naukowych, historycznych lub celach statystycz-nych. Jeżeli Spółka prowadzi badania naukowe, historyczne lub przetwarza dane w celach statystycznych, osoba może wnieść umotywowany jej szczególną sytua-cją sprzeciw względem takiego przetwarzania. Spółka uwzględni taki sprzeciw, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w in-teresie publicznym.
24. Minimalizacja. Spółka dba o minimalizację przetwarzania danych pod kątem:
a) adekwatności danych do celów (ilości danych i zakresu przetwarzania),
b) dostępu do danych,
c) czasu przechowywania danych.

10) OCHRONA POMIESZCZEŃ, W KTÓRYCH PRZECHOWYWANE SĄ DANE OSOBOWE

1. Kierownicy poszczególnych działów Spółki odpowiadają za należyte zabezpiecze-nie fizyczne zasobów danych osobowych w podległych komórkach.
2. Prezes Spółki jest zobowiązany przeprowadzić kontrolę stanu zabezpieczeń fi-zycznych zbiorów danych osobowych.
3. Przebywanie osób nieuprawnionych do dostępu do danych osobowych, w których są one przetwarzane, jest dopuszczalne tylko w obecności osób upoważnionych do przetwarzania tych danych.
4. Zezwala się na przebywanie w pomieszczeniach, o których mowa powyżej, oso-bom sprzątającym pomieszczenia poza godzinami pracy w Spółce bez konieczno-ści obecności osoby upoważnionej. Osoby sprzątające podpisują oświadczenie o zachowaniu poufności.
5. Pomieszczenia, w których są przetwarzane dane osobowe powinny być zamykane na czas nieobecności w nich osób upoważnionych do przetwarzania danych oso-bowych, w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym.
6. Budynki i pomieszczenia Spółki posiadają zabezpieczenia, w tym zwłaszcza:
 drzwi zewnętrzne zaopatrzone w zamki,
 dostęp i klucze do drzwi głównych wejściowych posiadają upoważnieni do tego pracownicy,
 klucze do pomieszczeń biurowych posiadają upoważnieni pracownicy.
7. W przypadku przetwarzania danych osobowych na urządzeniach przenośnych lub dokumentach papierowych poza obszarem przetwarzania danych osobowych wymienionych w Polityce, należy bezwzględnie chronić te dane przed dostępem do nich osób nieupoważnionych.

11) POSTĘPOWANIE W SYTUACJI NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

1. Każda osoba upoważniona do przetwarzania danych osobowych w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych zobowiązana jest poinformować o tym Wspólników reprezentujących Spółkę.
2. Do typowych zagrożeń bezpieczeństwa danych osobowych należą:
 niewłaściwe zabezpieczenia fizyczne pomieszczeń, urządzeń i dokumentów,
 niewłaściwe zabezpieczenia sprzętu, oprogramowania,
 nieprzestrzeganie zasad ochrony danych osobowych.
3. Do typowych incydentów bezpieczeństwa danych osobowych należą:
 zdarzenia losowe zewnętrzne (pożar, utrata zasilania),
 zdarzenia losowe wewnętrzne (awaria serwera, komputerów, dysków, opro-gramowania),
 umyślne incydenty (włamanie do systemu informatycznego lub pomiesz-czeń, kradzież wyciek informacji, ujawnienie danych osobom nieupoważnio-nym, świadome niszczenie dokumentów, działanie szkodliwego oprogra-mowania).
4. W przypadku stwierdzenia wystąpienia zagrożenia, Spółka prowadzi postępowa-nie wyjaśniające, w toku którego:
a) ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki,
b) inicjuje ewentualne działania dyscyplinarne,
c) rekomenduje działania prewencyjne zmierzające do eliminacji podobnych zagrożeń w przyszłości,
d) dokumentuje postępowanie.
5. W przypadku stwierdzenia incydentu, Spółka prowadzi postępowanie wyjaśniają-ce, w toku którego:
a) ustala czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wiel-kość szkód, które zaistniały,
b) zabezpiecza ewentualne dowody,
c) bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłasza organowi nadzorczemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naru-szenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego or-ganowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przy-czyn opóźnienia,
d) ustala osoby odpowiedzialne za naruszenie,
e) podejmuje działania dyscyplinarne,
f) wyciąga wnioski i rekomenduje działania korygujące zmierzające do elimina-cji podobnych incydentów w przyszłości,
g) dokumentuje prowadzone postępowania zgodnie z treścią załącznika nr 6. Polityki.

12) INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI
Zasady ogólne
1. Niniejsza instrukcja określa zasady eksploatacji i zarządzania systemami informa-tycznymi służącymi do przetwarzania danych osobowych w Spółce.
2. Zasady opisane w niniejszym dokumencie są zgodne z obowiązującymi wymoga-mi prawnymi, w szczególności z przepisami RODO.
3. Użytkownicy systemu informatycznego przetwarzającego dane osobowe wykorzy-stują w procesie uwierzytelniania identyfikatory i hasła. Każdy identyfikator jest w sposób jednoznaczny przypisany konkretnemu użytkownikowi.
4. Hasło jest zmieniane przez użytkownika niezwłocznie w przypadku podejrzenia, iż mogły z nim zapoznać nieuprawnione osoby. Hasło powinno różnić się od po-przednio używanych.
5. Użytkownik zobowiązany jest do:
a) nieujawniania hasła innym osobom, w tym innym użytkownikom,
b) zachowania hasła w tajemnicy, nawet po jego wygaśnięciu,
c) niezapisywania hasła,
d) postępowania z hasłami w sposób uniemożliwiający dostęp do nich osobom trzecim,
e) wprowadzenia haseł do systemu w sposób minimalizujący podejrzenie go przez innych użytkowników.
6. Rozpoczynając pracę w systemie informatycznym przetwarzającym dane osobowe użytkownik:
a) uruchamia komputer,
b) wprowadza niezbędne do pracy identyfikatory i hasła w sposób minimalizu-jący ryzyko podejrzenia ich przez osoby trzecie.
7. Zawieszając pracę w systemie informatycznym oraz odchodząc od stanowiska pracy, użytkownik blokuje stację roboczą. Kontynuacja pracy może nastąpić po odblokowaniu stacji roboczej po wprowadzeniu identyfikatora oraz hasła.
8. Opuszczając pomieszczenie, w którym przetwarzane są dane osobowe, pracownik zobowiązany jest do zamknięcia pomieszczenia na klucz, jeżeli w pomieszczeniu nie przebywa inna osoba upoważniona do przebywania w tym pomieszczeniu.
9. Zabronione jest pozostawienie bez nadzoru pomieszczenia, w których przetwa-rzane się dane osobowe.
10. Kończąc pracę w systemie informatycznym, użytkownik wylogowuje się ze wszystkich aplikacji, z których korzystał, wyłącza stację roboczą i zabezpiecza no-śniki danych.
11. W przypadku, gdy użytkownik jest ostatnią osobą opuszczającą pomieszczenie, sprawdza zamknięcie okien oraz zamyka drzwi do pomieszczenia na klucz.

Procedura tworzenia kopii zapasowych
1. Do pełnienia funkcji Administratora Systemów Informatycznych, w tym zwłasz-cza do tworzenia i przechowywania kopii zapasowych upoważnia się osobę będą-cą pracownikiem lub współpracownikiem Spółki.
2. Dane osobowe przechowywane są w postaci elektronicznej na nośnikach elektro-nicznych wbudowanych w sprzęt informatyczny lub stanowiący element tego sys-temu.
3. Dane osobowe przechowywane są na przenośnych nośnikach elektronicznych je-dynie w przypadkach, gdy jest to konieczne, przez czas niezbędny do spełnienia celu, w jakim zostały one na nośniku zapisane. Po ustaniu czasu przechowywania, zawartość nośnika podlega skasowaniu.
4. Dane osobowe w systemie informatycznym przechowywane są przez czas wyma-gany do spełnienia celu, dla którego są przechowywane. Po jego upływie dane podlegają skasowaniu lub anonimizacji.
5. Kopie zapasowe systemów przetwarzających dane osobowe są zapisywane na dysku sieciowym znajdującym się w zamkniętej szafie serwerowej.
6. Raz w miesiącu kopie zapasowe przenoszone są na dysk zewnętrzny, który prze-chowywany jest w sejfie.

Sposób zabezpieczenia systemu informatycznego przed działalnością oprogra-mowania, którego celem działania jest uzyskanie nieuprawnionego dostępu do systemu informatycznego
1. W celu zabezpieczenia systemu informatycznego przed działaniem niebezpieczne-go oprogramowania zabrania się:
a) uruchamiania jakiegokolwiek oprogramowania, które nie zostało zatwier-dzone do użytku Spółki,
b) samowolnego korzystania z nośników przenośnych,
c) otwierania poczty elektronicznej, której tytuł nie sugeruje związku z pełnio-nymi obowiązkami służbowymi. W wątpliwych przypadkach użytkownik powinien skontaktować się z Administratora Systemów Informatycznych lub osobą przez niego upoważnioną,
d) korzystania z Internetu w celach nie związanych z pełnionymi obowiązkami służbowymi,
e) podłączenia komputerów do sieci zewnętrznych za pośrednictwem mode-mów.
2. W przypadku zauważenia objawów mogących wskazywać na obecność niebez-piecznego oprogramowania użytkownik jest zobowiązany powiadomić Admini-stratora Systemów Informatycznych lub osobę przez niego upoważnioną.
3. Do wskazany wyżej objawów można zaliczyć zwłaszcza:
a) wyraźne spowolnienie działania systemu informatycznego,
b) nietypowe działania aplikacji,
c) nietypowe komunikaty,
d) utratę danych lub modyfikacją danych.
4. System informatyczny jest zabezpieczony przed działaniem niebezpiecznego oprogramowania poprzez:
a) zaporę sieciową,
b) oprogramowanie antywirusowe,
c) aktualizację oprogramowania systemowego.

Przegląd i konserwacja systemów oraz nośników
1. Prace serwisowe wykonywane są na terenie Spółki.
2. Przekazanie sprzętu do naprawy poza terenem Spółki jest dopuszczalne, jeżeli spełnione zostaną poniższe warunki:
a) sprzęt przekazywany jest bez nośników zawierających dane osobowe, zaś fakt usunięcia nośników danych lub stwierdzenia braku nośników danych jest potwierdzany protokołem,
b) przekazanie sprzętu potwierdzane jest protokołem, pozwalającym na jedno-znaczne wskazanie osoby przekazującej i osoby odbierającej sprzęt.
3. Wszelkie prace serwisowe wykonywane przez podmioty zewnętrzne wymagają sporządzenia protokołu serwisowego, zawierającego co najmniej poniższe infor-macje
a) wskazanie osoby przeprowadzającej prace serwisowe oraz podmiotu, któ-rego osoba ta jest pracownikiem,
b) wskazanie osoby nadzorującej przebieg prac serwisowych (dot. sytuacji, gdy prace realizowane są w siedzibie),
c) przedmiot prac serwisowych,
d) zakres prac serwisowych,
e) czas przeprowadzenia prac serwisowych.

13) POSTANOWIENIA KOŃCOWE

1. Spółka ma obowiązek zapoznać z treścią Polityki każdego upoważnionego do przetwarzania danych osobowych oraz użytkownika systemu informatycznego obejmującego zakresem przetwarzanie danych osobowych.
2. Upoważnieni i użytkownicy, o których mowa powyżej, są zobowiązani do stoso-wania przy przetwarzaniu danych osobowych postanowień zawartych w Polityce.
3. Wszelkie określone w Polityce regulacje dotyczące systemów informatycznych do-tyczą również przetwarzania danych osobowych w bazach prowadzonych przez Spółkę w jakiejkolwiek formie.
4. Wobec osoby, która – w przypadku naruszenia zabezpieczeń systemu informa-tycznego lub uzasadnionego domniemania takiego naruszenia – nie podjęła dzia-łania określonego w Polityce, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, można wszcząć postępowanie dyscy-plinarne.
5. W sprawach nieuregulowanych w Polityce zastosowanie mają przepisy RODO.