Regulamin

REGULAMIN

OCHRONY DANYCH OSOBOWYCH

obowiązujący w
Synieriz Sp. z o.o.
z dnia 25/05/2018

Wszelkie prawa własności intelektualnej do treści zawartych w niniejszym dokumencie należą do BMME Radcowie Prawni Majkowski i Wspólnicy spółka
komandytowa. Dokument służy wyłącznie do użytku wewnętrznego Usługobiorcy (w rozumieniu Regulaminu dostępnego na stronie: www.rodoapp.pl). Żadna
część dokumentu nie może być dystrybuowana, rozpowszechniana, kopiowana ani cytowana bez uprzedniej pisemnej zgody właściciela.

SPIS TREŚCI

PREAMBUŁA 3
Rozdział I – DEFINICJE 4
Rozdział II – POSTANOWIENIA OGÓLNE 5
Rozdział III – ADMINISTRATOR DANYCH OSOBOWYCH 6
Rozdział IV – PODMIOT PRZETWARZAJĄCY DANE OSOBOWE 6
Rozdział V – REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH 7
Rozdział VI – UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH 8
Rozdział VII – INSPEKTOR OCHRONY DANYCH 8
Rozdział VIII – PODSTAWY PRZETWARZANIA DANYCH OSOBOWYCH 10
Rozdział IX – PRAWA OSÓB, KTÓRYCH DANE OSOBOWE PODLEGAJĄ PRZETWARZANIU 11
Rozdział X – TECHNICZNE ORAZ ORGANIZACYJNE ŚRODKI OCHRONY DANYCH OSOBOWYCH 12
Rozdział XI – PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH
OSOBOWYCH 14
Rozdział XII – ZASADY UDOSTĘPNIANIA DANYCH OSOBOWYCH 15
Rozdział XIII – POSTANOWIENIA KOŃCOWE 15

PREAMBUŁA

Synieriz Sp. z o.o. w zakresie prowadzonej działalności dokłada wszelkich starań by
spełnić najwyższe standardy gwarantujące świadczenie usług w sposób prawidłowy, w
zgodnie z obowiązującymi przepisami i normami powszechnie obowiązującego prawa.
Mając na względnie powyższe wobec wymogów wprowadzonych przez Rozporządzenie
Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie
ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie
swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne
rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 z dnia 2016.05.04), w celu
zapewnienia przez Synieriz Sp. z o.o., prawidłowego postępowania z danymi osobowymi
w zakresie każdej operacji dokonywanej na danych osobowych przyjęty zostaje niniejszy
Regulamin ochrony danych osobowych.
Dokument niniejszy został opracowany po wewnętrznym audycie RODO, w zakresie
którego Synieriz Sp. z o.o., został/a sklasyfikowany/a jako Administrator danych
osobowych, przetwarzający informacje stanowiące dane osobowe w rozumieniu
powołanego wyżej Rozporządzenia UE.
Dokument niniejszy kierowany jest przez Synieriz Sp. z o.o. do wszelkich podmiotów
współpracujących, kontrahentów oraz obecnych i potencjalnych klientów w celu
zaprezentowana zakresu ochrony i rozmiaru podejmowanych działań z uwagi na wszelkie
procesy powiązane pośrednio lub bezpośrednio z przetwarzaniem danych osobowych.

Rozdział I – DEFINICJE
§1
W rozumieniu niniejszego regulaminu:

  1. Administratorem danych osobowych jest Synieriz Sp. z o.o., adres
    Marszałkowska 111, 00-102 Warszawa, numer NIP: 5252750039, numer REGON:
    380201801, który/a samodzielnie lub wspólnie z innymi ustala cele i sposoby
    przetwarzania danych osobowych dalej zwany/a „Administratorem”;
  2. Inspektorem ochrony danych jest osoba wyznaczona przez Administratora,
    odpowiedzialna za monitorowanie przestrzegania RODO, innych przepisów Unii
    lub państw członkowskich o ochronie danych oraz polityk Administratora w
    dziedzinie ochrony danych osobowych dalej zwana „IOD”;
  3. Podmiotem przetwarzającym jest osoba fizyczna lub prawna, organ publiczny,
    jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu
    Administratora;
  4. Danymi osobowymi są informacje o zidentyfikowanej lub możliwej do
    zidentyfikowania osobie fizycznej z więc takiej, którą można bezpośrednio lub
    pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego
    jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator
    internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną,
    fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną
    tożsamość osoby fizycznej;
  5. Zbiorem danych jest uporządkowany zestaw danych osobowych dostępnych
    według określonych kryteriów, niezależnie od tego, czy zestaw ten jest
    scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub
    geograficznie;
  6. Przetwarzaniem jest operacja lub zestaw operacji wykonywanych na danych
    osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub
    niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie,
    porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie,
    przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie,
    rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub
    łączenie, ograniczanie, usuwanie lub niszczenie, dalej zwane w niniejszym
    Regulaminie Przetwarzaniem.
  7. Udostępnieniem danych – jest czynność przetwarzania danych polegająca na
    udostępnieniu danych osobowych przez Administratora stronie trzeciej, bez
    określenia celu przetwarzania, bez określenia sposobu przetwarzania.
  8. Powierzeniem danych – jest czynność przetwarzania danych polegająca na
    przekazaniu danych osobowych przez Administratora do przetwarzania przez
    podmiot trzeci, który przetwarza dane na zlecenie Administratora w celu oraz w
    sposób wskazany przez Administratora.
  1. Działaniem z własnej inicjatywy administratora – jest działanie oparte o decyzję
    podjętą przez Administratora co oznacza brak obowiązku prawnego w tym
    zakresie i dowolność decyzyjną po stronie Administratora.
  2. Ustawą jest ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
    (Dz.U.2018.1000 z dnia 2018.05.24)
  3. Rozporządzenie RODO jest ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I
    RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób
    fizycznych w związku z przetwarzaniem danych osobowych i w sprawie
    swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
    (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 z dnia
    2016.05.04), dalej zwane także Rozporządzeniem RODO.
    Rozdział II – POSTANOWIENIA OGÓLNE



§1

  1. Niniejszy Regulamin Ochrony Danych Osobowych stanowi zbiór zasad i procedur
    obowiązujących przy Przetwarzaniu Danych osobowych i postępowaniu z Danymi
    osobowymi w ramach przedsiębiorstwa Administratora znajdujących się zarówno w
    wersji elektronicznej, jak i w papierowej, bez względu na technikę lub sposób
    utrwalenia bądź przechowywania.
  2. Zawarte w niniejszym Regulaminie Ochrony Danych Osobowych regulacje określają
    kierunki działań Administratora oraz wsparcia dla zapewnienia bezpieczeństwa
    Danych osobowych, w szczególności:
    a) określają zasady zarządzania, ochrony i Przetwarzania Danych osobowych;
    b) określają standardy zapewniające poprawne i bezpieczne funkcjonowanie
    wszystkich systemów Przetwarzania Danych osobowych i przepływu informacji w
    zakresie przedsiębiorstwa Administratora
  3. Podstawą do opracowania niniejszego Regulaminu Ochrony Danych Osobowych oraz
    jego wdrożenia są obowiązujące w dniu jego przejęcia akty prawne w tym w
    szczególności
    a) Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U.2018.1000 z
    dnia 2018.05.24);
    b) ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia
    27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z
    przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich
    danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie
    danych) (Dz.U.UE.L.2016.119.1 z dnia 2016.05.04).
  4. Całokształt dokumentacji składającej się na system ochrony Danych osobowych w
    zakresie przedsiębiorstwa Administratora stanowią:

a) Regulamin Ochrony Danych Osobowych.
b) Polityka Bezpieczeństwa Danych Osobowych wraz z załącznikami.
c) Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania
danych osobowych wraz z załącznikami.

  1. W przypadku konieczności dodatkowej szczegółowej regulacji kwestii bezpieczeństwa
    Danych osobowych w ramach przedsiębiorstwa Administratora możliwe jest
    wprowadzenie dodatkowej dokumentacji regulującej szczegółowo konieczne zakresy.
    Rozdział III – ADMINISTRATOR DANYCH OSOBOWYCH

§1

  1. Uwzględniając charakter, zakres, kontekst i cele Przetwarzania oraz ryzyko
    naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i
    wadze zagrożenia, Administrator stosownie do postanowień ustępu 3 niniejszego
    paragrafu zapewnia wdrożenie i stosowanie odpowiednich środków technicznych i
    organizacyjnych, tak aby Przetwarzanie danych odbywało się zgodnie z
    obwiązującymi przepisami.
  2. Środki techniczne i organizacyjne, o których mowa w ustępie 1 powyżej obejmują
    zapewnienie wdrożenia przez Administratora odpowiedniej, wymaganej przez
    obowiązujące przepisy dokumentacji w tym, w szczególności polityki bezpieczeństwa
    danych osobowych oraz dołożenie wszelkich staranności w celu zapewnienia
    zawarcia i stosowania indywidualnych umów z podmiotami zewnętrznymi, którym
    Administrator choćby częściowo Powierzył dane, jak również ewidencjonowania
    czynności polegających na Udostępnieniu danych.
  3. Administrator dokonując wdrożenia i stosowania odpowiednich środków
    technicznych i organizacyjnych, uwzględnia stan wiedzy technicznej, koszt wdrażania
    tych środków oraz ich charakter, zakres, kontekst i cele Przetwarzania oraz ryzyko
    naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie
    wystąpienia i wadze zagrożenia wynikających z Przetwarzania.
  4. Administrator w zakresie stosowanych rozwiązań dołoży wszelkich starań w celu
    zapewnienia środków pozwalających na skuteczną ochronę Danych osobowych i
    niezbędne zabezpieczenie Przetwarzania Danych osobowych.
  5. Administrator, w przypadku gdy dochodzi do wspólnego ustalenia z innym
    administratorem danych wspólnego celu i sposobu Przetwarzania danych, dokonuje
    koniecznych uzgodnień i jasno określa zakres swojej odpowiedzialności oraz relacje
    pomiędzy nim a drugim administratorem jak również relacje z podmiotami, których
    dane dotyczą podejmując konieczne działania i środki w tym zakresie.
    Rozdział IV – PODMIOT PRZETWARZAJĄCY DANE OSOBOWE

§1

  1. Administrator może dokonać Powierzenia danych – do Przetwarzania na zlecenie
    Administratora. Administrator weryfikuje Podmiot Przetwarzający Dane osobowe,
    po kątem zapewnienia przez ten podmiot wystarczających gwarancji wdrożenia
    takich środków technicznych i organizacyjnych, aby Przetwarzanie zlecone przez
    Administratora spełniało wymogi obowiązującego prawa i chroniło prawa osób,
    których dane dotyczą.
  2. Administrator dokonuje Powierzenia danych Podmiotowi Przetwarzającemu na
    podstawie umowy lub innego instrumentu prawnego, który jest wiążący zarówno dla
    Podmiot Przetwarzającego jak i Administratora. W zakresie regulacji Powierzenia
    danych Administrator zapewnia aby w zakresie zawartej umowy, lub innego
    instrumentu prawnego określone zostały w szczególności:
    a) przedmiot i czas trwania Przetwarzania,
    b) charakter i cel Przetwarzania,
    c) rodzaj Danych osobowych, które będą Przetwarzane
    d) kategorie osób, których Dane osobowe dotyczą,
    e) obowiązki i prawa Administratora,
    Rozdział V – REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH

§1

  1. Administrator z własnej inicjatywy oraz zawsze gdy zgodnie z obowiązującymi
    przepisami prawa jest do tego zobligowany zapewnia prowadzenie rejestru czynności
    przetwarzania danych osobowych, który może przyjąć formę pisemna lub formę
    elektroniczną.
  2. W zakresie rejestru przetwarzania danych osobowych Administrator zapewnia ujęcie
    następujących informacji:
    a) imię i nazwisko lub nazwę oraz dane kontaktowe Administratora oraz wszelkich
    współadministratorów, oraz IOD;
    b) cele Przetwarzania;
    c) opis kategorii osób, których dane dotyczą, oraz kategorii Danych osobowych;
    d) kategorie odbiorców, którym Dane osobowe zostały lub zostaną ujawnione, w
    tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
    e) gdy ma to zastosowanie, przekazania Danych osobowych do państwa trzeciego
    lub przedsiębiorstwa międzynarodowego, w tym nazwa tego państwa trzeciego
    lub przedsiębiorstwa międzynarodowego;
    f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii
    danych;
    g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków
    bezpieczeństwa.

  1. Administrator zapewnia zobowiązanie Podmiotu Przetwarzającego do prowadzenia
    rejestru wszystkich kategorii czynności Przetwarzania dokonywanych w imieniu
    Administratora.
    Rozdział VI – UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH

§1

  1. Administrator zapewnia w ramach swojego przedsiębiorstwa aby Przetwarzanie
    dokowane było wyłącznie przez osoby posiadające upoważnienie do Przetwarzania,
    wydane przez Administratora zgodnie z obowiązującymi w zakresie przedsiębiorstwa
    Administratora regulacjami wewnętrznymi wskazującymi szczegółowe postępowanie
    w zakresie dostępu do Danych osobowych.
  2. Administrator zapewnia, by osoby Przetwarzające Dane osobowe posiadały
    konieczną wiedzę i umiejętności w tym zakresie, oraz aby okres i zakres
    Przetwarzania Danych osobowych przez te osoby był zgodny z treścią udzielonego
    przez Administratora upoważnienia.
  3. Administrator zgodnie z obowiązującymi w zakresie przedsiębiorstwa Administratora
    regulacjami wewnętrznymi regulującymi szczegółowe postępowanie w zakresie
    dostępu do Danych osobowych wydaje, ewidencjuje i przechowuje imienne
    upoważnienia do Przetwarzania Danych osobowych oraz cofnięte upoważnienia.

§2

  1. Administrator zapewnia, by osoby Przetwarzające Dane osobowe były świadome
    obowiązku zachowania w poufności danych, do których mają dostęp oraz aby fakt ten
    był potwierdzony przez pisemne oświadczenie takich osób.
  2. Administrator zapewnia, by osoba upoważniona do Przetwarzania dokonywała
    wszelkich czynności na Danych osobowych przy zachowaniu funkcjonujących w
    ramach przedsiębiorstwa Administratora środków organizacyjnych oraz technicznych
    dedykowanych zabezpieczeniu oraz ochronie Danych osobowych przed
    nieuprawnionym dostępem, modyfikacją oraz zniszczeniem.
    Rozdział VII – INSPEKTOR OCHRONY DANYCH

§1

  1. Administrator zapewnia wyznaczenie IOD, z własnej inicjatywy lub zawsze gdy
    zgodnie z obowiązującymi przepisami jest do tego zobowiązany, a w szczególności
    gdy:
    a) główna działalność Administratora polega na operacjach Przetwarzania, które ze
    względu na swój charakter, zakres lub cele wymagają regularnego i
    systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;


b) główna działalność Administratora polega na Przetwarzaniu na dużą skalę
szczególnych kategorii danych osobowych oraz danych osobowych dotyczących
wyroków skazujących i naruszeń prawa.

  1. Administrator zapewnia publikacje danych kontaktowych IOD i gdy został on
    wyznaczony oraz zawiadamia o jego wyznaczeniu właściwy w zakresie ochrony
    danych osobowych organ nadzorczy, zgodnie z obowiązującymi w dacie wyznaczenia
    IOD przepisami prawa.
  2. Jeśli Administrator dokonał zgodnie z ustępem 1 niniejszego paragrafu wyznaczenia
    IOD zapewnia jasne określenie zadań i czynności, które IOD zobowiązany jest
    realizować, w szczególności wskazując:
    a) powinność informowania Administratora, oraz pracowników Administratora
    którzy Przetwarzają Dane osobowe w ramach przedsiębiorstwa Administratora,
    o obowiązkach spoczywających na nich na mocy rozporządzenia RODO, Ustawy
    oraz innych przepisów o ochronie danych wprowadzonych w ramach porządku
    prawnego UE lub Rzeczypospolitej Polskiej oraz powinność doradzania im w tej
    sprawie;
    b) obowiązek bieżącego monitorowania przestrzegania RODO, Ustawy oraz innych
    przepisów o ochronie danych wprowadzonych w ramach porządku prawnego UE
    lub Rzeczypospolitej Polskiej oraz wewnętrznych regulacji Administratora w
    zakresie ochrony danych osobowych,
    c) obowiązek monitorowania stosowanego w ramach przedsiębiorstwa
    Administratora podziału obowiązków w zakresie Przetwarzania,
    d) obowiązek podejmowania działań zwiększających świadomość powinności
    ochrony Danych osobowych, Przetwarzanych w ramach przedsiębiorstwa
    Administratora w tym zapewnienie okresowych i w razie potrzeby doraźnych
    szkoleń personelu uczestniczącego w operacjach Przetwarzania
    e) obowiązek przeprowadzania cyklicznych a w przypadku konieczności także
    doraźnych audytów monitorujących stopień i prawidłowość ochrony Danych
    osobowych w tym zgodność działań Administratora z RODO, Ustawą oraz
    innymi przepisami o ochronie danych wprowadzonymi w ramach porządku
    prawnego UE lub Rzeczypospolitej Polskiej oraz wewnętrznymi regulacjami
    Administratora w zakresie ochrony danych osobowych;
    f) obowiązek udzielania zaleceń co do planowanych do wprowadzenia przez
    Administratora operacji Przetwarzania – w szczególności z użyciem nowych
    technologii, w zakresie ich skutków dla ochrony danych oraz monitorowanie
    wykonania takich zaleceń;
    g) obowiązek współpracy z właściwym w zakresie ochrony danych osobowych
    organem nadzorczym, zgodnie z obowiązującymi w dacie wyznaczenia IOD
    przepisami prawa.


h) obowiązek pełnienia funkcji punktu kontaktowego dla właściwego organu
nadzorczego zgodnie z obowiązującymi w dacie wyznaczenia IOD przepisami
prawa w kwestiach związanych z Przetwarzaniem, w tym z uprzednimi
konsultacjami oraz w stosownych przypadkach prowadzenie konsultacji we
wszelkich innych sprawach.

  1. Jeśli Administrator dokonał zgodnie z ustępem 1 niniejszego paragrafu wyznaczenia
    IOD zapewnia, by wypełniał on swoje zadania z należytym uwzględnieniem ryzyka
    związanego z operacjami Przetwarzania, mając na uwadze charakter, zakres,
    kontekst i cele Przetwarzania.
    Rozdział VIII – PODSTAWY PRZETWARZANIA DANYCH OSOBOWYCH

§1

  1. Administrator zapewnia, by w ramach jego przedsiębiorstwa wszelkie operacje na
    Danych osobowych były przeprowadzane z zachowaniem wskazanych poniżej
    wytycznych:
    a) Dane osobowe Przetwarzane są zgodnie z prawem, rzetelnie i w sposób
    przejrzysty dla osoby, której dane dotyczą;
    b) Dane osobowe są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych
    celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
    c) Dane osobowe są adekwatne, stosowne oraz ograniczone do tego, co niezbędne
    do celów, w których są Przetwarzane;
    d) Dane osobowe są prawidłowe i w razie potrzeby uaktualniane, a Administrator
    podejmuje wszelkie rozsądne działania, aby Dane osobowe, które są
    nieprawidłowe w świetle celów ich Przetwarzania, zostały niezwłocznie usunięte
    lub sprostowane;
    e) Dane osobowe są przechowywane w formie umożliwiającej identyfikację osoby,
    której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których
    dane te są Przetwarzane, przy czym można przechowywać je przez okres dłuższy,
    o ile będą one Przetwarzane wyłącznie do celów archiwalnych w interesie
    publicznym, do celów badań naukowych lub historycznych lub do celów
    statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki
    techniczne i organizacyjne wymagane w celu ochrony praw i wolności osób,
    których dane dotyczą;
    f) Dane osobowe są Przetwarzane w sposób zapewniający odpowiednie
    bezpieczeństwo Danych osobowych, w tym ochronę przed niedozwolonym lub
    niezgodnym z prawem Przetwarzaniem oraz przypadkową utratą, zniszczeniem
    lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub
    organizacyjnych.

§2

  1. Administrator zapewnia, by w ramach jego przedsiębiorstwa Przetwarzanie Danych
    osobowych odbywało się w określonych celach i w określonym zakresie, jeżeli:
    a) osoba, której dane dotyczą wyraziła zgodę na Przetwarzanie swoich danych
    osobowych w jednym lub większej liczbie określonych celów;
    b) Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba,
    której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane
    dotyczą, przed zawarciem umowy;
    c) Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na
    Administratorze;
    d) Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której
    dane dotyczą, lub innej osoby fizycznej;
    e) Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie
    publicznym lub w ramach sprawowania władzy publicznej powierzonej
    Administratorowi;
    f) Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych
    interesów realizowanych przez Administratora lub przez stronę trzecią, z
    wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają
    interesy lub podstawowe prawa i wolności osoby, której dane dotyczą,
    wymagające ochrony Danych osobowych, w szczególności gdy osoba, której
    dane dotyczą, jest dzieckiem.
  2. Administrator zapewni, by jeśli nie upoważnia go do tego wyraźny przepis prawa
    ramach jego przedsiębiorstwa nie dochodziło do Przetwarzania Danych osobowych
    ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania
    religijne lub światopoglądowe, przynależność do związków zawodowych oraz
    Przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego
    zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub
    orientacji seksualnej tej osoby.
  3. Administrator zapewnia, by Przetwarzane przez niego Dane osobowe były
    pozyskiwane w sposób zgodny powszechnie obowiązującymi przepisami prawa czy to
    bezpośrednio od osoby, której dane dotyczą czy też w sposób inny niż od osoby,
    której dane dotyczą.
    Rozdział IX – PRAWA OSÓB, KTÓRYCH DANE OSOBOWE PODLEGAJĄ

PRZETWARZANIU
§1

  1. Administrator zapewnia by, pozyskiwanie Danych osobowych przebiegało w sposób
    zgodny z powszechnie obowiązującymi przepisami prawa w tym w szczególności
    podaje osobie, której dane podlegają Przetwarzaniu wszystkie informacje wymagane
    przez RODO.

  1. Administrator zapewnia, by osobie, której dane podlegają Przetwarzaniu przysługuje
    zgodnie z RODO prawo kontroli Danych osobowych.
  2. Osoba, której Dane osobowe podlegają Przetwarzaniu na każdym etapie
    Przetwarzania jej Danych osobowych zapewniony ma szereg uprawnień
    pozwalających jej uzyskać dostęp do Danych osobowych, weryfikacje prawidłowości
    Przetwarzania Danych osobowych, ich korektę, jak również na zgłoszenie sprzeciwu
    wobec ich Przetwarzania, żądanie ograniczenia Przetwarzania, przeniesienia Danych
    osobowych.
    Rozdział X – TECHNICZNE ORAZ ORGANIZACYJNE ŚRODKI OCHRONY DANYCH

OSOBOWYCH
§1

  1. Administrator zapewnia by, podjęte zostały odpowiednie techniczne i organizacyjne
    środki ochrony danych, w szczególności, by dokumenty, zarówno w wersji
    elektronicznej jak i papierowej, zawierające Dane osobowe były przechowywane w
    odpowiednio zabezpieczonych budynkach oraz pomieszczeniach.
  2. Jeśli w ramach wykonania zobowiązania określonego w ustępie 1 niniejszego
    paragrafu powyżej Administrator zdecyduje się na umieszczenie dokumentacji
    zawierającej Dane osobowe w budynkach i pomieszczeniach zamykanych na klucz,
    Administrator zapewnia, by w szczególności:
    a) w zakresie dostępu do budynków i pomieszczeń, w których Przetwarzane są
    Dane osobowe podjęte zostały odpowiedzenie środki kontrolne i weryfikujące,
    b) klucze do miejsc, w których Przetwarzane są Dane osobowe wydawane były
    bezpośrednio przez Administratora lub inna osobę odpowiedzialną wyłącznie
    osobom upoważnionym do dostępu do tych budynków oraz pomieszczeń
    c) regulacje wewnętrzne obowiązujące w przedsiębiorstwie Administratora – jeśli
    Administrator jest właścicielem budynku, obligowały osobę będąca
    dysponentem kluczy do przekazania kluczy do miejsc, w których Przetwarzane są
    Dane osobowe wyłącznie osobom uprawnionym do dostępu do tych budynków
    oraz pomieszczeń,
    d) regulacje wewnętrzne obowiązujące w przedsiębiorstwie Administratora – jeśli
    Administrator jest właścicielem budynku, obligowały osobę odpowiedzialną za
    wydanie kluczy, do przekazania kluczy do miejsc, w których Przetwarzane są
    Dane osobowe wyłącznie osobom uprawnionym do dostępu do tych budynków
    oraz pomieszczeń,
    e) regulacje obowiązujące w ramach wynajmowanych/ dzierżawionych/
    użytkowanych budynków i pomieszczeń – jeśli Administrator
    wynajmuje/dzierżawi/użytkuje budynki lub pomieszczenia – obligowały osobę
    będąca odpowiedzialną za wydanie kluczy, do przekazania kluczy do miejsc, w

których Przetwarzane są Dane osobowe wyłącznie osobom uprawnionym do
dostępu do tych budynków oraz pomieszczeń,
f) wprowadzone zostały odpowiednie procedury obligujące osobę, która utraciła
klucze do miejsca, w którym Przetwarzane są Dane osobowe, do niezwłocznego
zgłaszania tej okoliczność Administratorowi oraz IOD jeśli został ustanowiony.

  1. Administrator zapewnia, by szczegółowe zasady kontroli dostępu do poszczególnych
    miejsc, w których Przetwarzane są Dane osobowe określone zostały w procedurach
    wewnętrznych obowiązujących w ramach przedsiębiorstwa Administratora.

§2

  1. Administrator zapewnia, by w ramach przedsiębiorstwa Administratora
    obowiązywały właściwe procedury wewnętrzne wskazujące na prawidłowe
    zachowania podczas pracy z dokumentacją zawierająca Dane osobowe wskazujące w
    szczególności aby:
    a) w przypadku korzystania z urządzeń wielofunkcyjnych w celu skopiowania lub
    zeskanowania dokumentów zawierających Dane osobowe, dokumenty
    zawierające Dane osobowe jeśli kopiowane lub skanowane, jak również ich kopie
    wyjmowane były z urządzenia wielofunkcyjnego niezwłocznie po ich użyciu,
    b) w sytuacji przesyłania dokumentów zawierających Dane osobowe za pomocą
    komunikacji elektronicznej zachowywana była szczególną ostrożność, w tym
    szczególności aby przesyłany dokument był szyfrowany jeśli jest to wskazane,
    c) osoba upoważniona do Przetwarzania Danych osobowych, po zakończeniu
    czynności Przetwarzania na dokumentach zawierających Dane osobowe
    zabezpiecza dokumenty oraz nośniki elektroniczne w specjalnie przeznaczonych
    miejscach.
    d) osoba upoważniona do Przetwarzania Danych osobowych, po zakończeniu
    czynności Przetwarzania, nieużyteczne dokumenty w formie papierowej,
    zawierające Dane osobowe niszczy w bezpieczny sposób w szczególności za
    pomocą niszczarki.
  2. Administrator zapewnia, by w ramach przedsiębiorstwa Administratora
    obowiązywały właściwe procedury wewnętrzne dotyczące trwałego niszczenia
    dokumentacji zawierające Dane osobowe, Administrator może w szczególności
    dokonać trwałego zniszczenia dokumentów zawierających Dane osobowe za
    pośrednictwem profesjonalnego przedsiębiorcy zajmującego się niszczeniem
    dokumentów (po zawarciu odpowiedniej umowy zgodnie z postanowieniami
    Rozdziału IV niniejszego Regulaminu).
    §3
  3. Administrator zapewnia, by każda osoba upoważniona do Przetwarzania danych w
    ramach przedsiębiorstwa Administratora była świadoma obowiązujących przepisów
    dotyczących ochrony Danych osobowych.

  1. Administrator jeśli jest to konieczne i wskazane dokonuje przeszkolenia osób
    upoważnionych do Przetwarzania Danych osobowych w zakresie bezpiecznej obsługi
    urządzeń i programów związanych z Przetwarzaniem i ochroną Danych osobowych
    oraz zabezpieczania miejsc, w których przechowuje się dokumenty zawierające Dane
    osobowe.
  2. Szczegółowe środki fizyczne, techniczne oraz organizacyjne ochrony Danych
    osobowych zostały zawarte w wewnętrznych dokumentach obowiązujących w
    przedsiębiorstwie Administratora w szczególności w Polityce Bezpieczeństwa
    Ochrony Danych Osobowych oraz Instrukcji Zarządzania Systemem Informatycznym.
    Rozdział XI – PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA

BEZPIECZEŃSTWA DANYCH OSOBOWYCH

§1

  1. Administrator zapewnia w ramach przedsiębiorstwa Administratora opracowanie i
    wdrożenie procedury postępowania w przypadku naruszenia bezpieczeństwa Danych
    osobowych, która reguluje w szczególności:
    a) redukcję wystąpienia podobnych incydentów w przyszłości;
    b) minimalizację skutków zdarzenia;
    c) wyjaśnienie okoliczności zdarzenia;
    d) zabezpieczenie dowodów zdarzenia.
  2. Administrator zapewnia by procedura postępowania w przypadku naruszenia
    bezpieczeństwa Danych osobowych w sposób wyczerpujący i zgodny z
    obowiązującymi przepisami regulowała prawidłowe działanie na każdym etapie, tj.
    zapobiegania, monitorowania oraz kontroli i wyjaśnienia wszelkich zagrożeń
    naruszenia Danych osobowych.
    §2
  3. Administrator w ramach swojego przedsiębiorstwa taktuje jako zdarzenie będące
    naruszeniem ochrony Danych osobowych każde zdarzenie, zależne jak i niezależne
    od woli ludzkiej, powodujące zagrożenie bezpieczeństwa Danych osobowych, w
    szczególności:
    a) zdarzenie prowadzące do utraty integralności (kompletności, wiarygodności)
    Danych osobowych;
    b) zdarzenie zagrażające poufności Danych osobowych;
    c) zdarzenie zagrażające rozliczalności Danych osobowych .
  4. Administrator w zakresie zapewnia podjęcie wszelkich niezbędnych kroków i działań
    w zakresie ochrony Danych osobowych jeśli doszło do:
    a) naruszenia obowiązujących w zakresie przedsiębiorstwa Administratora
    wprowadzonych i obowiązujący wewnętrznych polityk, procedur lub instrukcji
    dotyczących ochrony Danych osobowych,


b) naruszenia dotyczących ochrony Danych osobowych obowiązujących przepisów
prawa,
c) naruszenia stosowanych przez Administratora zabezpieczeń fizycznych.

  1. Szczegółowe zasady postępowania w przypadku naruszenia ochrony Danych
    osobowych Administrator reguluje w wewnętrznych dokumentach, procedurach i
    politykach.
    Rozdział XII – ZASADY UDOSTĘPNIANIA DANYCH OSOBOWYCH

§1

  1. Administrator Udostępnia Dane osobowe Przetwarzane w ramach swojego
    przedsiębiorstwa tylko osobom lub podmiotom uprawnionym do ich otrzymania z
    uwzględnieniem przepisów prawa obowiązujących w dacie Udostępnienia
  2. Administrator zapewnia by czynność Udostępnienia Danych osobowych nie
    naruszała praw osób, których Dane osobowe dotyczą.

Rozdział XIII – POSTANOWIENIA KOŃCOWE

§1

1.Niniejszy Regulamin Ochrony Danych Osobowych wchodzi w życie z dniem
16/06/2019

Wszelkie prawa własności intelektualnej do treści zawartych w niniejszym dokumencie należą do BMME Radcowie Prawni Majkowski i Wspólnicy spółka
komandytowa. Dokument służy wyłącznie do użytku wewnętrznego Usługobiorcy (w rozumieniu Regulaminu dostępnego na stronie: www.rodoapp.pl). Żadna
część dokumentu nie może być dystrybuowana, rozpowszechniana, kopiowana ani cytowana bez uprzedniej pisemnej zgody właściciela.