POLITYKA OCHRONY DANYCH OSOBOWYCH w FES.PL spółka z ograniczoną odpowiedzialnością z siedzibą w Łodzi

I. INFORMACJE OGÓLNE

• Podstawy wprowadzenia Polityki ochrony danych osobowych

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
  w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO) (Dz. Urz. UE L 119 z 5 kwietnia 2016 r.) – zwane dalej RODO,

• Ustawa z dnia 10 maja 2018r. o ochronie danych osobowych (Dz.U.2019.1781 t.j. z dnia 2019.09.19 ze zmianami).

• Cel Polityki ochrony danych osobowych

 

1. Polityka ochrony danych osobowych ma zapewnić zgodność działania FES.PL spółka z ograniczoną odpowiedzialnością z siedzibą w Łodzi będącego Administratorem Danych Osobowych z przepisami prawa regulującymi kwestie administrowania i przetwarzania danych osobowych. 
2. Celem Polityki jest określenie czynności koniecznych dla zapewnienia bezpieczeństwa danych osobowych przetwarzanych w FES.PL spółka z ograniczoną odpowiedzialnością zarówno w systemach informatycznych, jak i w formie papierowej. 
3. Przez bezpieczeństwo danych osobowych należy rozumieć zapewnienie ich poufności, integralności, dostępności oraz rozliczalności poprzez wdrożenie odpowiednich mechanizmów technicznych i organizacyjnych. 
4. Dla skutecznej realizacji celów Polityki FES.PL spółka z ograniczoną odpowiedzialnością zapewnia:

• odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne,
• kontrolę i nadzór nad przetwarzaniem danych osobowych,
• monitorowanie  zastosowanych  środków  ochrony (m.in. poprzez  monitorowanie działań dotyczących  danych  osobowych,  naruszania  zasad  dostępu  do  danych, ochronę przed atakami zewnętrznymi oraz wewnętrznymi).

• Definicje

 

1. RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
   z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),
2. Ustawa – ustawa o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz.U.2019.1781 t.j. z dnia 2019.09.19 ze zmianami),
3. Administrator danych osobowych (ADO) – FES.PL spółka z ograniczoną odpowiedzialnością
   z siedzibą w Łodzi, która decyduje o celach, środkach i sposobach przetwarzania danych osobowych,
4. Podmiot przetwarzający – dostawca usług, który przetwarza dane osobowe w imieniu
   i na rzecz FES.PL spółka z ograniczoną odpowiedzialnością z siedzibą w Łodzi,
5. Inspektor ochrony danych (IOD) – osoba powołana przez ADO do nadzorowania przestrzegania zasad ochrony danych osobowych FES.PL spółka z ograniczoną odpowiedzialnością z siedzibą w Łodzi,
6. Administrator Systemów Informatycznych (ASI) – osoba wyznaczona przez ADO, koordynująca działania związane z zapewnieniem bezpieczeństwa systemów informatycznych,
   w tym również odpowiadająca za nadzór nad zabezpieczeniem danych osobowych przetwarzanych w systemach informatycznych w FES.PL spółka z ograniczoną odpowiedzialnością z siedzibą w Łodzi,
7. FES.PL – FES.PL spółka z ograniczoną odpowiedzialnością z siedzibą w Łodzi,
8. Urząd Ochrony Danych Osobowych (UODO) – niezależny organ publiczny powołany w Polsce w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwianiem swobodnego przepływu danych osobowych w Unii, monitorujący stosowanie RODO,
9. Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, z zaznaczeniem, że osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne,
10. Dane szczególnych kategorii – dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej,
11. Dane karne – dane dotyczące wyroków skazujących i naruszeń prawa,
12. Dane dzieci – dane osób poniżej 16 roku życia,
13. Zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym, to jest takich, które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony lub podzielony funkcjonalnie bądź geograficznie,
14. Przetwarzanie danych – jakiekolwiek operacje lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, opracowywanie, zmienianie, udostępnianie
    i usuwanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępniania, dopasowywanie lub łącznie, ograniczanie, usuwanie lub niszczenie, 
15. Odbiorca danych – osoba fizyczna lub prawna, organ publiczny lub inny podmiot, któremu ujawnia się dane osobowe,
16. Eksport danych – przekazanie danych do państwa trzeciego lub organizacji międzynarodowej,
17. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych,

• Zakres obowiązywania Polityki ochrony danych osobowych

 

1. Politykę stosuje się do wszystkich zbiorów danych osobowych przetwarzanych przez spółkę FES.PL, jako Administratora Danych Osobowych, zarówno w systemach informatycznych, jak i w formie papierowej, 
2. Politykę stosują wszyscy pracownicy spółki FES.PL, stali współpracownicy współpracujący ze spółką FES.PL w oparciu o umowy cywilnoprawne oraz podmioty, niebędące pracownikami, którym spółka FES.PL powierzyła wykonywanie czynności związanych z przetwarzaniem danych osobowych.

• OSOBY ODPOWIEDZIALNE ZA OCHRONĘ DANYCH OSOBOWYCH

• Struktura organizacji ochrony danych osobowych

 

1. Za przetwarzanie danych osobowych oraz ich ochronę zgodnie z postanowieniami RODO, Ustawy, Polityki oraz procedur wewnętrznych z zakresu ochrony danych osobowych wdrożonych w FES.PL spółka z ograniczoną odpowiedzialnością z siedzibą w Łodzi, odpowiadają:

1. Administrator Danych Osobowych,
2. Administrator Systemów Informatycznych,
3. Inspektor Ochrony Danych Osobowych (w przypadku gdy takowy zostanie powołany)
4. Każda osoba wykonująca pracę, współpracownicy współpracujący ze spółką FES.PL w oparciu o umowy cywilnoprawne oraz podmioty, niebędące pracownikami, którym spółka FES.PL powierzyła wykonywanie czynności związanych z przetwarzaniem danych osobowych.
5.  

• Zadania i obowiązki Administratora danych 

 

1. 1. Administrator danych osobowych ustala konkretne, wyraźne i prawnie uzasadnione cele
      i sposoby przetwarzania danych osobowych, jak również zapewnia bezpieczeństwo przetwarzanych danych osobowych oraz wsparcie dla przedsięwzięć technicznych
      i organizacyjnych związanych z ochroną danych osobowych,
   2. W szczególności Administrator wdraża i wprowadza do stosowania polityki i procedury
      z zakresu ochrony danych osobowych, a także rekomendacje Prezesa Urzędu Ochrony Danych Osobowych,
   3. Administrator, jeżeli zaistnieje taka potrzeba wyznacza Inspektora Ochrony Danych,
   4. W stosunku do IOD (w przypadku jego powołania), Administrator jest odpowiedzialny za:
      1. zapewnienie, że jest on właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych,
      2. wspieranie IOD w wypełnianiu przez niego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej,
      3. zagwarantowanie by IOD nie działał pod wpływem presji i nie otrzymywał instrukcji dotyczących wykonywania swoich zadań,
      4. publikację danych kontaktowych IOD oraz zawiadomienie o nich Urzędu Ochrony Danych Osobowych,
   5. Administrator wyznacza Administratora Systemów Informatycznych oraz określa zakres jego zadań i czynności w zakresie ochrony danych osobowych w systemach informatycznych,

• Administrator nadaje, zmienia oraz odwołuje upoważnienia do przetwarzania danych osobowych oraz prowadzi Rejestr upoważnień,

• Administrator dopuszcza do przetwarzania danych osobowych wyłącznie osoby posiadające stosowne upoważnienie,

• Administrator zgłasza naruszenia ochrony danych osobowych do Urzędu Ochrony Danych Osobowych, a w przypadku, gdy zajdą ku temu odpowiednie przesłanki, również osobie, której dane dotyczą,

• Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszeń, skutków oraz podjętych działań zaradczych.

.

• Obowiązki i uprawnienia Inspektora ochrony danych w przypadku jego powołania

 

1. Nadzór nad przestrzeganiem zasad ochrony danych osobowych, w tym w szczególności wynikających z Rozporządzenia, Ustawy oraz niniejszej Polityki sprawuje Inspektor Ochrony Danych, 
2. Do podstawowych obowiązków Inspektora Ochrony Danych należy: 

1. informowanie Administratora oraz pracowników o obowiązkach spoczywających na nich na mocy Rozporządzenia oraz innych przepisów obowiązującego prawa w zakresie ochrony danych osobowych osób fizycznych,
2. monitorowanie przestrzegania Rozporządzenia oraz innych przepisów obowiązującego prawa, 
3. szkolenie pracowników spółki FES.PL z zakresu ochrony danych osobowych, 
4. przeprowadzanie audytów w zakresie stosowania niniejszej Polityki,
5. udzielanie wskazówek Administratorowi w przedmiocie wdrożenia odpowiednich
   i skutecznych środków technicznych jak również organizacyjnych, mających zabezpieczyć dane osobowe,
6. udzielanie w każdym przypadku, gdy takie działanie okaże się konieczne zaleceń, co do oceny skutków oraz monitorowanie ich wykonania,
7. współpraca z Prezesem Urzędu Ochrony Danych Osobowych we wszelkich prowadzonych przez niego postępowaniach związanych z naruszeniem ochrony danych osobowych,
8. pełnienie funkcji punktu kontaktowego dla Prezesa Urzędu Ochrony Danych Osobowych w kwestiach związanych z przetwarzaniem,
9. pełnienie roli punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z  wykonywaniem praw przysługujących im na mocy Rozporządzenia.

3. W przypadku jego powołania, do uprawnień Inspektora Ochrony Danych, a w razie braku powołania do Administratora, celem weryfikacji zgodności sposobu przetwarzania danych osobowych z powszechnie obowiązującymi przepisami prawa i wewnętrznymi aktami prawnymi, należą: 

1. wstęp do pomieszczeń, w których przetwarzane są dane osobowe i przeprowadzenie kontroli w celu oceny zgodności przetwarzania danych z prawem,
2. żądanie od pracowników i osób stale współpracujących z Administratorem pisemnych lub ustnych wyjaśnień w zakresie niezbędnym do ustalenia stanu faktycznego,
3. żądanie okazania dokumentów i wszelkich danych mających bezpośredni związek
   z przetwarzaniem danych osobowych,
4. dostęp do urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych osobowych 

• Zadania Administratora Systemów Informatycznych 

 

1. Administrator wyznacza Administratora systemów informatycznych by zapewnić efektywne
   i bezpieczne zarządzanie systemami informatycznymi służącymi do przetwarzania danych osobowych w spółce FES.PL.
2. Do uprawnień i obowiązków ASI należą, w szczególności:

1. Nadawanie, w imieniu Administratora, karty uprawnień do przetwarzania danych osobowych w określonych systemach informatycznych,
2. stosowanie środków zapewniających bezpieczeństwo przetwarzania danych osobowych w systemach informatycznych, a w szczególności przeciwdziałających dostępowi osób niepowołanych do tych systemów,
3. podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń,
4. identyfikacja i analiza zagrożeń, na które może być narażone przetwarzanie danych osobowych w systemach informatycznych,
5. sprawowanie nadzoru nad przechowywanymi kopiami zapasowymi,
6. inicjowanie i nadzór nad wdrażaniem nowych narzędzi, procedur organizacyjnych oraz sposobów zarządzania systemami informatycznymi, które mają doprowadzić
   do wzmocnienia bezpieczeństwa przy przetwarzaniu danych osobowych,

1. ASI ściśle współpracuje z Inspektorem Ochrony Danych, a w przypadku braku jego powołania z Administratorem, w zakresie bezpieczeństwa danych osobowych przetwarzanych i przechowywanych w systemach informatycznych.

• Obowiązki osób upoważnionych do przetwarzania danych osobowych

• Każda osoba, która uzyskała upoważnienie do przetwarzania danych w FES.PL, zobowiązana jest do ich ochrony zgodnie z przepisami RODO, Ustawy, postanowieniami niniejszej Polityki oraz pozostałymi procedurami wewnętrznymi,

• Osoby upoważnione obowiązane są przestrzegać wdrożonych przez Administratora sposobów zabezpieczenia przetwarzanych danych osobowych. 

• Osoby upoważnione (pracownicy lub świadczący usługi na podstawie umów cywilnoprawnych) zobowiązane są do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. Obowiązek ten istnieje także po ustaniu zatrudnienia lub rozwiązaniu umowy cywilnoprawnej.

1. 1. Osoby upoważnione do przetwarzania danych osobowych składają oświadczenie o przyjęciu do wiadomości obowiązków wskazanych powyżej. Wzór oświadczenia stanowi Załącznik nr 1.

• Pracownicy oraz osoby świadczące usługi na podstawie umów cywilnoprawnych na rzecz spółki FES.PL są zobowiązani do brania udziału w organizowanych szkoleniach z zakresu ochrony danych osobowych.

1. Naruszenie obowiązku ochrony danych osobowych, a w szczególności obowiązku zachowania danych osobowych w tajemnicy stanowi ciężkie naruszenie obowiązków pracowniczych
   i może być podstawą rozwiązania stosunku pracy lub cywilnoprawnego.

 

III. ZASADY PRZETWARZANIA DANYCH OSOBOWYCH

• Ogólne zasady przetwarzania danych osobowych

 

1. Przetwarzanie danych osobowych w FES.PL odbywa się zgodnie z ogólnymi zasadami przetwarzania danych osobowych określonymi w art. 5 RODO. Oznacza to, że dane osobowe przetwarza się:

1. zgodnie z prawem, w oparciu o co najmniej jedną przesłankę legalności przetwarzania danych osobowych wskazaną w art. 6 lub 9 RODO (zasada legalności),
2. w sposób rzetelny przy uwzględnieniu interesów i rozsądnych oczekiwań osób, których dane dotyczą (zasada rzetelności),
3. w sposób przejrzysty dla osób, których dane dotyczą (zasada przejrzystości),
4. w konkretnych, wyraźnych i prawnie uzasadnionych celach (zasada ograniczenia celu),
5. w zakresie adekwatnym, stosownym oraz niezbędnym dla celów, w których są przetwarzane (zasada minimalizacji danych),
6. przy uwzględnieniu ich prawidłowości i ewentualnego uaktualniania (zasada prawidłowości),
7. przez okres nie dłuższy, niż jest to niezbędne dla celów, w których są przetwarzane (zasada ograniczenia przechowywania),
8. w sposób zapewniający odpowiednie bezpieczeństwo (integralność i poufność).

1. System ochrony danych osobowych w FES.PL składa się z następujących elementów:

1. analiza i identyfikacja okoliczności przetwarzania oraz ryzyka przetwarzania,
2. rejestr czynności przetwarzania danych osobowych,
3. podstawy prawne przetwarzania,
4. procedury dostępu do przetwarzania danych,
5. bezpieczeństwo,
6. powierzenie przetwarzania danych,
7. ochrona danych osobowych w fazie projektowania oraz domyślna ochrona danych.

 

1. Analiza i identyfikacja okoliczności przetwarzania oraz ryzyka przetwarzania

 

1. Polityka Ochrony Danych Osobowych opiera się na analizie i identyfikacji okoliczności przetwarzania oraz analizie ryzyka przetwarzania.
2. Przez  okoliczności  przetwarzania  rozumie  się  charakter,  zakres,  kontekst  i  cele przetwarzania danych osobowych. Charakter przetwarzania obejmuje:

1. a) rodzaj przetwarzanych danych, w tym czy dane przetwarzane są danymi szczególnej kategorii,
2. b) rodzaj nośników, na których dane są przetwarzane, w tym czy dane są przetwarzane w systemie informatycznym czy w formie papierowej,
3. c) podstawę prawną przetwarzania danych osobowych, częstotliwość przetwarzania danych osobowych, w tym czy dane przetwarzane są w sposób ciągły, systematyczny lub incydentalny,
4. d) stwierdzenie  czy  przetwarzane  dane  pochodzą  bezpośrednio  od  osób,  których dotyczą, czy od innych osób.

1. Zakres przetwarzania obejmuje konkretne czynności przetwarzania, które są wykonywane.
2. Kontekst przetwarzania obejmuje umiejscowienie przetwarzania w czasie i przestrzeni; przy definiowaniu  kontekstu  przetwarzania  bierze  się  pod  uwagę  konkretne  otoczenie  i środowisko  przetwarzania  danych,  takie  jak  miejsce  przetwarzania  oraz  fizyczne   i techniczne  sposoby  zabezpieczenia  przetwarzania czynniki te muszą mieć wpływ na czynności przetwarzania.
3. Cele  przetwarzania  danych  są  konkretne  i  odnoszą  się  do  podstawy  prawnej przetwarzania.
4. Analiza   i   ocena   ryzyka obejmuje szacowanie prawdopodobieństwa  wystąpienia zdarzenia  naruszającego  prawa  osób,  których  dane  są  przetwarzane  oraz  określeniu istotności efektów takiego zdarzenia. Każdemu zidentyfikowanemu ryzyku przypisuje  się skalę liczbową lub jakościową np. niski, średni, wysoki.
5. Wybór formy  postępowania  z  ryzykiem  obejmuje: obniżenie  poziomu  ryzyka  poprzez zastosowanie  odpowiednich  środków  organizacyjnych  lub  faktycznych  (np.  szkolenia pracowników), unikanie  ryzyka  (np. poprzez niepodejmowanie dodatkowych czynności, które wymagają  przetwarzania  danych  wrażliwych),  lub przeniesienie  ryzyka  (np.  poprzez zawarcie odpowiednich klauzul w umowach z kontrahentami).
6. Administrator danych nie podejmuje czynności przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator wykona czynności określone w art. 35 i nast. RODO.

• Rejestr czynności przetwarzania danych (RCPD)

• Rejestr czynności przetwarzania danych jest jednym z elementów zapewniających rozliczalność działań spółki FES.PL dotyczących ochrony danych osobowych.

• Rejestr wskazuje zakres przetwarzania danych osobowych przez Administratora. Wzór Rejestru stanowi załącznik nr 1a

• W Rejestrze dla każdej czynności przetwarzania danych odnotowuje się, co najmniej:

1. nazwę czynności,
2. cel przetwarzania,
3. osobę odpowiedzialną za realizację czynności, 
4. opis kategorii osób,
5. zakres kategorii danych,
6. podstawę prawną przetwarzania,
7. okres przechowywania danych,
8. opis kategorii odbiorców danych, 
9. ogólny opis technicznych i organizacyjnych środków ochrony danych,
10. nazwę współadministratora lub podmiotu przetwarzającego,
11.  informację o przekazaniu do kraju trzeciego tj. poza EU/EOG.

• Podstawy prawne przetwarzania danych dla poszczególnych czynności przetwarzania dokumentowane są w RCPD.

• W FES.PL Rejestr czynności przetwarzania danych w formie elektronicznej prowadzi Administrator.

• Podstawy prawne przetwarzania:

 

1. Administrator zapewnia, identyfikuje, weryfikuje podstawy prawne przetwarzania danych dla poszczególnych czynności przetwarzania.
2. Administrator dokumentuje w Rejestrze podstawy prawne przetwarzania danych dla poszczególnych czynności przetwarzania.
3. Administrator  wdraża  metody  zarządzania  zgodami  umożliwiające  rejestrację  i weryfikację  zgody  osoby  na  przetwarzanie  jej  konkretnych  danych  osobowych  w konkretnym celu, jak również rejestrację cofnięcia zgody, sprzeciwu, ograniczenia, itp. 

• Procedury dostępu do przetwarzania danych osobowych

• Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Administratora. Wzór upoważnienia stanowi załącznik nr 2,

1. 1. Upoważnienie nadawane jest na pisemny wniosek przełożonego pracownika mającego mieć dostęp do przetwarzania danych. Wzór wniosku stanowi załącznik nr 3,

• Zakres dostępu do operacji na danych wynika bezpośrednio z zakresu obowiązków pracownika oraz indywidualnej karty uprawnień do systemów informatycznych.

1. Upoważnienie do przetwarzania danych osobowych wydawane jest po przeprowadzeniu szkolenia osoby upoważnionej z zasadami ochrony danych osobowych obowiązującymi
   w spółce FES.PL.
2.  Za przeszkolenie upoważnionego pracownika lub osoby wspólpracujące z Administratorem na podstawie umów cywilnoprawnych odpowiedzialny jest IOD, a w przypadku jego braku Administrator lub wskazana przez niego osoba specjalizująca się w tematyce ochrony danych osobowych, który potwierdza odbycie szkolenia upoważnieniu do przetwarzania danych osobowych.
3. Administrator sporządza upoważnienie do przetwarzania danych osobowych w dwóch egzemplarzach i podpisuje, a następnie przedkłada je pracownikowi.
4. Jeden egzemplarz upoważnienia przechowuje się, jako część dokumentacji kadrowej, drugi jest wydawany pracownikowi, któremu nadano upoważnienie.
5. Wydanie każdego upoważnienia jest odnotowywane przez Administratora w prowadzonej przez niego ewidencji. Wzór ewidencji stanowi załącznik nr 4.
6. Utrata uprawnień do przetwarzania danych osobowych wynikających z upoważnienia
   do przetwarzania danych osobowych może nastąpić z powodu:

1.  rozwiązania stosunku pracy,
2.  zmiany stanowiska pracy w spółce FES.PL, na którym nie ma konieczności posiadania dostępu do zbiorów danych osobowych, a nowy zakres czynności nie wykazuje obowiązków służbowych związanych z przetwarzaniem danych osobowych,
3.  umyślnego naruszenia zasad ochrony danych osobowych określonych w Rozporządzeniu, Polityce oraz innych przepisach dotyczących ochrony danych osobowych.

1. W przypadku utraty uprawnień do przetwarzania danych osobowych ADO zobowiązany jest
   do niezwłocznego odwołania upoważnienia do przetwarzania danych osobowych oraz dokonania zmian w ewidencji osób upoważnionych do przetwarzania danych oraz w rejestrze uprawnień do systemów informatycznych. 
2. Dostęp do danych osobowych i ich przetwarzania bez odrębnego upoważnienia może mieć miejsce wyłącznie w przypadku działań podmiotów upoważnionych na mocy odpowiednich przepisów prawa.

• Bezpieczeństwo:

 

1. Administrator  zwraca  szczególną  uwagę  na  elementy  zarządzania,  które  mają  istotny wpływ na bezpieczeństwo danych rozumiane jako ochrona przed przypadkowym lub niezgodnym  z  prawem  zniszczeniem,  utratą,  zmodyfikowaniem,  nieuprawnionym ujawnieniem  lub  nieuprawnionym  dostępem  do  danych  osobowych  przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
2. Administrator zapewnia stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i  wolności  osób  fizycznych  w skutek przetwarzania  danych  osobowych, w tym celu przeprowadza analizy ryzyka dla czynności przetwarzania danych lub kategorii.
3. Administrator  podczas  tworzenia  niniejszej  Polityki  nie  przeprowadził oceny  skutków przetwarzania dla ochrony danych, gdyż charakter, zakres, kontekst i cele przetwarzania danych  osobowych  nie  wskazują  na duże  prawdopodobieństwo  wysokiego  ryzyka naruszenia praw  lub  wolności  osób  trzecich.  
4. Administrator  stosuje  zróżnicowane  środki  techniczne  i  organizacyjne  zapewniające ochronę  przetwarzanych  danych  osobowych.  Szczegółowe  informacje  dotyczące zastosowanych środków bezpieczeństwa znajdują się w punkcie X poniżej oraz w Regulaminie Ochrony Danych Osobowych.
5. Administrator zarządza incydentami stosuje procedury pozwalające na identyfikację, ocenę  i  zgłoszenie  zidentyfikowanego  naruszenia  ochrony  danych  Urzędowi  Ochrony Danych. Szegółowe zasady reguluje Procedura Postępowania w Sprawie Naruszeń Danych Osobowych.

• Powierzenie przetwarzania danych osobowych

• Administrator może powierzyć przetwarzanie danych osobowych poza własną strukturą organizacyjną innemu podmiotowi w drodze umowy zawartej na piśmie lub innego instrumentu prawnego.

1. Umowa powierzenia przetwarzania danych osobowych powinna w szczególności określać:

1. przedmiot powierzenia,
2. czas trwania powierzenia,
3. charakter i cel przetwarzania,
4. rodzaj powierzanych danych osobowych,
5. kategorie osób, których dane dotyczą,
6. warunki podpowierzenia przetwarzania danych,
7. obowiązki i prawa Administratora.

1. Ze względu na indywidualny charakter, treść umowy powierzenia każdorazowo powinien redagować Radca Prawny.
2. W przypadku, gdy elementy powierzenia przetwarzania danych wskazane powyżej znajdują się już w zawartej z danym podmiotem umowie, nie ma konieczności sporządzania dodatkowej umowy powierzenia przetwarzania danych osobowych.
3. Każdy przypadek powierzenia przez Administratora przetwarzania danych podmiotowi zewnętrznemu musi być zgłoszony IOD w przypadku, gdy takowy został powołany.
4. Administrator korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

• Ochrona danych osobowych w fazie projektowania oraz domyślna ochrona danych

 

1. Administrator wdraża odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, nadania przetwarzaniu danych niezbędnych zabezpieczeń oraz zapewnieniu ochrony praw osób, których dane dotyczą.
2. Wdrażając odpowiednie środki techniczne i organizacyjne Administrator uwzględnia:

1. stan wiedzy technicznej,
2. koszt wdrażania,
3. charakter, zakres, kontekst i cele przetwarzania danych,
4. ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania.

1. Administrator wdraża takie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia określonego celu przetwarzania, biorąc pod uwagę: ilość zbieranych danych osobowych, ich zakres, okres ich przechowywania oraz ich dostępność dla innych osób.
2. W szczególności stosowane środki techniczne i organizacje muszą zapewnić, by domyślnie dane osobowe nie były udostępniane nieokreślonej liczbie osób. 
3. W pierwszej kolejności, Administrator rozważa, czy cel, jakiemu ma służyć projektowane rozwiązane jest możliwy do osiągnięcia bez konieczności przetwarzania danych osobowych. Jeśli tak, należy wybrać takie rozwiązanie.
4. Administrator zapewnia, aby spełnienie warunków wskazanych powyżej (tzw. zasady privacy by design zwanej również zasadą prywatności w fazie projektowania i zasady privacy by default zwanej zasadą prywatności w ustawieniach domyślnych) było odpowiednio udokumentowane.
5. Ogólny opis organizacyjnych środków bezpieczeństwa wdrożonych w FES.PL stanowi Załącznik nr 5 do Polityki.
6. Ogólny opis technicznych środków bezpieczeństwa wdrożonych w FES.PL stanowi Załącznik nr 6 do Polityki.

•  Zasady bezpieczeństwa ochrony danych osobowych

 

1. Dostęp do danych osobowych mogą mieć tylko pracownicy posiadający upoważnienie do ich przetwarzania.
2. Przebywanie osób nieuprawnionych do przetwarzania danych w pomieszczeniu, w którym przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby upoważnionej.
3. Pracownicy mający dostęp do danych osobowych nie mogą ich ujawniać zarówno w miejscu pracy, jak i poza nim, w sposób wykraczający poza czynności związane z ich przetwarzaniem, w zakresie obowiązków służbowych, w ramach udzielonego upoważnienia do przetwarzania danych.
4. Pracownicy przechowujący dane osobowe zobowiązani są do zabezpieczenia materiałów zawierających dane w sposób uniemożliwiający dostęp do nich osobom nieuprawnionym. 
5. Niedopuszczalnym jest wynoszenie materiałów zawierających dane osobowe poza obszar ich przetwarzania bez związku z wykonywaniem czynności służbowych. Za bezpieczeństwo
   i zwrot materiałów zawierających dane osobowe odpowiada w tym przypadku osoba dokonująca ich wyniesienia.
6. Nikomu nie należy udostępniać indywidualnych haseł i identyfikatorów do systemów informatycznych.
7. Nie można udzielać informacji dotyczących danych osobowych innym podmiotom na podstawie prośby o takie dane skierowanej w formie zapytania telefonicznego.
8. W miejscu przetwarzania danych osobowych utrwalonych w formie papierowej pracownicy zobowiązani są do stosowania zasady tzw. czystego biurka, która oznacza niepozostawianie materiałów zawierających dane osobowe w miejscu umożliwiającym fizyczny dostęp do nich osobom nieuprawnionym. Za realizację powyższej zasady odpowiedzialny jest na swym stanowisku każdy z pracowników oraz osób współpracujące ze spółką FES.PL w oparciu o umowy cywilnoprawne.
9. Niszczenie brudnopisów, błędnych lub zbędnych kopii materiałów zawierających dane osobowe odbywać się musi w sposób uniemożliwiający odczytanie zawartej w nich treści
   tj. z wykorzystaniem niszczarek.
10. Za bezpieczeństwo przetwarzania danych osobowych w określonym zbiorze indywidualną odpowiedzialność ponosi przede wszystkim każdy pracownik lub osoba współpracująca ze spółką FES.PL w oparciu o umowę cywilnoprawną, mająca dostęp do tego zbioru.
11. W czasie chwilowej nieobecności pracowników w pomieszczeniach, w godzinach pracy
    jak i po zakończeniu pracy, są oni zobowiązani do zamykania na klucz pomieszczeń lub budynków wchodzących w skład obszarów, w których przetwarzane są dane osobowe. 
12. Klucze do pomieszczeń, w których przetwarzane są dane osobowe nie mogą być pozostawione w zamku w drzwiach. Pracownicy zobowiązani są do dołożenia należytej staranności w celu zabezpieczenia kluczy przed udostępnieniem ich osobom nieupoważnionym.
13. Po zakończeniu pracy w systemie informatycznym, w którym przechowywane są dane osobowe, należy wylogować się z systemu.
14. Osoba użytkująca komputer przenośny zawierający dane osobowe zobowiązana jest
    do zachowania szczególnej ostrożności podczas jego transportu, przechowywania
    i użytkowania poza obszarem, w którym przetwarzane są dane osobowe.
15. Dane osobowe przesyłane elektronicznie powinny być zabezpieczone hasłem. Hasło
    to powinno być wysyłane oddzielnym kanałem telekomunikacyjnym.

• Okres przetwarzania danych osobowych

 

1. 1. Okres przetwarzania danych osobowych przez spółkę FES.PL zależy od rodzaju i celu przetwarzania. 

• Szczegóły dotyczące okresu przetwarzania danych osobowych przez spółkę FES.PL zawarte są w prowadzonym Rejestrze czynności przetwarzania danych.

1. Okres przetwarzania danych osobowych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia lub dochodzenia roszczeń lub obrony przed roszczeniami, a po tym okresie – jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa. 

• Postanowienia końcowe

• Niniejsza Polityka  ma  status  dokumentu  przeznaczonego  do  użytku  wewnętrznego  i  może  być udostępniona osobom trzecim tylko za zgodą Administratora.

• Co najmniej raz w roku Administrator, a w przypadku jego wyznaczenia, Inspektor ochrony danych dokonuje przeglądu niniejszej Polityki w celu oceny jej przydatności, spójności, zgodności z prawem oraz właściwego opisywania stanu faktycznego.

1. Załączniki do Polityki Ochrony Danych Osobowych są jej integralną częścią. Na strukturę dokumentów  związanych  z  ochroną  danych  osobowych składa  się niniejsza Polityka, jako dokument główny, także załączone do niej procedury, regulaminy i wzory.