PL

 

PRZEDSIĘBIORSTWO BUDOWNICTWA OGÓLNEGO I ROBÓT INŻYNIERYJNYCH „INŻYNIERIA” SP. Z O.O. Z SIEDZIBĄ W PŁOŃSKU WPISANA DO REJESTRU PRZEDSIĘBIORCÓW KRAJOWEGO REJESTRU SĄDOWEGO PROWADZONEGO PRZEZ SĄD REJONOWY DLA M. ST. WARSZAWY W WARSZAWIE POD NUMEREM KRS 0000048966, NIP 5670002475, KAPITAŁ ZAKŁADOWY 5.050.500,00 ZŁ („SPÓŁKA”)

 

POLITYKA BEZPIECZEŃSTWA

PRZETWARZANIA DANYCH OSOBOWYCH

 

Podstawa prawna:

 

Polityka bezpieczeństwa przetwarzania danych osobowych w Przedsiębiorstwie Budownictwa Ogólnego i Robót Inżynieryjnych „INŻYNIERIA” sp. z o.o. z siedzibą w Płońsku (zwana dalej „Polityką Bezpieczeństwa”) została wydana na podstawie:

1)            rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),

2)            ustawy o ochronie danych osobowych z dnia 10.05.2018 r. Dz. U. z 2018 r., poz. 1000;

3)            wytycznych Grupy Roboczej Artykułu 29 ds. Ochrony Danych w Brukseli,
w szczególności:

a)       dotyczących prawa do przenoszenia danych, przyjętych w dniu 13 grudnia 2016 r. (ostatnio zmienionych i przyjętych w dniu 5 kwietnia 2017 r.),

b)       dotyczących ustalenia wiodącego organu nadzorczego właściwego dla administratora lub podmiotu przetwarzającego przyjętych w dniu 13 grudnia 2016 r. (ostatnio zmienionych i przyjętych w dniu 5 kwietnia 2017 r.),

c)        dotyczących inspektorów ochrony danych osobowych, przyjętych w dniu 13 grudnia 2016 r. (ostatnio zmienionych i przyjętych w dniu 5 kwietnia 2017 r.),

d)       dotyczących oceny skutków dla ochrony danych (DPIA) oraz ustalenia, czy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko”, do celów rozporządzenia 2016/679, przyjętych w dniu 4 kwietnia 2017 r.,

e)       dotyczących zgody na mocy rozporządzenia 2016/679, przyjętych w dniu 28 listopada 2017 r.

 

  1. I.                   DEFINICJE

 

Ilekroć w Polityce Bezpieczeństwa jest mowa o:

1)            danych osobowych – rozumie się przez to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą);

2)            osobie możliwej do zidentyfikowania - rozumie się przez to osobę fizyczną, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

3)            administratorze danych osobowych – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (w niniejszej Polityce Bezpieczeństwa jest to Spółka);

4)            osobie upoważnionej do przetwarzania danych osobowych – rozumie się przez to osobę, która posiada formalne upoważnienie do przetwarzania danych osobowych wydane przez administratora danych osobowych lub przez osobę wyznaczoną, upoważnioną do przetwarzania danych osobowych;

5)            podmiocie przetwarzającym – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora danych osobowych;

6)            odbiorcy – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią;

7)            stronie trzeciej – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator danych osobowych, podmiot przetwarzający czy osoby, które – z upoważnienia administratora danych osobowych lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;

8)            systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych;

9)            stacji roboczej – rozumie się przez to stacjonarny lub przenośny komputer wchodzący w skład systemu informatycznego umożliwiający użytkownikom systemu dostęp do danych osobowych znajdujących się w systemie informatycznym;

10)       bezpieczeństwie systemu informatycznego – rozumie się przez to wdrożenie środków organizacyjnych i technicznych w celu zabezpieczenia systemu informatycznego oraz zapewnienia bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym, zwłaszcza w celu ich uchronienia przed nieuprawnionym zniszczeniem, utraceniem, zmodyfikowaniem oraz nieuprawnionym ujawnieniem lub dostępem;

11)       przetwarzaniu danych osobowych – rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie przez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

12)       ograniczeniu przetwarzania – rozumie się przez to oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

13)       profilowaniu – rozumie się przez to dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;

14)       pseudonimizacji – rozumie się przez to przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

15)       zgodzie – rozumie się przez to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

16)       naruszeniu bezpieczeństwa przetwarzania danych osobowych (naruszeniu ochrony danych osobowych) – rozumie się przez to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

17)       ocenie skutków – rozumie się przez to proces, mający opisać przetwarzanie, ocenić niezbędność i proporcjonalność przetwarzania oraz pomóc w zarządzaniu wynikającym z przetwarzania danych osobowych ryzykiem naruszenia praw lub wolności osób fizycznych poprzez ocenę ryzyka i ustalenie środków mogących mu zaradzić;

18)       zbiorze danych – rozumie się przez to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

19)       formacie nadającym się do odczytu maszynowego - rozumie się przez to każdy format pliku zorganizowany w sposób umożliwiający aplikacjom komputerowym łatwe identyfikowanie, rozpoznawanie i pozyskiwanie z niego określonych danych;

20)       sieci publicznej – rozumie się przez to sieć telekomunikacyjną wykorzystywaną głównie do świadczenia publicznie dostępnych usług telekomunikacyjnych;

21)       sieci telekomunikacyjnej – rozumie się przez to systemy transmisyjne oraz urządzenia komutacyjne lub przekierowujące, a także inne zasoby, w tym nieaktywne elementy sieci, które umożliwiają nadawanie, odbiór lub transmisję sygnałów za pomocą przewodów, fal radiowych, optycznych lub innych środków wykorzystujących energię elektromagnetyczną, niezależnie od ich rodzaju;

22)       transgranicznym przetwarzaniu danych – rozumie się przez to: (i)  przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej, niż jednym państwie członkowskim administratora danych osobowych lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim; albo (ii) przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora danych osobowych lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim;

23)       ustawie – rozumie się przez to ustawę z dnia 10.05.2018 r. Dz.U. z 2018 r., poz. 1000;

24)       RODO – rozumie się przez to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);

25)       Spółce - rozumie się przez to Przedsiębiorstwo Budownictwa Ogólnego i Robót Inżynieryjnych „INŻYNIERIA” sp. z o.o. z siedzibą w Płońsku;

26)       siedzibie Spółki – rozumie się przez to siedzibę Spółki w Płońsku przy ul. Mazowieckiej 9;

27)       organie nadzorczym - rozumie się przez to Prezesa Urzędu Ochrony Danych Osobowych.

 

  1. II.                PODSTAWOWE ZASADY I CELE POLITYKI BEZPIECZEŃSTWA

 

2.1.     Polityka Bezpieczeństwa określa zasady i procedury przetwarzania danych osobowych, które powinny być przestrzegane i stosowane w Spółce.

 

2.2.     Celem Polityki Bezpieczeństwa jest ochrona danych osobowych osób fizycznych w Spółce oraz zapewnienie bezpieczeństwa przetwarzania danych osobowych (także danych wrażliwych) przez Spółkę, w tym zapewnienie bezpieczeństwa przetwarzania danych osobowych w systemach informatycznych Spółki zgodnie z przepisami prawa z zakresu ochrony danych osobowych.

 

2.3.     Przez ochronę danych osobowych w Spółce oraz bezpieczeństwo przetwarzania danych osobowych przez Spółkę rozumie się w szczególności zapewnienie:

a)        legalności – cechy gwarantującej, że dane osobowe są przetwarzane zgodnie z prawem oraz

b)        rzetelności – cechy gwarantującej, że dane osobowe są przetwarzane w sposób uczciwy tj. z poszanowaniem interesów osób, których dane dotyczą i przy niewykorzystywaniu ich przymusowej sytuacji oraz

c)        przejrzystości - cechy gwarantującej, że osoba, której dane osobowe są przetwarzane, została należycie poinformowana o istotnych dla niej aspektach tego przetwarzania oraz

d)        celowości – cechy gwarantującej, że dane osobowe są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz nieprzetwarzane w sposób niezgodny z tymi celami oraz

e)        adekwatności – cechy gwarantującej, że dane osobowe są stosowne oraz ograniczone do tego, co niezbędne dla realizacji celu, w którym są przetwarzane oraz

f)         prawidłowości – cechy gwarantującej, że dane osobowe są zgodne z rzeczywistością, dokładne, kompletne i uaktualniane w razie potrzeby oraz

g)        temporalności - cechy gwarantującej, że dane osobowe nie będą przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, po upływie okresu niezbędnego dla realizacji celu, w którym dane te były przetwarzane oraz

h)        integralności – cechy gwarantującej, że dane osobowe są przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych w szczególności ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem bądź przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych oraz

i)          poufności – cechy gwarantującej, że dane osobowe nie są udostępniane nieupoważnionym podmiotom oraz

j)          rozliczalności – cechy gwarantującej możliwość przypisania działań lub zaniechań podmiotu w sposób jednoznaczny tylko temu podmiotowi oraz

k)        dostępności - cechy gwarantującej, że dane osobowe będą osiągalne dla osób upoważnionych, ilekroć okaże się to potrzebne, także w razie wystąpienia incydentu fizycznego lub technicznego oraz

l)          sprawdzalności - cechy gwarantującej przeprowadzanie regularnych kontroli i oceny skuteczności środków technicznych i organizacyjnych służących przetwarzaniu danych osobowych.

 

  1. III.             DOKUMENTY POWIĄZANE

 

Integralną część Polityki Bezpieczeństwa stanowią następujące załączniki do niniejszego dokumentu:

1)            Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych - Załącznik nr 1,

2)            Formularz rejestru czynności przetwarzania administratora i rejestru czynności przetwarzania podmiotu przetwarzającego - Załącznik nr 2,

3)            Wzór uchwały o powołaniu Koordynatora Bezpieczeństwa Informacji - Załącznik nr 3,

4)            Wzór uchwały o powołaniu Administratora Systemu Informatycznego - Załącznik nr 4,

5)            Wzór umowy powierzenia przetwarzania danych osobowych - Załącznik nr 5,

6)            Formularz zgody/odmowy wyrażenia zgody na przetwarzanie danych - Załącznik nr 6,

7)            Formularz klauzuli informacyjnej - Załącznik nr 7,

8)            Formularz wniosku o nadanie/zmianę/odwołanie upoważnienia do przetwarzania danych osobowych w Spółce, w tym do przetwarzania danych osobowych w systemach informatycznych Spółki - Załącznik nr 8,

9)            Formularz upoważnienia do przetwarzania danych osobowych - Załącznik nr 9,

10)       Formularz oświadczenia osoby, która ma być upoważniona do przetwarzania danych osobowych w Spółce, o zachowaniu poufności - Załącznik nr 10,

11)       Formularz zapoznania osoby,  która ma być upoważniona do przetwarzania danych osobowych w Spółce, z Polityką Bezpieczeństwa oraz przepisami prawa z zakresu ochrony danych osobowych - Załącznik nr 11,

12)       Formularz ewidencji osób upoważnionych do przetwarzania danych osobowych w Spółce, w tym osób upoważnionych do przetwarzania danych osobowych w systemach informatycznych Spółki - Załącznik nr 12,

13)       Formularz zgłoszenia naruszenia bezpieczeństwa przetwarzania danych osobowych organowi nadzorczemu - Załącznik nr 13,

14)       Formularz ewidencji podmiotów, którym zostały powierzone do przetwarzania dane osobowe - Załącznik nr 14,

15)       Formularz ewidencji pomieszczeń, w których przetwarzane są dane osobowe - Załącznik nr 15,

16)       Polityka przechowywania, usuwania i niszczenia danych osobowych – Załącznik nr 16.

 

  1. IV.              ZAKRES STOSOWANIA

 

4.1.     Politykę Bezpieczeństwa stosuje się do danych osobowych niezależnie od technicznego sposobu ich przetwarzania, a w szczególności do:

a)       danych osobowych przetwarzanych w systemach informatycznych Spółki oraz

b)       danych osobowych zapisanych na zewnętrznych nośnikach informacji oraz

c)        danych osobowych zawartych w dokumentacji papierowej.

 

4.2.     Zasady i procedury określone w Polityce Bezpieczeństwa obowiązują Koordynatora Bezpieczeństwa Informacji, Administratora Systemu Informatycznego oraz wszystkie osoby upoważnione do przetwarzania takich danych osobowych w Spółce.

 

  1. V.                 POZIOM BEZPIECZEŃSTWA

 

5.1.     Urządzenia systemu informatycznego, w tym wchodzące w jego skład stacje robocze służące do przetwarzania danych osobowych w Spółce, połączone są z siecią publiczną za pośrednictwem routera.

 

5.2.     Przy przetwarzaniu danych osobowych w Spółce należy stosować wysoki poziom bezpieczeństwa w rozumieniu § 6 ust. 4 rozporządzenia z dnia 29 kwietnia 2004 r. Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

 

5.3.     W razie uchylenia rozporządzenia  z dnia 29 kwietnia 2004 r. Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, Spółka będzie stosować zasady wskazane w załączniku A, B i C tego rozporządzenia, chyba że będzie obowiązywał w to miejsce inny akt prawny. W takim przypadku Spółka dokona odpowiedniej aktualizacji Polityki Bezpieczeństwa zgodnie z zasadami wskazanymi w rozdz. XXVII.

 

  1. VI.               ORGANIZACJA PRZETWARZANIA DANYCH OSOBOWYCH

 

6.1.          Administratorem danych osobowych jest Przedsiębiorstwo  Budownictwa Ogólnego i Robót Inżynieryjnych „INŻYNIERIA” sp. z o.o. z siedzibą w Płońsku („Administrator”).

 

6.2.     Administrator realizuje zadania z zakresu ochrony danych osobowych w Spółce oraz bezpieczeństwa przetwarzania danych osobowych przez Spółkę przez:

a)       wyznaczenie osoby odpowiedzialnej za przestrzeganie Polityki Bezpieczeństwa w Spółce („Koordynator Bezpieczeństwa Informacji”) oraz

b)       wyznaczenie osoby odpowiedzialnej za bezpieczeństwo systemów informatycznych funkcjonujących w Spółce („Administrator Systemu Informatycznego”) oraz

c)        bieżący nadzór Zarządu Spółki nad działaniami Koordynatora Bezpieczeństwa Informacji i Administratora Systemu Informatycznego oraz osób im podległych w zakresie ochrony danych osobowych w Spółce oraz bezpieczeństwa przetwarzania danych osobowych przez Spółkę, o których mowa w pkt. 2.3.

 

6.3.     Administrator może w każdym czasie odwołać Koordynatora Bezpieczeństwa Informacji lub Administratora Systemu Informatycznego.

 

6.4.     Na podstawie uchwały Zarządu Spółki z dnia 25.05.2018 r, Koordynatorem Bezpieczeństwa Informacji jest Agata Radomska.

 

6.5.     Na podstawie uchwały Zarządu Spółki z dnia 10.12.2018 r. Administratorem Systemu Informatycznego jest Alan Webster.

 

 

 

6.6.     Powołanie przez Spółkę Koordynatora Bezpieczeństwa Informacji lub Administratora Systemu Informatycznego nie oznacza powołania inspektora ochrony danych osobowych w rozumieniu rozdziału IV sekcji 4 RODO.

 

6.7.     O wyznaczeniu Koordynatora Bezpieczeństwa Informacji lub Administratora Systemu Informatycznego wszyscy pracownicy Spółki zostaną powiadomieni przez wywieszenie stosownego ogłoszenia Zarządu Spółki w siedzibie Spółki, a także przez jego rozesłanie na pracownicze skrzynki poczty elektronicznej wszystkich pracowników, którzy dysponują służbowymi adresami e-mail. W ogłoszeniu tym zostaną zawarte w szczególności następujące informacje:

a)       imię i nazwisko Koordynatora Bezpieczeństwa Informacji,

b)       adres e-mail Koordynatora Bezpieczeństwa Informacji przeznaczony wyłącznie dla zgłaszania zastrzeżeń i zawiadomień dotyczących jakichkolwiek kwestii związanych z danymi osobowymi w Spółce i zapewnieniem bezpieczeństwa ich przetwarzania,

c)        imię i nazwisko Administratora Systemu Informatycznego,

d)       adres e-mail Administratora Systemu Informatycznego przeznaczony wyłącznie dla zgłaszania zastrzeżeń i zawiadomień dotyczących jakichkolwiek kwestii związanych z danymi osobowymi w Spółce i zapewnieniem bezpieczeństwa ich przetwarzania.

 

6.8.     Zmiana informacji, o których mowa w pkt 6.7. wymaga wywieszenia nowego ogłoszenia i rozesłania go na pracownicze skrzynki poczty elektronicznej wszystkich pracowników, którzy dysponują służbowymi adresami e-mail oraz dokonania odpowiedniej aktualizacji na stronie internetowej.

 

6.9.     Osoby, których dane dotyczą, mogą kontaktować się z Koordynatorem Bezpieczeństwa Informacji lub Administratorem Systemu Informatycznego we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem przysługujących im praw z zakresu ochrony danych osobowych.

 

6.10.Koordynator Bezpieczeństwa Informacji oraz Administrator Systemu Informatycznego przy wykonywaniu powierzonych im czynności, niezależnie od obowiązków wskazanych w rodz. VII i VIII, są zobowiązani do:

a)       dołożenia należytej staranności przy wykonywaniu powierzonych im zadań oraz

b)       zachowania w tajemnicy wszystkich okoliczności, które wiążą się z wykonywaniem przez nich powierzonych im zadań oraz

c)        stałego szkolenia i doskonalenia umiejętności praktycznych z zakresu bezpieczeństwa przetwarzania danych osobowych oraz

d)       stałego podnoszenia kultury przetwarzania danych osobowych w Spółce.

 

  1. VII.           OBOWIĄZKI KOORDYNATORA BEZPIECZEŃSTWA INFORMACJI

 

7.1.     Koordynator Bezpieczeństwa Informacji zapewnia przestrzeganie Polityki Bezpieczeństwa.

 

7.2.     Do zadań Koordynatora Bezpieczeństwa Informacji w zakresie przestrzegania Polityki Bezpieczeństwa należy w szczególności:

a)       nadzór nad zabezpieczeniem obszarów przetwarzania danych osobowych w Spółce, zgodnie  z zasadami wskazanymi w rozdz. XI;

b)       zapewnienie legalności przetwarzania danych osobowych w Spółce, zgodnie z zasadami wskazanymi w rozdz. XIV;

c)        zapewnienie systematycznego usuwania danych osobowych w Spółce, zgodnie z zasadami wskazanymi w rozdz. XV;

d)       zapewnienie praw osób, których dotyczą dane osobowe przetwarzane przez Spółkę, zgodnie z zasadami wskazanymi w rozdz. XVI;

e)       kontrola zawieranych przez Spółkę z podmiotami przetwarzającymi umów powierzenia przetwarzania danych osobowych pod względem zgodności ich treści z zasadami i procedurami Polityki Bezpieczeństwa oraz przepisami prawa z zakresu ochrony danych osobowych zgodnie z zasadami wskazanymi w rozdz. XVII;

f)         wdrożenie i stosowanie środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych w Spółce, zgodnie z zasadami wskazanymi w rozdz. XVIII - XX;

g)       reagowanie na przypadki naruszenia bezpieczeństwa przetwarzania danych osobowych (naruszenia ochrony danych osobowych) w Spółce oraz prowadzenie i przechowywanie dokumentacji przypadków naruszenia bezpieczeństwa przetwarzania danych osobowych, zgodnie z zasadami wskazanymi w rozdz. XXII;

h)       dokonywanie analizy i wdrożenia zabezpieczeń, które powinny być zastosowane dla zachowania bezpieczeństwa przetwarzania danych osobowych w razie konieczności powołania inspektora danych osobowych w rozumieniu rozdziału IV sekcji 4 RODO, zgodnie z zasadami wskazanymi w rozdz. XXIV;

i)         ustalanie, czy nowy rodzaj przetwarzania danych osobowych może z dużym prawdopodobieństwem powodować, ze względu na swój charakter, zakres, kontekst i cele wysokie ryzyko naruszenia praw lub wolności osób fizycznych, zgodnie z zasadami wskazanymi w rozdz. XXV;

j)         przeprowadzanie szkoleń z zakresu bezpieczeństwa przetwarzania danych osobowych, w tym z zakresu bezpieczeństwa przetwarzania danych osobowych w systemach informatycznych Spółki, zgodnie z zasadami wskazanymi w rozdz. XXVI;

k)       aktualizacja Polityki Bezpieczeństwa, w tym aktualizacja wzorów dokumentów składających się na Politykę Bezpieczeństwa w Spółce zawartych w załącznikach Polityki Bezpieczeństwa wymienionych w rozdz. III oraz sporządzanie raportu z okresowego przeglądu Polityki Bezpieczeństwa, zgodnie z zasadami wskazanymi w rozdz. XXVII;

l)         wydawanie odpowiednich zaleceń i ich egzekwowanie w razie wykrycia niezgodności przetwarzania danych osobowych w Spółce z zasadami i procedurami Polityki Bezpieczeństwa lub z przepisami prawa z zakresu ochrony danych osobowych;

m)     prowadzenie rejestru czynności przetwarzania - według wzoru zawartego w formularzu stanowiącym Załącznik nr 2;

n)       nadawanie, zmiana i odwołanie upoważnień do przetwarzania danych osobowych w Spółce, w tym do przetwarzania danych osobowych w systemach informatycznych Spółki - według wzoru zawartego w formularzu stanowiącym Załącznik nr 9 i zgodnie z zasadami wskazanymi w rozdz. X;

  • o)       odebranie od osób, które mają być upoważnione do przetwarzania danych osobowych w Spółce podpisanych przez nich oświadczeń o zachowaniu poufności – według wzoru zawartego w formularzu stanowiącym Załącznik nr 10 i zgodnie z zasadami wskazanymi w rozdz. X;

p)       zapoznanie Administratora, podmiotów przetwarzających oraz osób upoważnionych do przetwarzania danych osobowych w Spółce z Polityką Bezpieczeństwa oraz z przepisami prawa z zakresu ochrony danych osobowych;

q)       odebranie od osób, które mają być upoważnione do przetwarzania danych osobowych w Spółce podpisanych przez nich oświadczeń o zapoznaniu się z Polityką Bezpieczeństwa oraz z przepisami prawa z zakresu ochrony danych osobowych – według wzoru zawartego w formularzu stanowiącym Załącznik nr 11 i zgodnie z zasadami wskazanymi w rozdz. X;

r)        prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych w Spółce, w tym osób upoważnionych do przetwarzania danych osobowych w systemach informatycznych Spółki – według wzoru zawartego w formularzu stanowiącym Załącznik nr 12;

s)        prowadzenie ewidencji podmiotów, którym zostały powierzone do przetwarzania dane osobowe - według wzoru zawartego w formularzu stanowiącym Załącznik nr 14;

t)         prowadzenie ewidencji pomieszczeń, w których przetwarzane są dane osobowe - według wzoru zawartego w formularzu stanowiącym Załącznik nr 15;

u)       przechowywanie dokumentów stanowiących realizację Polityki Bezpieczeństwa w Spółce, zawartych w załącznikach Polityki Bezpieczeństwa wymienionych w rozdz. III, w tym w szczególności zgód na przetwarzanie danych osobowych udzielonych  według wzoru zawartego w formularzu stanowiącym Załącznik nr 6.

 

7.3.     Niezależnie od pozostałych postanowień Polityki Bezpieczeństwa Koordynator Bezpieczeństwa Informacji:

a)       dokonuje stałej oceny ryzyka naruszenia ochrony danych osobowych przetwarzanych w Spółce;

b)       udziela odpowiedzi na zapytania, wnioski i inne pisma kierowane do Administratora, zwłaszcza przez jakąkolwiek stronę trzecią dotyczące przetwarzanych przez Spółkę danych osobowych;

c)        nadzoruje reprezentację Spółki we wszelkich postępowaniach administracyjnych, sądowych i sądowo – administracyjnych dotyczących przetwarzanych przez Spółkę danych osobowych;

d)       współpracuje z organem nadzorczym.

 

7.4.     Koordynator Bezpieczeństwa Informacji dokonując stałej oceny ryzyka naruszenia ochrony danych osobowych przetwarzanych w Spółce, o której mowa w pkt. 7.3. ppkt a),  podejmuje w zależności od sytuacji i kontekstu przetwarzania danych osobowych dostosowane do sytuacji oraz źródeł, rozmiaru i prawdopodobieństwa wystąpienia ryzyka naruszenia ochrony danych osobowych przetwarzanych w Spółce w szczególności następujące działania:

a)       podejmuje decyzje o uniknięciu źródeł ryzyka naruszenia ochrony danych osobowych przetwarzanych w Spółce lub

b)       podejmuje decyzje o wstrzymaniu czynności obarczonej ryzkiem naruszenia ochrony danych osobowych przetwarzanych w Spółce lub

c)        podejmuje działania pozwalające zmniejszyć prawdopodobieństwo wystąpienia ryzyka naruszenia ochrony danych osobowych przetwarzanych w Spółce lub

d)       podejmuje działania umożliwiające unikniecie następstw wystąpienia ryzyka naruszenia ochrony danych osobowych przetwarzanych w Spółce.

 

  1. VIII.        OBOWIĄZKI ADMINISTRATORA SYSTEMU INFORMATYCZNEGO

 

8.1.     Administrator Systemu Informatycznego zapewnia:

a)       przestrzeganie Polityki Bezpieczeństwa w zakresie bezpieczeństwa systemów informatycznych Spółki oraz

b)       bezpieczeństwo systemów informatycznych Spółki.

 

8.2.     Niezależnie od innych postanowień Polityki Bezpieczeństwa do zadań Administratora Systemu Informatycznego w zakresie bezpieczeństwa systemów informatycznych funkcjonujących w Spółce należy w szczególności:

a)       zapewnienie systematycznego usuwania danych osobowych w systemach informatycznych Spółki, zgodnie z zasadami wskazanymi w rozdz. XV;

b)       zapewnienie przekazania danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, zgodnie z zasadami wskazanymi w rozdz. XVI;

c)        kontrola stopnia ochrony danych osobowych oraz stopnia bezpieczeństwa przetwarzania danych osobowych w Spółce, zgodnie z zasadami wskazanymi w rozdz. XXI;

d)       utrzymywanie systemów informatycznych Spółki w należytej sprawności technicznej;

e)       zarządzanie systemami informatycznymi Spółki w sposób zapewniający bezpieczeństwo danych osobowych w nich przetwarzanych w szczególności przed: (i)  działaniem oprogramowania, którego skutkiem może być uzyskanie nieuprawnionego dostępu do systemu informatycznego lub (ii) utratą danych osobowych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej;

f)         kontrolowanie transferu danych osobowych pomiędzy systemami informatycznymi Spółki oraz pomiędzy systemami informatycznymi Spółki a siecią publiczną i dokonywanie kontroli działań inicjowanych z sieci publicznej;

g)       identyfikowanie zagrożeń, na które może być narażone przetwarzanie danych osobowych w systemach informatycznych Spółki oraz dokonywanie oceny ryzyka ich wystąpienia, zgodnie z zasadami wskazanymi w Załączniku nr 1 – Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych;

h)       zapewnienie przestrzegania procedur technicznych systemów informatycznych Spółki przez wykonywanie okresowych lub wyrywkowych testów ich przestrzegania, zgodnie z zasadami wskazanymi w Załączniku nr 1 – Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych;

i)         zarządzanie stosowanymi w systemach informatycznych Spółki środkami uwierzytelnienia, zgodnie z zasadami wskazanymi w Załączniku nr 1 – Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych;

j)         zapewnienie ciągłości wykonywania kopii zapasowych baz danych oraz prowadzenie ewidencji wykonania kopii zapasowych, zgodnie z zasadami wskazanymi w Załączniku nr 1 – Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych;

k)       podejmowanie odpowiednich działań zaradczych w razie wykrycia naruszeń zabezpieczeń w systemach informatycznych Spółki;

l)         współpraca z Administratorem, Koordynatorem Bezpieczeństwa Informacji oraz pracownikami Spółki w szczególności w zakresie: (i) konsultacji dotyczących systemów informatycznych Spółki, doboru sprzętu komputerowego, systemów i aplikacji oraz (ii) rozpoznawania stanów awaryjnych i im zapobiegania;

m)     dokonywanie analiz rozwoju technologii informatycznych w obszarach funkcjonalnych wykorzystywanych w Spółce dla celów przetwarzania danych osobowych;

n)       planowanie, testowanie i wdrażanie nowych rozwiązań funkcjonalnych w zakresie systemów informatycznych w Spółce i obsługujących je aplikacji usprawniających bieżącą pracę.

 

8.3.     Administrator Systemu Informatycznego utrzymuje systemy informatyczne Spółki w należytej sprawności technicznej w szczególności przez:

a)       dokonywanie bieżącego przeglądu i aktualizacji ich oprogramowania oraz

b)       przeprowadzanie bieżących przeglądów, konserwacji i naprawy urządzeń, w tym stacji roboczych, na których systemy informatyczne Spółki operują oraz nośników informacji służących do przetwarzania danych osobowych, zgodnie z zasadami wskazanymi w Załączniku nr 1 – Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych.

 

8.4.     Administrator Systemu Informatycznego zarządza systemami informatycznymi Spółki w sposób zapewniający bezpieczeństwo danych osobowych w nich przetwarzanych przez właściwy dobór elektronicznych środków ochrony przed atakami z sieci, stosownie do pojawiania się nowych zagrożeń (nowe wirusy, robaki, trojany, inne możliwości dostania się do systemu), a także stosownie do rozbudowy systemów informatycznych Spółki i powiększania bazy danych.

 

8.5.     Administrator Systemu Informatycznego kontroluje transfer danych osobowych pomiędzy systemami informatycznymi Spółki oraz pomiędzy systemami informatycznymi Spółki a siecią publiczną, jak również dokonuje kontroli działań inicjowanych z sieci publicznej w szczególności przez wdrożenie systemu informatycznego rejestrującego czynności dokonywane na danych osobowych, w tym rejestrującego:

a)       jakie dane osobowe zostały do zbioru danych osobowych systemu informatycznego Spółki wprowadzone lub z niego wyprowadzone oraz

b)       przez kogo dane osobowe zostały do zbioru danych osobowych systemu informatycznego Spółki wprowadzone lub z niego wyprowadzone oraz

c)        komu dane osobowe wyprowadzone ze zbioru danych osobowych systemu informatycznego Spółki zostały przekazane oraz

d)       moment wprowadzenia danych osobowych do zbioru danych osobowych systemu informatycznego Spółki oraz

e)       moment wyprowadzenia danych osobowych ze zbioru danych osobowych systemu informatycznego Spółki.

 

8.6.     Administrator Systemu Informatycznego analizuje rozwój technologii informatycznych w obszarach funkcjonalnych wykorzystywanych w Spółce dla celów przetwarzania danych osobowych w szczególności przez:

a)       sporządzenie okresowych, nie rzadziej niż do 6 miesięcy, analiz rozwoju technologii informatycznych,

b)       sporządzanie incydentalnych analiz, w razie istotnych zmian technologicznych lub zmian w obszarach funkcjonalnych wykorzystywanych w Spółce.

 

  1. IX.              INNE OSOBY ODPOWIEDZIALNE ZA BEZPIECZEŃSTWO PRZETWARZANIA DANYCH OSOBOWYCH

 

9.1.     Za bezpieczeństwo danych osobowych w Spółce oraz bezpieczeństwo przetwarzania danych osobowych w określonym zbiorze danych osobowych odpowiedzialność ponosi Koordynator Bezpieczeństwa Informacji, Administrator Systemu Informatycznego oraz  osoby mające upoważnienie do przetwarzania danych osobowych w tym zbiorze danych.

 

9.2.     Koordynator Bezpieczeństwa Informacji wyznacza pracowników Spółki, którzy odpowiadają za bezpieczeństwo danych osobowych w Spółce oraz bezpieczeństwo przetwarzania danych osobowych, o którym mowa w rozdz. II.

 

9.3.     Koordynator Bezpieczeństwa Informacji po zasięgnięciu opinii Administratora Systemu Informatycznego wyznacza pracowników Spółki, którzy odpowiadają za:

a)       bezpieczeństwo danych osobowych i bezpieczeństwo przetwarzania danych osobowych w systemach informatycznych Spółki oraz

b)       bezpieczeństwo systemów informatycznych Spółki oraz

c)        podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń systemów informatycznych Spółki.

 

9.4.     Pracownicy wyznaczeni przez Koordynatora Bezpieczeństwa Informacji na podstawie pkt 9.2. lub 9.3. podlegają w zakresie wykonywania obowiązków polegających na zapewnieniu bezpieczeństwa danych osobowych w Spółce oraz bezpieczeństwa przetwarzania danych osobowych w Spółce Koordynatorowi Bezpieczeństwa Informacji, a w zakresie zapewnienia bezpieczeństwa danych osobowych i bezpieczeństwa przetwarzania danych osobowych w systemach informatycznych Spółki, jak również bezpieczeństwa  systemów informatycznych Spółki i podejmowania odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń systemów informatycznych Spółki - także Administratorowi Systemu Informatycznego.

 

9.5.     W przypadku niemożności realizowania zadań przez wyznaczonych pracowników, o których mowa w pkt. 9.2. oraz 9.3., Koordynator Bezpieczeństwa Informacji wyznacza nowego pracownika lub sam wypełnia jego zadania.

 

9.6.     Stanowiska pracy Koordynatora Bezpieczeństwa Informacji, Administratora Systemu Informatycznego oraz wyznaczonych pracowników odpowiedzialnych za bezpieczeństwo przetwarzania danych osobowych znajdują się w siedzibie Spółki.

 

  1. X.                 PODSTAWY PRZETWARZANIA DANYCH OSOBOWYCH

 

10.1.Przetwarzanie danych osobowych w Spółce następuje wyłącznie:

a)       na podstawie upoważnienia lub

b)       na podstawie umowy o powierzeniu przetwarzania danych osobowych

- chyba że dostęp do przetwarzania jest wymagany przez przepisy prawa z zakresu ochrony danych osobowych.

 

10.2.Jakiekolwiek podmioty przetwarzające dane osobowe w Spółce mogą dokonywać czynności związanych z przetwarzaniem jedynie na podstawie polecenia Spółki i w jego granicach.

 

10.3.Koordynator Bezpieczeństwa Informacji zapewnia, aby wydawanie poleceń, o których mowa w pkt 10.2., następowało w formie pisemnej lub elektronicznej oraz prowadzi dokumentację wydawanych poleceń.

 

10.4.Z wyjątkiem zasad wskazanych w rozdz. XX dane osobowe przetwarzane  na podstawie upoważnienia i w jego granicach nie mogą być ujawniane osobom nieupoważnionym zarówno w obszarach przetwarzania, o których mowa w rozdz. XI, jak i poza nimi.

 

10.5.Upoważnienia do dostępu do danych osobowych w Spółce lub do przetwarzania danych osobowych w Spółce udziela Koordynatorowi Bezpieczeństwa Informacji Zarząd Administratora równocześnie z jego powołaniem.

 

10.6.Upoważnienie udzielone Koordynatorowi Bezpieczeństwa Informacji zawiera jednocześnie klauzulę:

a)       uprawniającą go do nadawania dalszych  upoważnień do przetwarzania danych osobowych w systemach informatycznych Spółki,

b)       wskazującą na okres obowiązywania upoważnienia.

 

10.7.Upoważnienie do przetwarzania danych osobowych w Spółce będzie udzielone Koordynatorowi Bezpieczeństwa Informacji wyłącznie po:

a)       otrzymaniu podpisanego przez niego oświadczenia o zachowaniu poufności według wzoru zawartego w formularzu stanowiącym Załącznik nr 10 oraz

b)       otrzymaniu podpisanego przez niego oświadczenia o zapoznaniu się z Polityką Bezpieczeństwa oraz przepisami prawa z zakresu ochrony danych osobowych - według wzoru zawartego w formularzu stanowiącym Załącznik nr 11.

 

10.8.Administrator może w dowolnym czasie odwołać upoważnienie do przetwarzania danych osobowych w Spółce udzielone Koordynatorowi Bezpieczeństwa Informacji lub zmienić jego zakres.

 

10.9.Administrator odwołuje upoważnienie do przetwarzania danych osobowych w Spółce udzielone Koordynatorowi Bezpieczeństwa Informacji w razie odwołania określonej osoby z funkcji Koordynatora Bezpieczeństwa Informacji. W takim przypadku dalsze upoważnienia udzielone przez Koordynatora Bezpieczeństwa Informacji pozostają w mocy, chyba że Spółka postanowi inaczej.

 

10.10.                       Koordynator Bezpieczeństwa Informacji udziela dalszego upoważnienia do przetwarzania danych osobowych w Spółce w tym do przetwarzania danych osobowych w systemach informatycznych Spółki Administratorowi Systemu Informatycznego.

 

10.11.                       Pozostałym osobom, które mają uzyskać dostęp do przetwarzania danych osobowych w Spółce, Koordynator Bezpieczeństwa Informacji udziela dalszego upoważnienia do przetwarzania danych osobowych w Spółce w tym do przetwarzania danych osobowych w systemach informatycznych Spółki na wniosek Administratora Systemu Informatycznego lub na wniosek kierownika właściwej jednostki organizacyjnej lub jego zastępcy, złożony  według wzoru zawartego w formularzu stanowiącym Załącznik nr 8.

 

10.12.                       Upoważnienie, o którym mowa w pkt 10.10. oraz w pkt 10.11., jest udzielane według wzoru zawartego w formularzu stanowiącym Załącznik nr 9.

 

10.13.                       Osoba, która ma być upoważniona do przetwarzania danych osobowych w Spółce:

a)       jest zobowiązana zapoznać się z Polityką Bezpieczeństwa oraz przepisami prawa z zakresu ochrony danych osobowych oraz

b)       nie może mieć dostępu lub przetwarzać danych osobowych, do przetwarzania których ma upoważnienie, w celu innym, niż wynikający z treści tego upoważnienia oraz

c)        nie może mieć dostępu lub przetwarzać danych osobowych, do przetwarzania których ma upoważnienie, w okresie innym, niż wynikający z treści tego upoważnienia.

 

10.14.                       Przed udzieleniem upoważnienia do przetwarzania danych osobowych w systemach informatycznych Spółki Administrator Systemu Informatycznego instruuje osobę, która ma być upoważniona do dostępu do danych osobowych w systemach informatycznych Spółki lub do przetwarzania danych osobowych w systemach informatycznych Spółki, o zasadach bezpieczeństwa systemów informatycznych Spółki.

 

10.15.                       Upoważnienie do przetwarzania danych osobowych będzie udzielone przez Koordynatora Bezpieczeństwa Informacji wyłącznie po:

a)       otrzymaniu podpisanego przez osobę,  która ma być upoważniona przetwarzania danych osobowych w Spółce oświadczenia o zachowaniu poufności według wzoru zawartego w formularzu stanowiącym Załącznik nr 10 oraz

b)       otrzymaniu podpisanego przez osobę,  która ma być upoważniona do przetwarzania danych osobowych w Spółce oświadczenia o zapoznaniu się z Polityką Bezpieczeństwa oraz przepisami prawa z zakresu ochrony danych osobowych - według wzoru zawartego w formularzu stanowiącym Załącznik nr 11.

 

10.16.                       Upoważnienie do przetwarzania danych osobowych w Spółce obowiązują do momentu ustania stosunku pracy, a w przypadku osoby nie będącej pracownikiem  Spółki – do momentu wygaśnięcia stosunku prawnego, który był podstawą do udzielenia upoważnienia do przetwarzania danych osobowych w Spółce.

 

10.17.                       Koordynator Bezpieczeństwa Informacji może wedle swojego uznania w każdym czasie odwołać udzielone przez niego upoważnienie do przetwarzania danych osobowych w Spółce, w tym do przetwarzania danych osobowych w systemach informatycznych Spółki lub zmienić jego  zakres.

 

10.18.                       Zmiana zakresu udzielonego upoważnienia do przetwarzania danych osobowych w Spółce w tym do przetwarzania danych osobowych w systemach informatycznych Spółki następuje przez odwołanie dotychczasowego upoważnienia i udzielenie nowego upoważnienia.

 

10.19.                       W przypadku udzielenia upoważnienia do przetwarzania danych osobowych w Spółce w tym do przetwarzania danych osobowych w systemach informatycznych Spółki Koordynator Bezpieczeństwa Informacji informuje daną osobę o:

a)       udzieleniu jej upoważnienia do przetwarzania danych osobowych w  Spółce,

b)       zakresie udzielonego jej upoważnienia, w szczególności ze wskazaniem, czy jest ona upoważniona także do przetwarzania danych osobowych w systemach informatycznych Spółki,

c)        celu przetwarzania danych osobowych, w związku z którym zostało udzielone jej upoważnienie,

d)       czasie trwania upoważnienia.

 

10.20.                       Ponadto – w razie wystąpienia takiego zdarzenia - Koordynator Bezpieczeństwa Informacji informuje niezwłocznie daną osobę o:

a)       każdorazowej zmianie zakresu udzielonego upoważnienia,

b)       odwołaniu lub wygaśnięciu upoważnienia,

c)        odmowie udzielenia upoważnienia.

 

10.21.                       Osoby upoważnione do przetwarzania danych osobowych w Spółce są zobowiązane do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, do których uzyskały dostęp w trakcie obowiązywania upoważnienia, również po ustaniu zatrudnienia lub zakończeniu pełnienia obowiązków związanych z przetwarzaniem danych osobowych na innej podstawie.

 

10.22.                       Szczegółowy wykaz osób, którym zostało udzielone upoważnienie do przetwarzania danych osobowych w Spółce, w tym do przetwarzania danych osobowych w systemach informatycznych Spółki jest prowadzony według wzoru zawartego w formularzu stanowiącym Załącznik nr 12.

 

  1. XI.              OBSZARY PRZETWARZANIA DANYCH OSOBOWYCH

 

11.1.Z zastrzeżeniem zasad wskazanych w rozdz. XX dane osobowe mogą być przetwarzane w siedzibie Spółki wyłącznie w obszarach przetwarzania danych osobowych.

 

11.2.Poza siedzibą Spółki dane osobowe mogą być przetwarzane tylko:

a)       o ile przewiduje to umowa powierzenia przetwarzania danych osobowych zawarta przez Administratora z podmiotem przetwarzającym lub

b)       na zasadach wskazanych w rozdz. XX.

 

11.3.Do obszarów przetwarzania danych osobowych w siedzibie Spółki zalicza się w szczególności:

a)       pomieszczenia biurowe w siedzibie Spółki, w których zlokalizowane są stacje robocze lub serwery służące do przetwarzania danych osobowych;

b)       pomieszczenia w siedzibie Spółki, w których przechowuje się dokumenty źródłowe oraz wydruki z systemu informatycznego zawierające dane osobowe;

c)        pomieszczenia w siedzibie Spółki, w których przechowywane są sprawne i uszkodzone urządzenia, elektroniczne nośniki informacji oraz kopie zapasowe zawierające dane osobowe.

 

11.4.Szczegółowy wykaz obszarów przetwarzania danych osobowych, znajdujących się w siedzibie Spółki, jest prowadzony według wzoru zawartego w formularzu stanowiącym Załącznik nr 15.

 

  1. XII.           ZBIORY DANYCH OSOBOWYCH

 

12.1.Spółka jest administratorem danych osobowych zawartych w zbiorach danych osobowych o następujących nazwach:

a)       zbiór danych osobowych „Pracownicy”,

b)       zbiór danych osobowych „Kandydaci na pracowników”,

c)        zbiór danych osobowych „Byli pracownicy”,

d)       zbiór danych osobowych „Zleceniobiorcy/Wykonawcy – osoby fizyczne”,

e)       zbiór danych osobowych „Kontrahenci – osoby fizyczne”,

f)         zbiór danych osobowych „Potencjalni kontrahenci”.

 

12.2.Zbiór danych osobowych „Pracownicy” zawiera dane osobowe pracowników Spółki oraz może zawierać także dane osobowe członków rodziny pracownika. Celem ich przetwarzania jest realizacja ustawowych i umownych obowiązków i praw wynikających ze stosunku pracy oraz systemu ubezpieczeń społecznych, a także realizacja dodatkowych świadczeń socjalnych, medycznych, rekreacyjnych i innych, świadczonych  na rzecz pracowników Spółki i członków ich rodzin przez innych administratorów. Dane osobowe przetwarzane z zbiorze danych osobowych „Pracownicy” obejmują następujące kategorie:

a)       imię i nazwisko pracownika Spółki,

b)       adres zamieszkania pracownika Spółki,

c)       numer PESEL pracownika Spółki, a w przypadku jego braku – rodzaj i numer    dokumentu potwierdzającego tożsamość,

d)       data urodzenia pracownika Spółki,

e)       inne dane osobowe pracownika Spółki, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli  podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy,

f)         inne wynikające z odrębnych przepisów, a w szczególności: (i) z ustawy z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (tj. z dnia 22 czerwca 2017 r., Dz. U. z 2017 r., poz. 1368) oraz (ii) z rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (tj. z dnia 7 kwietnia 2017 r., Dz. U. z 2017 r., poz. 894) oraz (iii) z rozporządzenia Rady Ministrów z dnia 1 lipca 2009 r. w sprawie ustalania okoliczności i przyczyn wypadków przy pracy (Dz. U. nr 105, poz. 870) oraz (iv) z rozporządzenia Rady Ministrów z dnia 30 czerwca 2009 r. w sprawie chorób zawodowych (tj. z dnia 4 września 2013 r., Dz. U. z 2013 r., poz. 1367),

g)       inne dane osobowe pracownika, w szczególności takie jak adres do korespondencji oraz adres poczty elektronicznej albo numer telefonu po nawiązaniu stosunku pracy, kserokopia zgłoszenia pracownika do Zakładu Ubezpieczeń Społecznych oraz zgoda pracownika na wypłatę jego wynagrodzenia na wskazane konto bankowe – w razie wyrażenia z inicjatywy pracownika Spółki uprzedniej zgody na przetwarzanie danych osobowych według wzoru zawartego w formularzu stanowiącym Załącznik nr 6.,

h)       dane osobowe pracownika i członków jego rodziny związane z ubezpieczeniem dzieci pracowników u ubezpieczyciela w zakresie objętym polisą ubezpieczeniową – w razie wyrażenia z inicjatywy pracownika Spółki uprzedniej zgody jego oraz zgody członków jego rodziny, którzy mieliby być objęci ubezpieczeniem, a w razie konieczności podania danych osobowych dzieci także zgody ich opiekunów prawnych (a po ukończeniu przez dziecko 13 roku życia także samego dziecka) na przetwarzanie danych osobowych pracownika, członków rodziny pracownika w tym dzieci, które to zgody powinny być udzielone według wzoru zawartego w formularzu stanowiącym Załącznik nr 6.,

i)         dane osobowe pracownika i członków jego rodziny związane z dodatkową opieką medyczną – w razie wyrażenia z inicjatywy pracownika Spółki uprzedniej zgody jego oraz zgody członków jego rodziny, którzy mieliby być objęci dodatkową opieką medyczną, a w razie konieczności podania danych osobowych dzieci także zgody ich opiekunów prawnych (a po ukończeniu przez dziecko 13 roku życia także samego dziecka) na przetwarzanie danych osobowych pracownika, członków rodziny pracownika w tym dzieci, które to zgody powinny być udzielone według wzoru zawartego w formularzu stanowiącym Załącznik nr 6,

j)         dane osobowe pracownika i dane osobowe osób uposażonych związane z ubezpieczeniem grupowym pracowników i osób uposażonych - w razie wyrażenia z inicjatywy pracownika Spółki uprzedniej zgody jego oraz zgody osób uposażonych, a w razie konieczności podania danych osobowych dzieci także zgody ich opiekunów prawnych (a po ukończeniu przez dziecko 13 roku życia także samego dziecka) na przetwarzanie danych osobowych pracownika, osób uposażonych, w tym dzieci, które to zgody powinny być udzielone według wzoru zawartego w formularzu stanowiącym Załącznik nr 6.,

k)       dane osobowe związane z wystawianiem zaświadczeń na prośbę pracownika - w razie wyrażenia z inicjatywy pracownika Spółki uprzedniej zgody na przetwarzanie danych osobowych według wzoru zawartego w formularzu stanowiącym Załącznik nr 6,

l)         dane osobowe pracownika, członków rodziny pracownika, w tym dzieci pracownika zamierzającego korzystać z oferowanych przez Spółkę dodatkowych udogodnień i korzyści o charakterze socjalnym, medycznym lub rekreacyjnym lub innym tego typu (np. kart Multi Sport lub Multi Teatr) - w razie wyrażenia z inicjatywy pracownika Spółki uprzedniej zgody jego oraz członków rodziny pracownika, a w razie konieczności podania danych osobowych dzieci także zgody ich opiekunów prawnych (a po ukończeniu przez dziecko 13 roku życia także samego dziecka) na przetwarzanie danych osobowych pracownika, osób uposażonych, w tym dzieci, które to zgody powinny być udzielone według wzoru zawartego w formularzu stanowiącym Załącznik nr 6.

 

12.3.Zbiór danych osobowych „Kandydaci na pracowników” zawiera dane osobowe kandydatów na pracowników Spółki, w szczególności osób uczestniczących w procesie rekrutacji, o którym mowa w pkt. 14.9. Celem ich przetwarzania jest przeprowadzenie procesu rekrutacji i weryfikacji kandydata oraz złożenie mu ewentualnej oferty zatrudnienia. Dane osobowe przetwarzane z zbiorze danych osobowych „Kandydaci na pracowników” obejmują następujące kategorie:

a)       imię (imiona) i nazwisko kandydata na pracownika Spółki,

b)       datę urodzenia kandydata na pracownika Spółki,

c)        adres do korespondencji kandydata na pracownika Spółki,

d)       adres poczty elektronicznej albo numer telefonu kandydata na pracownika Spółki,

e)       wykształcenie kandydata na pracownika Spółki,

f)         przebieg dotychczasowego zatrudnienia kandydata na pracownika Spółki (o ile kandydat wyrazi na to zgodę).

 

12.4.Zbiór danych osobowych „Byli pracownicy” zawiera dane osobowe byłych pracowników Spółki. Celem ich przetwarzania jest realizacja ustawowych obowiązków i praw wynikających ze wygasłego stosunku prawnego pomiędzy pracodawcą, a pracownikiem. Dane osobowe przetwarzane w zbiorze danych osobowych „Byli pracownicy” obejmują kategorie wynikające z obowiązujących Spółkę przepisów prawa, a w szczególności z rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (tj. z dnia 7 kwietnia 2017 r., Dz. U. z 2017 r., poz. 894).

 

12.5.Zbiór danych osobowych „Zleceniobiorcy/wykonawcy – osoby fizyczne” zawiera dane osobowe podmiotów zewnętrznych – osób fizycznych, którym Spółka zleca wykonywanie poszczególnych usług i dostaw na podstawie umów cywilnoprawnych. Celem ich przetwarzania jest realizacja ustawowych i umownych obowiązków i praw wynikających ze stosunku prawnego pomiędzy Spółką a zleceniobiorcą oraz zabezpieczenie prawnie uzasadnionych interesów Spółki. Dane osobowe przetwarzane w zbiorze danych osobowych „Zleceniobiorcy/Wykonawcy – osoby fizyczne” obejmują następujące kategorie:

a)       imię i nazwisko zleceniobiorcy będącego osobą fizyczną,

b)       numer NIP zleceniobiorcy będącego osobą fizyczną,

c)        numer REGON zleceniobiorcy będącego osobą fizyczną,

d)       numer konta bankowego  zleceniobiorcy będącego osobą fizyczną,

e)       adres zleceniobiorcy będącego osobą fizyczną,

f)         numer telefonu kontaktowego zleceniobiorcy będącego osobą fizyczną,

g)       adres e-mail zleceniobiorcy będącego osobą fizyczną.

 

12.6.Zbiór danych osobowych „Klienci/kontrahenci – osoby fizyczne” zawiera dane osobowe klientów/kontrahentów – osób fizycznych Spółki. Celem ich przetwarzania jest wykonywanie praw i obowiązków ustawowych i umownych wynikających z umów, w tym w szczególności umów sprzedaży towarów lub usług oraz zabezpieczenie prawnie uzasadnionych interesów Spółki. Dane osobowe przetwarzane w zbiorze danych osobowych „Klienci – osoby fizyczne” obejmują następujące kategorie:

a)       imię i nazwisko klienta Spółki będącego osobą fizyczną oraz jego adres,

b)       numer NIP klienta Spółki będącego oso

XNie pokazuj tego powiadomieniaUwaga: Użytkowanie strony internetowej oznacza zgodę na używanie plików Cookie. Więcej informacji w polityce prywatności.