fbpx

Polityka ochrony danych osobowych

Polityka ochrony danych osobowych

Wstęp

  1. Niniejsza Polityka ochrony danych osobowych stanowi zbiór zasad i regulacji dotyczących ochrony danych osobowych w Bestel House sp z o.o. (dalej: Bestel House lub ADO).
  2. Odpowiedzialna za wdrożenie i aktualizowanie niniejszej Polityki jest Bestel House sp z o.o.
  3. Skróty i definicje:
  1. Administrator Danych Osobowych (ADO) – podmiot decydujący o celach i sposobach przetwarzania danych osobowych:

Kancelarii Radcy Prawnego Aleksandry Burzyńskiej – Grzelak 

Kontakt: biuro@bestelhouse.pl

  1. RODO –  rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;
  2. Dane osobowe (dane) – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
  3. Zbiór danych osobowych (Zbiór danych) – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
  4. Przetwarzanie – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
  5. Nośnik komputerowy (wymienny) – nośnik służący do zapisu i przechowywania informacji, np. płyty CD/DVD/BR, pendrive’y, dyski twarde, etc.;
  6. Podmiot przetwarzający – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
  7. RCDP lub Rejestr – Rejestr Czynności Przetwarzania Danych Osobowych;
  8. Dane szczególnych kategorii – dane wymienione w art. 9 ust. 1 RODO, tj. dane ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
  1. Ochrona danych osobowych jest realizowana w szczególności poprzez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe. Zastosowane zabezpieczenia mają zapewnić, aby dane osobowe były:
  1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
  2. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);
  3. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
  4. prawidłowe i w razie potrzeby uaktualniane („prawidłowość”);
  5. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”);
  6. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). 

Identyfikacja zasobów danych osobowych w Bestel House

  1. Bestel House dokonuje inwentaryzacji zbiorów danych osobowych, kategorii danych, zależności między zasobami danych oraz identyfikacji sposobów wykorzystania danych, w tym:
  1. Przypadków przetwarzania danych szczególnych kategorii oraz danych dotyczących wyroków skazujących i naruszeń prawa;
  2. Przypadków przetwarzania danych osób, których Bestel House nie identyfikuje;
  3. Przypadków przetwarzania danych dzieci;
  4. Profilowania;
  5. Współadministrowania danymi.
  1. W sytuacji, gdy Bestel House zidentyfikuje przypadki, w których przetwarza lub może przetwarzać dane szczególnych kategorii lub dane dotyczące wyroków skazujących i naruszeń prawa, zapewni zgodność z prawem przetwarzania takich danych. 
  2. Dane, o których mowa w pkt 2 powyżej będą miały jedną z następujących podstaw prawnych:
  1. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osobowy fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody (art. 9 ust. 2 lit. c) RODO). Przesłanka z art. 9 ust. 2 lit. c) RODO dotyczy sytuacji, w których osoba, której dane dotyczą ze względów fizycznych (np. choroby zakaźnej, psychicznej lub stanu śpiączki) lub też prawnych (np. brak zdolności do czynności prawnych ze względu na ubezwłasnowolnienie całkowite) nie może wyrazić zgody na przetwarzanie swoich danych osobowych. Jako żywotne interesy należy rozumieć interesy o dużym znaczeniu takie jak zdrowie, życie, a nawet w pewnych przypadkach interesy majątkowe. Są to takie interesy, które przeważają nad interesami nakazującymi zachowanie danych osobowych w poufności. Jak wynika z motywu 46 RODO żywotny interes innej osoby fizycznej powinien być zasadniczo podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania nie da się oprzeć na innej podstawie prawnej. W przypadku ustania przyczyny wywołującej brak zdolności fizycznej lub prawnej (np. ustanie choroby) będzie poszukiwana inna podstawa prawna legitymizująca przetwarzanie szczególnych kategorii danych z art. 9 ust. 2 RODO.
  2. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy (art. 9 ust. 2 lit. f) RODO). Przesłanka z art. 9 ust. 2 lit f) RODO dotyczy sytuacji, w których przetwarzanie danych osobowych jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy. Jak wskazuje motyw 52 przesłanka ta obejmuje przetwarzanie danych osobowych, gdy jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń zarówno w postępowaniu sądowym, administracyjnym jak i też innym postępowaniu pozasądowym.
  1. Wykaz zbiorów danych osobowych wraz z obszarami ich przechowywania i zabezpieczenia stanowi załącznik nr 1 do niniejszej Polityki.

Zarządzanie ochroną danych osobowych w Bestel House

Rejestr czynności przetwarzania danych osobowych

  1. Rejestr stanowi formę dokumentowania czynności przetwarzania danych, pełni rolę mapy przetwarzania danych i jest jednym z kluczowych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności.
  2. Bestel House prowadzi Rejestr Czynności Przetwarzania Danych, w którym inwentaryzuje i monitoruje sposób, w jaki wykorzystywane są dane osobowe.
  3. Rejestr jest jednym z podstawowych narzędzi umożliwiających Bestel House rozliczanie większości obowiązków ochrony danych.
  4. W rejestrze dla każdej czynności przetwarzania danych, którą Bestel House uznała za odrębną dla potrzeb Rejestru, Bestel House odnotowuje następujące informacje:
  1. Nazwa czynności przetwarzania;
  2. Cel przetwarzania;
  3. Kategorie osób;
  4. Kategorie danych;
  5. Podstawa prawna;
  6. Źródła danych;
  7. Planowany termin usunięcia kategorii danych;
  8. Nazwa współadministratora i dane kontaktowe;
  9. Nazwa podmiotu przetwarzającego i dane kontaktowe;
  10. Kategorie odbiorców;
  11. Nazwa systemu lub oprogramowania;
  12. Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa zgodnie z art. 32 ust. 1 RODO;
  13. DPIA;
  14. Transfer do kraju trzeciego lub organizacji międzynarodowej (art. 30 ust. 1 lit. e RODO).
  1. Rejestr stanowi załącznik nr 2 do niniejszej Polityki. Rejestr zawiera także kolumny nieobowiązkowe. W kolumnach nieobowiązkowych Bestel House rejestruje informacje w miarę potrzeb i możliwości, mając na uwadze to, że pełniejsza treść Rejestru ułatwia zarządzanie zgodnością z ochroną danych osobowych i rozliczenie się z niej.

 Podstawy przetwarzania

  1. Betsel House dokumentuje w Rejestrze podstawy prawne przetwarzania danych dla poszczególnych czynności przetwarzania.
  2. Bestel House  dba o zapewnienie minimalizacji przetwarzania danych pod względem:
  1. Zakresu – Bestel House zweryfikowała zakres pozyskiwanych danych, zakres ich przetwarzania i ilość przetwarzania danych pod kątem adekwatności do celów przetwarzania w ramach wdrożenia RODO. Bestel House dokonuje okresowego przeglądu ilości przetwarzanych danych i zakresu ich przetwarzania nie rzadziej niż raz na rok. Bestel House przeprowadza weryfikację zmian, co do ilości i zakresu przetwarzania danych;
  2. Dostępu – Bestel House stosuje ograniczenia dostępu do danych osobowych: prawne (zobowiązania do zachowania poufności, upoważnienia), fizyczne (zamykanie pomieszczeń, zamykanie szaf) i logiczne (ograniczenia uprawnień do systemów przetwarzających dane osobowe i zasobów sieciowych, w których przechowywane są dane osobowe). Bestel House aktualizuje uprawnienia dostępowe przy zmianach w składzie personelu i zmianach ról osób oraz zmianach podmiotów przetwarzających. Bestel House dokonuje okresowego przeglądu ustanowionych użytkowników systemów i aktualizuje je nie rzadziej niż raz w roku;
  3. Czasu – Bestel House wdrożyła mechanizmy kontroli cyklu życia danych osobowych, w tym weryfikacji dalszej przydatności danych względem terminów i punktów kontrolnych wskazanych w Rejestrze. Dane, których zakres przydatności ulega ograniczeniu wraz z upływem czasu, są usuwane z systemów informatycznych Kancelarii i z akt podręcznych i głównych.

Obsługa żądań osób, których dane dotyczą

Obowiązki informacyjne:

  1. Bestel House spełnia obowiązki informacyjne w sytuacji, w której zbiera dane bezpośrednio od osoby, której dane dotyczą (chyba że osoba ta dysponuje już informacjami na temat przetwarzania jej danych). Mogą to być na przykład klienci, osoby reprezentujące klientów, pracownicy, dostawcy będący osobami fizycznymi. Natomiast w przypadku zbierania danych osobowych od podmiotów trzecich, Bestel House nie musi spełniać obowiązku informacyjnego w takim zakresie, w jakim przekazane jej informacje muszą pozostać poufne w związku z tajemnicą radcowską (na podstawie art. 14 ust. 5 lit. d) RODO). Bestel House nie będzie zatem musiała spełniać obowiązku wobec – przykładowo – osób fizycznych, których dane są przetwarzanie w związku z prowadzeniem spraw klientów (np. inne strony postępowania sądowego lub administracyjnego, świadkowie, pełnomocnicy, biegli).
  2. Bestel House informuje osobę o przedłużeniu ponad miesiąc terminu na rozpatrzenie żądania tej osoby.
  3. W przypadku, gdy Bestel House zobowiązana jest do obowiązku informacyjnego, realizuje go przy pozyskiwaniu danych od osoby, której dane dotyczą.
  4. Bestel House informuje osobę o planowanej zmianie celu przetwarzania.
  5. Bestel House informuje odbiorców danych o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych (chyba, że będzie to wymagało niewspółmiernie dużego wysiłku lub będzie niemożliwe).
  6. Bestel House bez zbędnej zwłoki zawiadamia osobę o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby.

Ogólne zasady realizacji obowiązków wynikających z uprawnień osób, których dane dotyczą (art. 15-22 RODO).

  1. W odpowiedzi na żądanie osoby, której dane dotyczą, Bestel House bez zbędnej zwłoki – nie później jednak niż w terminie 1 miesiąca od otrzymania żądania – udziela jej informacji o działaniach podjętych w związku z tym żądaniem.
  2. Bestel House w terminie 1 miesiąca dokonuje oceny zasadności żądania i je zrealizować (np. dokonuje sprostowania danych) lub odmawia realizacji. 
  3. Ze względu na skomplikowany charakter żądania lub liczbę żądań, jednomiesięczny termin Bestel House może wydłużyć o dodatkowe dwa miesiące. 
  4. Bestel House informuje osobę, której dane dotyczą, o przedłużeniu terminu i jego przyczynach w ciągu 1 miesiąca od otrzymania żądania.
  5. Jeżeli w związku z żądaniem osoby, której dane dotyczą, Bestel House nie podejmuje żadnych działań, to niezwłocznie (najpóźniej w terminie miesiąca od otrzymania żądania) informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.
  6. Jeżeli Bestel House ma uzasadnione wątpliwości co do tożsamości osoby fizycznej, która zgłasza żądanie na podstawie art. 15–21 RODO, może zażądać od niej dodatkowych informacji niezbędnych do potwierdzenia jej tożsamości.
  7. Jeżeli Bestel House zdecyduje się odmówić podjęcia działań objętych treścią żądania, wskazuje przyczyny takiej decyzji i informuje o nich osobę, która zgłosiła żądanie.  
  8. Bestel House odpowiada na żądania osoby, której dane dotyczą w formie pisemnej lub e-mailowej.
  9. Bestel House może odmówić podjęcia działań w odpowiedzi na żądanie osoby, której dane dotyczą, w dwóch przypadkach: 
  1. jeśli mają one ewidentnie nieuzasadniony lub nadmierny charakter, lub
  2. jeżeli administrator dokonuje przetwarzania niewymagającego identyfikacji i wykaże, iż nie jest w stanie zidentyfikować występującej z takim żądaniem osoby.

 

Szczegółowe zasady realizacji obowiązków wynikających z uprawnień osób, których dane dotyczą (art. 15-22 RODO).

  • prawo dostępu, w tym prawo do uzyskania kopii danych osobowych podlegających przetwarzaniu (art. 15 RODO):
  1. W przypadku, gdy przepisy prawa nie stanowią inaczej, w zakresie danych osobowych przetwarzanych w związku z funkcjonowaniem Kancelarii Administrator jest zobowiązany do realizacji uprawnień osoby, której dane dotyczą, wskazanych w art. 15 RODO. Jeżeli żądanie osoby, której dane dotyczą, obejmuje dane osobowe przetwarzane w ramach wykonywania zawodu, a ustawa zwolni radcę prawnego z realizacji obowiązku związanego z prawem dostępu do danych w tym zakresie, to radca prawny nie będzie musiał dokonywać czynności, o których mowa poniżej. Niemniej jednak, w każdym przypadku, nawet jeżeli radca prawny będzie zwolniony z omawianego obowiązku na mocy ustawy, należy poinformować osobę, która wniosła żądanie o rozstrzygnięciu jej żądania, w tym o przyczynach ewentualnej odmowy realizacji żądania, tj. np. zwolnieniu radcy prawnego z obowiązku realizacji prawa dostępu w zakresie danych osobowych przetwarzanych w ramach wykonywania zawodu. 
  2. W odniesieniu do danych osobowych przetwarzanych w związku z funkcjonowaniem Kancelarii, w zależności od zakresu żądania osoby, której dane dotyczą, administrator danych zobowiązany jest do:
  • udzielenia osobie, której dane dotyczą, informacji, czy przetwarzane są jej dane osobowe, a także innych informacji wskazanych w art. 15 ust. 1-2 RODO;
  • udzielenia tej osobie dostępu do tych danych;
  • dostarczenia tej osobie kopii danych osobowych podlegających przetwarzaniu.
  • W zakresie prawa do uzyskania kopii, Bestel House weryfikuje, czy realizacja tego uprawnienia nie będzie niekorzystnie wpływać na prawa i wolności innych osób i na tej podstawie decyduje o realizacji albo odmowie realizacji tego prawa. 
  • Jeżeli Bestel House nie przetwarza danych osobowych osoby, która zgłasza żądanie, informuje ją o tym (tj. nie pozostawia jej żądania bez odpowiedzi). 
    1. W przypadku wydania przez Kancelarię kopii danych osobie, której dane dotyczą, Bestel House odnotowuje fakt wydania pierwszej kopii danych. 
  • prawo do sprostowania lub uzupełnienia danych (art. 16 RODO):
  1. Bestel House dokonuje sprostowania nieprawidłowych danych na żądanie osoby, której dane dotyczą, z wyłączeniem sytuacji, gdy przepisy szczególne przewidują odrębny tryb sprostowania.
  2. Bestel House ma prawo odmówić sprostowania danych, chyba, że osoba, której dane dotyczą w rozsądny sposób wykaże nieprawidłowości danych, których sprostowania się domaga.   
  • prawo do usunięcia danych (prawo do bycia zapomnianym) (art. 17 RODO):
  1. Jeżeli przetwarzanie danych osobowych objętych żądaniem jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń (art. 17 ust. 3 lit. d RODO), Bestel House korzysta z wyłączenia przewidzianego w RODO, tj. nie jest zobowiązana do usunięcia takich danych osobowych;
  2. W pozostałych przypadkach, Bestel House co do zasady zobowiązana jest do realizacji prawa do usunięcia danych, w zakresie ustalonym w art. 17 RODO, chyba, że przepisy szczególne stanowią inaczej. 
  3. W zakresie, w jakim Bestel House będzie zobowiązana do realizacji prawa do usunięcia danych, w odpowiedzi na żądanie osoby, której dane dotyczą, będzie weryfikowała, czy zachodzi przesłanka usunięcia danych osobowych (art. 17 ust. 1 lit. a-f RODO). Jeżeli tak, Bestel House usunie dane osobowe objęte żądaniem. Jeżeli żadna z przesłanek nie znajdzie zastosowania, Bestel House poinformuje o tym osobę, której dane dotyczą. W każdym przypadku, nawet jeżeli Bestel House będzie zwolniona z tego obowiązku na mocy ustawy, poinformuje osobę, która wniosła żądanie o rozstrzygnięciu jej żądania, w tym o przyczynach ewentualnej odmowy realizacji żądania.
  • prawo do ograniczenia przetwarzania (art. 18 RODO):
  1. W przypadku, gdy żądanie osoby, której dane dotyczą, obejmuje ograniczenie przetwarzania danych osobowych, a żądanie to jest uzasadnione (tj. spełnia przesłanki wskazane w art. 18 ust. 1 lit. a-d RODO), Bestel House ogranicza przetwarzanie danych osobowych, chyba, że przepisy szczególne stanowią inaczej.
  2. Jeżeli natomiast Bestel House uzna, że żądanie osoby, której dane dotyczą, nie jest uzasadnione, informuje ją o tym i podaje przyczyny odmowy realizacji jej żądania.  
  3. Jeżeli natomiast żądanie osoby, której dane dotyczą, obejmuje ograniczenie przetwarzania danych osobowych przetwarzanych w ramach wykonywania zawodu, a ustawa zwolni radcę prawnego z realizacji tego obowiązku, to radca prawny nie będzie musiał dokonywać ograniczenia przetwarzania. Natomiast poinformuje tę osobę o przyczynach odmowy realizacji żądania, tj. o tym, że ustawa zwalnia go z realizacji prawa do ograniczenia przetwarzania w zakresie danych osobowych przetwarzanych w ramach wykonywania zawodu.
  4. W trakcie ograniczenia przetwarzania Bestel House przechowuje dane, natomiast nie przetwarza ich (nie wykorzystuje, nie przekazuje), bez zgody osoby, której dane dotyczą, chyba, że w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego.
  • obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania (art. 19 RODO):
  1. W zakresie danych osobowych przetwarzanych w związku z funkcjonowaniem Kancelarii Administrator realizuje obowiązek z art. 19 RODO, w następstwie dokonania sprostowania, usunięcia lub ograniczenia przetwarzania zgodnie z art. 16, art. 17 oraz art. 18 RODO, chyba, że przepis szczególny zwalnia go z tego obowiązku. 
  2. Bestel House, która dokonała sprostowania, usunięcia lub ograniczenia przetwarzania zgodnie z art. 16, art. 17 oraz art. 18 RODO poinformuje o tym każdego odbiorcę, któremu ujawniła dane osobowe, chyba że wykaże, że takie poinformowanie jest niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. W tym zakresie poinformuje również osobę, której dane dotyczą, na jej żądanie, o tych odbiorcach. 
  • prawo do przenoszenia danych (art. 20 RODO):
  1. Bestel House będzie zobowiązana do realizacji prawa do przenoszenia danych jedynie w sytuacji, gdy przetwarza dane osobowe na podstawie zgody lub umowy z osobą, której dane dotyczą i wyłącznie pod warunkiem, że przetwarzanie to odbywa się w sposób zautomatyzowany.
  2. Bestel House, co do zasady nie przetwarza danych osobowych w sposób zautomatyzowany, w większości zbiory danych Kancelarii są zbiorami w formie papierowej.
  • prawo do sprzeciwu (art. 21 RODO):
  1. W odniesieniu do danych osobowych przetwarzanych w związku z funkcjonowaniem Kancelarii, jeżeli osoba, której dane dotyczą, zgłosiła sprzeciw na zasadach wskazanych w art. 21 ust. 2 RODO, Bestel House zaprzestanie przetwarzania danych osobowych objętych żądaniem w celach marketingowych, jeżeli dane osobowe są przetwarzane w tych celach.
  2. W przypadkach pozostałych sprzeciwów, Bestel House może albo uczynić zadość żądaniu i zaprzestać przetwarzania danych osoby zgłaszającej żądanie, albo dalej przetwarzać przedmiotowe dane osobowe, jeżeli stwierdzi i jest w stanie wykazać, że istnieją ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń. 
  3. W każdym przypadku Bestel House jednocześnie poinformuje osobę, której dane dotyczą, o sposobie realizacji jej żądania albo odmowie jego realizacji, podając przyczyny tej odmowy.
  4. Jeżeli osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania danych osobowych, jej dotyczących, które wchodzą w zakres danych osobowych przetwarzanych w ramach wykonywania zawodu, Bestel House informuję tę osobę o tym, że jej żądanie nie zostanie zrealizowane ze względu na istniejące na mocy ustawy zwolnienie w tym zakresie.
  • prawo do niepodlegania zautomatyzowanej decyzji, w tym profilowaniu (art. 22 RODO):

Bestel House nie dokonuje w ramach swojej działalności zautomatyzowanego przetwarzania danych osobowych i nie podejmuje decyzji, które opierają się wyłącznie na zautomatyzowanym przetwarzaniu. 

Sposób przeprowadzania szkoleń z zakresu ochrony danych osobowych dla osób upoważnionych do przetwarzania danych oraz procedura nadawania upoważnień do przetwarzania danych osobowych i odbioru tych upoważnień.

  1. Każdy użytkownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej winien być poddany przeszkoleniu w zakresie ochrony danych osobowych, zgodnie z nadawanym upoważnieniem.
  2. Po zakończeniu szkolenia osoba, która ma otrzymać upoważnienie do przetwarzania danych osobowych składa oświadczenie o zapoznaniu się z przepisami dotyczącymi ochrony danych osobowych. Wzór oświadczenia stanowi załącznik nr 2 do niniejszej Polityki.
  3. Po odebraniu oświadczenia, o którym mowa w pkt 2 powyżej ADO wydaje upoważnienie do przetwarzania danych osobowych.
  4. Osoba upoważniona powinna mieć zapewniony dostęp tylko do informacji potrzebnych jej do wykonywania powierzonych jej zadań (zasada wiedzy koniecznej).
  5. Osoba upoważniona powinna mieć zapewniony dostęp tylko do środków przetwarzania informacji (urządzeń teleinformatycznych, aplikacji, procedur, pomieszczeń), które są jej niezbędne do wykonywania jej pracy (zadania) związanego z przetwarzaniem informacji prawnie chronionej (zasada potrzeby koniecznej).
  6. Wzór upoważnienia stanowi załącznik nr 3 do niniejszej Polityki.
  7. Okresowo, w celu podniesienia świadomości pracowników i osób upoważnionych do przetwarzania danych osobowych, ADO organizuje szkolenia z zakresu ochrony danych osobowych.

Polityka powierzania przetwarzania danych osobowych

  1. Bestel House może powierzyć przetwarzanie danych osobowych innemu podmiotowi lub osobie w drodze umowy zawartej na piśmie.
  2. Podmiot zewnętrzny lub osoba, którym powierzono przetwarzanie danych zobowiązani są wykorzystywać powierzone im dane wyłącznie w celach i w zakresie, które zostały wskazane w zawartej z nim umowie.
  3. Bestel House każdorazowo weryfikuje, przed powierzeniem przetwarzania danych, czy podmiot, któremu to dane mają być powierzone daje wystarczające gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa i realizacji innych obowiązków ochrony danych osobowych spoczywających na Kancelarii.
  4. Weryfikacja podmiotu przetwarzającego może odbyć się poprzez przesłanie takiemu podmiotowi pytań dotyczących stosowania wymogów RODO (w tym zasobów, wiedzy fachowej i wiarygodności) oraz analizę przekazanych odpowiedzi. Można także przeprowadzić audyt w powyższym zakresie. Zgodnie z art. 28 ust. 5 RODO, podmiot przetwarzający może wykazać zapewnianie wystarczających gwarancji wdrożenia RODO między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji.
  5. Bestel House przyjęła minimalne wymagania co do umowy powierzenia przetwarzania danych osobowych. Wzór umowy powierzenia przetwarzania danych osobowych stanowi załącznik nr 4 do niniejszej Polityki.

Procedura identyfikacji, oceny i zgłoszenia zidentyfikowanego naruszenia ochrony danych osobowych, w terminie 72 godzin od momentu ustalenia naruszenia.

  1. Do typowych zagrożeń bezpieczeństwa danych osobowych należą: 
  1. niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,
  2. niewłaściwe zabezpieczenie sprzętu IT i oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych,
  3. nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek).
  1. Do typowych incydentów bezpieczeństwa danych osobowych należą:
  1. zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności),
  2. zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata/zagubienie danych),
  3. umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania).
  1. Każda osoba upoważniona do przetwarzania danych osobowych w Kancelarii, w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych zobowiązana jest niezwłocznie poinformować o tym ADO.
  2. W przypadku stwierdzenia incydentu lub stwierdzenia zagrożenia ADO prowadzi postępowanie, w toku którego:
  1. ustala czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały,
  2. zabezpiecza ewentualne dowody,
  3. ustala osoby odpowiedzialne za naruszenie (incydent),
  4. podejmuje działania naprawcze (usuwa skutki incydentu i ogranicza szkody),
  5. inicjuje działania dyscyplinarne,
  6. wyciąga wnioski i rekomenduje działania korygujące zmierzające do eliminacji podobnych incydentów w przyszłości,
  7. dokumentuje prowadzone postępowanie, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze,
  8. w przypadku naruszenia ochrony danych osobowych, ADO bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin ADO dołącza wyjaśnienie przyczyn opóźnienia,
  9. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ADO bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu, zgodnie z art. 34 RODO.
  1. ADO jest odpowiedzialny za nadzór nad poprawnością i terminowością wdrażanych działań korygujących lub zapobiegawczych.

Projektowanie prywatności

Prowadzenie projektów i inwestycji w Kancelarii każdorazowo uwzględnia konieczność zapewnienia odpowiedniego bezpieczeństwa danych osobowych oraz minimalizowania ich przetwarzania.

Eksport danych

W przypadku, gdyby nastąpił eksport danych osobowych poza obszar EOG Bestel House odnotuje ten fakt w Rejestrze oraz spełni obowiązki związane z takim przetwarzaniem zgodnie z RODO.

Zapewnienie bezpieczeństwa przetwarzania danych

  1. Bestel House dokonała doboru odpowiednich technicznych i organizacyjnych środków bezpieczeństwa, a następnie wdrożyła je do stosowania.
  2. W Kancelarii nie dochodzi do przetwarzania danych osobowych, które wymaga przeprowadzenia oceny skutków dla ochrony danych, zgodnie bowiem z motywem 91 RODO „Przetwarzanie danych osobowych nie powinno zostać uznane za przetwarzanie danych osobowych na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika. W takich przypadkach ocena skutków dla ochrony danych nie powinna być obowiązkowa”.
  3. Bestel House przyjęła następujące zabezpieczenia organizacyjne:
  1. została opracowana i wdrożona Polityka Ochrony Danych Osobowych,
  2. została opracowana i wdrożona Instrukcja Zarządzania Systemem Informatycznym,
  3. do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające ważne upoważnienia nadane przez ADO,
  4. osoby upoważnione do przetwarzania danych osobowych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz wytycznymi w zakresie zabezpieczeń systemu informatycznego,
  5. osoby upoważnione do przetwarzania danych osobowych zostały zobowiązane do zachowania ich w tajemnicy,
  6. przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych,
  7. przebywanie osób nieupoważnionych w pomieszczeniach tworzących obszar przetwarzania danych osobowych możliwe jest wyłącznie za zgodą i wiedzą ADO,
  8. stosuje się pisemne umowy powierzenia przetwarzania danych przy współpracy z podmiotami zewnętrznymi przetwarzającymi dane osobowe,
  9. po zakończeniu pracy lub podczas dłuższej nieobecności w pomieszczeniu przez użytkownika przetwarzającego dane osobowe, wszystkie nośniki danych zawierające dane osobowe, są umieszczane w zamykanych szafach (zasada czystego biurka) lub zabezpieczane przed niepożądanym dostępem,
  10. jakiekolwiek papierowe nośniki informacji, które utraciły swoją aktualność powinny być niszczone w przeznaczonych do tego urządzeniach – niszczarkach papieru lub przekazane do zniszczenia podmiotowi zewnętrznemu, wyspecjalizowanemu w niszczeniu nośników danych,
  11. przekazanie nośników informacji przeznaczonych do zniszczenia może się odbyć wyłącznie na podstawie stosownej umowy, a odbiór dokumentów musi być każdorazowo potwierdzony odpowiednim protokołem zdawczo-odbiorczym,
  12. klucze zamykające szafy są deponowane w wyznaczonych do tego skrzynkach na klucze zamykanych na zamek szyfrowy lub zabezpieczane w sposób zapewniający bezpieczeństwo tzw. ostatniego klucza, tj. zabezpieczający go przed pozyskaniem przez osobę nieuprawnioną, zgubieniem lub zniszczeniem,
  13. osoby upoważnione do przetwarzania danych osobowych zobowiązane są zwracać szczególną uwagę na osoby nieznane, przebywające samodzielnie w pomieszczeniach lub ciągach komunikacyjnych łączących pomieszczenia, które wchodzą w skład obszarów przetwarzania danych.
  1. Zabezpieczenia organizacyjne, fizyczne i informatyczne danych osobowych w podziale na zabiory danych osobowych opisane są w Załączniku 1 do niniejszej Polityki.
  2. Szczegółowy opis zabezpieczeń sprzętowych infrastruktury informatycznej i telekomunikacyjnej, w ramach której przetwarzane są dane osobowe, zawarty jest w Instrukcji Zarządzania Systemem Informatycznym – Załącznik 5 do niniejszej Polityki.

Postanowienia końcowe

  1. Niniejsza Polityka jest dokumentem wewnętrznym i nie może być udostępniania osobom postronnym w żadnej formie.
  2. Wszystkie osoby upoważnione do przetwarzania danych osobowych przez ADO są obowiązane zapoznać z treścią niniejszej Polityki i przestrzegać jej postanowień.
  3. W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie przepisy RODO.
Szybkie linki
Kontakt
Zadzwoń
+48 505 47 79 81
Zadzwoń
Scroll to Top