Select Page

polityka prywatności

Polityka cookies

  1. Nasza Strona zbiera w sposób automatyczny tylko informacje zawarte w plikach cookies.
  2. Pliki cookies są plikami tekstowymi, które przechowywane są w urządzeniu końcowym użytkownika. Przeznaczone są do korzystania z naszej Strony. Przede wszystkim zawierają nazwę strony internetowej swojego pochodzenia, unikalny numer, czas przechowywania na urządzeniu końcowym.
  3. Strona stosuje dwa zasadnicze rodzaje plików cookies – sesyjne i stałe. Pliki Cookies sesyjne są tymczasowe, przechowuje się je do momentu opuszczenia strony (poprzez wejście na inną stronę, wylogowanie lub wyłączenie przeglądarki). Pliki stałe przechowywane są w urządzeniu końcowym użytkownika do czasu ich usunięcia przez użytkownika lub przez czas wynikający z ich ustawień.
  4. Operator Strony nsp.com.pl jest podmiotem zamieszczającym na urządzeniu końcowym swojego użytkownika pliki cookies oraz mającym do nich dostęp.
  5. Operator Strony wykorzystuje pliki cookies w celu:
  • dopasowania zawartości strony internetowej do indywidualnych preferencji użytkownika, przede wszystkim pliki te rozpoznają jego urządzenie, aby zgodnie z jego preferencjami wyświetlić stronę;
  • przygotowywania statystyk pomagających poznaniu preferencji i zachowań użytkowników, analiza tych statystyk jest anonimowa i umożliwia dostosowanie zawartości i wyglądu strony do panujących trendów, statystyki stosuje się też do oceny popularności strony;
  1. Użytkownik może w każdej chwili dokonać zmiany ustawień swojej przeglądarki, aby zablokować obsługę plików cookies lub każdorazowo uzyskiwać informacje o ich umieszczeniu w swoim urządzeniu. Inne dostępne opcje można sprawdzić w ustawieniach swojej przeglądarki internetowej. Informacje dotyczące ustawień przeglądarek internetowych dostępne są w jej menu (pomoc) lub na stronie jej producenta.
  2. Należy pamiętać, że większość przeglądarek domyślnie jest ustawione na akceptację zapisu plików cookies w urządzeniu końcowym. Zmiany ustawień w przeglądarce internetowej użytkownika mogą ograniczyć dostęp do niektórych funkcji strony internetowej.
  3. Pliki cookies, z których korzysta Strona (zamieszczane w urządzeniu końcowym użytkownika) mogą być udostępnione jego partnerom oraz współpracującym z nim reklamodawcą.
  4. Bardziej szczegółowe informacje na temat plików cookies dostępne są na stronie ciasteczka.org.pl

 

Polityka Ochrony Prywatności

 

WSTĘP

 

  1. Niniejszy dokument zatytułowany „Polityka ochrony prywatności” (dalej: Polityka) stanowi zbiór wymogów, zasad i regulacji ochrony danych osobowych gromadzonych przez Bartosza Szumiel, prowadzącego działalność gospodarczą pod firmą „NEARSHORE SERVICES POLAND BARTOSZ SZUMIEL” adres: 00-807 Warszawa Al. Jerozolimskie 94, na podstawie wpisu do Centralnej Ewidencji i Informacji o Działalności Gospodarczej, REGON: 142867252, NIP: 8761973387,
    zwaną dalej „NSP”.
  2. Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu  Rozporządzenia Parlamentu Europejskiego i Rady(UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119, s..1) – dalej RODO.
  3. Polityka zawiera:
  1. opis zasad ochrony danych obowiązujących w NSP,
  2. odwołania do załączników uszczegóławiających (wzorcowe procedury lub instrukcje dotyczące poszczególnych obszarów z zakresu ochrony danych osobowych wymagających doprecyzowania w odrębnych dokumentach).
  1. Przetwarzanie danych, których administratorem jest NSP będzie następowało z poszanowaniem przepisów powszechnie obowiązujących oraz przyjętych procedur, w szczególności niniejszej Polityki. W przypadku danych, wobec których NSP jest Podmiotem przetwarzającym (Procesorem) w rozumieniu RODO, ich przetwarzanie następować będzie z  poszanowaniem obowiązujących przepisów, przyjętych przez NSP regulacji oraz zgodnie ze szczegółowymi zobowiązaniami NSP względem kontrahentów wynikającymi z umów zawartych z kontrahentami, w szczególności w zakresie zachowania poufności i bezpieczeństwa danych, w tym także procedur postępowania w przypadku incydentów bezpieczeństwa danych. Jeśli umowy o powierzenie przetwarzania danych osobowych lub umowy o poufności zawarte z Klientami NSP nie stanowią inaczej, przetwarzanie danych następuje w oparciu o zasady i procedury przyjęte w niniejszej Polityce oraz stosownych załącznikach. W przypadku zobowiązania przez Klienta NSP do stosowania bardziej szczegółowych lub surowszych zasad przetwarzania danych lub zachowania poufności, NSP stosować będzie w odniesieniu do danych powierzonych przez tego Klienta zasady przyjęte w regulacjach szczególnych.
  2. Za wdrożenie i utrzymanie niniejszej Polityki odpowiada Bartosz Szumiel, jako przedsiębiorca będący administratorem danych osobowych przetwarzanych przez NSP.
  3. Za nadzór i monitorowanie przestrzegania Polityki odpowiada Inspektor Ochrony Danych Osobowych. Do innych zadań Inspektora Ochrony Danych należy:
  1. Informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy Rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
  2. monitorowanie przestrzegania obowiązujących przepisów o ochronie danych oraz stosownych polityk w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz – w razie potrzeby – powiązane z tym audyty;
  3. o ile w danym przypadku znajdzie zastosowanie – udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych (DPIA) oraz monitorowanie wykonania tej oceny zgodnie z art. 35 RODO;
  4. współpraca z Organem Nadzorczym (PUODO) i pełnienie roli „punktu kontaktowego” dla Organu Nadzorczego w kwestiach związanych z przetwarzaniem danych;
  5. pełnienie roli „punktu kontaktowego” dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw im przysługujących;
  6. prowadzenie rejestru czynności lub rejestru kategorii czynności przetwarzania danych.
  1. Za stosowanie niniejszej Polityki odpowiedzialni są:
  1. personel NSP, mający dostęp do danych osobowych;
  2. osoby współpracujące z NSP, przetwarzający dane osobowe klientów NSP oraz dane powierzone do przetwarzania przez klientów NSP;
  3. podmioty, którym NSP przekaże dane osobowe.
  1. Do obowiązków NSP w zakresie ochrony danych należą:
  2. ułatwianie osobie, której dane dotyczą wykonywania praw przysługującej jej na mocy RODO (prawa do informacji, dostępu, do sprostowania danych, do usunięcia danych – „bycia zapomnianym”, do ograniczenia przetwarzania, do przenoszenia danych, do sprzeciwu,);
  3. obowiązek informacyjny wypełniany przy zbieraniu danych osobowych;
  4. szczególna staranność przy przetwarzaniu danych osobowych w celu ochrony interesów i praw osób, których dane przetwarza;
  5. udzielanie informacji o zakresie przetwarzanych danych osobowych, umożliwienie osobie, której dane dotyczą monitorowania przetwarzania danych;
  6. obowiązek uzupełniania, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, gdy zażąda tego osoba, której dane są przetwarzane przez administratora;
  7. obowiązek wdrożenia i stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a także umożliwiających wykazanie przetwarzania danych osobowych zgodnie z RODO;
  8. kontrola jakie dane, kiedy i przez kogo zostały wprowadzone do zbioru i komu są ujawniane / przekazywane (odbiorcy danych), utworzenie i prowadzenie rejestru czynności przetwarzania danych osobowych przez  Administratora danych osobowych, obowiązek poinformowania odbiorcy danych o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych osobowych;
  9. prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych;
  10. umożliwienie przeniesienia danych osoby, której dotyczą do innego usługodawcy, wygenerowania pliku z przetwarzanymi danymi osobowymi;
  11. w przypadku powierzenia przetwarzania danych osobowych – weryfikacja możliwości wywiązania się przez podmiot przetwarzający z obowiązków i wymogów zakreślonych przez RODO;
  12. wdrożenie i stosowanie  Procedury wykrywania, analizy, zgłaszania naruszeń ochrony danych oraz – w miarę możliwości –  informowania osób, których dane dotyczą o naruszeniach ochrony danych (Procedura postępowania w razie incydentu bezpieczeństwa);
  13. zawarcie umów powierzenia przetwarzania danych z podmiotem przetwarzającym oraz kontrola ich wykonywania – jeśli następuje powierzenie przetwarzania danych podmiotowi zewnętrznemu a w przypadku przetwarzania danych osobowych powierzonych przez innych administratorów, zawarcie stosownych umów oraz przetwarzanie danych zgodnie z zasadami wynikającymi z przepisów obowiązujących oraz przyjętych obowiązków umownych;
  14. współpraca z Organem Nadzorczym przy wykonywaniu zadań w zakresie ochrony danych osobowych;
  15. wyznaczenie osoby Inspektora Ochrona Danych.

 

SKRÓTY I DEFINICJE:

 

Polityka – niniejsza Polityka ochrony prywatności, o ile co innego nie wynika wyraźnie z kontekstu.

RODO  – rozporządzenie Parlamentu Europejskiego i Rady(UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119, s..1).

Dane  – dane osobowe, o ile co innego nie wynika wyraźnie z kontekstu.

Dane szczególnych kategorii  – dane wymienione w art..9 ust..1 RODO, tj..dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Dane karne – dane wymienione w art..10 RODO, tj..dane dotyczące wyroków skazujących i naruszeń prawa.

Dane dzieci –  dane osób poniżej 16. roku życia.

Osoba – osoba, której dane dotyczą, o ile co innego nie wynika wyraźnie z kontekstu.

Klient NSP – podmiot korzystający z usług NSP

Podmiot przetwarzający / Procesor –  organizacja lub osoba, której NSP lub inny administrator danych osobowych powierzył przetwarzanie danych osobowych (np.usługodawca IT, zewnętrzna księgowość).

Profilowanie –  dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Eksport danych – przekazanie danych do państwa trzeciego lub organizacji międzynarodowej.

IOD / Inspektor –  Inspektor Ochrony Danych Osobowych

RCPD / Rejestr – Rejestr Czynności Przetwarzania Danych Osobowych.

OCHRONA DANYCH OSOBOWYCH W NSP – ZASADY OGÓLNE

  1. Filarami przetwarzania danych osobowych przez NSP są:
  1. legalność – NSP dba o ochronę prywatności i przetwarza dane zgodnie z prawem;
  2. bezpieczeństwo – NSP zapewnia odpowiedni poziom bezpieczeństwa danych, podejmując stale działania w tym zakresie;
  3. prawa jednostki – NSP  umożliwia osobom, których dane przetwarza, wykonywanie swoich praw i prawa te realizuje;
  4. rozliczalność– NSP dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej chwili moc wykazać zgodność przetwarzania danych z wymogami prawnymi.
  1. Dane osobowe muszą być przetwarzane z poszanowaniem następujących zasad:
  2. zgodności z prawem (w oparciu o podstawę prawną i zgodnie z obowiązującymi przepisami w tym zakresie) oraz rzetelności i przejrzystości dla osoby, której te dane dotyczą;
  3. ograniczenia celu zbierania danych osobowych (do konkretnych wyraźnych i prawnie uzasadnionych celów);
  4. minimalizacji i adekwatności zebranych danych  – ich ograniczenia do niezbędnego minimum w ramach celu, dla którego dane są przetwarzane (nie więcej niż potrzeba i nie „na zapas”);
  5. prawidłowości – zapewnienia prawidłowości oraz – w miarę możliwości – aktualności przetwarzanych danych;
  6. ograniczenia przechowywania – do okresu, który jest niezbędny dla celów w jakich dane te są przetwarzane;
  7. integralności i poufności – w sposób zapewniający odpowiednie bezpieczeństwo przetwarzanych danych;
  8. zapewnienia bezpieczeństwa – odpowiedzialności Administratora za przestrzeganie zasad ochrony danych osobowych oraz rozliczalności ich przestrzegania (zdolności do wykazania przestrzegania zasad ochrony danych osobowych).

 

SYSTEM OCHRONY DANYCH

 

System ochrony danych osobowych w NSP składa się z następujących elementów:

  1. Inwentaryzacja danych.
    1. NSP dokonuje identyfikacji zasobów danych osobowych, kategorii zbieranych i przetwarzanych danych, zależności między zasobami danych, identyfikacji sposobów wykorzystania danych.
    2. NSP nie gromadzi i nie przetwarza danych szczególnych kategorii.
    3. W przypadku gromadzenia danych niezidentyfikowanych  np. w przypadku zapisu monitoringu pomieszczeń, NSP wyraźnie informuje o tym swoich Klientów, pracowników lub współpracowników (w szczególności poprzez wyraźną informację o monitoringu i możliwości przetwarzania danych niezidentyfikowanych), zapewniając realizację praw osób, których dotyczą dane niezidentyfikowane.

 

  1. Rejestr.
    1. Dla wszystkich kategorii danych przetwarzanych przez siebie lub podmioty współpracujące, NSP prowadzi Rejestr Czynności Danych Osobowych (Rejestr), który jest narzędziem rozliczania zgodności przetwarzania danych, w którym monitoruje sposób w jaki wykorzystuje dane osobowe poszczególnych kategorii.
    2. W Rejestrze NSP odnotowuje co najmniej: (i) nazwę czynności, (ii) cel przetwarzania, (iii) opis kategorii osób, (iv) opis kategorii danych, (v) podstawę prawną przetwarzania, wraz z wyszczególnieniem kategorii uzasadnionego interesu NSP, jeśli podstawą jest uzasadniony interes, (vi) sposób zbierania danych, (vii) opis kategorii odbiorców danych (w tym przetwarzających), (viii) informację o przekazaniu poza EU/EOG; (ix) ogólny opis technicznych i organizacyjnych środków ochrony danych.

Wzór Rejestru stanowi Załącznik nr 1 do Polityki – „Wzór Rejestru

  1. Podstawy prawne przetwarzania.
    1. NSP zapewnia podstawy prawne przetwarzania danych i gromadzi je w Rejestrze dla poszczególnych czynności przetwarzania. W  tym celu:
  1. utrzymuje system zarządzania zgodami na przetwarzanie danych i komunikację na odległość, prowadząc stosowny rejestr udzielonych zgód na przetwarzanie danych, wskazując datę cofnięcia zgody lub zgłoszonych innych czynności przez osobę, której dane dotyczą (sprzeciw wobec przetwarzania danych, żądanie ograniczenia przetwarzania danych, itp.)
  2. gromadzi i przechowuje zgody na przetwarzanie danych osobowych,(wzór zgody na przetwarzanie danych osobowych stanowi załącznik nr 2 do niniejszej Polityki), zgoda udzielana jest za pomocą środków porozumiewania się na odległość (poprzez odznaczenie stosownej klauzuli) lub na piśmie w dwóch egzemplarzach, spośród których jeden zostaje w NSP, drugi zaś otrzymuje osoba, której dane dotyczą;
  3. inwentaryzuje i uszczegóławia uzasadnienie przypadków, gdy przetwarzanie danych ma odbywać się na podstawie prawnie uzasadnionego interesu NSP, oraz zapewnia, by kierownik jednostki organizacyjnej, pracownik lub współpracownik NSP znał szczegółowy i konkretny interes NSP realizowany przetwarzaniem tych danych osobowych,
  4. wskazując ogólną podstawę prawną przetwarzania danych, NSP doprecyzowuje w miarę możliwości szczegółowy zakres podstawy poprzez wskazanie konkretnego przepisu prawnego, dokumentu, zakresu udzielonej zgody, konkretnego celu, który jest uzasadniony dla przetwarzania danych;

 

  1. Obsługa praw jednostki.
    1. NSP spełnia obowiązki informacyjne względem osób, których dane przetwarza jako administrator, oraz zapewnia obsługę ich praw, realizując otrzymane w tym zakresie żądania. W tym celu NSP:
  1. przy zbieraniu danych przekazuje osobom prawem wymagane informacje oraz organizuje i zapewnia udokumentowanie realizacji tych obowiązków poprzez zawarcie w formularzu zgody na przetwarzanie danych osobowych klauzul informacyjnych zgodnych z RODO;
  2. na każde żądanie udziela informacji w zakresie określonym odrębną Procedurą, która stanowi załącznik nr 3 do niniejszej Polityki
  3. weryfikuje i zapewnia możliwość efektywnego wykonania każdego typu żądania  w zakresie danych osobowych przez siebie i swoich przetwarzających, o ile spełnienie tych żądań nie jest powiązane z nadmiernymi kosztami dla NSP;
  4. stosuje procedury pozwalające na wykrywanie naruszeń w zakresie przetwarzania danych osobowych i ustalenie konieczności zawiadomienia osób dotkniętych zidentyfikowanym naruszeniem ochrony danych – Procedura postępowania w razie incydentu bezpieczeństwa stanowi załącznik nr 4 do niniejszej Polityki.
    1. Żądania osób w zakresie danych osobowych, w tym do nieprzetwarzania danych osoby, dostępu do danych, uzyskania kopii danych, sprostowania, uzupełniania lub usunięcia danych, ograniczenia ich przetwarzania, przenoszenia danych, sprzeciwu wobec przetwarzania danych (w tym sprzeciwu w szczególnej sytuacji, przy badaniach naukowych, historycznych lub celach statystycznych, względem marketingu bezpośredniego oraz w zakresie automatycznego przetwarzania danych) realizowane są przez NSP na warunkach określonych w Procedurze Udzielania Informacji i Realizacji Żądań stanowiącej załącznik nr 3 do niniejszej Polityki.

 

  1. Minimalizacja.
    1. NSP dba o minimalizację przetwarzania danych pod kątem adekwatności danych do celów (kategorii, ilości danych i zakresu ich przetwarzania), dostępu do danych i czasu ich przechowywania. W tym celu:
  1. zapewnia, by dane gromadzone w systemie informatycznym NSP były ograniczone wyłącznie do danych niezbędnych do prawidłowego świadczenia usług przez NSP;
  2. dokonuje okresowych (nie rzadziej niż raz na rok) przeglądów ilości przetwarzanych danych i zakresu ich przetwarzania;
  3. stosuje ograniczenia dostępu do danych osobowych następujących kategorii:
  • prawne: upoważnienia do przetwarzania danych osobowych, zobowiązania do poufności, umowy o powierzenie przetwarzania danych osobowych, których wzory stanowią załącznik nr 5 do niniejszej Polityki;
  • fizyczne: zamykane pomieszczenia, w których gromadzone i przetwarzane są dane osobowe
  • logiczne: ograniczenia uprawnień do systemów, w których przetwarzane są dane osobowe i zasobów sieciowych, w których zgromadzone są dane osobowe;
  1. przy każdorazowej zmianie personelu lub podmiotów przetwarzających dokonywana jest aktualizacja uprawnień dostępowych oraz upoważnień
  2. kontroluje okresowo cykl życia danych osobowych, w tym dokonuje weryfikacji dalszej przydatności danych względem terminów i punktów kontrolnych wskazanych w Rejestrze. Dane, których zakres przydatności ulega ograniczeniu wraz z upływem czasu, są usuwane z systemu NSP, jak też z akt podręcznych i głównych. Dane takie mogą być archiwizowane oraz znajdować się na kopiach zapasowych systemów i informacji przetwarzanych przez NSP. Procedury archiwizacji i korzystania z archiwów, tworzenia i wykorzystania kopii zapasowych uwzględniają wymagania kontroli nad cyklem życia danych, a w tym wymogi usuwania danych. W przypadku przetwarzania przez NSP danych powierzonych przez Klientów NSP, zasady kontroli cyklu życia danych osobowych, ich przydatności oraz archiwizacji regulują zapisy umowne zawarte pomiędzy NSP a danym Klientem.
    1. Upoważnienia do przetwarzania danych osobowych nadaje Administrator Danych Osobowych w formie pisemnego dokumentu, po przeprowadzeniu szkolenia lub zaznajomieniu – w innej formie, osoby upoważnianej z zasadami ochrony danych osobowych. Upoważnienie nadawane jest indywidualnie, z wyraźnym wskazaniem, jakie kategorie danych obejmuje swoim zakresem. Wzór upoważnienia stanowi Załącznik nr 5 do Polityki. Każda osoba, która uzyskała upoważnienie do przetwarzania danych, zobowiązana jest do ich ochrony w sposób zgodny z przepisami Ustawy, RODO oraz postanowieniami niniejszej Polityki. W odniesieniu do przetwarzania danych powierzonych przez Klientów NSP – o ile Klient NSP nie wymaga stosowania szczególnego wzoru upoważnienia, NSP udziela upoważnienia do przetwarzania danych osobowych w brzmieniu określonym załącznikiem do niniejszej Polityki, w przeciwnym wypadku zastosowanie znajdą zapisy umowne zawarte pomiędzy NSP a Klientem NSP w tym zakresie.
    2. Osoba upoważniona zobowiązana jest do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. Obowiązek ten istnieje także po ustaniu zatrudnienia lub zakończeniu współpracy. Stosowny zapis o przyjęciu zobowiązania do zachowania w tajemnicy przetwarzanych danych osobowych zawiera upoważnienie, którego wzór znajduje się w Załączniku nr 5.
    3. Przyjęte przez NSP środki i zasady bezpieczeństwa, w tym zasady kontroli dostępu do danych  zostały opisane w punkcie 6 poniżej. Opis środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych stanowi Załącznik nr 6 do niniejszej Polityki.

 

  1. Bezpieczeństwo.
    1. NSP zapewnia odpowiedni poziom bezpieczeństwa danych, w tym:
  1. przeprowadza analizy ryzyka dla czynności przetwarzania danych lub ich kategorii;
  2. przeprowadza oceny skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw i wolności osób jest wysokie;
  3. dostosowuje środki ochrony danych do ustalonego ryzyka;
  4. posiada system zarządzania bezpieczeństwem informacji;
  5. stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych – odpowiednia procedura stanowi załącznik nr 4 do niniejszej Polityki;
  6. dba o odpowiedni stan wiedzy o bezpieczeństwie informacji oraz cyberbezpieczeństwie.
    1. Przed wdrożeniem odpowiednich środków bezpieczeństwa NSP dokonał analizy ryzyka naruszenia praw lub wolności osób fizycznych dla czynności przetwarzania danych, w tym możliwe sytuacje i scenariusze naruszenia ochrony danych osobowych, uwzględniając charakter, zakres, kontekst i cele przetwarzania, ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.
    2. W oparciu o powyższą analizę NSP przyjął następujące  zasady i środki bezpieczeństwa:
      1. Dostęp do danych osobowych ma Administrator Danych Osobowych, Inspektor Ochrony Danych oraz osoby upoważnione do ich przetwarzania w zakresie wynikającym z upoważnienia.
      2. Przebywanie osób nieuprawnionych do przetwarzania danych w pomieszczeniu, w którym przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby upoważnionej do ich przetwarzania, chyba, że dane te są w odpowiedni sposób zabezpieczone przed dostępem.
      3. Za bezpieczeństwo przetwarzania danych osobowych określonej kategorii, indywidualną odpowiedzialność ponosi przede wszystkim każda osoba upoważniona do ich przetwarzania.
      4. Pracownicy /współpracownicy mający dostęp do danych osobowych nie mogą ich ujawniać zarówno w miejscu pracy, jak i poza nim, w sposób wykraczający poza czynności związane z ich przetwarzaniem w zakresie obowiązków służbowych, w ramach udzielonego upoważnienia do przetwarzania danych.
      5. Nikomu nie należy udostępniać indywidualnych haseł i identyfikatorów do systemów informatycznych.
      6. Wysyłanie seryjnych wiadomości e-mail wymaga zastosowania opcji „kopia ukryta”.
      7. Nie można udzielać informacji dotyczących danych osobowych innym podmiotom na podstawie prośby o takie dane skierowanej w formie zapytania telefonicznego.
      8. W miejscu przetwarzania danych osobowych utrwalonych w formie papierowej pracownicy/współpracownicy zobowiązani są do stosowania zasady tzw. „czystego biurka”. Zasada ta oznacza nie pozostawianie materiałów zawierających dane osobowe w miejscu umożliwiającym fizyczny dostęp do nich osobom nieuprawnionym. Za realizację powyższej zasady odpowiedzialny jest na swym stanowisku każdy z Pracowników.
      9. Niszczenie brudnopisów, błędnych lub zbędnych kopii materiałów zawierających dane osobowe musi odbywać się w sposób uniemożliwiający odczytanie zawartej w nich treści, np. z wykorzystaniem niszczarek.
      10. Niedopuszczalne jest wynoszenie materiałów zawierających dane osobowe poza obszar ich przetwarzania bez związku z wykonywaniem czynności służbowych. Za bezpieczeństwo i zwrot materiałów zawierających dane osobowe odpowiada w tym przypadku osoba dokonująca ich wyniesienia.
      11. Po zakończeniu pracy w systemie informatycznym, w którym przechowywane są dane osobowe, należy wylogować się z systemu.
      12. Osoba użytkująca komputer przenośny zawierający dane osobowe zobowiązana jest do zachowania szczególnej ostrożności podczas jego transportu, przechowywania i użytkowania poza obszarem, w którym przetwarzane są dane osobowe.
      13. Przebywanie osób nieuprawnionych w pomieszczeniu, w którym przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania danych osobowych, chyba że dane te są w odpowiedni sposób zabezpieczone przed dostępem.
      14. W przypadku przyjęcia przez Klientów NSP w stosownych umowach o powierzenie przetwarzania danych  surowszych wymogów bezpieczeństwa, NSP stosować będzie w pierwszej kolejności zasady wynikające z zobowiązań umownych.
    1. W sytuacji, w której zgodnie z analizą ryzyka , ryzyko naruszenia praw i wolności osób jest wysokie, NSP dokonuje oceny skutków planowanych operacji przetwarzania danych osobowych dla ochrony danych osobowych.
    2. W celu zapewnienia odpowiedniego poziomu bezpieczeństwa danych osobowych, NSP stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych osobowych Urzędowi Ochrony Danych w terminie 72 godzin od ustalenia naruszenia. W miarę możliwości technicznych, NSP niezwłocznie informuje osobę o możliwości naruszenia ochrony jej danych osobowych. Szczegółowa procedura w tym zakresie stanowi załącznik nr 4 do niniejszej Polityki.

 

  1. Przetwarzający.
    1. NSP dobiera przetwarzających dane na rzecz NSP, z zachowaniem  wymogów co do warunków przetwarzania danych określonych w umowie powierzenia, w celu zapewnienia aby przetwarzający dane dawali wystarczające gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa danych, realizacji praw jednostki i innych obowiązków ochrony danych spoczywających na NSP.
    2. Podmioty, którym NSP powierza przetwarzanie danych zobowiązane są do stosowania co najmniej takich wymogów, jakie stosuje NSP w zakresie ochrony danych osobowych oraz zapewnienia ich integralności i poufności i ponoszą odpowiedzialność za przetwarzanie danych osobowych zgodnie z przepisami prawa obowiązującego w zakresie ochrony danych osobowych.
    3. NSP okresowo kontroluje i  rozlicza przetwarzających w zakresie  wymagań wynikających z zasad powierzenia danych osobowych.

 

  1. Eksport danych.
    1. NSP regularnie weryfikuje, czy nie dochodzi do przekazywania danych do państw trzecich (t.j. poza UE, Norwegię, Liechtenstein, Islandię) lub do organizacji międzynarodowych, a jeśli ma ono miejsce – zobowiązany jest do zapewnienia zgodnych z prawem warunków takiego przekazywania.
    2. W Rejestrze zapisywane są przypadki eksportu danych poza EOG. Aby uniknąć sytuacji nieautoryzowanego eksportu danych, w szczególności w związku z możliwościami wykorzystania publicznie dostępnych usług chmurowych, NSP okresowo weryfikuje zachowania użytkowników systemów (pracowników, współpracowników) oraz w miarę możliwości udostępnia zgodne z prawem rozwiązania równoważne.

 

  1. Privacy by design.
    1. NSP zarządza zmianami wpływającymi na prywatność. W tym celu procedury uruchamiania nowych projektów i inwestycji w NSP uwzględniają konieczność oceny wpływu danej zmiany na ochronę danych, analizę ryzyka, zapewnienie prywatności (a w tym zgodności celów przetwarzania, bezpieczeństwa danych i minimalizacji) już w fazie projektowania zmiany, inwestycji czy na początku nowego projektu.
    2. W przypadku ustalenia, że planowany projekt niesie znaczne ryzyko naruszenia praw i wolności osób w zakresie ochrony danych, NSP dokona niezbędnej modyfikacji projektu lub zamierzenia w celu zapewnienia należytej ochrony danych albo odstąpi w całości od planów realizacji danego projektu lub zamierzenia.

 

  1. Przetwarzanie transgraniczne.
    1. NSP może przetwarzać dane powierzone przez Klientów w kontekście transgranicznym, natomiast nie dochodzi do transgranicznego przetwarzania danych, dla których administratorem jest NSP.
    2. W sytuacji, w której dojdzie do transgranicznego przetwarzania, znajdą zastosowanie następujące zasady ustalania wiodącego organu nadzorczego :
      1. w oparciu o przepisy i wytyczne dotyczące ochrony danych osobowych, organem wiodącym będzie organ nadzorczy głównej jednostki organizacyjnej danego Klienta (administratora danych);
      2. w celu ustalenia  siedziby głównej jednostki organizacyjnej, Klient (z własnej inicjatywy lub na prośbę NSP) wskaże NSP szczegółowe dane kontaktowe dla wiodącego organu nadzorczego (właściwego ze względu na położenie centralnej administracji Klienta oraz miejsca siedziby jego głównej jednostki organizacyjnej);
      3. NSP w przypadku przystąpienia do transgranicznego przetwarzania danych Klienta, poinformuje wiodący organ nadzorczy o danych kontaktowych Inspektora Ochrony Danych NSP, a w przypadku zaistnienia jakichkolwiek incydentów bezpieczeństwa w związku z transgranicznym przetwarzaniem tych danych będzie wykonywać wszystkie obowiązki informacyjne względem wiodącego organu nadzorczego;
      4. W rozumieniu przepisów o transgranicznym przetwarzaniu danych, centralna administracja NSP znajduje się na terytorium Polski, a organem nadzorczym dla NSP jest Prezes Urzędu Ochrony Danych Osobowych. W przypadku transgranicznego przetwarzania danych powierzonych przez Klientów, PUODO jest „organem nadzorczym, którego sprawa dotyczy”, zaś wiodącym organem nadzorczym co do zasady będzie wskazany przez Klienta organ nadzorczy.

 

 

  • POSTANOWIENIA KOŃCOWE

 

  1. Niniejsza Polityka wchodzi w życie z dniem 25 maja 2018 roku. Wszelkie zmiany do Polityki wymagają formy pisemnej pod rygorem nieważności.
  2. Wszystkie załączniki stanowią integralną część niniejszej Polityki.
  3. W sprawach nieuregulowanych zastosowanie mają odpowiednie procedury stanowiące załączniki do niniejszej Polityki oraz przepisy prawa powszechnie obowiązującego.

 

Załącznik nr 2 – Klauzula informacyjna i wzór zgody

 

______________________

/imię i nazwisko osoby, której dane dotyczą/

 

KLAUZULA INFORMACYJNA / Zgoda na przetwarzanie danych – wzór

Zgodnie z art. 13 ust. 1 i ust. 2 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (dalej RODO) informuję, iż:

    1. administratorem Pani/Pana danych osobowych jest Bartosz Szumiel prowadzący działalność gospodarczą pod firmą Nearshore Services Poland Bartosz Szumiel, al. Jerozolimskie 94, 00-807 Warszawa – dalej NSP;
    2. Inspektorem Ochrony Danych w NSP jest Magdalena Szumiel (e-mail: iod@nsp.biz.pl);

 

  • Pani/Pana dane osobowe przetwarzane będą w celach*:

 

  1. związanych ze świadczeniem usług przez NSP na podstawie zgody na przetwarzanie danych osobowych lub zawartej umowy;
  2. związanych z procesem rekrutacji na podstawie wyrażonej zgody na przetwarzanie danych osobowych, a po zawarciu stosownej umowy – związanych ze świadczeniem pracy/usług na rzecz NSP – na podstawie odrębnie zawartej umowy o pracę/świadczenie usług;

 

  • Pani/Pana dane osobowe mogą być dodatkowo przetwarzane w celach archiwalnych (dowodowych) na wypadek potrzeby wykazania faktów w ewentualnych postępowaniach związanych ze świadczonymi usługami, a także w celu ustalenia, dochodzenia lub obrony przed roszczeniami z nimi związanymi;

 

  1. odbiorcą Pani/Pana danych osobowych będą podmioty świadczące usługi na rzecz NSP;
  2. Pani/Pana dane osobowe nie będą przekazywane do państwa trzeciego/organizacji międzynarodowej;
  3. Pani/Pana dane osobowe będą przechowywane przez okres świadczenia usług, pracy lub współpracy z NSP oraz okres przedawnienia ewentualnych roszczeń z tym związanych;
  4. posiada Pani/Pan prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  5. ma Pan/Pani prawo wniesienia skargi do Prezesa UODO gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.;
  6. podanie przez Pana/Panią danych osobowych jest warunkiem zawarcia umowy –  jest Pan/Pani zobowiązana do ich podania a konsekwencją niepodania danych osobowych będzie brak możliwości świadczenia usług na Pana/Pani rzecz.
  7. NSP nie zbiera ani nie przetwarza danych szczególnych kategorii.
  8. Pani/Pana dane nie będą przetwarzane w sposób zautomatyzowany w tym również w formie profilowania.

W związku z powyższym, proszę o udzielenie zgody na przetwarzanie Pana/Pani danych osobowych zgromadzonych w systemie NSP oraz podawanych w przyszłości w związku z procesem rekrutacji/ świadczeniem pracy/ usług na rzecz NSP / świadczeniem usług przez NSP*.

W tym celu należy zaznaczyć wybór poniżej:

 

Zostałem poinformowany o warunkach przetwarzania moich danych osobowych przez NSP i prawach mi przysługujących, swoje dane podaję dobrowolnie i:

wyrażam zgodę na ich przetwarzanie na warunkach określonych przez NSP, w celu procesu prowadzenia procesu rekrutacji /świadczenia pracy/ usług przez/ na rzecz* NSP

❑ TAK ❑ NIE________________ _____________________

/Miejscowość, data/ /czytelny podpis/

 

wyrażam zgodę na ich przetwarzanie na warunkach określonych przez NSP, w celach marketingowych

❑ TAK ❑ NIE________________ _____________________

/Miejscowość, data/ /podpis/

 

*niepotrzebne skreślić

 

Załącznik nr 3 – Procedura udzielania informacji i realizacji żądań

 

PROCEDURA

 

Niniejsza Procedura znajduje zastosowanie do danych osobowych oraz obowiązków NSP w zakresie danych osobowych, których administratorem jest NSP.

 

  1. Przy pozyskiwaniu danych osobowych NSP informuje daną osobę za pomocą środków porozumiewania się na odległość lub poprzez wręczenie w formie papierowej informacji o przetwarzaniu danych osobowych oraz o prawach przysługujących tej osobie w związku z przetwarzaniem jej danych. Wzór klauzuli informacyjnej stanowi załącznik nr 2 do Polityki Ochrony Prywatności.
  2. Klauzule informacyjne są przekazywane osobom fizycznym przy realizacji lub oferowaniu usług, podczas których NSP zbiera zgody tych osób na przetwarzanie ich danych osobowych.
  3. Najpóźniej przy pierwszym kontakcie z osobą, której dane będą przetwarzane, NSP informuje osobę o prawie sprzeciwu względem przetwarzania danych.
  4. Zgody na przetwarzanie danych osobowych zbierane są zwykłej pisemnej lub w formie elektronicznej przy pierwszym kontakcie z osobą.
  5. W przypadku planowanej zmiany celu przetwarzania pozyskanych danych osobowych NSP poinformuje z wyprzedzeniem minimum 14 dniowym osobę o planowanej zmianie umożliwiając jej wyrażenie zgody na zmianę celu przetwarzania lub odmowę wyrażenia zgody na przetwarzanie danych osobowych w innym celu niż pierwotnie. Zarówno poinformowanie osoby jak i zebranie zgody na przetwarzanie danych w innym celu niż pierwotny będzie odbywało się za pomocą środków porozumiewania się na odległość. W przypadku braku reakcji osoby (braku odpowiedzi) NSP nie będzie przetwarzał danych tej osoby w innym celu niż pierwotny.
  6. Wszelkie żądania osób, których dane są przetwarzane w zakresie danych osobowych (w tym cofnięcie zgody na przetwarzanie danych osobowych) należy składać za pomocą poczty elektronicznej na adres iod@nsp.biz.pl lub w formie papierowej na adres NSP.
  7. W przypadku realizacji żądań osób, których dane są przetwarzane, NSP każdorazowo będzie informować osobę za pomocą środków porozumiewania się na odległość o podjętych krokach w związku z realizacją prawa danej osoby. Informacje przekazywane będą w ciągu jednego miesiąca od dnia zgłoszenia żądania. W przypadku konieczności przedłużenia terminu na rozpatrzenie żądania, NSP niezwłocznie poinformuje osobę o konieczności przedłużenia tego terminu podając przyczyny zaistniałego stanu rzeczy. W przypadku niemożności zadośćuczynienia żądaniu osoby, NSP – w ciągu miesiąca od otrzymania żądania – udzieli wyjaśnień o odmowie rozpatrzenia żądania, przyczynach odmowy i o prawach osoby z tym związanych.
  8. Realizując prawa osób, których dane dotyczą, NSP wprowadza proceduralne gwarancje ochrony praw i wolności osób trzecich. W szczególności w przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób (np. prawa związane z ochroną danych innych osób, prawa własności intelektualnej, tajemnicę handlową, dobra osobiste), NSP może się zwrócić do osoby w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia żądaniu. Komunikacja NSP z osobą, której dane dotyczą odbywać się będzie co do zasady za pomocą poczty elektronicznej.
  9. Z zastrzeżeniem sytuacji prawem przewidzianych, NSP poinformuje za pomocą poczty elektronicznej lub w formie papierowej osobę o tym, że nie przetwarza danych jej dotyczących, jeśli osoba zgłosiła takie żądanie dotyczące jej praw.
  10. Na żądanie osoby dotyczące dostępu do jej danych NSP informuje osobę, czy przetwarza jej dane oraz informuje osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO (zakres odpowiada obowiązkowi informacyjnemu przy zbieraniu danych), a także udziela osobie dostępu do danych jej dotyczących. Dostęp do danych może być zrealizowany przez wydanie kopii danych w formacie wydruku papierowego/pliku pdf, z zastrzeżeniem, że kopii danych wydanej w wykonaniu prawa dostępu do danych NSP nie uzna za pierwszą nieodpłatną kopię danych dla potrzeb opłat za kopie danych.
  11. Na żądanie, NSP wydaje osobie kopię danych jej dotyczących i odnotowuje fakt wydania pierwszej kopii danych. NSP może wprowadzić cennik kopii danych, zgodnie z którym pobierane będą opłaty za kolejne kopie danych. W takim przypadku, cena kopii danych skalkulowana będzie na podstawie oszacowanego jednostkowego kosztu obsługi żądania wydania kopii danych.
  12. NSP, na żądanie osoby, której dane dotyczą zgłoszone w formie elektronicznej lub papierowej, dokonuje sprostowania nieprawidłowych danych. NSP ma prawo odmówić sprostowania danych, chyba że osoba w rozsądny sposób wykaże nieprawidłowości danych, których sprostowania się domaga. W przypadku sprostowania danych NSP, na żądanie osoby, informuje tę osobę o odbiorcach danych.
  13. NSP uzupełnia i aktualizuje dane na żądanie osoby. NSP ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych. NSP może polegać na oświadczeniu osoby co do uzupełnianych danych, chyba że będzie to niewystarczające w świetle przyjętych procedur (np. co do pozyskiwania takich danych), prawa lub zaistnieją podstawy, aby uznać oświadczenie osoby za niewiarygodne.
  14. Na żądanie osoby NSP usuwa dane, gdy:
  1. dane nie są niezbędne do celów, w których zostały zebrane, ani przetwarzane w innych zgodnych z prawem celach,
  2. zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania,
  3. osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych,
  4. dane były przetwarzane niezgodnie z prawem,
  5. konieczność usunięcia wynika z obowiązku prawnego,
  6. żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku (np. profil dziecka na portalu społecznościowym). NSP określa sposób obsługi prawa do usunięcia danych w taki sposób, aby zapewnić efektywną realizację tego prawa przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpieczeństwa, a także weryfikację, czy nie zachodzą wyjątki, o których mowa w art..17. ust.3 RODO. Jeżeli dane podlegające usunięciu zostały upublicznione przez NSP, NSP podejmuje rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe o potrzebie usunięcia danych i dostępu do nich. W przypadku usunięcia danych NSP informuje osobę o odbiorcach danych, na żądanie tej osoby.
  1. NSP dokonuje ograniczenia przetwarzania danych na żądanie osoby, gdy:
    1. osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość,
    2. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
    3. NSP nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
    4. osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie NSP zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu. W trakcie ograniczenia przetwarzania NSP przechowuje dane, natomiast nie przetwarza ich (nie wykorzystuje, nie przekazuje), bez zgody osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego.
  1. W przypadku sprostowania, usunięcia lub ograniczenia przetwarzania danych osób, NSP poinformuje o tym fakcie odbiorców danych za pomocą środków porozumiewania się na odległość (chyba że będzie to wymagało niewspółmiernie dużego wysiłku lub będzie niemożliwe). Jeśli informowanie odbiorców będzie możliwe i nie będzie wymagało nadmiernego wysiłku, informacje do odbiorców danych będą wysyłane w formie raportów nie częściej niż 1 raz na kwartał.
  2. W przypadku ograniczenia przetwarzania danych, przed uchyleniem ograniczenia przetwarzania, NSP poinformuje osobę o tym fakcie najpóźniej na 7 dni przed uchyleniem ograniczenia.
  3. Na żądanie osoby NSP wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła ona NSP, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z nią, zawartej w systemach informatycznych NSP.
  4. Jeżeli osoba zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez NSP w oparciu o uzasadniony interes NSP lub o powierzone jej zadanie w interesie publicznym, NSP uwzględni sprzeciw, o ile nie zachodzą po jej stronie ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.
  5. Jeżeli NSP prowadzi badania naukowe, historyczne lub przetwarza dane w celach statystycznych, osoba może wnieść umotywowany jej szczególną sytuacją sprzeciw względem takiego przetwarzania. NSP uwzględni taki sprzeciw, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.
  6. Jeżeli osoba zgłosi sprzeciw względem przetwarzania jej danych przez NSP na potrzeby marketingu bezpośredniego (w tym ewentualnie profilowania), NSP uwzględni sprzeciw i zaprzestanie takiego przetwarzania.
  7. Jeżeli NSP przetwarza dane w sposób automatyczny, w tym w szczególności profiluje osoby, i w konsekwencji podejmuje względem osoby decyzje wywołujące skutki prawne lub inaczej istotnie wpływające na osobę, NSP zapewnia możliwość odwołania się do interwencji i decyzji człowieka po stronie NSP, chyba że taka automatyczna decyzja:
  1. jest niezbędna do zawarcia lub wykonania umowy między odwołującą się osobą a NSP, lub
  2. jest wprost dozwolona przepisami prawa lub
  3. opiera się na wyraźnej zgodzie odwołującej osoby.
  1. W przypadku wykrycia naruszenia ochrony danych osobowych, jeżeli naruszenie to może powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, NSP, niezwłocznie, jednak nie później niż w ciągu 72 godzin poinformuje tę osobę za pomocą środków porozumiewania się na odległość o wykryciu naruszenia oraz o podjętych działaniach w celu minimalizacji ryzyka naruszenia praw lub wolności tej osoby.

 

Załącznik nr 4– Procedura postępowania w razie incydentu bezpieczeństwa

PROCEDURA POSTĘPOWANIA

  1. Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. W szczególności, lecz niewyłącznie:
  1. włamanie do miejsca lub systemu, w którym przechowywane są dane osobowe (w tym fizyczne naruszenie zabezpieczeń lub ataki hakerskie, działanie szkodliwego oprogramowania),
  2. zagubienie lub kradzież dokumentów lub nośników zawierających dane osobowe,
  3. pożar, zalanie w miejscu przechowywania danych osobowych lub nośników danych,
  4. nieautoryzowane kopiowanie danych, wysłanie danych do nieupoważnionej osoby

lub wszelkie inne naruszenie obowiązków pracownika/współpracownika w zakresie przestrzegania procedur bezpieczeństwa danych osobowych.

  1. Każda osoba, która poweźmie wiadomość w zakresie naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe bądź posiada informacje mogące mieć wpływ na bezpieczeństwo danych osobowych, jest zobowiązana fakt ten niezwłocznie zgłosić Inspektorowi Ochrony Danych.
  2. Do czasu przybycia na miejsce naruszenia Administratora danych osobowych lub Inspektora Ochrony Danych, osoba powiadamiająca powinna:
    • niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków, z wyłączeniem czynności, które mogą utrudnić udokumentowanie zdarzenia (w szczególności w przypadku włamania, należy pozostawić miejsce zdarzenia w stanie nienaruszonym do czasu przybycia policji i udokumentowania zdarzenia przez właściwe organy);
    • ustalić przyczyny, lub sprawców zaistniałego zdarzenia, jeżeli jest to możliwe;
    • zaniechać dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić jego udokumentowanie i analizę;
    • udokumentować wstępnie zaistniałe naruszenie (wykonać fotografie, filmy);
    • nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia osoby upoważnionej.
  1. Administrator lub Inspektor Ochrony Danych,  po przybyciu na miejsce zdarzenia:
  • sporządzi notatkę z przeprowadzonych oględzin miejsca zdarzenia,
  • w przypadku stwierdzenia naruszenia bezpieczeństwa danych w systemie informatycznym – sporządzi kopię lub zdjęcie obrazu wyświetlonego na monitorze komputera związanego z naruszeniem oraz kopię zapisów rejestrów systemu informatycznego służącego do przetwarzania danych osobowych lub zapisów konfiguracji technicznych środków zabezpieczeń systemu;
  • odbierze od osoby, która ujawniła naruszenie pisemne wyjaśnienia dotyczące okoliczności zdarzenia.
  1. W przypadku braku możliwości przybycia Administratora danych lub Inspektora Ochrony Danych, osoba powiadamiająca we własnym zakresie:
  • wykona fotografie z miejsca zdarzenia, a w miarę możliwości nagra film, podając na nim informację daty i godziny filmowania;
  • sporządzi notatkę z przeprowadzonych oględzin miejsca zdarzenia oraz notatkę zawierającą szczegółowe wyjaśnienia dotyczące zdarzenia, w tym datę i godzinę zauważenia incydentu, szczegółowy opis zdarzenia;
  • wskaże pisemnie kategorie osób oraz w przybliżeniu liczbę osób, których dane uległy incydentowi bezpieczeństwa a także kategorie danych oraz w przybliżeniu liczbę wpisów danych, które uległy naruszeniu
  • w przypadku stwierdzenia naruszenia bezpieczeństwa danych w systemie informatycznym – sporządzi kopię lub zdjęcie obrazu wyświetlonego na monitorze komputera związanego z naruszeniem oraz kopię zapisów rejestrów systemu informatycznego służącego do przetwarzania danych osobowych lub zapisów konfiguracji technicznych środków zabezpieczeń systemu.

i niezwłocznie – nie później niż w ciągu 24 godzin od stwierdzenia incydentu przekaże tak wykonaną dokumentację Inspektorowi Danych Osobowych NSP osobiście.

  1. Niezwłocznie po skompletowaniu dokumentacji (nie później jednak niż w ciągu 12 godzin od zgłoszenia naruszenia osobie upoważnionej), Inspektor Ochrony Danych przedstawi NSP zebrane materiały, celem ostatecznej oceny czy zaistniałe zdarzenia podlega obowiązkowi zgłoszenia naruszenia organowi nadzorczego oraz powiadomieniu osoby, której dane dotyczą.
  2. Wraz z przedstawieniem dokumentacji dotyczącej zdarzenia osoba upoważniona, przedstawi NSP zaistniałe lub możliwe do zaistnienia skutki naruszenia oraz wykaz środków i działań mających zaradzić naruszeniu, a także – jeśli to konieczne – zminimalizować negatywne skutki naruszenia.
  3. Jeżeli po przeanalizowaniu dokumentacji dotyczącej zdarzenia, NSP uzna, że naruszenie podlega zgłoszeniu organowi nadzorczemu, niezwłocznie, nie później niż w ciągu 72 godzin (a w przypadku przekroczenia tego terminu wraz z wyjaśnieniem przyczyn opóźnienia) od wykrycia naruszenia, IOD lub Administrator danych zgłosi naruszenie organowi nadzorczemu oraz (z zastrzeżeniem punktu 8 poniżej) zawiadomi o zaistniałym naruszeniu osobę, której dane dotyczą, w formie przesłanej wiadomości email za potwierdzeniem odbioru, a w razie braku potwierdzenia otrzymania wiadomości – w formie pisemnej listem poleconym. W zawiadomieniu, zostanie wskazane zdarzenie naruszenia ochrony danych, opis jego charakteru i możliwych konsekwencji oraz poinformowanie osoby o krokach jakie zostały podjęte przez NSP oraz krokach, jakie powinna podjąć dana osoba, której dane dotyczą, by zabezpieczyć się przed negatywnymi skutkami. Wzór powiadomienia osoby stanowi załącznik do niniejszej Procedury.
  4. Zawiadomienie osoby, której dane dotyczą o zaistniałym naruszeniu nie jest wymagane, jeśli w NSP:
  • zostały wdrożone środki ochrony takie jak szyfrowanie lub pseudonimizacja, które powodują bezużyteczność danych dla osoby trzeciej i uniemożliwiają ich przypisanie do konkretnej osoby;
  • zastosowano środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą
  • powiadomienie wymagałoby od Administratora niewspółmiernie dużego wysiłku – w takim jednak przypadku, NSP wyda publiczny komunikat na swojej stronie internetowej informujący osoby o zaistniałym naruszeniu.
  1. IOD lub Administrator Danych udokumentuje w formie papierowej jak również elektronicznej zaistniałe skutki naruszenia oraz podjęte środki mające zaradzić naruszeniu lub zminimalizować negatywne skutki naruszenia. IOD lub Administrator danych prowadzi rejestr naruszeń. Wzór rejestru stanowi załącznik do niniejszej procedury.
  2. W przypadku braku wyznaczenia Inspektora Ochrony Danych, przepisy jego dotyczące stosuje się odpowiednio do Administratora Danych (NSP).