1. Definicje
- Administrator – Samsic Polska Sp. z o. o. z siedzibą przy ul. Astrów 10; 40-045 Katowice
- Dane osobowe – informacje o osobie fizycznej zidentyfikowanej lub możliwej do zidentyfikowania poprzez jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość, w tym wizerunek, nagranie głosu, dane kontaktowe, dane o lokalizacji, informacje zawarte w korespondencji, informacje gromadzone za pośrednictwem sprzętu rejestrującego lub innej podobnej technologii.
- Koordynator Ochrony Danych Osobowych (KODO) – osoba lub osoby wyznaczone przez Administratora, realizująca w organizacji Administratora zadania związane z zapewnieniem zgodności przetwarzania Danych osobowych z obowiązującym prawem.
- Organ nadzorczy – Prezes Urzędu Ochrony Danych Osobowych lub ewentualnie właściwy organ nadzorczy
w zakresie Danych osobowych wyznaczony przez inne państwo członkowskie Unii Europejskiej.
- Podmiot danych – osoba fizyczna, której dotyczą Dane osobowe przetwarzane przez Administratora.
- Polityka – niniejsza Polityka ochrony Danych osobowych.
- Pracownik – osoba fizyczna zatrudniona przez Administratora na podstawie umowy o pracę.
- RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
- Współpracownik – osoba fizyczna świadcząca na rzecz Administratora usługi na podstawie umowy cywilnoprawnej (np. umowa zlecenia, umowa o dzieło).
2. Zasady ogólne
- Niniejsza Polityka stanowi podstawowy dokument regulujący zasady przetwarzania Danych osobowych przez Administratora.
- Wdrożenie Polityki ma na celu zapewnienie zgodności z RODO procesów przetwarzania Danych osobowych przez Administratora, bez względu na formę (elektroniczną bądź papierową), w jakiej to przetwarzanie następuje.
- W związku z prowadzoną działalnością Administrator zbiera i przetwarza Dane osobowe zgodnie z właściwymi przepisami prawa, w tym w szczególności RODO, i przewidzianymi w nich zasadami przetwarzania, tj.:
- Administrator zapewnia, że przetwarzanie przez niego Danych osobowych jest zgodne z prawem
i odbywa się w oparciu o jedną z podstaw przetwarzania określonych w RODO, tj. w art. 6 ust. 1, art. 9 ust. 2 albo art. 10 (zasada zgodności z prawem); - Administrator zapewnia rzetelność i przejrzystość przetwarzania Danych osobowych, w szczególności zawsze informuje o przetwarzaniu Danych osobowych w momencie ich zbierania, w tym o celu i podstawie prawnej przetwarzania (zasada rzetelności i przejrzystości);
- Administrator zapewnia, że Dane osobowe są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie są przetwarzane dalej w sposób niezgodny z tymi celami (zasada ograniczenia celu);
- Administrator zapewnia, że przetwarza dane wyłącznie w zakresie niezbędnym do realizacji celu, dla którego Dane osobowe zostały zebrane (zasada minimalizacji);
- Administrator zapewnia, że przetwarzane przez niego Dane osobowe są prawidłowe i w razie potrzeby uaktualniane oraz że podejmuje on wszelkie rozsądne działania, aby Dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (zasada prawidłowości);
- Administrator zapewnia, że Dane osobowe są przetwarzane tylko przez okres, w jakim jest to niezbędne dla zrealizowania celów przetwarzania (zasada ograniczenia czasowego);
- Administrator zapewnia bezpieczeństwo Danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, poprzez wdrożenie odpowiednich środków technicznych lub organizacyjnych (zasada integralności
i poufności).
- Administrator zapewnia, że przetwarzanie przez niego Danych osobowych jest zgodne z prawem
- Administrator poprzez odpowiednie środki techniczne i organizacyjne zapewnia możliwość wykazania zgodności przetwarzania Danych osobowych z RODO oraz pozostałymi przepisami dotyczącymi Danych osobowych (rozliczalność).
- Administrator zapewnia przestrzeganie Polityki przez wszystkich Pracowników oraz Współpracowników Administratora.
3. Organizacja systemu ochrony Danych osobowych
- Przed udzieleniem dostępu do przetwarzania Danych osobowych Administrator zapoznaje każdego Pracownika, Współpracownika lub inne osoby przetwarzające Dane osobowe z jego upoważnienia
z Polityką, w tym procedurami i zasadami dotyczącymi ochrony Danych osobowych obowiązującymi
w organizacji Administratora. - Przetwarzanie Danych osobowych przez Pracowników i Współpracowników może odbywać się wyłącznie na podstawie udokumentowanego upoważnienia Administratora. Ponadto Administrator zobowiązuje osoby upoważnione do zachowania poufności Danych osobowych oraz informacji dotyczących zabezpieczeń Danych osobowych, a także do przestrzegania Polityki, w tym procedur i zasad dotyczących ochrony Danych osobowych obowiązujących w organizacji Administratora.
- Administrator wyznacza osobę lub osoby odpowiedzialną za obszar ochrony Danych osobowych, powierzając jej funkcję KODO, i zapewnia adekwatne środki oraz zasoby niezbędne do wykonywania powierzonych jej zadań.
- Do zadań KODO należy w szczególności:
- informowanie Administratora oraz Pracowników i Współpracowników, którzy przetwarzają Dane osobowe, o obowiązkach spoczywających na nich na mocy RODO i innych przepisów unijnych lub krajowych o ochronie Danych osobowych oraz doradzanie im w tym zakresie;
- monitorowanie przestrzegania przez osoby upoważnione przepisów RODO oraz innych przepisów unijnych i krajowych z zakresu ochrony Danych osobowych, jak również wewnętrznych polityk i procedur wdrożonych u Administratora w tym zakresie;
- podejmowanie działań zwiększających świadomość w zakresie ochrony Danych osobowych, w tym szkoleń personelu uczestniczącego w operacjach przetwarzania, oraz prowadzenie powiązanych z tym audytów;
- udzielanie, na żądanie, zaleceń co do oceny skutków dla ochrony Danych osobowych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
- współpraca z Organem nadzorczym;
- pełnienie funkcji punktu kontaktowego dla Organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach;
- KODO wykonuje swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
- Pracownicy i Współpracownicy przetwarzający Dane osobowe są zobowiązani w szczególności do:
- przetwarzania Danych osobowych zgodnie z posiadanym upoważnieniem oraz z należytą starannością;
- w przypadku zaobserwowania zdarzenia mogącego stanowić naruszenie ochrony Danych osobowych niezwłocznego informowania o nim bezpośredniego przełożonego oraz KODO na zasadach opisanych
w odrębnej procedurze; - uczestnictwa w organizowanych szkoleniach z zakresu ochrony Danych osobowych;
- zachowania poufności Danych osobowych oraz informacji na temat sposobu ich zabezpieczenia, zgodnie z podpisaną klauzulą poufności;
4. Bezpieczeństwo Danych osobowych
- Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Administrator uwzględnia przy tym stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania.
- Przy ocenie, czy stopień bezpieczeństwa jest odpowiedni, Administrator uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
- W celu zapewnienia integralności i poufności Danych osobowych Administrator zapewnia dostęp do Danych osobowych jedynie osobom upoważnionym i wyłącznie w zakresie, w jakim jest to niezbędne ze względu na wykonywane przez nie zadania. Administrator stosuje rozwiązania organizacyjne i techniczne w celu zapewnienia, że wszystkie operacje na Danych osobowych są rejestrowane i realizowane tylko przez osoby uprawnione.
- Administrator prowadzi na bieżąco analizę ryzyka związanego z przetwarzaniem Danych osobowych i monitoruje adekwatność stosowanych zabezpieczeń Danych osobowych do identyfikowanych zagrożeń. W razie konieczności Administrator wdraża dodatkowe środki służące zwiększeniu bezpieczeństwa Danych Osobowych.
- W przypadku gdy rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony Danych Osobowych. Jeżeli ocena skutków wskazuje, że przetwarzanie powodowałoby wysokie ryzyko, gdyby Administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania Administrator konsultuje się z Organem nadzorczym.
- Jeżeli cele, w których Administrator przetwarza Dane osobowe, nie wymagają zidentyfikowania przez niego Podmiotu danych, Administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania Podmiotu danych wyłącznie po to, by zastosować się do wymogów RODO.
5. Naruszenia ochrony Danych Osobowych
- Administrator zapewnia zgłaszanie naruszeń ochrony Danych osobowych Organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. W tym celu Administrator w szczególności zobowiązuje wszystkie osoby przetwarzające Dane osobowe
do niezwłocznego informowania o każdym dostrzeżonym naruszeniu ochrony Danych Osobowych. - Administrator zapewnia, że bez zbędnej zwłoki zawiadamia Podmioty danych o naruszeniu ochrony Danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności.
- W każdym wypadku Administrator bada zaistniałe naruszenie i wdraża stosowne organizacyjne i techniczne środki naprawcze.
- Administrator dokumentuje wszelkie naruszenia ochrony Danych osobowych, w tym okoliczności naruszenia ochrony Danych Osobowych, jego skutki oraz podjęte działania zaradcze.
6. Realizowanie uprawnień Podmiotów danych
- Administrator zapewnia, że realizuje uprawnienia Podmiotów danych na zasadach określonych w RODO,
w tym:- prawo do informacji o przetwarzaniu danych – Administrator przekazuje osobie zgłaszającej żądanie informację o przetwarzaniu Danych osobowych, w tym przede wszystkim o celach i podstawach prawnych przetwarzania, zakresie posiadanych Danych osobowych, podmiotach, którym są ujawniane,
planowanym terminie usunięcia Danych osobowych; - prawo uzyskania kopii danych – Administrator przekazuje osobie zgłaszającej żądanie kopię Danych osobowych, które jej dotyczą;
- prawo do sprostowania danych – Administrator usuwa na żądanie ewentualne niezgodności lub błędy przetwarzanych Danych Osobowych oraz uzupełnia je, jeśli są niekompletne;
- prawo do usunięcia danych – Administrator na żądanie usuwa albo anonimizuje Dane Osobowe, których przetwarzanie nie jest już niezbędne do realizowania żadnego z celów, dla których zostały zebrane;
- prawo do ograniczenia przetwarzania danych – Administrator na żądanie zaprzestaje wykonywania operacji na Danych osobowych – z wyjątkiem operacji, na które Podmiot danych wyraził zgodę – oraz ich przechowywania, zgodnie z przyjętymi zasadami retencji lub dopóki nie ustaną przyczyny ograniczenia przetwarzania Danych osobowych (np. zostanie wydana decyzja Organu nadzorczego zezwalająca na dalsze przetwarzanie);
- prawo do przenoszenia danych – w zakresie, w jakim Dane osobowe są przetwarzane w sposób zautomatyzowany w związku z zawartą umową lub wyrażoną zgodą, Administrator na żądanie wydaje Dane osobowe dostarczone przez osobę, której dotyczą, w formacie pozwalającym na odczyt Danych osobowych przez komputer;
- prawo sprzeciwu wobec przetwarzania danych w celach marketingowych – Podmiot danych może w każdym momencie sprzeciwić się przetwarzaniu Danych Osobowych w celach marketingowych, bez konieczności uzasadnienia takiego sprzeciwu;
- prawo sprzeciwu wobec innych celów przetwarzania danych – Podmiot danych może w każdym momencie sprzeciwić się – z przyczyn związanych z jego szczególną sytuacją – przetwarzaniu Danych osobowych, które odbywa się na podstawie prawnie uzasadnionego interesu Administratora;
- prawo wycofania zgody – jeśli Dane osobowe przetwarzane są na podstawie wyrażonej zgody, Podmiot danych ma prawo wycofać ją w dowolnym momencie, co jednak nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.
- prawo do informacji o przetwarzaniu danych – Administrator przekazuje osobie zgłaszającej żądanie informację o przetwarzaniu Danych osobowych, w tym przede wszystkim o celach i podstawach prawnych przetwarzania, zakresie posiadanych Danych osobowych, podmiotach, którym są ujawniane,
7. Kontakty z Podmiotem danych
- Administrator wdraża odpowiednie środki, aby komunikacja z Podmiotem danych odbywała się w zwięzłej, przejrzystej i łatwo dostępnej formie, jasnym i prostym językiem.
- Administrator udziela Podmiotom danych informacji na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli Podmiot danych tego zażąda, Administrator udziela informacji ustnie, o ile jest możliwe potwierdzenie tożsamości Podmiotu danych innymi sposobami.
- Administrator ułatwia Podmiotom danych wykonywanie praw przysługujących im na gruncie RODO, w tym uprawnień przewidzianych w art. 15–22 RODO.
- Administrator bez zbędnej zwłoki udziela Podmiotom danych informacji o działaniach podjętych w związku z żądaniem zgłoszonym na podstawie art. 15–22 RODO.
8. Udostępnianie i powierzanie Danych osobowych
- Administrator udostępniania Dane osobowe innemu administratorowi tylko wtedy, gdy spełniony jest jeden z warunków, o którym mowa w art. 6 ust. 1 albo w art. 9 ust. 2 RODO.
- Powierzenie przetwarzania Danych osobowych przez Administratora następuje w oparciu o umowę powierzenia przetwarzania danych lub inny instrument prawny, o którym mowa w art. 28 RODO.
- Powierzenie przetwarzania Danych osobowych przez Administratora następuje po uprzedniej weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa Podmiotów danych. Administrator podejmuje ponadto wszelkie niezbędne działania, by także jego podwykonawcy i inne podmioty współpracujące dawały gwarancję stosowania odpowiednich środków bezpieczeństwa w każdym przypadku, gdy przetwarzają Dane osobowe na zlecenie Administratora.
9. Przekazywanie Danych Osobowych do państwa trzeciego
- Poziom ochrony Danych osobowych poza Europejskim Obszarem Gospodarczym (EOG) różni się od tego zapewnianego przez prawo europejskie. Z tego powodu Administrator przekazuje Dane osobowe do państwa trzeciego tylko wtedy, gdy jest to konieczne, i z zapewnieniem odpowiedniego stopnia ochrony, przede wszystkim poprzez:
- współpracę z podmiotami przetwarzającymi Dane osobowe w państwach, w odniesieniu do których została wydana stosowna decyzja Komisji Europejskiej dotycząca stwierdzenia zapewnienia odpowiedniego stopnia ochrony Danych osobowych;
- stosowanie standardowych klauzul umownych wydanych przez Komisję Europejską.
10. Zapewnienie ciągłości zgodności
- Administrator zapewnia stałe utrzymywanie zgodności działania organizacji z wymaganiami ochrony Danych osobowych przewidzianymi w RODO, w tym weryfikuje i optymalizuje wdrożone w organizacji rejestry i procedury.
- W tym celu Administrator między innymi monitoruje zmiany w przepisach prawa, wytyczne krajowych oraz międzynarodowych organów ochrony Danych osobowych oraz orzecznictwo sądów i trybunałów, a także uwzględnia najlepsze praktyki rynkowe.
11. Załączniki
- Administrator prowadzi i stosuje następujące rejestry i procedury dotyczące ochrony Danych osobowych, które stanowią integralną część Polityki:
- Rejestr czynności przetwarzania;
- Rejestr realizacji praw podmiotów danych;
- Analiza ryzyka;
- Ocena skutków przetwarzania;
- Procedura powiadamiania o naruszeniu RODO;
- Rejestr naruszeń ochrony danych osobowych.
12. Postanowienia końcowe
- Polityka wchodzi w życie z dniem 16.10.2023 r.