Polityka PRYWATNOŚCI

 Polityka ochrony danych osobowych

przetwarzanych w zbiorach prowadzonych w formie manualnej

Oraz systemach informatycznych

w spółce pod firmą INTER-PROPERTY SP. Z O.O. SP.K. z siedzibą w Krakowie

§ 1

1. Dokumentacja w postaci Polityki ochrony danych osobowych przetwarzanych w zbiorach prowadzonych w formie manualnej oraz systemach informatycznych (dalej jako „Polityka”) wraz
   z procedurami została opracowana na podstawie obowiązujących przepisów dotyczących ochrony danych osobowych celem określenia środków technicznych i organizacyjnych, które zapewniają ochronę ich przetwarzania i jest skierowana do osób, których zadania związane są z przetwarzaniem danych osobowych. Dokument będzie podlegał uzupełnieniu i modyfikacji w zależności od potrzeb administratora, w zgodności z przepisami. Zmiany Polityki dokumentowane będą z wykorzystaniem załącznika nr 1 – „Karta aktualizacji dokumentu „ Polityka „
2. Zasady postępowania dotyczą zbiorów osobowych przetwarzanych w formie informatycznej:
3. System informatyczny systemu monitoringu wizyjnego CCTV załącznik nr 2,
4. System informatyczny do obsługi poczty elektronicznej oraz dokumentacji związanej
   z działalnością firmy – umowy, uchwały, wykazy, opracowania oraz analizy finansowe, księgowe
   i prawne przetwarzane w systemie operacyjnym Windows/LINUX – załącznik nr 3,
5. systemy informatyczny aplikacja/ program BASE SYSTEM X-SOL – załącznik nr 4,

oraz innych zbiorów danych osobowych tworzonych na podstawie przepisów prawa, które są niezbędne dla celów prowadzonej działalności gospodarczej.

§ 2

Ilekroć w Polityce jest mowa o:

• danych osobowych – oznacza to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą);
• możliwej do zidentyfikowania osobie – oznacza to osobę fizyczną, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię
  i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
• przetwarzaniu – oznacza to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
• ograniczeniu przetwarzania – oznacza to oznaczenie przechowywanych danych osobowych
  w celu ograniczenia ich przyszłego przetwarzania;
• profilowaniu – oznacza to dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
• pseudonimizacji – oznacza to przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
• zbiorze danych – oznacza to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
• administratorze – oznacza to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
• podmiocie przetwarzającym – oznacza to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
• odbiorcy – oznacza to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;
• stronie trzeciej – oznacza to osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które
  – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;
• zgodzie osoby, której dane dotyczą – oznacza to dobrowolne, konkretne, świadome
  i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
• naruszeniu ochrony danych osobowych – oznacza to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
• danych genetycznych – oznacza to dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje
  o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;
• danych biometrycznych – oznacza to dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;
• danych dotyczących zdrowia – oznacza to dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;
• głównej jednostce organizacyjnej – oznacza to:

1. jeżeli chodzi o administratora posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim – miejsce, w którym znajduje się jego centralna administracja w Unii, a jeżeli decyzje co do celów i sposobów przetwarzania danych osobowych zapadają w innej jednostce organizacyjnej tego administratora w Unii i ta jednostka organizacyjna ma prawo nakazać wykonanie takich decyzji, to za główną jednostkę organi­zacyjną uznaje się jednostkę organizacyjną, w której zapadają takie decyzje;
2. jeżeli chodzi o podmiot przetwarzający posiadający jednostki organizacyjne w więcej niż jednym państwie członkowskim – miejsce, w którym znajduje się jego centralna administracja w Unii lub, w przypadku gdy podmiot przetwarzający nie ma centralnej administracji w Unii – jednostkę organizacyjną podmiotu przetwarza­jącego w Unii, w której odbywają się główne czynności przetwarzania w ramach działalności jednostki organiza­cyjnej podmiotu przetwarzającego, w zakresie w jakim podmiot przetwarzający podlega szczególnym obowiązkom na mocy niniejszego rozporządzenia;

• przedstawicielu – oznacza to osobę fizyczną lub prawną mającą miejsce zamieszkania lub siedzibę w Unii, która została wyznaczona na piśmie przez administratora lub podmiot przetwarzający na mocy art. 27 do reprezentowania administratora lub podmiotu przetwarzającego w zakresie ich obowiązków wynikających z niniejszego rozporządzenia;
• przedsiębiorcy – oznacza to osobę fizyczną lub prawną prowadzącą działalność gospodarczą, niezależnie od formy prawnej, w tym spółki osobowe lub zrzeszenia prowadzące regularną działalność gospodarczą;
• grupie przedsiębiorstw – oznacza to przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane;
• wiążących regułach korporacyjnych – oznacza to polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą;
• organie nadzorczym– oznacza to niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51; 4.5.2016 L 119/34 Dziennik Urzędowy Unii Europejskiej PL 22) „organ nadzorczy, którego sprawa dotyczy” oznacza organ nadzorczy, którego dotyczy przetwarzanie danych osobowych, ponieważ:

1. administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną na terytorium państwa członkow­skiego tego organu nadzorczego,
2. przetwarzanie znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, mające miejsce zamieszkania w państwie członkowskim tego organu nadzorczego lub
3. wniesiono do niego skargę;

• transgranicznym przetwarzaniu – oznacza to:

1. przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej, niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim albo
2. przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim;

• mającym znaczenie dla sprawy i uzasadnionym sprzeciwie – oznacza to sprzeciw wobec projektu decyzji dotyczącej tego, czy doszło do naruszenia niniejszego rozporządzenia lub czy planowane działanie wobec administratora lub podmiotu przetwarzającego jest zgodne
  z niniejszym rozporządzeniem, który to sprzeciw musi jasno wskazywać wagę wynikającego z projektu decyzji ryzyka naruszenia podstawowych praw lub wolności osób, których dane dotyczą, oraz gdy ma zastosowanie – wagę ryzyka zakłócenia swobodnego przepływu danych osobowych w Unii;
• usłudze społeczeństwa informacyjnego – oznacza to usługę w rozumieniu art. 1 ust. 1 lit. b) dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/1535 ( 1 );
• organizacji międzynarodowej – oznacza to organizację i organy jej podlegające działające na podstawie prawa międzynarodowego publicznego lub inny organ powołany w drodze umowy między co najmniej dwoma państwami lub na podstawie takiej umowy;
• inspektorze danych osobowych(DPO) – oznacza to osobę której zadania są związane ze wspieraniem administratora przy ochronie danych osobowych w związku z ich przetwarzaniem;
• pełnomocniku ds. ochrony danych osobowych – oznacza to osobę, której zadania związane są z podejmowaniem działań w zakresie ochrony danych osobowych, działającą
  w imieniu i na rzecz administratora danych;
• administratorze systemów informatycznych – oznacza to osobę uprawnioną do obsługi sprzętu informatycznego w zakresie konfiguracji i nadawania uprawnień;
• administratorze systemów CCTV – oznaczę to osobę uprawnioną do obsługi sprzętu telewizji przemysłowej w zakresie konfiguracji i nadawania uprawnień;
• użytkowniku – oznacza to osoby zajmujące się bezpośrednim przetwarzaniem danych osobowych,
• RODO – oznacza to rozporządzenie Parlamentu Europejskiego i Rady Europy (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L z 2016 r. Nr 119).

§ 3

1. W celu realizacji postanowień zawartych w „Polityce” powołuje się:
2. PEŁNOMOCNIKA DS. OCHRONY DANYCH OSOBOWYCH – załącznik nr 5,
3. ZASTĘPCĘ PEŁNOMOCNIKA DS. OCHRONY DANYCH OSOBOWYCH – załącznik nr 6,
4. ADMINISTRATORA SYSTEMÓW INFORMATYCZNYCH i ADMINISTRATORA SYSTEMÓW CCTV załącznik nr 7,
5. Użyte w niniejszej Polityce sformułowania „administrator”, „administrator danych osobowych” odnoszą się do spółki pod firmą INTER-PROPERTY SP. Z O.O. SP.K. z siedzibą w Krakowie (dalej również jako Spółka).

§ 4

1. Dane osobowe muszą być przetwarzane według następujących zasad:
2. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
3. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej
   w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 RODO za niezgodne z pierwotnymi celami („ograniczenie celu”);
4. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
5. prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”).
6. Za prawidłowe przetwarzanie danych odpowiada administrator.

§ 5

1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
2. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych
   w jednym lub większej liczbie określonych celów;
3. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
4. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
5. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
6. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
7. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
8. Jeżeli przetwarzanie odbywa się w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1 RODO administrator – aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane – bierze pod uwagę między innymi:
9. wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;
10. kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem;
11. charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa zgodnie z art. 10 RODO;
12. ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;
13. istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.

§ 6

1. Warunki wyrażenia zgody:
2. jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych;
3. jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym
   i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia nie jest wiążąca;
4. osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie;
5. oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.
6. Warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego:
7. Jeżeli zastosowanie ma art. 6 ust. 1 lit. a RODO, w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody;
8. w takich przypadkach administrator, uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała;
9. przepisy RODO nie wpływają na ogólne przepisy prawa umów państw członkowskich, takie jak przepisy o ważności, zawieraniu lub skutkach umowy wobec dziecka.

§ 7

1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
2. 1 powyżej nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:
3. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych
   w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
4. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
5. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
6. przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot
   o celach politycznych, światopoglą­dowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
7. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
8. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub
   w ramach sprawowania wymiaru sprawiedliwości przez sądy;
9. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie
   i konkretne środki ochrony praw podstawowych i dane dotyczą;
10. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń,
    o których mowa w ust. 3;
11. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym
    w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw
    i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
12. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 RODO, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
13. Dane osobowe, o których mowa w ust. 1, mogą być przetwarzane do celów, o których mowa w ust. 2 lit. h), jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe.

§ 8

Przetwarzanie danych osobowych niewymagające identyfikacji:

1. jeżeli cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do niniejszego rozporządzenia;
2. jeżeli w przypadkach, o których mowa w pkt a) niniejszego paragrafu administrator może wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, w miarę możliwości informuje
   o tym osobę, której dane dotyczą. W takich przypadkach zastosowania nie mają art. 15–20 RODO, chyba że osoba, której dane dotyczą, w celu wykonania praw przysługujących jej na mocy tych artykułów dostarczy dodatkowych informacji pozwalających ją zidentyfikować.

§ 9

1. W związku z obowiązkiem zapewnienia praw osoby, której dane dotyczą wprowadza się przejrzyste informowanie i przejrzystą komunikację oraz tryb wykonywania praw przez osobę, której dane dotyczą, a administrator w tym celu:
2. podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 RODO oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 RODO w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie,
   o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą;
3. bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15–22 RODO. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie,
   w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.
4. Jeżeli administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.
5. Informacje podawane na mocy art. 13 i 14 RODO oraz komunikacja i działania podejmowane na mocy art. 15–22 i 34 RODO są wolne od opłat. Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może:
6. pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; albo
7. odmówić podjęcia działań w związku z żądaniem.
8. Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze.
9. Bez uszczerbku dla art. 11 RODO, jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, o którym mowa w art. 15–21RODO, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.
10. Informacje, których udziela się osobom, których dane dotyczą, na mocy art. 13 i 14 RODO, można opatrzyć standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania. Jeżeli znaki te są przedstawione elektronicznie, muszą się nadawać do odczytu maszynowego.

§ 10

1. Przy zbieraniu danych osobowych administrator podaje niżej wymienione informacje:
2. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
3. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
4. cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
5. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) RODO – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
6. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
7. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
8. Administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
9. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
10. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub
    o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
11. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9
    2 lit. a) RODO – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
12. informacje o prawie wniesienia skargi do organu nadzorczego;
13. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
14. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu,
    o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
15. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel,
    w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz jej wszelkich innych stosownych informacji, o których mowa w ust. 2.
16. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.

§ 11

1. Przy pozyskiwaniu danych osobowych w sposób inny niż od osoby, której dane dotyczą administrator podaje osobie, której dane dotyczą niżej wymienione informacje:
2. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
3. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
4. cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;
5. kategorie odnośnych danych osobowych;
6. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
7. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy
   w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania,
   o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
8. Administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
9. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
10. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) RODO – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
11. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz
    o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
12. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
13. informacje o prawie wniesienia skargi do organu nadzorczego;
14. źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
15. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa
    w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
16. Informacje, o których mowa w ust. 1 i 2, administrator podaje:
17. w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
18. jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
19. jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
20. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel,
    w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.
21. 14 ust. 1– 4 RODO nie mają zastosowania, gdy – i w zakresie, w jakim:
22. osoba, której dane dotyczą, dysponuje już tymi informacjami;
23. udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych,
    z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek,
    o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;
24. pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub
25. dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy
26. Wzór klauzuli informacyjnej stanowi załącznik nr 8 niniejszej Polityki.

§ 12

1. Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:
2. cele przetwarzania;
3. kategorie odnośnych danych osobowych;
4. informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
5. w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
6. informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
7. informacje o prawie wniesienia skargi do organu nadzorczego;
8. jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
9. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa
   w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
10. Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji
    międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, o których mowa w art. 46 RODO, związanych z przekazaniem.
11. Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.
12. Prawo do uzyskania kopii, o której mowa w ust. 3, nie może niekorzystnie wpływać na prawa
    i wolności innych.

§ 13

Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

§ 14

1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych Osobowych („ prawo do bycia zapomnianym”), a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
2. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
3. osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) RODO lub art. 9 ust. 2 lit. a) RODO, i nie ma innej podstawy prawnej przetwarzania;
4. osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 RODO wobec przetwarzania;
5. dane osobowe były przetwarzane niezgodnie z prawem;
6. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
7. dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego,
   o których mowa w art. 8 ust. 1. RODO
8. Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.
9. 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:
10. do korzystania z prawa do wolności wypowiedzi i informacji;
11. do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
12. z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie
    z art. 9 ust. 2 lit. h) oraz i) RODO i art. 9 ust. 3 RODO;
13. do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 RODO, o ile prawdopodobne jest, że prawo,
    o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub
14. do ustalenia, dochodzenia lub obrony roszczeń.
15. Procedura postępowania – prawo do bycia zapomnianym stanowi załącznik nr 9 niniejszej Polityki.

§ 15

1. Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania
   w następujących przypadkach:
2. osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
3. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
4. administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której, dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
5. osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
6. Jeżeli na mocy ust. 1 przetwarzanie zostało ograniczone, takie dane osobowe można
   przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub
   z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.
7. Przed uchyleniem ograniczenia przetwarzania administrator informuje o tym osobę, której dane dotyczą, która żądała ograniczenia na mocy ust. 1.

§ 16

1. Na administratorze danych osobowych spoczywa obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania
2. Administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, których dokonał zgodnie z art. 16, art. 17 ust. 1 i art. 18 RODO, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.

§ 17

1. Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe, jeżeli:
2. przetwarzanie odbywa się na podstawie zgody w myśl art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) lub na podstawie umowy w myśl art. 6 ust. 1 lit. b) RODO; oraz
3. przetwarzanie odbywa się w sposób zautomatyzowany.
4. Wykonując prawo do przenoszenia danych na mocy ust. 1, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.
5. Wykonanie prawa, o którym mowa w ust. 1 niniejszego artykułu, pozostaje bez uszczerbku dla art. 17 RODO. Prawo to nie ma zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
6. Prawo, o którym mowa w ust. 1, nie może niekorzystnie wpływać na prawa i wolności innych.

§ 18

1. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw
   – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f) RODO, w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
2. Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.
3. Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów
4. Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją
   o prawie, o którym mowa w ust. 1 i 2, oraz przedstawia się je jasno i odrębnie od wszelkich innych informacji.
5. W związku z korzystaniem z usług społeczeństwa informacyjnego i bez uszczerbku dla dyrektywy 2002/58/WE osoba, której dane dotyczą, może wykonać prawo do sprzeciwu za pośrednictwem zautomatyzowanych środków wykorzystujących specyfikacje techniczne.
6. Jeżeli dane osobowe są przetwarzane do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO, osoba, której dane dotyczą, ma prawo wnieść sprzeciw
   – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.

§ 19

1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.
2. 1 nie ma zastosowania, jeżeli ta decyzja:
3. jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą,
   a administratorem;
4. jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
5. opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
6. W przypadkach, o których mowa w ust. 2 lit. a) i c), administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.
7. Decyzje, o których mowa w ust. 2, nie mogą opierać się na szczególnych kategoriach danych osobowych, o których mowa w art. 9 ust. 1 RODO , chyba że zastosowanie ma art. 9 ust. 2 lit. a) lub g) RODO i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.

§ 20

1. Prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 12–22 RODO i w art. 34 RODO, a także w art. 5 RODO – o ile jego przepisy odpowiadają prawom
   i obowiązkom przewidzianym w art. 12–22 RODO – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym
    i proporcjonalnym, służącym:
2. bezpieczeństwu narodowemu;
3. obronie;
4. bezpieczeństwu publicznemu;
5. zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu lub ściganiu czynów zabronionych lub wykonywaniu kar, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu takim zagrożeniom;
6. innym ważnym celom leżącym w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności ważnemu interesowi gospodarczemu lub finansowemu Unii lub państwa członkowskiego, w tym kwestiom pieniężnym, budżetowym i podatkowym, zdrowiu publicznemu
   i zabezpieczeniu społecznemu;
7. ochronie niezależności sądów i postępowania sądowego;
8. zapobieganiu naruszeniom zasad etyki w zawodach regulowanych, prowadzeniu postępowań
   w takich sprawach, ich wykrywaniu oraz ściganiu;
9. funkcjom kontrolnym, inspekcyjnym lub regulacyjnym związanym, nawet sporadycznie,
   ze sprawowaniem władzy publicznej w przypadkach, o których mowa w lit. a) – e) oraz g);
10. ochronie osoby, której dane dotyczą, lub praw i wolności innych osób;
11. egzekucji roszczeń cywilnoprawnych.
12. W szczególności akt prawny, o którym mowa w ust. 1, musi zawierać szczegółowe przepisy przynajmniej – w stosownym przypadku – o:
13. celach przetwarzania lub kategorii przetwarzania;
14. kategoriach danych osobowych;
15. zakresie wprowadzonych ograniczeń;
16. zabezpieczeniach zapobiegających nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu;
17. określeniu administratora lub kategorii administratorów;
18. okresach przechowywania oraz mających zastosowanie zabezpieczeniach z uwzględnieniem charakteru, zakresu i celów przetwarzania lub kategorii przetwarzania;
19. ryzyka naruszenia praw lub wolności osoby, której dane dotyczą; oraz
20. prawie osób, której dane dotyczą, do uzyskania informacji o ograniczeniach, o ile nie narusza to celu ograniczenia.

§ 21

1. W związku z przetwarzaniem danych osobowych wyróżnia się grupy użytkowników:
2. administrator;
3. pełnomocnik ds. ochrony danych osobowych/ zastępca pełnomocnika ds. ochrony danych osobowych ;
4. administrator systemów informatycznych;
5. administrator systemów CCTV;
6. użytkownik.

§ 22

1. Administrator danych decyduje o celach i środkach przetwarzania danych osobowych, zapewniając ich poufność, integralność i rozliczalność.
2. Administrator danych przetwarzających dane osobowe powinien dołożyć szczególnej staranności
   w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest zobowiązanych do przestrzegania zasad:
3. legalności,
4. ograniczenia celu,
5. minimalizacji danych,
6. zasada prawidłowości (poprawności),
7. ograniczenia przechowywania,

• zapewnienia bezpieczeństwa danych, w tym ich integralności i poufności.

3. Administrator danych w celu ochrony danych osobowych i ich przetwarzania jest zobowiązany do zapewnienia odpowiednich środków technicznych i organizacyjnych odpowiednich do zagrożeń oraz kategorii danych objętych ochroną, w szczególności powinien zabezpieczyć dane przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.
4. Do obowiązku administratora danych osobowych należy w szczególności:
5. wspieranie DPO, jeśli jest powołany, poprzez zapewnienie zasobów niezbędnych do wykonywania jego zadań, a także w celu utrzymania jego wiedzy eksperckiej;
6. zapewnienie dostępu do danych osobowych i procesów przetwarzania danych;
7. monitorowanie DPO, jeśli jest powołany w zakresie prawidłowego i terminowego wykonywania przez niego zadań z zakresu ochrony danych osobowych;
8. udostępnianie danych kontaktowych inspektora danych osobowych DPO organowi nadzorczemu oraz opinii publicznej.

§ 23

1. Pełnomocnik ds. ochrony danych osobowych w zakresie zagadnień związanych z RODO podlega bezpośrednio Administratorowi danych osobowych.
2. Do zadań pełnomocnika ds. ochrony danych osobowych należy w szczególności:
3. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
4. monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich
   o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
5. udzielanie zaleceń co do ochrony danych, monitorowanie ich wykonania oraz wspieranie administratora we współpracy w tym zakresie z organem nadzorczym,
6. wspieranie administratora w kontaktach z organem nadzorczym w zakresie kwestii związanych
   z przetwarzaniem danych, w tym przygotowywanie dokumentacji dla organu nadzorczego.
7. Pełnomocnik ds. ochrony danych osobowych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
8. Pełnomocnik ds. ochrony danych osobowych opracowuje i aktualizuje „Politykę” oraz pozostałą dokumentację dotyczącą ochrony danych osobowych, a w szczególności:
9. prowadzi szkolenia z zakresu ochrony danych osobowych, w tym zapewnia zapoznanie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
10. nadaje upoważnienia do przetwarzania danych osobowych, prowadzi wykaz osób upoważnionych do przetwarzania danych osobowych.
11. Zastępca pełnomocnika do spraw ochrony danych osobowych wykonuje zadania pełnomocnika
    w czasie jego nieobecności.

§ 24

1. Administrator systemów informatycznych w ramach zadań w zakresie ochrony przetwarzania danych osobowych podlega administratorowi.

2. Do zadań administratora systemów informatycznych należy m.in. :
   1. doradzanie administratorowi danych w zakresie zagadnień informatycznych,
      a w szczególności wprowadzania rozwiązań mających na celu ochronę przetwarzania danych osobowych w zgodzie z przepisami RODO, w tym w przygotowywaniu dokumentacji;
   2. współpraca z pełnomocnikiem ds. ochrony danych w zakresie monitorowania przestrzegania wprowadzonej Polityki oraz procedur przetwarzania danych osobowych w systemach informatycznych;
   3. dokonywanie okresowych sprawdzeń zabezpieczeń systemów pod kątem możliwości wystąpienia incydentów naruszeń ochronny przetwarzania danych osobowych w systemach informatycznych;
   4. współpraca z administratorem danych oraz pełnomocnikiem ochrony danych osobowych przy minimalizacji skutków incydentów naruszeń ochrony przetwarzania danych osobowych.
3. Administrator systemów informatycznych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
4. Administrator systemów informatycznych winien się stosować do wytycznych i poleceń administratora danych w zakresie ochrony przetwarzania danych.
5. Administrator systemów informatycznych nadaje lub cofa upoważnienia w systemach, które obsługuje – zgodnie z ustaleniami z administratorem lub osobą przez niego wyznaczoną.

§ 25

1. Administrator systemów CCTV w ramach zadań w zakresie ochrony przetwarzania danych osobowych podlega administratorowi.
2. Do zadań administratora systemów CCTV należy m.in. :
3. doradzanie administratorowi danych w zakresie zagadnień informatycznych dotyczących CCTV,
   a w szczególności wprowadzania rozwiązań mających na celu ochronę przetwarzania danych osobowych w zgodzie z przepisami RODO, w tym w przygotowywaniu dokumentacji;
4. współpraca z pełnomocnikiem ds. ochrony danych w zakresie monitorowania przestrzegania wprowadzonej „Polityki” oraz procedur przetwarzania danych osobowych w systemach informatycznych dotyczących CCTV;
5. dokonywanie okresowych sprawdzeń zabezpieczeń systemów pod kątem możliwości wystąpienia incydentów naruszeń ochronny przetwarzania danych osobowych w systemach informatycznych CCTV;
6. współpraca z administratorem danych oraz pełnomocnikiem ochrony danych osobowych przy minimalizacji skutków incydentów naruszeń ochrony przetwarzania danych osobowych.
7. Administrator systemów CCTV wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
8. Administrator systemów CCTV winien się stosować do wytycznych i poleceń administratora danych
   w zakresie ochrony przetwarzania danych.
9. Administrator systemów CCTV nadaje lub cofa upoważnienia w systemach, które obsługuje zgodnie
   z ustaleniami z administratorem lub osobą przez niego wyznaczoną.

§ 26

1. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO
   i chroniło prawa osób, których dane dotyczą.
2. Podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający zobowiązany jest informować administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
3. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki
   i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:
4. przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej
   – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
5. zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
6. podejmuje wszelkie środki wymagane na mocy art. 32 RODO (adekwatnie do sytuacji);
7. przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa
   w RODO;
8. biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO;
9. uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO;
10. po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
11. udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji,
    i przyczynia się do nich.

W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

4. Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.
5. Umowa lub inny akt prawny, o których mowa w art. 3 i 4 RODO, mają formę pisemną lub elektroniczną. wzór przykładowej umowy na powierzenie przetwarzania danych stanowi załącznik
   nr 10.
6. Administrator prowadzi rejestr umów powierzenia, którego wzór stanowi załącznik nr 11.

§ 27

Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarza je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

§ 28

1. Administrator zobowiązany jest do prowadzenia rejestru czynności przetwarzania.
2. Rejestr czynności stanowi załącznik nr 12.

§ 29

1. Administrator i podmiot przetwarzający, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
2. pseudonimizację i szyfrowanie danych osobowych;
3. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów
   i usług przetwarzania;
4. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich
   w razie incydentu fizycznego lub technicznego;
5. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych
   i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
6. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub inny sposób przetwarzanych.
7. Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

§ 30

1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki –
   w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Procedura zgłoszenia naruszenia ochrony danych osobowych w Spółce stanowi załącznik nr 13.
2. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.
3. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:
4. opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
5. zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
6. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
7. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków. Wzór zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu stanowi załącznik nr 14.
8. Jeżeli – i w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu. Wzór formularza ”Wykaz naruszeń danych osobowych” stanowi załącznik nr 15.

§ 31

1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą,
   o takim naruszeniu.
2. Zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje
   i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d) RODO.
3. Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach:
4. administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
5. administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;
6. wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
7. Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu
   ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3.

§ 32

1. Do przetwarzania danych osobowych mogą być dopuszczone osoby wyłącznie przeszkolone oraz posiadające nadane upoważnienie do przetwarzania danych w zakresie niezbędnym do realizacji zadań.
2. Za przeprowadzenie szkoleń w zakresie wykonywania czynności zapewniających ochronę danych osobowych oraz zapoznanie użytkowników z dokumentacją polityki bezpieczeństwa ochrony danych osobowych i procedur odpowiedzialny jest administrator.
3. Upoważnienie do przetwarzania danych osobowych, w którym zawarte jest potwierdzenie odbycia szkolenia włącza się do akt osobowych użytkowników. Wzory upoważnień stanowią załącznik nr 16
   i 17 do niniejszej
4. Administrator prowadzi ewidencję osób upoważnionych do przetwarzania danych, której wzór stanowi załącznik nr 18 do niniejszej

§ 33

1. Każdy użytkownik który przetwarza dane osobowe jest zobowiązany do:
2. przetwarzania danych osobowych zgodnie z celami przetwarzania;
3. przestrzegania zasad ochrony danych osobowych;
4. do zachowania poufności danych.
5. Oświadczenie o zobowiązaniu się do zachowania poufności danych, którego wzór stanowi załącznik
   nr 19 jest podpisywane przez każdego użytkownika i włączane do jego akt osobowych.
6. Ogólne zasady bezpieczeństwa obowiązujące przy przetwarzaniu danych osobowych stanowią załącznik nr 20 niniejszej Polityki.

§ 34

1. Polityka oraz procedury zarządzania zbiorami prowadzonymi w systemach informatycznych wprowadzają co najmniej minimalne zasady ochrony przetwarzanych danych osobowych.
2. Obszar, w którym przetwarzane są dane osobowe stanowią pomieszczenia lub powierzchnie wyszczególnione w załączniku nr 21 niniejszej Polityki.
3. Obszary są całodobowo monitorowane, posiadają całodobową ochronę fizyczną w postaci pracowników dozoru mienia (którzy monitorują sygnały alarmowe pochodzące z systemów alarmowych) i/lub zabezpieczenie ze strony podmiotów świadczących usługi z zakresu ochrony mienia i osób ( patrole interwencyjne).
4. Urządzenia służące do przetwarzania danych osobowych znajdują się w pomieszczeniach zabezpieczonych zamkami.
5. Zbiory danych przetwarzane w postaci tradycyjnej są przechowywane w pomieszczeniach zamykanych na klucz.
6. Przebywanie osób trzecich w pomieszczeniach, gdzie są przetwarzane dane osobowe dopuszczalne jest tylko w obecności użytkownika przy przetwarzaniu tych danych lub w obecności przełożonego.
7. Pomieszczenia są zamykane na czas nieobecności użytkownika przy przetwarzaniu danych, w sposób uniemożliwiający dostęp do nich osób trzecich.
8. W przypadku przebywania osób postronnych w pomieszczeniach, gdzie przetwarzane są dane osobowe monitory stanowisk dostępu do danych powinny być ustawione w taki sposób, aby uniemożliwić tym osobom wgląd w dane. W przypadku braku możliwości właściwego ustawienia monitora niezbędne jest zamknięcie używanego oprogramowania.
9. Na poziomie systemu/aplikacji/urządzenia służących do przetwarzania danych osobowych zastosowano identyfikator i hasło dostępu dla upoważnionego użytkownika.
10. Stacje robocze, z których możliwy jest dostęp do danych zabezpieczony jest hasłem.
11. Kopie zapasowe ( back up) wykonywane są raz w tygodniu.

§ 35

1. Dane przetwarzane w systemach informatycznych mogą zostać zagrożone możliwością naruszenia przepisów dotyczących przetwarzania danych osobowych na czterech płaszczyznach: utrata poufności, dostępności, integralności oraz rozliczalności.
2. Przez poufność należy rozumieć zapewnienie, że tylko osoba uprawniona posiadała dostęp do danych osobowych w zakresie wymaganym przez zlecone jej zadania. Jako zagrożenia należy wymienić:
3. nieuprawniony dostęp do pomieszczeń w których zlokalizowane są zasoby systemu informatycznego służącego do przetwarzania danych osobowych;
4. ujawnienie haseł do systemu informatycznego;
5. nieuprawnione udostępnienie informacji przez osobę posiadającą dostęp do zasobów danych osobowych;
6. nieuprawnione przeniesienie informacji na nośniku lub w formie wydruku;
7. utrata nośnika zawierającego dane osobowe;
8. skorzystanie z uprawnień do danego systemu przez osobę nieposiadającą uprawnień, która weszła w posiadanie haseł w sposób niezgodny z prawem.
9. Przez dostępność należy rozumieć zapewnienie, że użytkownik danego systemu posiada możliwość pracy na danym stanowisku zgodnie z ustalonymi wymaganiami w zakresie ochrony. Jako zagrożenia należy wymienić:
10. brak możliwości przetwarzania danych osobowych spowodowanych brakiem dostępu do pomieszczeń, w którym zlokalizowany jest sprzęt;
11. awaria systemu lub sprzętu informatycznego;
12. zakłócenia w zasilaniu systemu informatycznego;
13. brak dostępu do haseł systemu informatycznego;
14. wydarzenie losowe- klęska żywiołowa.
15. Przez rozliczalność należy rozumieć zapewnienie, że czynności wykonywane przez użytkowników systemów informatycznych są rejestrowane w celu uniemożliwienia negacji przez osoby wykonujące czynności na danych osobowych. Jako zagrożenia należy wymienić:
16. brak kontroli nad czynnościami wykonywanymi w systemie informatycznym służącym do przetwarzania danych osobowych;
17. brak aktualizacji listy osób uprawnionych do przetwarzania danych osobowych;
18. brak poufności haseł dostępu do systemu informatycznego;
19. brak ochrony fizycznej stanowisk dostępu do danych osobowych;
20. braki w dokumentacji eksploatacyjnej systemu, w tym dokonywania zmian.

§ 36

1. Administrator w celu zapewnienia bezpieczeństwa danych osobowych przetwarzanych zgodnie
   z RODO oraz niniejszą Polityką podejmuje działania na rzecz spełnienia wymagań w zakresie ochrony:
2. zabezpieczenie przed nieuprawnionym dostępem do pomieszczeń, w których zainstalowane są stanowiska komputerowe przetwarzające dane osobowe;
3. zabezpieczenie przed nieuprawnionym dostępem do nośników zawierających dane osobowe;
4. zabezpieczenie przed nieuprawnionym dostępem do wydruków z danymi osobowymi;
5. zapewnienie dostępności użytkowników do danych osobowych zgodnie z nadanymi uprawnieniami;
6. zapewnienie możliwości kontroli dostępu do zasobów systemu komputerowego oraz wykonywanych w systemach operacjach;
7. zapewnienie bieżącej aktualizacji wykazów osób uprawnionych do pracy w danym systemie;
8. zapewnienie przetwarzania danych zgodnie z celem prowadzenia danego zbioru.
9. Zapewnienie bezpieczeństwa danych osobowych oraz ich przetwarzania jest realizowane poprzez:
10. zapewnienie, że jedynie osoby posiadające uprawnienie nadane przez administratora danych lub osobę przez niego wyznaczoną uzyskały dostęp do systemu informatycznego – ustalona procedura pozwala administratorowi systemów informatycznych oraz systemów CCTV na nadanie uprawnień użytkownikowi systemu wyłącznie na podstawie zgłoszenia administratora lub osoby przez niego wyznaczonej;
11. zapewnienie, że wykazy osób uprawnionych są na bieżąco aktualizowane – wypracowane procedury dotyczące nadawania i cofnięcia upoważnień w systemach informatycznych oraz systemach CCTV określają, że w przypadku konieczności dokonania zmian w zakresie upoważnień administrator lub osoba przez niego wyznaczona przekazuje informację administratorowi systemów informatycznych lub systemów CCTV, którzy są odpowiedzialni za niezwłoczne dokonanie zmian w systemie upoważnień;
12. zapewnienie aby posiadane aplikacje zapewniały możliwość prowadzenia kontroli operacji na danych osobowych – systemy informatyczne i systemy CCTV zapewniają możliwość kontroli wykonywanych operacji na danych, pozwalających na ustalenie kto wykonywał czynność, jaka to była czynność i kiedy była wykonywana. W przypadku, gdyby wskazana kontrola nie była zapewniana automatycznie wprowadza się obowiązek odnotowywania czynności w rejestrze- czasu pracy i wykonywanych czynności;
13. zapewnienie, aby tylko osoby posiadające przeszkolenie z zakresu przetwarzania danych osobowych przetwarzały te dane w systemach informatycznych – każda osoba przed rozpoczęciem pracy związanej z przetwarzaniem danych odbywa przeszkolenie i zapoznaje się z polityką ochrony danych osobowych oraz procedurami, co potwierdza własnoręcznym podpisem;
14. zapewnienie, aby każdy użytkownik systemu informatycznego miał dostęp wyłącznie do danych osobowych w związku z realizowaniem przez niego celu przetwarzania (adekwatnie do rodzaju
    i zakresu zadań) – w systemach informatycznych wykorzystywanych do przetwarzania danych osobowych zainstalowane są systemy operacyjne umożliwiające separację zasobów poszczególnych użytkowników. Każdy uprawniony użytkownik posiada własne konto utworzone przez administratora systemu informatycznego lub indywidualny dostęp do określonej bazy danych;
15. zapewnienie, aby kopie zbiorów osobowych oraz inne zasoby systemu informatycznego były niedostępne dla osób nieuprawnionych.
16. zapewnienie, aby pomieszczenia w którym zlokalizowane są stanowiska komputerowe do przetwarzania danych osobowych były zabezpieczone przed dostępem osób nieuprawnionych – pomieszczenia i obiekty posiadają zabezpieczenia w postaci ochrony technicznej i fizycznej. Dodatkowo stosowane są ogólne zasady ochrony przetwarzania danych osobowych.
17. Realizacja zadań związanych z zapewnieniem bezpieczeństwa przetwarzania danych osobowych
    w systemach informatycznych odbywa się m.in. przez:
18. natychmiastowe powiadamianie administratora systemu informatycznego i administratora systemu CCTV o konieczności zmian w zakresie upoważnień dla użytkownika;
19. zapewnienia, że system informatyczny identyfikuje użytkownika, a w szczególności rozpoczęcie
    i zakończenie przez niego pracy w systemie informatycznym;
20. szkolenia w zakresu ochrony przetwarzania danych, a fakt ich odbycia powinien być potwierdzony pisemnie ( lista obecności na szkoleniu);
21. stosowania haseł zgodnie z wymogami i nieudostępniania ich osobom nieuprawnionym;
22. właściwego zabezpieczania nośników zawierających dane osobowe.

§ 37

1. Dane osobowe przetwarzane są w środowisku systemu operacyjnego Windows i Linux
2. Zestawy komputerowe z dostępem do sieci internet, na których przetwarzane są dane osobowe, posiadają wdrożony system ochrony antywirusowej.

§ 38

1. Struktura zbiorów danych osobowych :
2. system informatyczny system monitoringu CCTV ( Alnet/Novus):

wizerunek osób przebywających w zasięgu monitoringu: pracowników, klientów, mieszkańców, osób przebywających na terenie monitorowanym;

1. system informatyczny do obsługi poczty elektronicznej:

adres e-mail, opcjonalnie: imię i nazwisko, adres zamieszkania, numer telefonu

1. system informatyczny do przetwarzania dokumentacji związanej z działalnością firmy – umowy, wykazy, opracowania oraz analizy finansowe, księgowe i prawne ( Windows):

nie ma ustalonej stałej struktury danych osobowych, odnoszących się do osób fizycznych- pracowników firmy i klientów. Podstawowe dane: imię nazwisko, adres zamieszkania. Opcjonalnie dane kontaktowe: adres email, numer telefonu;

1. system informatyczny – aplikacja/program BASE SYSTEM X-SOL

Imię, nazwisko, adres, numery telefonów,

1. system manualny – dokumentacja związana z działalnością firmy – umowy, opracowania wykazy oraz analizy finansowe, księgowe i prawne

nie ma ustalonej stałej struktury danych osobowych, odnoszących się do osób fizycznych- pracowników firmy i klientów. Podstawowe dane: imię nazwisko, adres zamieszkania. Opcjonalnie dane kontaktowe: adres email, numer telefonu, dane dotyczące dokumentów tożsamości, PESEL;

1. system manualny – dokumentacja kadrowa

Pełne dane: imiona , nazwisko, nazwisko rodowe, imiona rodziców, data i miejsce urodzenia, PESEL, miejsce zamieszkania, numer dokumentu tożsamości, dane osób zgłoszonych do ubezpieczenia, informacja o zdolności do pracy, informacja o wykształceniu;

1. system manualny – faktury

imię i nazwisko, adres zamieszkania, PESEL

1. system manualny – dokumentacja z obsługi zorganizowanych zajęć

imię i nazwisko/ opcjonalnie rok urodzenia, email

§ 39

1. Kontrola dostępu do systemu komputerowego w którym znajdują się dane osobowe polega na dostosowaniu stanowisk komputerowych i zainstalowanego na nich oprogramowania zgodnie
   potrzebami użytkownika wg. jego uprawnień, na podstawie indywidualnych haseł o określonych parametrach i terminie ważności. Systemy operacyjne muszą być skonfigurowane w taki sposób, aby była możliwość identyfikacji jego użytkownika – rejestrują one wszystkie logowania oraz próby logowania. Użytkownicy systemów są zobowiązani do chronienia haseł, odpowiadając za ich nieuprawnione ujawnienie. W przypadku braku zabezpieczenia systemu komputerowego indywidualnym hasłem prowadzony jest rejestr dostępu, w którym odnotowywana jest informacja kto, kiedy, w jakim czasie oraz zakresie wykonywał na wskazanym stanowisku zadania służbowe.
2. Hasła użytkownika są podstawowym elementem ochrony danych osobowych przetwarzanych
   w systemach informatycznych.
3. Hasła administratorów systemów informatycznych oraz systemów CCTV są przechowywane
   przez administratorów tych systemów.
4. Wszyscy użytkownicy przestrzegają następujących zasad ochrony haseł:
5. użytkownik odpowiada za nieuprawnione ujawnienie swojego hasła;
6. użytkownik przechowuje swoje hasło w sposób uniemożliwiający zapoznanie się z nim przez inne osoby;
7. w sytuacji, gdy zachodzi podejrzenie ujawnienia hasła, użytkownik zobowiązany jest do natychmiastowej jego zmiany, a w przypadku braku możliwości wykonania czynności we własnym zakresie zwrócenia się do administratora systemów informatycznych o zmianę hasła;
8. hasła zawierają minimum 6 znaków dla użytkowników systemu o określonej złożoności;
9. każdy użytkownik jest zobowiązany raz na trzy miesiące do zmiany hasła w systemie.
10. Usuwanie kont oraz zmiana uprawnień realizowana jest przez administratora systemu informatycznego na polecenie administratora danych lub osoby przez niego upoważnionej.

§ 40

1. Systemy informatyczne posiadają połączenie z siecią internet ze względu na zakres prowadzonej działalności oraz wykonywane zadania.
2. W celu wyeliminowania negatywnych skutków oprogramowań złośliwych mających wpływ na poufność, dostępność, integralność i rozliczalność zaleca się instalowanie oprogramowania antywirusowego na każdym stanowisku komputerowym lub innym urządzeniu na którym przetwarzane są dane osobowe. Administrator systemów informatycznych, co najmniej raz
   na pół roku sprawdza wszystkie urządzenia będące w zakresie jego obsługi na obecność oprogramowań złośliwych. Oprogramowanie antywirusowe powinno być tak skonfigurowane, aby każdy nośnik podłączany do urządzenia był sprawdzany na obecność złośliwego oprogramowania.

§ 41

1. Administrator systemu informatycznego na bieżąco monitoruje poprawność działania poszczególnych komputerów zgodnie z niniejszą Polityką.
2. Użytkownik ma obowiązek zgłaszania wszystkich zauważonych nieprawidłowości, które mogą mieć wpływ na obniżenie stopnia ochrony danych osobowych w celu ich wyeliminowania
3. Szczegółowe zadania z zakresu ochrony danych osobowych i ich przetwarzania zawarte są
   w procedurach zarządzaniach systemami informatycznymi.

§ 42

W celu zapewnienia zachowania standardów związanych z ochroną przetwarzania danych osobowych administrator realizuje szkolenia dla użytkowników z zakresu przepisów dotyczących przetwarzania danych osobowych oraz wprowadzonych rozwiązań.

§ 43

W kwestiach nieuregulowanych w niniejszej Polityce stosuje się przepisy RODO oraz inne przepisy obowiązujące w Polsce.

§ 44

Z Polityką zobowiązane są zapoznać wszystkie osoby przetwarzające dane osobowe. Wykaz osób, które zostały zapoznane z dokumentem stanowi załącznik nr 22.