Instrukcja ochrony bezpieczeństwa danych osobowych Sławomira Zborowskiego, prowadzącego działalność gospodarczą pod firmą: Centrum Zwierzaka Sławomir Zborowski pod adresem: Jawornik 412, 32-400 Myślenice Nr NIP 681 201 59 11 (dalej: Przedsiębiorca)




Instrukcja opracowana w oparciu o:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (dalej: RODO)

  • Ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2019 r. poz. 1781)


Celem niniejszej instrukcji jest wprowadzenie oraz potwierdzenie spełnienia u Przedsiębiorcy wymogów w zakresie ochrony danych osobowych zgodnie z regulacją RODO.

Wszelkie użyte w niniejszej Instrukcji sformułowania winny być interpretowane zgodnie z postanowieniami RODO, w szczególności przyjmuje się następujące definicje:


Administrator - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych tj. Przedsiębiorca

Dane osobowe - oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, dane dotyczące zdrowia, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej

Kategoria osób, których dane dotyczą – kategoria / grupa osób, których dane osobowe są przetwarzane u Przedsiębiorcy (klienci, zleceniobiorcy, pracownicy i współpracownicy zleceniobiorców)

Naruszenie ochrony danych osobowych - oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem: zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych

Odbiorca - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii Europejskiej lub prawem Państwa Członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne powinno być zgodne z przepisami o ochronie danych osobowych mającymi zastosowanie stosownie do celów przetwarzania

Ograniczenie przetwarzania - oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania

Przetwarzanie - oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie



  1. Odpowiedzialność za ochronę danych osobowych

Za ochronę danych osobowych w tym realizowanie zapisów Instrukcji odpowiadają wszystkie osoby przetwarzające dane osobowe u Przedsiębiorcy. Na działania w tym zakresie składają się w szczególności:


  • zapoznanie się przed dopuszczeniem do przetwarzania danych i rozpoczęciem przetwarzania danych z niniejszą Instrukcją ( o ile to konieczne potwierdzenie tej czynności poprzez złożenie stosownego oświadczenia o zachowaniu danych w poufności- wzór oświadczenia stanowi Załącznik nr 3 do Instrukcji)

  • przestrzeganie zasad ochrony danych osobowych określonych w Instrukcji

  • spełnianie wymogu wynikającego z obowiązku informacyjnego, w szczególności poinformowania osoby, której dane dotyczą zgodnie z wymogami obowiązku informacyjnego zawartymi w niniejszej Instrukcji

  • uczestniczenie w szkoleniach z zakresu ochrony danych osobowych ( o ile będą one organizowane)

  • bezzwłoczne zgłaszanie Administratorowi wszelkich dostrzeżonych nieprawidłowości w działaniu systemu informatycznego, w którym przetwarzane są dane osobowe

  • bezzwłoczne zgłaszanie Administratorowi wszelkich incydentów, nieprawidłowości i dostrzeżonych zagrożeń związanych z bezpieczeństwem danych osobowych

  • zgłaszanie naruszenia ochrony danych osobowych właściwemu organowi nadzorczemu za pośrednictwem osób wyznaczonych przez Administratora

  • wprowadzenie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, utrzymywanie i aktualizowanie Rejestru czynności przetwarzania danych osobowych

  • dołożenie szczególnej staranności podczas przetwarzania danych osobowych, tak aby proces przetwarzania odbywał się zgodnie z prawem, dane osobowe były poprawne, a ich przetwarzanie odbywało się wyłącznie w celu i zakresie, dla którego zostały zebrane

  • realizowanie uprawnień osób, których dane dotyczą ( pkt IV Instrukcji)



  1. Rejestr Czynności Przetwarzania Danych Osobowych u Przedsiębiorcy


Dla wszystkich zidentyfikowanych kategorii danych osobowych prowadzi się Rejestr czynności przetwarzania danych osobowych.

Na rejestr czynności przetwarzania danych osobowych składają się:

  • opis kategorii osób, których dane dotyczą

  • informacja o celu przetwarzania danych osobowych

  • podstawa prawna przetwarzania

  • źródło danych osobowych

  • opis kategorii danych osobowych

  • informacja o przetwarzaniu danych wrażliwych

  • informacja o systemach teleinformatycznych, w których przetwarzane są dane osobowe

  • informacja o przetwarzaniu danych osobowych w formie papierowej

  • planowany termin usunięcia danych osobowych

  • stosowane zabezpieczenia organizacyjne i techniczne

  • informacje o podmiotach, którym dokonano powierzenia i dalszego powierzenia danych osobowych

  • informacje o podmiotach, którym udostępniono dane osobowe

  • informacje o przekazaniu danych osobowych do Państwa trzeciego

Rejestr czynności przetwarzania danych osobowych prowadzony jest w formie elektronicznej w systemie teleinformatycznym.

Aktualny Rejestr czynności przetwarzania stanowi Załącznik nr 2 do Instrukcji.



  1. Obowiązek informacyjny


Podczas zbierania danych osobowych, osobę której dane dotyczą informuje się o:

  • danych identyfikacyjnych oraz kontaktowych Administratora

  • celach (a w przypadku zmiany tych celów o zmianie celów) oraz podstawach przetwarzania danych

  • odbiorcach danych osobowych lub o kategoriach odbiorców (o ile ma to zastosowanie)

  • zamiarze przekazania danych osobowych do Państwa trzeciego lub organizacji międzynarodowej oraz wzmiankę o stosowanych zabezpieczeniach, możliwościach uzyskania kopii tych danych lub o miejscu ich udostępnienia (o ile ma to zastosowanie)

  • okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu

  • prawie do żądania od Administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych

  • jeżeli przetwarzanie odbywa się na podstawie uzyskanej zgody - o prawie do cofnięcia zgody na przetwarzanie danych osobowych

  • prawie do wniesienia skargi do organu nadzorczego

  • zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, istotnych zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą (o ile ma to zastosowanie)


W przypadku, gdy dane osobowe zbierane są bezpośrednio od osoby, której dane dotyczą, należy przekazać informację czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i konsekwencjach niepodania danych.


W przypadku, gdy dane osobowe pozyskiwane są w inny sposób niż od osoby, której dane dotyczą, należy przekazać osobie, której dane dotyczą informacje wskazane powyżej, a ponadto poinformować ją o:

  • kategoriach przetwarzanych danych osobowych

  • źródle pochodzenia danych osobowych


Sposoby realizacji obowiązku informacyjnego:

  • ustnie – np. w przypadku bezpośredniego kontaktu z osobą, której dane dotyczą

  • pisemnie – np. w ramach umowy z podmiotem udostępniającym dane

  • w formie elektronicznej np. e-mail



  1. Prawa Osób Których Dane Dotyczą


Każda osoba, której dane dotyczą jest uprawniona do uzyskania potwierdzenia, czy w ramach działalności Administratora przetwarzane są jej dane osobowe.

Na wniosek osoby, której dane dotyczą, należy przekazać informację o:

  • celu przetwarzania danych osobowych

  • kategoriach przetwarzanych danych osobowych

  • odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w Państwach trzecich lub organizacjach międzynarodowych oraz zabezpieczeniach wykorzystywanych w związku z tym przekazaniem

  • planowanym okresie przechowywania danych osobowych, a gdy nie jest to możliwe, kryteriach ustalenia tego okresu

  • prawie do żądania sprostowania, usunięcia lub ograniczenia przetwarzania jej danych osobowych, oraz prawie wniesienia sprzeciwu wobec takiego przetwarzania

  • prawie wniesienia skargi do organu nadzorczego

  • źródle danych osobowych, jeśli nie zostały zebrane od osoby, której dane dotyczą

  • zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, istotnych zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą

Każda osoba, której dotyczą dane ma prawo do żądania niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe.

Każda osoba, której dane dotyczą ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

Każda osoba, której dane dotyczą, ma prawo żądania niezwłocznego usunięcia jej danych osobowych („Prawo do bycia zapomnianym”).

Każda osoba, której dane dotyczą, ma prawo żądania ograniczania przetwarzania jej danych osobowych.
Każda osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła Administratorowi, w tym przysługuje jej prawo do przesłaniach tych danych osobowych innemu administratorowi. Każda osoba, której dane dotyczą ma prawo wnieść sprzeciw wobec przetwarzania jej danych osobowych.

Terminy realizacji powyższych uprawnień:

  • w przypadku bezzasadności wniosku Administrator w terminie do 1 miesiąca od otrzymania wniosku informuje wnioskodawcę o bezzasadności wniosku

  • w przypadku zasadności wniosku Administrator realizuje uprawnienie w terminie do 1 miesiąca od otrzymania wniosku. W przypadku, gdy czas realizacji prawa może przekroczyć 1 miesiąc Administrator przekazuje osobie wnioskującej odpowiedź o sposobie rozpatrzenia jej wniosku wraz z planowanym terminem realizacji uprawnienia

Dane osobowe udostępniane są wyłącznie na pisemny, umotywowany wniosek chyba, że przepisy prawa stanowią inaczej.




  1. Powierzenie przetwarzania danych osobowych


Powierzenie przez Administratora przetwarzania danych osobowych podmiotom zewnętrznym może nastąpić wyłącznie na mocy umowy powierzenia przetwarzania danych.

Umowa taka musi zawierać:

  • określenie przedmiotu i czasu trwania przetwarzania danych osobowych

  • określenie charakteru i celu przetwarzania danych osobowych

  • określenie rodzaju danych osobowych oraz kategorii osób, których dane dotyczą

  • określenie obowiązków i praw Administratora

  • określenie zobowiązania wszelkich osób świadczących pracę/usługi na rzecz podmiotu przetwarzającego do zachowania powierzonych danych osobowych w poufności

  • określenie sposobu zapewnienia bezpieczeństwa organizacyjnego i technicznego przetwarzania danych osobowych

  • określenie zasad dalszego powierzania danych osobowych

  • określenie zasad udziału Stron w procesach: udzielania odpowiedzi na żądanie osoby, które dane dotyczą, oceny skutków dla przetwarzania danych osobowych, zgłaszania incydentów

  • określenie zasad usunięcia lub zwrócenia powierzonych danych osobowych

  • określenie zasad udziału Stron w procesach udostępniania wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w mających zastosowanie przepisach prawa w obszarze ochrony danych osobowych (np. audyty drugiej strony)

  • określenie zasad natychmiastowego wstrzymania przetwarzania danych osobowych powierzonych w razie stwierdzenia niedostatecznej ochrony danych osobowych




  1. Naruszenia Ochrony Danych Osobowych


W przypadku naruszenia ochrony danych osobowych Administrator bez zbędnej zwłoki – nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Zgłoszenie zawiera:

  • opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie

  • dana kontaktowe Administratora

  • opis konsekwencji naruszenia ochrony danych osobowych

  • opis środków zastosowanych lub proponowanych do zastosowania przez Administratora w celu minimalizacji naruszenia ochrony danych osobowych

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator o takim naruszeniu bez zbędnej zwłoki zawiadamia także osobę, której dane dotyczą.




  1. Okres przechowywania danych


Dane osobowe przetwarzane przez Administratora przechowywane są przez okres nie dłuższy niż jest to niezbędne. Okres przechowywania danych dostosowywany jest do celu, w którym zostały zebrane. Okres retencji danych osobowych odnotowany jest w Rejestrze czynności przetwarzania w stosunku do określonej kategorii i celu, w jakim dane osobowe zostały zebrane.




  1. Zgoda na przetwarzanie danych osobowych


W każdej sytuacji, w której jedną podstawą do przetwarzana danych osobowych jest zgoda osoby, której dane dotyczą, niezbędne jest uzyskanie takiej zgody.

Forma zgody powinna gwarantować możliwość potwierdzenia uzyskania takiej zgody przez Administratora.

Wyrażenie zgody na przetwarzanie danych osobowych nie może stanowić podstawy do odmowy wykonania umowy / świadczenia usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do ich wykonania.

Zgoda na przetwarzanie danych osobowych powinna zawiera co najmniej:

  • dane identyfikacyjne Administratora

  • określenie celu przetwarzania, dla którego dane osobowe są pozyskiwane

  • oświadczenie o wyrażeniu zgody

  • informację o możliwości wycofania zgody



  1. Deklaracja prawidłowości przetwarzania Danych Osobowych


Administrator deklaruje, że przetwarzanie danych osobowych przez Administratora jest zgodne z przepisami prawa.

Wybrane podstawy i okoliczności uzasadniające powyższą deklaracje:

  • Przedsiębiorca dokłada wszelkich starań aby dane przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą

  • Przedsiębiorca dokłada wszelkich starań aby dane były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i przetwarzane w sposób zgodny z tymi celami

  • Przedsiębiorca dokłada wszelkich starań aby dane były adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane

  • Przedsiębiorca dokłada wszelkich starań aby dane były prawidłowe i w razie potrzeby uaktualniane

  • Przedsiębiorca dokłada wszelkich starań aby dane były przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane

  • Przedsiębiorca dokłada wszelkich starań aby dane były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych

  • opracowano i wdrożono Instrukcję

  • przetwarzania danych osobowych dokonuje się w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych, w szczególności poprzez: kontrolę dostępu do pomieszczeń i systemów w których przetwarzane są dane (hasła do komputerów, telefonów komórkowych), zapewnienie środków i miejsc przetwarzania danych osobowych z trwałym znaczeniem otwarcia (pomieszczenia, szafy, biurka zamykane na klucz)

  • do przebywania osób nieupoważnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe dopuszcza się tylko w obecności osoby upoważnionej do przetwarzania danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych

  • każdą osobę przetwarzającą dane osobowe zobowiązuje się do przestrzegania zasad bezpieczeństwa danych

  • przeprowadza się ocenę skutków dla ochrony danych osobowych, a na podstawie jej wyników podejmuje działania zapewniające ochronę danych osobowych

  • zawiera się umowy powierzenia przetwarzania danych osobowych przy współpracy z podmiotami, którym udostępnia się do przetwarzania dane osobowe



Załącznik nr 1 Ocena Skutków Dla Ochrony Danych – Analiza Ryzyka


Mimo braku prawnego wynikającego z RODO obowiązku przeprowadzenia oceny skutków dla ochrony danych osobowych w celu:

  • zdefiniowania planowanych operacji przetwarzania i celów przetwarzania danych osobowych

  • oceny czy przetwarzanie jest niezbędne oraz proporcjonalne do założonych celów przetwarzania

  • oceny ryzyka w ramach przetwarzania naruszenia praw lub wolności osób, których dane dotyczą

  • zapewnienia środków zabezpieczających prawidłowe przetwarzanie danych osobowych

przeprowadza się oceny skutków dla ochrony danych osobowych.


Proces oceny skutków dla ochrony danych osobowych jest realizowany każdorazowo, gdy zajdzie taka potrzeba (np. zaistnienie odmiennych rodzajowo operacji przetwarzania, nowe kategorie będących przedmiotem przetwarzania danych osobowych). Wyniki takiej analizy są uwzględniane w operacjach przetwarzania danych u Administratora, w analizie są zobowiązane brać udział (poprzez udzielenie wszelkich niezbędnych informacji) wszystkie osoby biorące udział w operacjach przetwarzania danych.




Ocena skutków

Po:


  • zdefiniowaniu i ocenie poziomu bezpieczeństwa zasobów, w których przetwarzane są dane osobowe (wskazane w Rejestrze Przetwarzania)

  • weryfikacji planowanych operacji przetwarzania i celów przetwarzania danych (wskazane w Rejestrze Przetwarzania)

  • ocenie niezbędności i proporcjonalności operacji przetwarzania (wskazane w Rejestrze Przetwarzania)

  • ocenie krytyczności poszczególnych grup danych osobowych z uwzględnieniem wpływu na prawa i wolności osób, których dane dotyczą (wskazane w Rejestrze Przetwarzania)

  • identyfikacji zagrożeń mogących spowodować naruszenie bezpieczeństwa danych osobowych (wyciek danych przetwarzanych w systemach teleinformatycznych/ w pomieszczeniach biurowych)

  • identyfikacji i ocenie stosowanych obecnie zabezpieczeń (hasła do komputerów i nośników informacji w wersji elektronicznej, zabezpieczenie i kontrola dostępu do pomieszczeń i wyposażenia biura gdzie przetwarzane są dane)


Przyjęcie następujących stopni zagrożeń:


  • Ryzyko nieistotne - przetwarzane dane osobowe są dostępne publicznie. Utrata poufności, integralności i dostępności niniejszych danych nie wpłynie na interesy, prawa i wolności osób, których dane dotyczą

  • Ryzyko niskie - przetwarzane dane osobowe nie umożliwiają prostej i jednoznacznej identyfikacji osoby, której dane dotyczą. Utrata poufności, integralności i dostępności niniejszych danych nie wpłynie znacząco na interesy, prawa i wolności osób, których dane dotyczą

  • Ryzyko średnie - przetwarzane dane osobowe mogą umożliwić prostą i jednoznaczną identyfikację osoby, której dane dotyczą. Utrata poufności, integralności i dostępności niniejszych danych możne wpłynąć znacząco na interesy, prawa i wolności osób, których dane dotyczą

  • Ryzyko wysokie - przetwarzane dane osobowe nie są danymi wrażliwymi, mimo to utrata ich poufności, integralności i dostępności może doprowadzić do poważnych negatywnych skutków dla interesów, praw i wolności osób, których dane dotyczą

  • Ryzyko bardzo wysokie- przetwarzane dane osobowe są danymi wrażliwymi. Utrata poufności, integralności dostępności niniejszych danych może doprowadzić do bardzo poważnych skutków dla interesów, praw i wolności osób, których dane dotyczą


Oceniono iż w ramach działalności Administratora stosowane są środki adekwatne do ochrony danych, a dane przetwarzane są w celach niezbędnych i zakresie proporcjonalnym do osiągnięcia celów ich przetwarzania.




Załącznik nr 2


Załącznik nr 3


Centrum Zwierzaka © 2023
Design By: WPS Group | Sklep na bazie OpenCart Centrum Zwierzaka © 2024