Polityka prywatności

 

  1. PRZEDMIOT / CEL

Niniejsza Polityka Ochrony Danych Osobowych w Madmind Studio S.A. (ul. Grunwaldzka 229, 85-459 Bydgoszcz) (dalej jako Spółka) powstała w oparciu o analizę charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. Jej podstawowym celem jest uregulowanie wszystkich obszarów, które odnoszą się do procesów przetwarzania danych oraz przyjętych w Spółce środków technicznych i organizacyjnych.

 

 

  1. ZAWARTOŚĆ

 

Słowniczek

 

Przez użyte w Polityce Ochrony Danych Osobowych (PODO) terminy należy rozumieć:

  1. administrator danych – Spółka, czyli osoba prawna która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;

  2. audyt – systematyczny, niezależny i udokumentowany proces uzyskiwania dowodu z audytu oraz jego obiektywnej oceny w celu określenia stopnia spełnienia kryteriów audytu;

  3. dane osobowe - oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

  4. SpółkaMadmind Studio S.A.

  5. incydent bezpieczeństwa – każde wykryte naruszenie albo wykryta próba naruszenia bezpieczeństwa danych osobowych będąca naruszeniem obowiązujących przepisów wewnętrznych Spółki lub powszechnie obowiązujących przepisów prawa; źródłem incydentu bezpieczeństwa może być zarówno przypadkowe, jak i celowe działanie albo jego zaniechanie przez pracowników / współpracowników lub osoby, przy pomocy których Spółka wykonuje swoje czynności;

  6. inspektor ochrony danych (IOD) – osoba wyznaczona do realizacji zadań wskazanych w art. 39 RODO;

  7. integralność – właściwość polegającą na tym, że zasób systemu teleinformatycznego nie został zmodyfikowany w sposób nieuprawniony;

  8. naruszenie ochrony danych osobowych - oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

  9. ocena ryzyka – proces mający na celu oszacowanie wagi ryzyka rozumianej jako funkcja prawdopodobieństwa wystąpienia skutku i krytyczności jego następstw dla praw lub wolności osób fizycznych, których dane osobowe przetwarza Spółka;

  10. organ nadzorczy – Prezes Urzędu Ochrony Danych Osobowych (PUODO);

  11. podmiot przetwarzający (procesor) - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

  12. polityka ochrony danych osobowych (PODO) – niniejszy dokument, przez który należy rozumieć zestaw efektywnych, udokumentowanych zasad i procedur bezpieczeństwa wraz z ich planem wdrożenia i egzekwowania;

  13. postępowanie z ryzykiem - proces modyfikowania ryzyka; postępowanie z ryzykiem może uwzględniać np. unikanie ryzyka poprzez decyzję o nierozpoczynaniu lub niekontynuowaniu działań powodujących ryzyko, usunięcie źródła ryzyka, zachowanie ryzyka na podstawie świadomej decyzji.

  14. poufność – właściwość zapewniająca, że dane osobowe nie są udostępniane lub wyjawiane nieupoważnionym osobom fizycznym;

  15. proces przetwarzania danych – seria powiązanych ze sobą działań lub zadań, które rozwiązują określony problem lub prowadzą do osiągnięcia określonego efektu przy wykorzystaniu danych osobowych;

  16. profilowanie - oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;

  17. przetwarzanie - oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

  18. RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

  19. rozliczalność – właściwość zasobu informatycznego oznaczająca, że wykonane na nim działania mogą być jednoznacznie przypisane wykonującej je osobie lub systemowi informatycznemu;

  20. ryzyko – prawdopodobieństwo tego, że zagrożenie wykorzysta podatność powodując skutek;

  21. system teleinformatyczny - zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania, zapewniający przetwarzanie i przechowywanie, a także wysyłanie i odbieranie danych poprzez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci urządzenia końcowego w rozumieniu ustawy z dnia 21 lipca 2000 r. - Prawo telekomunikacyjne;

  22. system ochrony danych osobowych (SODO) – polityka ochrony danych osobowych, procedury, wytyczne, związane zasoby i działania, wspólnie zarządzane przez Spółkę dążące do ochrony danych osobowych, które przetwarza;

  23. użytkownik – pracownik lub współpracownik Spółki oraz inne osoby, przy pomocy których Spółka wykonuje swoje czynności, posiadające uprawnienia do pracy w systemie teleinformatycznym zgodnie z zakresem obowiązków służbowych i nadanymi uprawnieniami;

  24. właściciel biznesowy - osoba odpowiedzialna za działanie i ciągłe ulepszanie danego procesu przetwarzania danych;

  25. zagrożenie – stan faktyczny, który może spowodować naruszenie bezpieczeństwa danych osobowych;

 

  1. Podstawy prawne

Niniejsza Polityka Ochrony Danych Osobowych opiera się na:.

  1. Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (w dalszej części jako RODO);

  2. Ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (UODO);

  3. Ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (w dalszej części jako UŚUDE);

  4. Ustawie z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (w dalszej części jako PT);

  5. PN-ISO/IEC 27001:2013;

  6. PN-ISO/IEC 27005:2014;

  7. Wytyczne Grupy Roboczej Art. 29 Ds. Ochrony Danych Osobowych tj.:

  1. Wytyczne dotyczące inspektorów ochrony danych (‘DPO’) z dnia 13 grudnia 2016 r.;

  2. Wytyczne dotyczące oceny skutków dla ochrony danych (DPIA) oraz ustalenia, czy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko”, do celów rozporządzenia 2016/679 z dnia 4 kwietnia 2017 r.;

  3. Wytyczne dotyczące prawa do przenoszenia danych z dnia 13 grudnia 2016 r.;

  4. Wytyczne dotyczące ustalenia wiodącego organu nadzorczego właściwego dla administratora lub podmiotu przetwarzającego z dnia 13 grudnia 2016 r.

 

  1. Cel i zakres PODO

    1. Celem PODO jest stworzenie podstaw organizacyjnych dla wdrożenia systemu ochrony danych osobowych w Spółce.

    2. PODO odnosi się do wszelkich danych osobowych znajdujących się w posiadaniu Spółki niezależnie od tego w jaki sposób te dane są przetwarzane.

    3. Zasady ustanowione w PODO powinny być stosowane przez wszystkie osoby zatrudnione w Spółce / współpracujące z Spółką.

 

  1. Prawa i obowiązki Pracowników / Współpracowników Spółki

    1. Przestrzeganie zasad i obowiązków określonych w PODO i wskazanych w innych procedurach dot. ochrony danych osobowych;

    2. Zapewnienie poufności w stosunku do wszystkich danych osobowych przetwarzanych w Spółce;

    3. Nierozpowszechnianie danych osobowych podlegających ochronie;

    4. Zachowania poufności danych osobowych w Spółce w zakresie związanym z wykonywaniem przez pracowników i współpracowników zadań dla Spółki nie wygasa po ustaniu stosunku pracy/współpracy;

 

  1. Zasady realizowania żądań podmiotów danych osobowych

    1. Zgodnie z RODO każda osoba, której dane dotyczą ma możliwość skorzystania ze swoich praw i w tym celu zgłosić się do Spółki.

    2. Podmiotowi danych osobowych przysługują następujące prawa:

      • Dostęp do informacji o osobie, której dane dotyczą;

      • Sprostowanie danych;

      • Usunięcie danych „prawo do bycia zapomnianym”;

      • Ograniczenie przetwarzania danych osobowych;

      • Przenoszenie danych;

      • Sprzeciw wobec przetwarzania danych;

      • Odwołanie zgody;

    1. Złożenie wniosku przez podmiot danych powinno być umożliwione w każdej formie, przy czym dla celów dowodowych zaleca się utrwalenie wniosku (żądania, zapytania, skargi, etc.) co najmniej w formie e-mail.

    2. Każdy składany wniosek w pierwszej kolejności powinien być zweryfikowany pod kątem uprawnienia danej osoby do jego złożenia. Należy zachować szczególną ostrożność w przypadkach, kiedy za osobę, której dane dotyczą, występuje jej reprezentant. Wówczas w pierwszej kolejności należy sprawdzić poprawność reprezentacji. 

    3. Wnioski rozpatruje się wyłącznie, gdy zostały złożone przez uprawnioną osobę, tj. osobę, której dane dotyczą lub osobę właściwie umocowaną. 

    4. Nigdy nie udziela się odpowiedzi na zapytania ustne, w tym kierowane telefonicznie, o ile Spółka nie ma możliwości potwierdzić tożsamości rozmówcy. 

    5. Wnioski rozpatruje się biorąc pod uwagę ich treść, a nie tytuł.

    6. Wniosek konsultowany i rozpatrywany jest z pomocą osób odpowiedzialnych za wsparcie prawne Spółki.

    7. Odpowiedzi na wnioski udziela się bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania.

    8. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania Spółka informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. 

    9. Jeżeli Spółka nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

  1. Procedura nadawania upoważnień do przetwarzania danych osobowych

    1. Przed nadaniem upoważnienia osoba właściwa w Spółce zobowiązana jest udostępnić Użytkownikowi do wglądu wewnętrzne dokumenty z zakresu ochrony danych osobowych. Formalnym potwierdzeniem zapoznania się z ww. dokumentami są podpisy Użytkownika przy stosownych oświadczeniach, zawarte w upoważnieniu. Wzór upoważnienia wraz z oświadczeniem stanowi Załącznik 1 do niniejszej Polityki.

    2. Każdy Użytkownik, który ma mieć dostęp do danych osobowych, musi zostać upoważniony do przetwarzania danych osobowych. Upoważnienia nadawane są w formie tradycyjnej (papierowej) lub elektronicznej.

    3. Upoważnienia nadaje Administrator lub osoba upoważniona.

    4. Szczegółowe zasady przyznawania upoważnień do systemów informatycznych, są opisane w Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych

    5. Odbiór upoważnienia i uprawnień następuje w szczególności, gdy zajdzie jedna z poniższych sytuacji:

      • ustanie stosunku pracy / zakończenie współpracy na podstawie umowy cywilnoprawnej;

      • zmiana zakresu obowiązków wynikających z umowy o pracę / umowy cywilnoprawnej.

    6. W przypadku zajścia którejś z okoliczności, o których mowa w pkt. 5). priorytetem jest odebranie uprawnień do systemów teleinformatycznych do których dostęp posiadał Użytkownik.

    7. W sytuacji, gdy nieobecność Użytkownika w pracy trwa dłużej niż 30 dni, bezpośredni przełożony zobowiązany jest do poinformowania o tym fakcie właściwego administratora systemu informatycznego celem zablokowania dostępu (czasowa blokada uprawnień).

    8. Właściwy administrator systemu teleinformatycznego dokonuje blokady uprawnień do wszystkich systemów, do których posiada dostęp dany Użytkownik.

    9. Procedura odblokowania uprawnień następuje w analogiczny sposób, jak blokowania uprawnień (bezpośredni przełożony Użytkownika informuje właściwego administratora systemu teleinformatycznego o powrocie Użytkownika do pracy celem odblokowania kont w systemach).

    10. Dział Kadr odpowiada za prowadzenie Ewidencji osób upoważnionych. Wyznaczona przez Kierownika Kadr osoba odnotowuje fakt nadania upoważnień w ewidencji osób upoważnionych.

    11. Ewidencja osób upoważnionych przechowywana jest w Dziale Kadr.

 

  1. Zasady Retencji Danych

    1. Wymaga się zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum.

    2. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, Spółka ustala termin lub kryteria ustalenia terminów ich przechowywania, po czym dane powinny zostać usunięte lub zanonimizowane.

    3. Terminy przechowywania danych są ustalane przez Zarząd.

    4. Bez względu na powyższe każdy pracownik/współpracownik zobowiązany jest do okresowego przeglądu danych osobowych, na których pracuje pod kątem ich przydatności dla działalności biznesowej Spółki. Oznacza to w szczególności przegląd: skrzynek pocztowych, folderów typu „Pobrane”, „Usunięte”, plików zapisywanych w innych miejscach na dysku (lokalnym lub sieciowym), posiadanych kopii lub oryginałów dokumentów, korespondencji, wydruków, roboczych notatek, etc.

    5. W przypadku zidentyfikowania niepotrzebnych plików/dokumentów/wiadomości – powinny one zostać trwale usunięte przez pracownika/współpracownika.

    6. Wszędzie, gdzie mowa o formularzach, czy dokumentacji podlegającej przechowaniu, należy przez to rozumieć także elektroniczne formy (skany zapisane na dyskach, e-maile, wpisy w systemie informatycznym).

 

  1. Zasady ochrony danych osobowych w relacjach z dostawcami

    1. Przed podjęciem współpracy należy uzgodnić z dostawcą i udokumentować wymagania bezpieczeństwa danych osobowych celem zmniejszenia ryzyka związanego z dostępem dostawcy do danych Spółki.

    2. Przedmiotem regulacji powinny być zarówno aspekty proceduralne jak i konkretne wymogi techniczne jakie musi spełniać dostawca.

    3. Pracownik odpowiedzialny bezpośrednio za współpracę z dostawcą przy współpracy ze swoim bezpośrednim przełożonym ma obowiązek regularnie monitorować, przeglądać i audytować dostarczanie usług zewnętrznych.

    4. Przed rozpoczęciem współpracy z dostawcą, który ma w skutek zawarcia umowy uzyskać statut podmiotu przetwarzającego, czyli uzyskać dostęp do danych osobowych, których administratorem jest Spółka lub przetwarzanych przez Spółkę jako procesor, konieczne jest udokumentowanie, że taki podmiot zapewni wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

    5. Do sprawdzenia, czy dostawca usługi przygotowany jest do świadczenia usługi pod kątem RODO zobowiązany jest każdy pracownik lub współpracownik Spółki, angażujący danego dostawcę.

    6. Ostateczny wybór dostawcy jest zawsze w gestii biznesowej Spółki.

    7. Formalnym potwierdzeniem spełnienia wymogów, o których mowa powyżej jest potwierdzenie przez dostawcę, że spełnia minimalne wymogi dotyczące środków technicznych wskazanych wskazane w art. 32 RODO.

    8. Spółka przed zawarciem umowy powierzenia, przesyła do dostawcy arkusz weryfikacyjny pod kątem zgodności dostawcy z przepisami o ochronie danych osobowych. Arkusz stanowi Załącznik nr 2 do niniejszej Polityki.

    9. Przetwarzanie danych przez dostawcę może odbywać się wyłącznie na podstawie umowy, w której określone zostaną kwestie wskazane w art. 28 RODO.

 

  1. Audyt

    1. PODO powinna być poddawana regularnym audytom. co najmniej raz do roku

    2. Do przeprowadzania audytu upoważnieni są, każdy we właściwym zakresie:

    • osoby zatrudnione na stanowisku audytora wewnętrznego;

    • podmioty zewnętrzne za zgodą Zarządu Spółki.

    1. Przeprowadzenie audytu wymaga sporządzenia jego planu, w którym określa się m.in. cel, kryteria, zakres podmiotowy i przedmiotowy.

    2. Wyniki audytu przedstawia się kierownikowi działu objętego czynnościami audytowymi oraz Zarządowi Spółki.

 

  1. Rejestr czynności przetwarzania i kategorii czynności przetwarzania.

    1. Rejestr Czynności Przetwarzania (RCP) prowadzi i aktualizuje osoba upoważniona przy wsparciu Zarządu Spółki.

    2. RCP prowadzony jest na dedykowanym w tym celu formularzu w formie pisemnej oraz w formie elektronicznej.

    3. Rejestr Czynności Przetwarzania musi zawierać wszystkie elementy wskazane w art. 30 ust. 1 RODO

    4. W przypadku planowania utworzenia nowego procesu / nowej czynności przetwarzania – osoba odpowiedzialna za organizację nowego procesu zobowiązana jest do uprzedniego poinformowania o tym procesie Zarząd Spółki celem uwzględnienia nowej czynności przetwarzania w RCP.

    5. W przypadku, gdy w stosunku do dotychczasowych procesów / czynności przetwarzania zachodzą zmiany powodujące obowiązek aktualizacji RCP – osoba odpowiedzialna za proces zobowiązana jest do osoby upoważnionej do prowadzenia RCP.

    6. Prowadzenie Rejestru Kategorii Czynności Przetwarzania (RKCP) spoczywa na Spółce w przypadku występowania w roli Procesora, tj. gdy przetwarza dane osobowe osób fizycznych w imieniu i na rzecz innego administratora tych danych.

    7. RKCP prowadzony jest na dedykowanym w tym celu formularzu w formie pisemnej oraz w formie elektronicznej.

    8. RKCP musi zawierać wszystkie elementy wskazane w art. 30 ust. 2 RODO.

 

  1. Zasady projektowania nowych procesów

    1. Wymaga się, aby każdy właściciel projektowanego procesu, zanim dojdzie do jego wdrożenia i przed pozyskiwaniem danych osobowych, dokonał uprzedniej osobami odpowiedzialnymi za wsparcia prawne Spółki.

    2. Podjęcie decyzji o wdrożeniu projektowanego procesu jest zawsze w gestii biznesowej Spółki.

    3. Wdrożenie niniejszej Procedury skutkuje tym, że podjęcie takiej decyzji powinno być dokonane w oparciu o uprzednio:

    • przeprowadzoną analizę procesu pod kątem ochrony danych osobowych

    • sformułowane wnioski wynikające z ww. analizy;

    • opinię przedstawioną przez osoby wspierające Spółkę w zakresie prawnym.

 

  1. Procedura zgłaszania naruszeń ochrony danych osobowych:

        • naruszenie ochrony danych osobowych - naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych,

 

  • incydentzdarzenie lub wypadek stanowiący potencjalne naruszenie ochrony danych osobowych.

  • naruszenie dotyczące poufności danych – naruszenie, w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego ujawnienia lub nieuprawnionego dostępu do danych osobowych,

  • naruszenie dotyczące integralności danych – naruszenie, w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego zmodyfikowania danych osobowych,

  • naruszenie dotyczące dostępności danych – naruszenie, w rezultacie którego dochodzi do przypadkowego lub nieuprawnionego zniszczenia danych osobowych.

W zależności od okoliczności – naruszenie może dotyczyć jednocześnie poufności, integralności i dostępności danych, a także dowolnego połączenia dwóch spośród tych trzech kategorii naruszeń.

    1. Przyczyny naruszenia ochrony danych osobowych dzielimy na:

  • wewnętrzne działania niezamierzone np. przypadkowy błąd ludzki,

  • wewnętrzne działania zamierzone np. umyślne ujawnienie danych osobowych przez pracownika,

  • zewnętrzne działania niezamierzone np. powódź, w efekcie której nastąpiła utrata danych zapisanych na serwerach,

  • zewnętrzne działania zamierzone np. atak hakerski wymierzony w Spółkę, której efektem była kradzież danych osobowych klientów.

    1. Każdy pracownik posiadający informacje o ataku, zdarzeniu lub innym naruszeniu albo uzasadnione podejrzenie wystąpienia ataku, zdarzenia lub naruszenia bezpieczeństwa danych osobowych, obowiązany jest bezzwłocznie poinformować o danym fakcie Zarząd.

    2. Zarząd po otrzymaniu zawiadomienia, o którym mowa w pkt 1, powinien niezwłocznie:

  • przeprowadzić postępowanie wyjaśniające w celu ustalenia okoliczności naruszenia bezpieczeństwa danych osobowych

  • podjąć działania chroniące system przed ponownym naruszeniem,

  • poinformować osoby wspierające Spółkę w zakresie prawnym.

    1. Osoba wspierająca Spółkę pod względem prawnym na podstawie materiałów dowodowych i protokołu oraz po ewentualnym przeprowadzeniu dodatkowych czynności wyjaśniających np. przesłaniu pytań uzupełniających / doprecyzowujących naturę incydentu dokonuje jego oceny pod kątem stanowienia naruszenia, jego poziomu ryzyka oraz wpływu na prawa i wolności osoby (osób), której dane dotyczą.

    2. Wszelkie działania związane z postępowaniem opisanym powyżej nie mogą naruszyć materiału dowodowego.

    3. Zarząd Spółki, po zapoznaniu się z opisem zdarzenia, podejmuje decyzję o dalszym trybie postępowania, powiadomieniu właściwych organów oraz podjęciu innych szczególnych czynności zapewniających bezpieczeństwo systemu informatycznego bądź zastosowaniu środków ochrony fizycznej.

    4. Jeśli naruszenie może skutkować średnim bądź wysokim ryzykiem naruszenia praw i wolności osoby, której dane dotyczą, IOD, za pośrednictwem Działu Prawnego przesyła stosowną informację do Zarządu Spółki wraz z drukiem zgłoszenia naruszenia ochrony danych osobowych do UODO (aktualne druki znajdują się na stronie https://uodo.gov.pl/pl/134/233) oraz informacją do kiedy należy dokonać zgłoszenia (co do zasady nie później niż w terminie 72 godzin od momentu stwierdzenia, że incydent stanowi naruszenie - zgłoszenie po tym terminie wymaga podania uzasadnienia zwłoki).

    5. W przypadku wysokiego ryzyka naruszenia praw i wolności o naruszeniu należy również zawiadomić osobę, której dane dotyczą (która została dotknięta skutkami naruszenia). W celu dopełnienia tego wymogu, IOD przesyła propozycję treści takiego komunikatu osób odpowiedzialnych za wsparcie prawne Spółki.

    6. Spółka na bieżąco prowadzi Rejestr Naruszeń notyfikując każdy przypadek incydentu lub naruszenia ochrony danych osobowych.

 

  1. Uwagi końcowe

    1. W przypadku wystąpienia znaczących zmian powinien być przeprowadzany przegląd doraźny, którego celem będzie weryfikacja zasad i ewentualne dostosowanie PODO do zmian środowiska organizacyjnego, warunków biznesowych, środowiska technicznego, a także w zakresie zachowania zgodności z przepisami powszechnie obowiązującego prawa.

 

Załącznik nr 1

 

UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH

Upoważniony:  

Małgorzata Górska

W związku z faktem, iż z zakresu zadań zleconych lub obowiązków służbowych Upoważnionego, dotyczących umowy o pracę (dalej „Umowa”) zawartej ze Spółką Madmind Studio S.A. z siedzibą w Bydgoszczy zwaną dalej „Administrator Danych” lub „Spółka”), wynika konieczność dostępu do strefy przetwarzania danych osobowych i przebywania
w niej samodzielnie oraz wykonywanie osobiście, za pomocą systemów informatycznych lub w formie papierowej, operacji na danych osobowych gromadzonych w zbiorach danych administrowanych przez Spółkę, Administratora Danych na podstawie art. 29 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 roku (2016/679) (RODO):

 

  • upoważnia Pana/Panią do przetwarzania danych osobowych w zakresie zadań wskazanych powyższą Umową.

W celu ochrony informacji, w tym danych osobowych, przed niepowołanym dostępem, nieuzasadnioną modyfikacją lub zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem, Upoważniony jest zobowiązany do przestrzegania RODO, innych przepisów dotyczących przetwarzania informacji,
jak również obowiązujących w Spółce Polityk i Procedur dotyczących ochrony informacji.

Zobowiązanie w szczególności dotyczy:

1) zachowania w tajemnicy danych osobowych oraz danych stanowiących tajemnicę przedsiębiorstwa, a w szczególności nieujawnionych do wiadomości publicznej: danych klientów i kontrahentów, ofert handlowych, warunków kontraktów i umów, danych finansowych, planów, do których Upoważniony ma lub będzie miał dostęp w związku z wykonywaniem zadań służbowych, obowiązków lub zadań zleconych;

3) nadzoru, w zakresie odpowiednim do obowiązków, nad przetwarzaniem w Spółce danych osobowych;

4) niewykorzystywania danych osobowych w celach pozasłużbowych bądź niezgodnych ze zleceniem;

5) nieujawniania osobom postronnym haseł oraz szczegółów dotyczących działania i zabezpieczeń systemów;

6) regularnych zmian haseł do kont i systemów związanych z przetwarzaniem danych osobowych;

7) korzystania ze sprzętu i infrastruktury informatycznej zgodnie z wewnętrznymi procedurami Spółki;

8) informowania Spółki o zauważonych nieprawidłowościach w przetwarzaniu informacji i danych osobowych.

Postępowanie sprzeczne z powyższymi zobowiązaniami może być uznane przez Spółkę za ciężkie naruszenie Umowy - w tym odpowiednio: za naruszenie obowiązków pracowniczych w rozumieniu
art. 52 § 1 pkt 1 Kodeksu pracy lub za naruszenie warunków umownych/kontraktowych oraz
za naruszenie tajemnicy przedsiębiorstwa w rozumieniu art. 11 ust. 4 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji, co może skutkować karą porządkową lub pieniężną, rozwiązaniem Umowy, a także odpowiedzialnością karną przewidzianą w Ustawie lub innych, właściwych przepisach prawa.

Upoważnienie udzielone jest na czas obowiązywania Umowy lub do jego odwołania.

 

W imieniu Administratora Danych:  

 

 

 

 

Upoważniony:

Oświadczam, że zostałem poinformowany o zasadach ochrony informacji, w tym danych osobowych i tajemnicy przedsiębiorstwa obowiązujących w Spółce, otrzymałem niniejsze upoważnienie, zrozumiałem jego treść i w pełni akceptuję zakres oraz zobowiązuję się do przestrzegania moich obowiązków służbowych dotyczących przetwarzania danych osobowych, a wynikających z zawartej Umowy i niniejszego upoważnienia.

  ………………………………………..

(data i podpis)

 

 

 

Załącznik nr 2

 

Kwestionariusz weryfikacyjny

 

Celem niniejszego kwestionariusza jest dokonanie weryfikacji potencjalnego kontrahenta, któremu Spółka zamierza powierzyć przetwarzanie danych osobowych pod kątem tego, czy zapewnia on wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO) i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO).

 

Ogólna charakterystyka

 

Data

 

Pełna nazwa organizacji, adres siedziby (zgodnie z CEIDG/KRS)

 

Faktyczne miejsce wykonywania działalności gospodarczej (jeśli inne niż adres siedziby)

 

Krótka charakterystyka branży w jakiej działa organizacja:

 

Oddziały:

 

Adres strony www:

 

Ilość zatrudnianych pracowników:

 

Osoba wypełniająca kwestionariusz

(imię, nazwisko, mail, nr telefon):

 

 

Środki organizacyjne

 

Czy organizacja powołała inspektora ochrony danych (IOD)?

 

W przypadku powołania IOD, prosimy wskazać dane kontaktowe do tej osoby

 

Czy pracownicy/współpracownicy zostali przeszkoleni w zakresie ochrony danych osobowych? Jeśli tak, to prosimy wskazać datę ostatniego szkolenia.

 

Czy pracownicy/współpracownicy zostali upoważnieni do przetwarzania danych osobowych?

 

W jaki sposób pracownicy/współpracownicy zostali zobowiązani do zachowania w poufności danych osobowych oraz informacji o środkach organizacyjnych i technicznych, które służą ich ochronie?

 

Prosimy o wymienienie z nazwy 3 – 4 procedur stworzonych z myślą o zapewnieniu ochrony danych osobowych w organizacji oraz wskazanie w ogólnym zarysie ich zakresu przedmiotowego.

 

Czy organizacja dokonała oceny ryzyka wiążącego się z przetwarzaniem danych osobowych? Prosimy o wskazanie daty przeprowadzenia ww. działań.

 

Czy organizacja regularnie dokonuje przeglądu stosowanych środków organizacyjnych i technicznych? Jeśli tak to kiedy ostatnio był dokonany taki przegląd.

 

Czy w organizacji opracowano i wdrożono procedury zgłaszania naruszeń ochrony danych osobowych?

 

 

Środki techniczne

 

Prosimy o wymienienie 3 – 4 zastosowanych środków technicznych (w ogólnym zarysie) oraz wskazanie na podstawie jakich kryteriów zdecydowano o zastosowaniu właśnie tych środków.

 

Czy w organizacji zidentyfikowano systemy informatyczne służące do przetwarzania danych osobowych?

 

Czy w organizacji uregulowano dostęp do systemów informatycznych oraz uregulowano sposób realizacji i nadawania uprawnień do pracy z systemem informatycznym?

 

 

Podwykonawcy/państwa trzecie

 

Czy organizacja korzysta z pomocy firm zewnętrznych? Jeśli tak to prosimy o wskazanie obszarów takiej współpracy np. zewnętrzne archiwum w którym przechowywana jest archiwalna dokumentacja papierowa

 

Czy w przypadku nawiązania współpracy z naszą firmą organizacja korzystałaby z podwykonawców, którzy będą mieli dostęp do powierzonych danych? Jeśli tak to prośba o wskazanie obszarów, które byłyby outsourcowane.

 

Czy organizacja transferuje dane osobowe poza Europejski Obszar Gospodarczy (EOG)? Jeśli tak to do jakich państw?