KIELER-MIŁOŃ Logo

adw. Angelika Kieler-Miłoń – Polityka ochrony danych

POLITYKA OCHRONY DANYCH OSOBOWYCH

stosowana przez Angelikę Kieler-Miłoń  prowadzącego jednoosobową działalność gospodarczą pod firmą: Kancelaria Adwokacka Angelika Kieler-Miłoń, ul. Piotrkowska 257A lok. U1, 90-456 Łódź, NIP 7282491721, REGON 101683736, tel. kom. +48 609 737 829, e-mail: angelika@kieler-milon.pl, zwanego dalej ADO (Administratorem danych osobowych)

PREAMBUŁA

Na podstawie art. 24 Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z Przetwarzaniem Danych osobowych i w sprawie swobodnego przepływu takich Danych oraz uchylenia dyrektywy 95/46/WE (ogólne Rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1), uznając, że jest to proporcjonalne w stosunku do czynności przetwarzania, wdraża się poniższą Politykę Ochrony Danych Osobowych (dalej Polityka).

§1. DZIAŁANIA ADO W ZWIĄZKU Z PRZETWARZANIEM DANYCH OSOBOWYCH

  1. ADO podejmuje wszelkie działania, celem zapewnienia przetwarzania danych osobowych w sposób zgodny z prawem oraz wszelkie proporcjonalne do zakresu przetwarzania danych środki techniczne i organizacyjne celem zapewnienia bezpieczeństwa przetwarzania danych osobowych.
  2. W ramach realizacji działań opisanych w ust. 1. ADO uwzględniając ryzyko możliwości wystąpienia zdarzeń dot. ochrony danych osobowych podejmuje następujące środki celem zapobieżenia takim zagrożeniom, jak:
    1. wpadki losowe (pożary, zalania pomieszczeń, katastrofy budowlanej), poprzez dokonywanie przetwarzania danych w budynkach o prawidłowym stanie technicznym,
    2. działania osób trzecich niezgodne z prawem takie jak włamania i kradzieże, poprzez należyte zabezpieczenie pomieszczeń i organizację dostępu do urządzeń, na których przetwarzane są dane osobowe,
    3. awarie sprzętu lub nieprawidłowe działania oprogramowania poprzez zapewnienie aktualizacji oprogramowania oraz regularne sprawdzanie stanu oprogramowania i urządzeń, a także regularne tworzenie kopii zapasowych danych przetwarzanych w formie elektronicznej oraz posiadania elektronicznych kopii danych przetwarzanych w formie papierowej,
    4. ujawnienie danych przez osoby nieuprawnione do przetwarzania danych poprzez:
      • zapewnienie przetwarzania danych przez osoby upoważnione, upoważnianie do dostępu do danych w zakresie nie szerszym niż potrzebnym do realizacji zadań osoby upoważnianej, aktualizację upoważnień w przypadku zmiany zakresu czynności oraz prowadzenie ewidencji udzielonych upoważnień w postaci papierowego zbioru upoważnień,
      • zawieranie umów o przetwarzanie danych z podmiotami, z usług których korzysta ADO przy przetwarzaniu danych, po uprzednim sprawdzeniu, czy podmioty te zapewniają należytą ochronę danych osobowych,
      • prawidłową organizację stanowisk komputerowych, na których dochodzi do przetwarzania danych,
      • wprowadzenie zasad korzystania z komputerów oraz telefonów, na których przetwarzane są dane osobowe,
      • przechowywanie dokumentów papierowych zawierających dane osobowe w sposób ograniczający dostęp osób postronnych do dokumentów,
      • zabezpieczanie hasłem plików zawierających dane osobowe w czasie przenoszenia ich na nośnikach danych, które narażone są na zgubienie.
    5. ataki z Internetu poprzez korzystanie z programów antywirusowych oraz wdrożenie zasad korzystania Internetu na urządzeniach, na których przetwarzane są dane osobowe,
    6. naruszenie zasad ochrony przez osoby upoważnione poprzez udzielenie osobom upoważnionym wyraźnych instrukcji dot. zasad przetwarzania, zobowiązania do przestrzegania zasad przetwarzania danych i poinformowania o konsekwencjach prawnych nieprzestrzegania zasad.
  3. ADO dokonuje przetwarzania danych w zbiorach papierowych oraz za pomocą systemów informatycznych.
  4. ADO dokonuje przetwarzania danych osobowych rozproszonych oraz w zbiorach uporządkowanych.
  5. ADO przy wdrażaniu nowych czynności przetwarzania danych dokonuje analizy ryzyk związanych z przetwarzaniem oraz zapewnia środki techniczne i organizacyjne umożliwiające prawidłowe wykonywania wynikających z RODO obowiązków, w szczególności prawidłową ochronę danych osobowych, ich retencję oraz możliwość przeszukiwania celem wykonania praw osoby, której dane są przetwarzane.
  6. ADO zapewnia procedury przetwarzania danych osobowych, które w sposób domyślny zapewniają przetwarzanie danych zgodne z zasadami opisanymi w § 2. Polityki.
  7. ADO przekazuje dane do państw trzecich wyłącznie w przypadkach dozwolonych przez RODO – przekazanie danych następuję wyłącznie w formie cyfrowej w zakresie korzystania przez ADO z narzędzi informatycznych.

 

§2. ZASADY OCHRONY DANYCH WPROWADZONE PRZEZ ADO

  1. Przetwarzanie przez ADO danych osobowych odbywa się według następujących zasad:
    1. zgodność z prawem – przetwarzanie w oparciu o zdefiniowane podstawy prawne, zgodne z celem zebrania danych osobowych,
    2. rzetelność i prawidłowość – podejmowanie adekwatnych środków celem przetwarzania danych poprawnych i aktualnych,
    3. przejrzystość – przetwarzanie wedle ustalonych procedur zrozumiałych dla osób, których dane dotyczą,
    4. minimalizacji danych – przetwarzanie jedynie danych niezbędnych do realizacji określonego celu,
    5. retencji danych – usuwania danych osobowych, których przetwarzanie nie jest już uzasadnione,
    6. poufności – informacja o przetwarzaniu danych konkretnej osoby nie jest udostępniana podmiotom trzecim, a osoby dopuszczone do przetwarzania zobowiązane są do zachowania danych w poufności.

 

§3. REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH

  1. ADO prowadzi rejestr czynności przetwarzania danych osobowych zgodny z wymaganiami RODO, stanowiący inwentaryzacje procesów przetwarzania danych, sposobu ich przetwarzania oraz udostępniania.
  2. Rejestr czynności przetwarzania jest aktualizowany regularnie, nie rzadziej niż co 6 miesięcy.
  3. Na żądanie organu nadzorczego ADO udostępnia rejestr czynności przetwarzania na żądanie organu nadzorczego.

§4. ANALIZA RYZYKA PRZETWARZANIA DANYCH

  1. Po przeprowadzeniu analizy zakresu przetwarzania danych osobowych, kategorii przetwarzanych danych, ilości osób, których dane są przetwarzane, sposobów przetwarzania danych, ewentualnego działania przez ADO również jako podmiot przetwarzający dane w imieniu innych administratorów danych i ryzyka mogących wystąpić przy przetwarzaniu danych, oceniając proporcjonalność działań:
    1. ADO nie powołał Inspektora Ochrony Danych Osobowych ze względu na bardzo niewielki zakres przetwarzania danych osobowych,
    2. ADO ustalił, iż nie zachodzą ryzyka, o których mowa w art. 35 RODO.

 

§5. POWIERZENIE PRZETWARZANIA DANYCH

  1. ADO w czynnościach przetwarzania danych osobowych korzysta z usług podmiotów trzecich, w szczególności w zakresie usług księgowych, prawnych, kurierskich i pocztowych, obsługi IT oraz narzędzi informatycznych do przetwarzania danych osobowych.
  2. ADO powierza przetwarzanie danych osobowych na podstawie umowy zawartej z Przetwarzającym lub poprzez akceptację warunków świadczenia usług przez Przetwarzających.
  3. Zawarcie umowy następuje w formie pisemnej lub dokumentowej, o której mowa w art. 772 Kodeksu cywilnego – poprzez utrwalenie postanowień umowy lub regulaminu na trwałym nośniku danych, w szczególności na serwerach Przetwarzającego lub ADO.
  4. Przed zawarciem umowy ADO dokonuje weryfikacji zasad ochrony przez Przetwarzającego danych osobowych i zawiera umowy wyłącznie z Przetwarzającymi, którzy spełniają te zasady.

 

§6. DZIAŁANIE PRZEZ ADO W CHARAKTERZE PRZETWARZAJĄCEGO

  1. W zakresie w jakim ADO przetwarza dane udostępnione mu przez innego administratora danych osobowych, ADO działa jako podmiot przetwarzający.
  2. Działając jako podmiot przetwarzający ADO dokonuje przetwarzania danych wyłącznie w celu i zakresie wynikający z umowy powierzenia przetwarzania danych, zgodnie z wymogami zawartej umowy o powierzenie przetwarzania i wymogami art. 28 RODO, chyba że ADO uprawniony jest do przetwarzania danych na innej podstawie prawnej niż udostępnienie przez powierzającego.
  3. Wykonując przetwarzanie danych jako podmiot przetwarzający ADO kieruje się instrukcjami podmiotu powierzającego oraz zasadami ochrony danych osobowych jakie stosuje w zakresie własnego przetwarzania danych.
  4. ADO niezwłocznie informuje podmiot powierzający przetwarzanie, jeśli instrukcje wydane przez podmiot mogą doprowadzić do naruszenia zasad ochrony i prawidłowego przetwarzania danych.

 

§7. USUWANIE DANYCH OSOBOWYCH

  1. ADO przetwarza dane osobowe w okresie realizacji celów przetwarzania oraz w okresie przedawnienie roszczeń, które mogą wynikać z przetwarzania danych oraz świadczenia usług przez ADO.
  2. Po okresie przetwarzania przez ADO danych w ramach realizacji celu przetwarzania, po zgłoszeniu przez osobę sprzeciwu, co do dalszego przetwarzania danych lub prawa żądania do bycia zapomnianym ADO wyodrębnia dane i przenosi do zbioru danych przechowywanych wyłącznie na potrzeby obsługi roszczeń prawnych – dane we wskazanym zbiorze przetwarzane są wyłącznie w zakresie zachowania ich przez okres przedawnienia roszczeń i użycia w razie skierowania przez ADO lub do ADO roszczenia.
  3. Po zakończeniu przetwarzania danych osobowych ADO niezwłocznie usuwa dane osobowe z wszelkich nośników zarówno elektronicznych, jak i papierowych.
  4. ADO sporządza protokół z usunięcia danych osobowych i ich kopii.

 

§8. KONTROLA I AKTUALIZACJA ŚRODKÓW OCHRONY

  1. ADO dokonuje regularnego przeglądu procedur ochrony danych osobowych, aktualności sposobów zabezpieczenia danych osobowych oraz wytycznych organów zajmujących się ochroną danych osobowych i dostosowuje swoje działania do bieżących wymagań.
  2. ADO dokonuje czynności kontrolnych nie rzadziej niż co 6 miesięcy.

 

§9. PROCEDURA REALIZACJI PRAWA OSOBY, KTÓREJ DANE SĄ PRZETWARZANE

  1. ADO realizuje prawa jednostki zgodnie z treścią RODO.
  2. W celu prawidłowego realizowania praw jednostki ADO wprowadza następującą procedurę działania:
  3. identyfikacja osoby, która zgłasza żądanie – przed zrealizowaniem prawa osoby, której dane podlegają przetwarzaniu ADO potwierdza tożsamość osoby, która podaje dane poprzez sprawdzenia danych z okazanym osobiście dokumentem tożsamości lub przeprowadzenie weryfikacji danej osoby polegającej na podaniu przez nią danych posiadanych przez ADO i sprawdzeniu ich zgodności; w przypadku braku możliwości weryfikacji tożsamości za pomocą środków komunikacji na odległość ADO odmawia realizacji żądania i wskazuje tryb weryfikacji tożsamości,
  4. identyfikacja żądania osoby – ustalenia jakiego działania osoba domaga się od ADO,
  5. weryfikacja możliwości wykonania żądania – weryfikacja czy treść żądania osoby zgłaszającej roszczenie, jego zasadność i środki techniczne umożliwiają realizacją roszczenia bezpośrednio po złożeniu żądania,
  6. natychmiastowa realizacja żądania – w przypadku żądania okazania danych przetwarzanych przez ADO lub aktualizacji danych przetwarzanych przez ADO, o ile to możliwe ADO wykonuje czynności zgodne z żądaniem osoby, które je zgłasza,
  7. udokumentowanie żądania i informacja o terminie odpowiedzi – w przypadku innych roszczeń oraz braku możliwości realizacji żądania w sposób natychmiastowy ADO utrwala zakres żądania, jego datę i dane kontaktowe o ile nie są już utrwalone oraz informuje o terminach odpowiedzi na zgłoszone żądanie i prawach osoby wysuwającej żądania,
  8. odpowiedź na żądanie – ADO po sprawdzeniu zasadności żądania osoby odpowiada na żądanie:
    • wykonując żądane czynności i informując o wykonaniu czynności zgodnych z żądaniem osoby, która je złożyła,
    • wzywając do uzupełniania danych lub sprecyzowania żądania potrzebnego do udzielenia odpowiedzi,
    • odmawiając realizacji żądania, wskazując jednocześnie na przyczyny odmowy.
  9. Osoby działające w imieniu ADO po otrzymaniu od osoby żądania dot. danych osobowych niezwłocznie, najpóźniej w ciągu 24 h przekazują ADO udokumentowane żądanie.
  10. ADO udziela odpowiedzi w terminie miesiąca od otrzymania żądania.
  11. Jeśli udzielenie odpowiedzi w terminie miesiąca nie jest możliwe ADO przedłuża termin udzielenia odpowiedzi o kolejna 2 miesiące informując o tym osobę, która złożyła żądanie i wskazując przyczyny przedłużenia terminu.
  12. W przypadku braku podjęcia przez ADO działań w odpowiedzi na zgłoszone żądania ADO niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.
  13. O zmianie przetwarzanych danych ADO informuje wszystkie podmioty przetwarzające dane w jego imieniu, jeśli jest to konieczne do prawidłowego wykonywania czynności przez te pomioty, chyba że zmiana jest dla tych podmiotów automatycznie widoczna.
  14. W przypadku realizacji żądania usunięcia danych osobowych ADO usuwa dane ze wszystkich rodzajów zbiorów, w tym z kopii zapasowej danych.
  15. Komunikacja w sprawie danych osobowych, przeszukiwanie zbiorów oraz wydanie jednej kopii danych są wolne od opłat.
  16. ADO za drugą i kolejne kopie danych osobowych pobiera opłatę pokrywającą koszty przygotowania, sporządzenia i przekazania kopii danych.
  17. ADO udostępnia kopię danych w formie papierowej lub elektronicznie w formacie pliku, który jest powszechnie używany (np. pdf.,xml, doc.)
  18. ADO pobiera opłatę za odpowiedź na żądania osoby, które są ewidentnie nieuzasadnione oraz nadmierne.
  19. ADO udziela osobom, od których zbiera dane osobowe w imieniu własnym oraz jako podmiot przetwarzający oraz osobom, których dane pozyskuje z innych źródeł informacji określonych w art. 13 i 14 RODO, chyba że w konkretnych okolicznościach udzielanie informacji jest wyłączone przepisami prawa.

 

§10. PROCEDURA DZIAŁANIA W PRZYPADKU STWIERDZENIA NARUSZEŃ

  1. ADO, osoby działające z upoważnienia ADO oraz podmioty, którym ADO powierzył przetwarzanie danych zachowują należytą staranność w celu wykrycia ewentualnych naruszeń ochrony danych osobowych tj. naruszeń zasad bezpieczeństwa prowadzących do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez ADO.
  2. ADO udziela każdej osobie, której powierza przetwarzanie danych osobowych instrukcji dot. postępowania na wypadek wykrycia naruszenia i zobowiązuje ją do stosowania procedury.
  3. Każda osoba, której ADO powierza przetwarzanie danych zobowiązana jest stosować się do instrukcji ADO, który decyduje o środkach i sposobach dokumentowania oraz przeciwdziałania stwierdzonym naruszeniom.
  4. Każda osoba, której ADO powierza przetwarzanie danych zobowiązana jest niezwłocznie, nie później niż w ciągu 24 h godzin poinformować ADO o stwierdzonym naruszeniu, a w miarę możliwości udokumentować naruszenie i przeciwdziałać jego skutkom.
  5. Informacja o stwierdzeniu naruszenia zasad ochrony danych osobowych powinna obejmować:
    1. opis naruszenia zasad ochrony danych osobowych (sposób naruszenia – opis czynności prowadzącej do naruszenia; skutek naruszenia dla danych osobowych – utrata, nieuprawnione udostępnienie, modyfikacja; rodzaj i ilość danych), miejsce i czas stwierdzenia naruszenia,
    2. opis środków już podjętych przez osobę, która stwierdziła naruszenie,
    3. wszelkie inne okoliczności istotne dla zdarzenia.
  6. ADO podejmuje wszelkie działania mające na celu minimalizację negatywnych skutków zdarzenia i umożliwiające ich jak najszybsze zupełne usunięcie naruszenia, wyjaśnienie okoliczności naruszenia, udokumentowanie zdarzenia i powrót do przetwarzania danych zgodnie z wymogami prawa oraz przyjętymi procedurami.
  7. ADO niezwłocznie po ustaleniu okoliczności naruszenia, jego udokumentowaniu i o ile to możliwe usunięciu jego skutków, jednak nie później niż w ciągu 72h od stwierdzenia naruszenia informuje o naruszeniu organ nadzorczy, chyba że zachodzą przypadki wyłączenia obowiązku informowania organu nadzorczego.
  8. Zgłoszenie do organu nadzorczego zawiera:
    1. opis charakteru naruszenia, w tym w miarę możliwości powinien wskazywać kategorię i przybliżoną liczbę osób, których dane dotyczą,
    2. imię i nazwisko oraz dane kontaktowe ADO,
    3. opis możliwych konsekwencji naruszenia,
    4. opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych oraz minimalizowaniu negatywnych skutków naruszenia.
  9. W przypadku dokonania zgłoszenia po upływie 72h ADO wskazuje przyczyny opóźnienia w zgłoszeniu.
  10. Zgłoszenie naruszenia nie dokonuje się, jeśli wedle oceny ryzyka przeprowadzonej przez ADO jest mało prawdopodobne, aby naruszenie skutkowało naruszeniem praw lub wolności osób, których dane osobowe są przetwarzane.
  11. Jeśli naruszenie doprowadziło lub istnieje wysokie ryzyko, że mogło doprowadzić do naruszenia praw lub wolności osób, których dane osobowe są przetwarzane ADO zawiadamia o wystąpieniu naruszenia osoby, których naruszenie dotyczyło.
  12. Zawiadomienie osób, których naruszenia danych mogło dotyczyć nie dokonuje się, gdy:
    1. mimo naruszenia zasad ochrony danych osobowych inne podjęte środki powinny ochronić dane osobowe przed przetwarzaniem niezgodnym z prawe, w szczególności, gdy naruszenie dot. danych zaszyfrowanych,
    2. podjęte przez ADO środki w sposób wysoce prawdopodobny eliminują wysokie ryzyko naruszenia praw lub wolności osoby, której dane osobowe dotyczą,
    3. przekazanie informacji pojedynczym osobom wymagałoby niewspółmiernego wysiłku organizacyjnego i nakładów – wówczas o naruszeniu zasad ochrony danych osobowych informuje się osoby, których naruszenie dotyczyło lub mogło dotyczyć poprzez publiczny komunikat.

 

§11. POSTANOWIENIA KOŃCOWE

  1. Polityka jest dokumentem wewnętrznym, który udostępniany jest osobom upoważnionym do przetwarzania danych osobowych w imieniu ADO.
  2. Treść Polityki i zawarte w niej procedur stanowi tajemnicę przedsiębiorstwa ADO, a każda osoba, która zapozna się z treścią Polityki zobowiązana jest zachować wynikające z niej informacje w poufności, chyba że zobowiązana jest ujawnić informacje na podstawie przepisów obowiązującego prawa.

 

data wprowadzenia Polityki w życie: 24 maja 2018 r.

_____________________________

podpis ADO