adw. Angelika Kieler-Miłoń – Polityka ochrony danych
POLITYKA OCHRONY DANYCH OSOBOWYCH
stosowana przez Angelikę Kieler-Miłoń prowadzącego jednoosobową działalność gospodarczą pod firmą: Kancelaria Adwokacka Angelika Kieler-Miłoń, ul. Piotrkowska 257A lok. U1, 90-456 Łódź, NIP 7282491721, REGON 101683736, tel. kom. +48 609 737 829, e-mail: angelika@kieler-milon.pl, zwanego dalej ADO (Administratorem danych osobowych)
PREAMBUŁA
Na podstawie art. 24 Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z Przetwarzaniem Danych osobowych i w sprawie swobodnego przepływu takich Danych oraz uchylenia dyrektywy 95/46/WE (ogólne Rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1), uznając, że jest to proporcjonalne w stosunku do czynności przetwarzania, wdraża się poniższą Politykę Ochrony Danych Osobowych (dalej Polityka).
§1. DZIAŁANIA ADO W ZWIĄZKU Z PRZETWARZANIEM DANYCH OSOBOWYCH
- ADO podejmuje wszelkie działania, celem zapewnienia przetwarzania danych osobowych w sposób zgodny z prawem oraz wszelkie proporcjonalne do zakresu przetwarzania danych środki techniczne i organizacyjne celem zapewnienia bezpieczeństwa przetwarzania danych osobowych.
- W ramach realizacji działań opisanych w ust. 1. ADO uwzględniając ryzyko możliwości wystąpienia zdarzeń dot. ochrony danych osobowych podejmuje następujące środki celem zapobieżenia takim zagrożeniom, jak:
- wpadki losowe (pożary, zalania pomieszczeń, katastrofy budowlanej), poprzez dokonywanie przetwarzania danych w budynkach o prawidłowym stanie technicznym,
- działania osób trzecich niezgodne z prawem takie jak włamania i kradzieże, poprzez należyte zabezpieczenie pomieszczeń i organizację dostępu do urządzeń, na których przetwarzane są dane osobowe,
- awarie sprzętu lub nieprawidłowe działania oprogramowania poprzez zapewnienie aktualizacji oprogramowania oraz regularne sprawdzanie stanu oprogramowania i urządzeń, a także regularne tworzenie kopii zapasowych danych przetwarzanych w formie elektronicznej oraz posiadania elektronicznych kopii danych przetwarzanych w formie papierowej,
- ujawnienie danych przez osoby nieuprawnione do przetwarzania danych poprzez:
- zapewnienie przetwarzania danych przez osoby upoważnione, upoważnianie do dostępu do danych w zakresie nie szerszym niż potrzebnym do realizacji zadań osoby upoważnianej, aktualizację upoważnień w przypadku zmiany zakresu czynności oraz prowadzenie ewidencji udzielonych upoważnień w postaci papierowego zbioru upoważnień,
- zawieranie umów o przetwarzanie danych z podmiotami, z usług których korzysta ADO przy przetwarzaniu danych, po uprzednim sprawdzeniu, czy podmioty te zapewniają należytą ochronę danych osobowych,
- prawidłową organizację stanowisk komputerowych, na których dochodzi do przetwarzania danych,
- wprowadzenie zasad korzystania z komputerów oraz telefonów, na których przetwarzane są dane osobowe,
- przechowywanie dokumentów papierowych zawierających dane osobowe w sposób ograniczający dostęp osób postronnych do dokumentów,
- zabezpieczanie hasłem plików zawierających dane osobowe w czasie przenoszenia ich na nośnikach danych, które narażone są na zgubienie.
- ataki z Internetu poprzez korzystanie z programów antywirusowych oraz wdrożenie zasad korzystania Internetu na urządzeniach, na których przetwarzane są dane osobowe,
- naruszenie zasad ochrony przez osoby upoważnione poprzez udzielenie osobom upoważnionym wyraźnych instrukcji dot. zasad przetwarzania, zobowiązania do przestrzegania zasad przetwarzania danych i poinformowania o konsekwencjach prawnych nieprzestrzegania zasad.
- ADO dokonuje przetwarzania danych w zbiorach papierowych oraz za pomocą systemów informatycznych.
- ADO dokonuje przetwarzania danych osobowych rozproszonych oraz w zbiorach uporządkowanych.
- ADO przy wdrażaniu nowych czynności przetwarzania danych dokonuje analizy ryzyk związanych z przetwarzaniem oraz zapewnia środki techniczne i organizacyjne umożliwiające prawidłowe wykonywania wynikających z RODO obowiązków, w szczególności prawidłową ochronę danych osobowych, ich retencję oraz możliwość przeszukiwania celem wykonania praw osoby, której dane są przetwarzane.
- ADO zapewnia procedury przetwarzania danych osobowych, które w sposób domyślny zapewniają przetwarzanie danych zgodne z zasadami opisanymi w § 2. Polityki.
- ADO przekazuje dane do państw trzecich wyłącznie w przypadkach dozwolonych przez RODO – przekazanie danych następuję wyłącznie w formie cyfrowej w zakresie korzystania przez ADO z narzędzi informatycznych.
§2. ZASADY OCHRONY DANYCH WPROWADZONE PRZEZ ADO
- Przetwarzanie przez ADO danych osobowych odbywa się według następujących zasad:
- zgodność z prawem – przetwarzanie w oparciu o zdefiniowane podstawy prawne, zgodne z celem zebrania danych osobowych,
- rzetelność i prawidłowość – podejmowanie adekwatnych środków celem przetwarzania danych poprawnych i aktualnych,
- przejrzystość – przetwarzanie wedle ustalonych procedur zrozumiałych dla osób, których dane dotyczą,
- minimalizacji danych – przetwarzanie jedynie danych niezbędnych do realizacji określonego celu,
- retencji danych – usuwania danych osobowych, których przetwarzanie nie jest już uzasadnione,
- poufności – informacja o przetwarzaniu danych konkretnej osoby nie jest udostępniana podmiotom trzecim, a osoby dopuszczone do przetwarzania zobowiązane są do zachowania danych w poufności.
§3. REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH
- ADO prowadzi rejestr czynności przetwarzania danych osobowych zgodny z wymaganiami RODO, stanowiący inwentaryzacje procesów przetwarzania danych, sposobu ich przetwarzania oraz udostępniania.
- Rejestr czynności przetwarzania jest aktualizowany regularnie, nie rzadziej niż co 6 miesięcy.
- Na żądanie organu nadzorczego ADO udostępnia rejestr czynności przetwarzania na żądanie organu nadzorczego.
§4. ANALIZA RYZYKA PRZETWARZANIA DANYCH
- Po przeprowadzeniu analizy zakresu przetwarzania danych osobowych, kategorii przetwarzanych danych, ilości osób, których dane są przetwarzane, sposobów przetwarzania danych, ewentualnego działania przez ADO również jako podmiot przetwarzający dane w imieniu innych administratorów danych i ryzyka mogących wystąpić przy przetwarzaniu danych, oceniając proporcjonalność działań:
- ADO nie powołał Inspektora Ochrony Danych Osobowych ze względu na bardzo niewielki zakres przetwarzania danych osobowych,
- ADO ustalił, iż nie zachodzą ryzyka, o których mowa w art. 35 RODO.
§5. POWIERZENIE PRZETWARZANIA DANYCH
- ADO w czynnościach przetwarzania danych osobowych korzysta z usług podmiotów trzecich, w szczególności w zakresie usług księgowych, prawnych, kurierskich i pocztowych, obsługi IT oraz narzędzi informatycznych do przetwarzania danych osobowych.
- ADO powierza przetwarzanie danych osobowych na podstawie umowy zawartej z Przetwarzającym lub poprzez akceptację warunków świadczenia usług przez Przetwarzających.
- Zawarcie umowy następuje w formie pisemnej lub dokumentowej, o której mowa w art. 772 Kodeksu cywilnego – poprzez utrwalenie postanowień umowy lub regulaminu na trwałym nośniku danych, w szczególności na serwerach Przetwarzającego lub ADO.
- Przed zawarciem umowy ADO dokonuje weryfikacji zasad ochrony przez Przetwarzającego danych osobowych i zawiera umowy wyłącznie z Przetwarzającymi, którzy spełniają te zasady.
§6. DZIAŁANIE PRZEZ ADO W CHARAKTERZE PRZETWARZAJĄCEGO
- W zakresie w jakim ADO przetwarza dane udostępnione mu przez innego administratora danych osobowych, ADO działa jako podmiot przetwarzający.
- Działając jako podmiot przetwarzający ADO dokonuje przetwarzania danych wyłącznie w celu i zakresie wynikający z umowy powierzenia przetwarzania danych, zgodnie z wymogami zawartej umowy o powierzenie przetwarzania i wymogami art. 28 RODO, chyba że ADO uprawniony jest do przetwarzania danych na innej podstawie prawnej niż udostępnienie przez powierzającego.
- Wykonując przetwarzanie danych jako podmiot przetwarzający ADO kieruje się instrukcjami podmiotu powierzającego oraz zasadami ochrony danych osobowych jakie stosuje w zakresie własnego przetwarzania danych.
- ADO niezwłocznie informuje podmiot powierzający przetwarzanie, jeśli instrukcje wydane przez podmiot mogą doprowadzić do naruszenia zasad ochrony i prawidłowego przetwarzania danych.
§7. USUWANIE DANYCH OSOBOWYCH
- ADO przetwarza dane osobowe w okresie realizacji celów przetwarzania oraz w okresie przedawnienie roszczeń, które mogą wynikać z przetwarzania danych oraz świadczenia usług przez ADO.
- Po okresie przetwarzania przez ADO danych w ramach realizacji celu przetwarzania, po zgłoszeniu przez osobę sprzeciwu, co do dalszego przetwarzania danych lub prawa żądania do bycia zapomnianym ADO wyodrębnia dane i przenosi do zbioru danych przechowywanych wyłącznie na potrzeby obsługi roszczeń prawnych – dane we wskazanym zbiorze przetwarzane są wyłącznie w zakresie zachowania ich przez okres przedawnienia roszczeń i użycia w razie skierowania przez ADO lub do ADO roszczenia.
- Po zakończeniu przetwarzania danych osobowych ADO niezwłocznie usuwa dane osobowe z wszelkich nośników zarówno elektronicznych, jak i papierowych.
- ADO sporządza protokół z usunięcia danych osobowych i ich kopii.
§8. KONTROLA I AKTUALIZACJA ŚRODKÓW OCHRONY
- ADO dokonuje regularnego przeglądu procedur ochrony danych osobowych, aktualności sposobów zabezpieczenia danych osobowych oraz wytycznych organów zajmujących się ochroną danych osobowych i dostosowuje swoje działania do bieżących wymagań.
- ADO dokonuje czynności kontrolnych nie rzadziej niż co 6 miesięcy.
§9. PROCEDURA REALIZACJI PRAWA OSOBY, KTÓREJ DANE SĄ PRZETWARZANE
- ADO realizuje prawa jednostki zgodnie z treścią RODO.
- W celu prawidłowego realizowania praw jednostki ADO wprowadza następującą procedurę działania:
- identyfikacja osoby, która zgłasza żądanie – przed zrealizowaniem prawa osoby, której dane podlegają przetwarzaniu ADO potwierdza tożsamość osoby, która podaje dane poprzez sprawdzenia danych z okazanym osobiście dokumentem tożsamości lub przeprowadzenie weryfikacji danej osoby polegającej na podaniu przez nią danych posiadanych przez ADO i sprawdzeniu ich zgodności; w przypadku braku możliwości weryfikacji tożsamości za pomocą środków komunikacji na odległość ADO odmawia realizacji żądania i wskazuje tryb weryfikacji tożsamości,
- identyfikacja żądania osoby – ustalenia jakiego działania osoba domaga się od ADO,
- weryfikacja możliwości wykonania żądania – weryfikacja czy treść żądania osoby zgłaszającej roszczenie, jego zasadność i środki techniczne umożliwiają realizacją roszczenia bezpośrednio po złożeniu żądania,
- natychmiastowa realizacja żądania – w przypadku żądania okazania danych przetwarzanych przez ADO lub aktualizacji danych przetwarzanych przez ADO, o ile to możliwe ADO wykonuje czynności zgodne z żądaniem osoby, które je zgłasza,
- udokumentowanie żądania i informacja o terminie odpowiedzi – w przypadku innych roszczeń oraz braku możliwości realizacji żądania w sposób natychmiastowy ADO utrwala zakres żądania, jego datę i dane kontaktowe o ile nie są już utrwalone oraz informuje o terminach odpowiedzi na zgłoszone żądanie i prawach osoby wysuwającej żądania,
- odpowiedź na żądanie – ADO po sprawdzeniu zasadności żądania osoby odpowiada na żądanie:
- wykonując żądane czynności i informując o wykonaniu czynności zgodnych z żądaniem osoby, która je złożyła,
- wzywając do uzupełniania danych lub sprecyzowania żądania potrzebnego do udzielenia odpowiedzi,
- odmawiając realizacji żądania, wskazując jednocześnie na przyczyny odmowy.
- Osoby działające w imieniu ADO po otrzymaniu od osoby żądania dot. danych osobowych niezwłocznie, najpóźniej w ciągu 24 h przekazują ADO udokumentowane żądanie.
- ADO udziela odpowiedzi w terminie miesiąca od otrzymania żądania.
- Jeśli udzielenie odpowiedzi w terminie miesiąca nie jest możliwe ADO przedłuża termin udzielenia odpowiedzi o kolejna 2 miesiące informując o tym osobę, która złożyła żądanie i wskazując przyczyny przedłużenia terminu.
- W przypadku braku podjęcia przez ADO działań w odpowiedzi na zgłoszone żądania ADO niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.
- O zmianie przetwarzanych danych ADO informuje wszystkie podmioty przetwarzające dane w jego imieniu, jeśli jest to konieczne do prawidłowego wykonywania czynności przez te pomioty, chyba że zmiana jest dla tych podmiotów automatycznie widoczna.
- W przypadku realizacji żądania usunięcia danych osobowych ADO usuwa dane ze wszystkich rodzajów zbiorów, w tym z kopii zapasowej danych.
- Komunikacja w sprawie danych osobowych, przeszukiwanie zbiorów oraz wydanie jednej kopii danych są wolne od opłat.
- ADO za drugą i kolejne kopie danych osobowych pobiera opłatę pokrywającą koszty przygotowania, sporządzenia i przekazania kopii danych.
- ADO udostępnia kopię danych w formie papierowej lub elektronicznie w formacie pliku, który jest powszechnie używany (np. pdf.,xml, doc.)
- ADO pobiera opłatę za odpowiedź na żądania osoby, które są ewidentnie nieuzasadnione oraz nadmierne.
- ADO udziela osobom, od których zbiera dane osobowe w imieniu własnym oraz jako podmiot przetwarzający oraz osobom, których dane pozyskuje z innych źródeł informacji określonych w art. 13 i 14 RODO, chyba że w konkretnych okolicznościach udzielanie informacji jest wyłączone przepisami prawa.
§10. PROCEDURA DZIAŁANIA W PRZYPADKU STWIERDZENIA NARUSZEŃ
- ADO, osoby działające z upoważnienia ADO oraz podmioty, którym ADO powierzył przetwarzanie danych zachowują należytą staranność w celu wykrycia ewentualnych naruszeń ochrony danych osobowych tj. naruszeń zasad bezpieczeństwa prowadzących do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez ADO.
- ADO udziela każdej osobie, której powierza przetwarzanie danych osobowych instrukcji dot. postępowania na wypadek wykrycia naruszenia i zobowiązuje ją do stosowania procedury.
- Każda osoba, której ADO powierza przetwarzanie danych zobowiązana jest stosować się do instrukcji ADO, który decyduje o środkach i sposobach dokumentowania oraz przeciwdziałania stwierdzonym naruszeniom.
- Każda osoba, której ADO powierza przetwarzanie danych zobowiązana jest niezwłocznie, nie później niż w ciągu 24 h godzin poinformować ADO o stwierdzonym naruszeniu, a w miarę możliwości udokumentować naruszenie i przeciwdziałać jego skutkom.
- Informacja o stwierdzeniu naruszenia zasad ochrony danych osobowych powinna obejmować:
- opis naruszenia zasad ochrony danych osobowych (sposób naruszenia – opis czynności prowadzącej do naruszenia; skutek naruszenia dla danych osobowych – utrata, nieuprawnione udostępnienie, modyfikacja; rodzaj i ilość danych), miejsce i czas stwierdzenia naruszenia,
- opis środków już podjętych przez osobę, która stwierdziła naruszenie,
- wszelkie inne okoliczności istotne dla zdarzenia.
- ADO podejmuje wszelkie działania mające na celu minimalizację negatywnych skutków zdarzenia i umożliwiające ich jak najszybsze zupełne usunięcie naruszenia, wyjaśnienie okoliczności naruszenia, udokumentowanie zdarzenia i powrót do przetwarzania danych zgodnie z wymogami prawa oraz przyjętymi procedurami.
- ADO niezwłocznie po ustaleniu okoliczności naruszenia, jego udokumentowaniu i o ile to możliwe usunięciu jego skutków, jednak nie później niż w ciągu 72h od stwierdzenia naruszenia informuje o naruszeniu organ nadzorczy, chyba że zachodzą przypadki wyłączenia obowiązku informowania organu nadzorczego.
- Zgłoszenie do organu nadzorczego zawiera:
- opis charakteru naruszenia, w tym w miarę możliwości powinien wskazywać kategorię i przybliżoną liczbę osób, których dane dotyczą,
- imię i nazwisko oraz dane kontaktowe ADO,
- opis możliwych konsekwencji naruszenia,
- opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych oraz minimalizowaniu negatywnych skutków naruszenia.
- W przypadku dokonania zgłoszenia po upływie 72h ADO wskazuje przyczyny opóźnienia w zgłoszeniu.
- Zgłoszenie naruszenia nie dokonuje się, jeśli wedle oceny ryzyka przeprowadzonej przez ADO jest mało prawdopodobne, aby naruszenie skutkowało naruszeniem praw lub wolności osób, których dane osobowe są przetwarzane.
- Jeśli naruszenie doprowadziło lub istnieje wysokie ryzyko, że mogło doprowadzić do naruszenia praw lub wolności osób, których dane osobowe są przetwarzane ADO zawiadamia o wystąpieniu naruszenia osoby, których naruszenie dotyczyło.
- Zawiadomienie osób, których naruszenia danych mogło dotyczyć nie dokonuje się, gdy:
- mimo naruszenia zasad ochrony danych osobowych inne podjęte środki powinny ochronić dane osobowe przed przetwarzaniem niezgodnym z prawe, w szczególności, gdy naruszenie dot. danych zaszyfrowanych,
- podjęte przez ADO środki w sposób wysoce prawdopodobny eliminują wysokie ryzyko naruszenia praw lub wolności osoby, której dane osobowe dotyczą,
- przekazanie informacji pojedynczym osobom wymagałoby niewspółmiernego wysiłku organizacyjnego i nakładów – wówczas o naruszeniu zasad ochrony danych osobowych informuje się osoby, których naruszenie dotyczyło lub mogło dotyczyć poprzez publiczny komunikat.
§11. POSTANOWIENIA KOŃCOWE
- Polityka jest dokumentem wewnętrznym, który udostępniany jest osobom upoważnionym do przetwarzania danych osobowych w imieniu ADO.
- Treść Polityki i zawarte w niej procedur stanowi tajemnicę przedsiębiorstwa ADO, a każda osoba, która zapozna się z treścią Polityki zobowiązana jest zachować wynikające z niej informacje w poufności, chyba że zobowiązana jest ujawnić informacje na podstawie przepisów obowiązującego prawa.
data wprowadzenia Polityki w życie: 24 maja 2018 r.
_____________________________
podpis ADO