POLITYKA OCHRONY DANYCH OSOBOWYCH
W LUCASGSM Łukasz Nowak

I. POSTANOWIENIA OGÓLNE

  1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, na podstawie art. 29 ust. 2 RODO, w LUCASGSM Łukasz Nowak z siedzibą w Poznaniu, zwanej dalej „LUCASGSM” wprowadza się politykę ochrony danych osobowych, zwanych dalej „Polityką”.
  2. Polityka zawiera opis zasad ochrony danych obowiązujących w LUCASGSM.

II. SKRÓTY I DEFINICJE

Użyte w Polityce skróty i pojęcia oznaczają:

  1. RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobod­nego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE serii UE serii L nr 119 z 4 maja 2016 r., s. 1),
  2. dane – dane osobowe, o ile co innego nie wynika wyraźnie z kontekstu.
  3. dane szczególnych kategorii – dane wymienione w art. 9 ust. 1 RODO, tj. dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądo­we, przynależność do związków zawodowych, dane genetyczne, biome­tryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej,
  4. osoba – osobę, której dane dotyczą, o ile co innego nie wynika wyraźnie z kontekstu.
  5. podmiot przetwarzający – organizację lub osobę, której LUCASGSM powierzył przetwarzanie danych osobowych,
  6. profilowanie – dowolną formę zautomatyzowanego przetwa­rzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycz­nej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się,
  7. eksport danych oznacza przekazanie danych do państwa trzeciego lub organizacji międzynarodowej.
  8. RCPD lub Rejestr oznacza Rejestr Czynności Przetwarzania Danych Osobowych.

III. OGÓLNE ZASADY OCHRONY DANYCH OSOBOWYCH W LUCASGSM

  1. W ramach przetwarzania danych LUCASGSM dąży do zapewnienia:
    1) legalności, co oznacza, że LUCASGSM przetwarza dane zgodnie z prawem,
    2) bezpieczeństwa, co oznacza, że LUCASGSM zapewnia odpowiedni poziom bezpie­czeństwa danych, podejmując stale działania w tym zakresie,
    3) ochrony praw jednostki, co oznacza, że LUCASGSM umożliwia osobom, których dane przetwarza, wykonywanie swoich praw i prawa te realizuje,
    4) rozliczalności, co oznacza, że LUCASGSM dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej chwili móc wykazać zgodność.
  2. LUCASGSM przetwarza dane z poszanowaniem następujących zasad:
    1) w oparciu o podstawę prawną i zgodnie z prawem (zasada legalizmu);
    2) rzetelnie i uczciwie (zasada rzetelności);
    3) w sposób przejrzysty dla osoby, której dane dotyczą (transparentność);
    4) w konkretnych celach i nie „na zapas” (minimalizacja);
    5) nie więcej niż potrzeba (adekwatność);
    6) z dbałością o prawidłowość danych (prawidłowość);
    7) nie dłużej niż potrzeba (czasowość);
    8) zapewniając odpowiednie bezpieczeństwo danych (bezpieczeń­stwo).

IV. SYSTEM OCHRONY DANYCH OSOBOWYCH W LUCASGSM

  1. Na system ochrony danych osobowych w LUCASGSM składają się:
    1) systematyczna inwentaryzacja danych,
    2) monitorowanie podstaw przetwarzania danych osobowych,
    3) obsługa praw osób, których dotyczą przetwarzane dane,
    4) zarządzanie minimalizacją zakresu przetwarzanych danych,
    5) zarządzanie bezpieczeństwem danych.
  2. W ramach inwentaryzacji danych:
    1) LUCASGSM identyfikuje i okresowo aktualizuje zasoby danych osobowych przetwarzanych w LUCASGSM, kategorie danych, zależności między zaso­bami danych, sposoby wykorzystania danych (inwen­taryzacja), w tym także przypadków przetwarzania danych szczególnych kategorii i da­nych karnych,
    2) LUCASGSM opracowuje, prowadzi i utrzymuje Rejestr Czyn­ności Danych Osobowych, który jest narzędziem rozliczania zgodności z ochroną danych.
  3. W ramach monitowania podstaw prawnych przetwarzania danych, LUCASGSM identyfikuje i systematycznie, nie rzadziej niż raz do roku, weryfikuje podstawy prawne przetwarzania danych i ujawnia je w Rejestrze, w tym inwentaryzuje i uszczegóławia uzasadnienie przypadków, gdy LUCASGSM przetwarza dane na podstawie przesłanki odwołującej się do swojego prawnie uzasadnionego interesu.
  4. W ramach obsługi praw osób, których dotyczą przetwarzane dane, LUCASGSM wypełnia obowiązki informacyjne względem osób, których dane przetwarza, oraz zapewnia obsługę ich praw, realizując otrzymane w tym zakresie żądania, w tym w szczególności:
    1) przekazuje tym osobom, w sposób dostosowany do danego rodzaju pozyskania danych, w tym poprzez stronę internetową LUCASGSM, wymagane prawem informacje przy zbieraniu danych i w innych sytu­acjach oraz organizuje i zapewnia udokumentowanie realizacji tych obowiązków,
    2) weryfikuje i zapewnia możliwość efektywnego wykonania każdego typu żądania osoby uprawnionej,
    3) zapewnia, aby żądania osób były realizowane w terminach i w sposób wymagany RODO i dokumentowane;
    4) stosuje procedury po­zwalające na ustalenie konieczności zawiadomienia osób do­tkniętych zidentyfikowanym naruszeniem ochrony danych.
  5. W ramach zarządzania minimalizacją zakresu przetwarzanych danych, LUCASGSM dąży do:
    1) zapewnienia adekwatności przetwarzanych danych do celów, w jakich są one przetwarzane,
    2) zapewnienia ograniczeń dostępu do danych osobom, którym dostęp ten nie jest niezbędny dla prawidłowego wykonywania powierzonych obowiązków,
    3) dokonuje weryfikacji dalszej przydatności posiadanych danych.
  6. W ramach zarządzania bezpieczeństwem danych, LUCASGSM odpowiedni poziom bezpieczeństwa danych, w tym:
    1) przeprowadza analizy ryzyka dla czynności przetwarzania da­nych lub ich kategorii;
    2) przeprowadza oceny skutków dla ochrony danych tam, gdzie ry­zyko naruszenia praw i wolności osób jest wysokie;
    3) dostosowuje środki ochrony danych do ustalonego ryzyka;
    4) posiada system zarządzania bezpieczeństwem informacji;
    5) stosuje procedury pozwalające na identyfikację, ocenę i zgłosze­nie zidentyfikowanego naruszenia ochrony danych właściwemu organowi nadzorczemu.

V. POWIERZENIE PRZETWARZANIA DANYCH, PROFILOWANIE, UWZGLĘDNIANIE DANYCH PRZY PROJEKTOWANIU PROCESÓW PRZETWARZANIA DANYCH

  1. Jeżeli przetwarzanie ma być dokonywane w imieniu LUCASGSM przez inne podmioty, LUCASGSM korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi wynikające z RODO i chroniło prawa osób, których dane dotyczą. W tym celu LUCASGSM zawiera stosowne umowy z podmiotami przetwarzającymi.
  2. LUCASGSM nie przekazuje danych do państw trzecich, tj. poza państwa Unii Europejskiej, Norwegię, Liechtenstein, Islandię) lub do organizacji międzynarodowych albo zapewnienia zgodność z prawem warunków takiego przekazywania, jeśli ma ono miejsce.
  3. LUCASGSM zapewnia, by nowe procesy przetwarzania danych, w tym szczególności nowe systemy teleinformatyczne używane przez LUCASGSM, uwzględniały konieczność oceny wpływu zmiany na ochronę danych, analizę ryzyka, zapewnienie prywatno­ści (a w tym zgodności celów przetwarzania, bezpieczeństwa danych i minimalizacji) już w fazie projektowania zmiany, inwestycji czy na początku nowego projektu.

VI. INWENTARYZACJA

  1. LUCASGSM identyfikuje przypadki, w których przetwarza lub może przetwarzać dane szczególnych kategorii lub dane karne, oraz utrzy­muje odpowiednie mechanizmy zapewnienia zgodności z prawem przetwarzania takich danych.
  2. LUCASGSM identyfikuje przypadki, w których przetwarza lub może przetwarzać dane niezidentyfikowane, i utrzymuje mechanizmy ułatwiające realizację praw osób, których dotyczą dane niezidenty­fikowane.
  3. LUCASGSM nie dokonuje profilowania prze­twarzanych danych.
  4. LUCASGSM identyfikuje przypadki współadministrowania danymi i po­stępuje w tym zakresie zgodnie z przyjętymi zasadami.

VII. REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH

  1. RCPD stanowi formę dokumentowania czynności przetwarzania danych i jest jednym z kluczo­wych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, tj. za­sady rozliczalności.
  2. LUCASGSM prowadzi Rejestr Czynności Przetwarzania Danych, w którym inwentaryzuje i monitoruje sposób, w jaki wykorzystuje dane osobowe.
  3. Rejestr jest jednym z podstawowych narzędzi umożliwiających LUCASGSM rozliczanie większości obowiązków ochrony danych.
  4. W Rejestrze dla każdej czynności przetwarzania danych, którą LUCASGSM uznał za odrębną dla potrzeb Rejestru, ujawnia się:
    1) nazwę czynności przetwarzania,
    2) jednostkę organizacyjną LUCASGSM odpowiedzialną za czynność przetwarzania,
    3) cel przetwarzania,
    4) kategorie osób, których dotyczą przetwarzane dane,
    5) kategorie przetwarzanych danych,
    6) podstawę prawną przetwarzanych danych,
    7) źródło danych,
    8) planowany termin usunięcia kategorii danych, jeżeli jego wskazanie jest możliwe,
    9) nazwę współadministratora i jego dane kontaktowe, o ile dane są współadministrowane przez inny podmiot,
    10) nazwę podmiotu przetwarzające dane i jego dane kontaktowe, o ile dane zostały powierzone takiemu podmiotowi,
    11) kategorie odbiorców danych, innych niż podmiot przetwarzający,
    12) sposób przetwarzania danych,
    13) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa,
    14) informacje o przeprowadzonej ocenie skutków dla przetwarzania danych (DPiA) i lokalizacji raportu, bądź braku obowiązku jej dokonania,
    15) informacje dotyczące transferu danych do kraju trzeciego lub organizacji międzynarodowej.
  5. LUCASGSM dokumentuje w Rejestrze podstawy prawne przetwarza­nia danych dla poszczególnych czynności przetwarzania. Wskazując w dokumentach ogólną podstawę prawną przetwarzania danych, w miarę możliwości dookreśla się ją w sposób możliwie najbardziej precyzyjny.

VIII. SPOSÓB OBSŁUGI PRAW JEDNOSTKI I OBOWIĄZKÓW INFORMACYJNYCH, OBOWIĄZKI INFORMACYJNE

  1. LUCASGSM dba o czytelność i styl przekazywanych informacji i ko­munikacji z osobami, których dane przetwarza.
  2. LUCASGSM ułatwia osobom korzystanie z ich praw w szczególności poprzez zamieszczenie na stronie internetowej LUCASGSM infor­macji lub odwołań (linków) do informacji o prawach osób, sposo­bie skorzystania z tych praw, w tym wymaganiach dotyczących identyfikacji, metodach kontaktu z LUCASGSM w tym celu.
  3. LUCASGSM dba o dotrzymywanie prawnych terminów realizacji obo­wiązków względem osób.
  4. LUCASGSM wprowadza adekwatne metody identyfikacji i uwierzytel­niania osób dla potrzeb realizacji praw jednostki i obowiązków infor­macyjnych.
  5. W celu realizacji praw jednostki LUCASGSM zapewnia procedury i mechanizmy pozwalające zidentyfikować dane konkretnych osób przetwarzane przez LUCASGSM, zintegrować te dane, wprowadzać do nich zmiany i usuwać w sposób zintegrowany.
  6. LUCASGSM dokumentuje obsługę obowiązków informacyjnych, za­wiadomień i żądań osób.
  7. LUCASGSM określa zgodne z prawem i efektywne sposoby wykony­wania obowiązków informacyjnych, z uwzględnieniem specyfiki działalności LUCASGSM.

IX. ŻĄDANIA OSÓB UPRAWNIONYCH

  1. Realizując prawa osób, których dane dotyczą, LUCASGSM wprowadza proceduralne gwarancje ochrony praw i wolności osób trzecich. W szczególności w przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania osoby, której dane dotyczą, o wy­danie kopii danych lub prawa do przeniesienia danych może nieko­rzystnie wpłynąć na prawa i wolności innych osób (np. prawa zwią­zane z ochroną danych innych osób, prawa własności intelektualnej, tajemnicę handlową, dobra osobiste), LUCASGSM może się zwrócić do osoby zgłaszającej żądanie w celu wyjaśnienia wątpliwości lub podjąć inne prawem do­zwolone kroki, łącznie z odmową zadośćuczynienia żądaniu.
  2. LUCASGSM informuje osobę, której dane dotyczą, w ciągu miesiąca od otrzy­mania żądania, o odmowie rozpatrzenia żądania i o prawach tej osoby z tym związanych.
  3. Na żądanie osoby, której dane dotyczą, dotyczące dostępu do jej danych LUCASGSM informuje tę osobę, czy przetwarza jej dane, oraz infor­muje osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO, a także udziela osobie dostępu do danych jej dotyczących. Do­stęp do danych może być zrealizowany przez wydanie kopii danych.
  4. Na żądanie osoby, której dane dotyczą, LUCASGSM wydaje osobie kopię danych jej dotyczących i odnotowuje fakt wydania pierwszej kopii danych. LUCASGSM wprowadza i utrzymuje cennik kopii danych, zgodnie z któ­rym pobiera opłaty za kolejne kopie danych. Cena kopii danych skalkulowana jest na podstawie oszacowanego jednostkowego kosztu ob­sługi żądania wydania kopii danych.
  5. LUCASGSM dokonuje sprostowania nieprawi­dłowych danych na żądanie osoby, której dane dotyczą,. LUCASGSM ma prawo odmówić spro­stowania danych, chyba że osoba, której dane dotyczą, w rozsądny sposób wykaże niepra­widłowości danych, których sprostowania się domaga. W przypadku sprostowania danych LUCASGSM informuje osobę, której dane dotyczą, o odbiorcach danych, na żądanie tej osoby.
  6. LUCASGSM uzupełnia i aktualizuje dane na żądanie osoby, której dane dotyczą. LUCASGSM ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych. LUCASGSM może polegać na oświadczeniu osoby co do uzupełnianych da­nych, chyba że będzie to niewystarczające w świetle przyjętych przez LUCASGSM procedur (np. co do pozyskiwania takich danych), prawa lub zaistnieją podstawy, aby uznać oświadczenie za niewiarygodne.
  7. Na żądanie osoby, której dane dotyczą, LUCASGSM usuwa dane, gdy:
    1) dane nie są niezbędne do celów, w których zostały zebrane, ani przetwarzane w innych zgodnych z prawem celach,
    2) zgoda na ich przetwarzanie została cofnięta, a nie ma innej pod­stawy prawnej przetwarzania,
    3) osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych,
    4) dane były przetwarzane niezgodnie z prawem,
    5) konieczność usunięcia wynika z obowiązku prawnego,
  8. LUCASGSM określa sposób obsługi prawa do usunięcia danych w taki sposób, aby zapewnić efektywną realizację tego prawa przy posza­nowaniu wszystkich zasad ochrony danych, w tym bezpieczeństwa, a także weryfikację, czy nie zachodzą wyjątki, o których mowa w art. 17. ust. 3 RODO.
  9. Jeżeli dane podlegające usunięciu zostały upublicznione, LUCASGSM podejmuje rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe o potrzebie usunięcia danych i dostępu do nich.
  10. W przypadku usunięcia danych LUCASGSM informuje osobę, której dane dotyczą, o odbiorcach danych, na żądanie tej osoby.
  11. LUCASGSM dokonuje ograniczenia przetwarzania danych Na żądanie osoby, której dane dotyczą,, gdy:
    1) osoba, której dane dotyczą, kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość,
    2) przetwarzanie jest niezgodne z prawem, a osoba, której dane do­tyczą, sprzeciwia się usunięciu danych osobowych, żądając w za­mian ograniczenia ich wykorzystywania,
    3) LUCASGSM nie potrzebuje już danych osobowych, ale są one potrzeb­ne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
    4) osoba, której dane dotyczą wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie LUCASGSM zachodzą prawnie uzasadnione podstawy nad­rzędne wobec podstaw sprzeciwu.
  12. W trakcie ograniczenia przetwarzania LUCASGSM przechowuje dane, nato­miast nie przetwarza ich (nie wykorzystuje, nie przekazuje), bez zgo­dy osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego.
  13. LUCASGSM informuje osobę, której dane dotyczą, przed uchyleniem ograniczenia przetwa­rzania.
  14. W przypadku ograniczenia przetwarzania danych LUCASGSM informuje osobę, której dane dotyczą, o odbiorcach danych, na żądanie tej osoby.
  15. Na żądanie osoby, której dane dotyczą,, której dane dotyczą, LUCASGSM wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła ona LUCASGSM, przetwarzane na podstawie zgody tej osoby lub w celu zawar­cia lub wykonania zawartej z nią umowy.
  16. Jeżeli osoba, której dane dotyczą zgłosi umoty­wowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez LUCASGSM w oparciu o uzasadnio­ny interes LUCASGSM, LUCASGSM sprzeciw, o ile nie zachodzą po stronie Secret Garden ważne prawnie uzasadnione podstawy do przetwarzania, nad­rzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.
  17. Jeżeli LUCASGSM prowadzi badania naukowe, hi­storyczne lub przetwarza dane w celach statystycznych, osoba, której dane dotyczą może wnieść umotywowany jej szczególną sytuacją sprzeciw względem ta­kiego przetwarzania. LUCASGSM uwzględni taki sprzeciw, chyba że prze­twarzanie jest niezbędne do wykonania zadania realizowanego w in­teresie publicznym.
  18. Jeżeli oso­ba, której dane dotyczą, zgłosi sprzeciw względem przetwarzania jej danych przez LUCASGSM na potrzeby marketingu bezpośredniego, LUCASGSM uwzględni sprzeciw i zaprzestanie takiego przetwa­rzania.

XI. BEZPIECZEŃSTWO

  1. LUCASGSM zapewnia stopień bezpieczeństwa odpowiadający ryzyku na­ruszenia praw i wolności osób fizycznych wskutek przetwarzania ich da­nych osobowych
  2. LUCASGSM przeprowadza i dokumentuje analizy adekwatności środków bezpieczeństwa danych osobowych. W tym celu:
    1) LUCASGSM zapewnia osobom upoważnionym do przetwarzania danych w jego imieniu odpowiedni stan wiedzy o bezpieczeństwie in­formacji, cyberbezpieczeństwie i ciągłości działania,
    2) LUCASGSM kategoryzuje dane oraz czynności przetwarzania pod ką­tem ryzyka, które generują,
    3) LUCASGSM przeprowadza analizy ryzyka naruszenia praw lub wol­ności osób fizycznych dla czynności przetwarzania danych lub ich kategorii, analizując w szczególności możliwe sytuacje i scenariusze na­ruszenia ochrony danych osobowych oraz uwzględniając charakter, zakres, kontekst i cele przetwarzania, ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.
  3. LUCASGSM ustala możliwe do zastosowania organizacyjne i technicz­ne środki bezpieczeństwa i ocenia koszt ich wdrażania, stosując w szczególności:
    1) środki bezpieczeństwa teleinformatycznego składające się na zdolność do ciągłego zapewnienia poufności, integralności, dostęp­ności i odporności systemów i usług przetwarzania,
    2) środki zapewnienia ciągłości działania i zapobiegania skut­kom katastrof, celem szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.
  4. LUCASGSM dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych w przypadkach, gdy – zgodnie z analizą ryzyka – ryzyko naruszenia praw i wolności osób jest wysokie.
  5. LUCASGSM stosuje środki bezpieczeństwa ustalone w ramach analiz ry­zyka i adekwatności środków bezpieczeństwa oraz ocen skutków dla ochrony danych. Środki bezpieczeństwa danych osobowych stanowią element środ­ków bezpieczeństwa informacji i bezpieczeństwa teleinformatycznego.
  6. LUCASGSM stosuje procedury pozwalające na identyfikację, ocenę i zgło­szenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych w terminie 72 godzin od ustalenia naruszenia.
  7. LUCASGSM zapewnia, aby:
    1) użytkownicy systemów informatycznych LUCASGSM, w których przetwarzane są dane osobowe, zostali przeszkoleni przed rozpoczęciem pracy w systemie,
    2) identyfikatory i hasła dostępu do systemów informatycznych były przekazywane użytkownikom w formie zapewniającej poufność.