Polityka Prywatności

I. Definicje

1. Administrator – Jastim Sp. z o.o. z siedzibą przy Al. Jerozolimskie 144, 02-305 Warszawa, NIP: 5262499368, KRS: 0000190102.
2. Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować poprzez jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość, w tym IP urządzenia, dane o lokalizacji, identyfikator internetowy oraz informacje gromadzone za pośrednictwem plików cookie oraz innej podobnej technologii.
3. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
4. Polityka – niniejsza Polityka prywatności.
5. Użytkownik – każda osoba fizyczna odwiedzająca Serwis lub korzystająca z jednej albo kilku usług czy funkcjonalności opisanych w Polityce a także osoba fizyczna której dotyczą dane osobowe przetwarzane przez Administratora, np. odwiedzająca lokal Administratora lub kierująca do niego zapytanie w formie e-maila.
6. Serwis – serwis internetowy prowadzony przez Administratora pod adresem https://jastim.pl/

II. Wprowadzenie

1. Celem niniejszej Polityki jest określenie zasad, sposobu przetwarzania oraz wykorzystywania danych osobowych Użytkowników . Polityka zawiera również informacje dotyczące uprawnień osób fizycznych w odniesieniu do udostępnionych przez nich danych osobowych. Podstawę prawną Polityki stanowi Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, a także Ustawa o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. 2018 poz. 1000). Niniejsza Polityka stanowi realizację przez Administratora obowiązków wynikających z art. 12, 13 i 14 RODO. 2. Polityka ma zastosowanie do każdej strony internetowej, aplikacji lub usługi odsyłającej do tej informacji, a także do danych przekazywanych za ich pośrednictwem, drogą telefoniczną, elektroniczną bądź osobiście w siedzibie Administratora. Prosimy o zwrócenie uwagi, że opuszczając stronę internetową Administratora Użytkownik przechodzi w obszar, w którym nie obowiązuje Polityka. Administrator nie ponosi odpowiedzialności za zasady polityki prywatności obowiązujące na stronach obsługiwanych przez inne podmioty. 3. W związku z prowadzoną przez Administratora działalnością gospodarczą oraz korzystaniem przez Użytkownika z Serwisu, Administrator zbiera dane w zakresie niezbędnym do świadczenia poszczególnych oferowanych usług, a także informacje o aktywności Użytkownika w Serwisie. Poniżej zostały opisane szczegółowe zasady oraz cele przetwarzania Danych osobowych.

III. Kontakt z Administratorem i Inspektorem Ochrony Danych

We wszystkich sprawach związanych z przetwarzaniem danych osobowych można skontaktować się z Administratorem na ww. adres siedziby lub poprzez e-mail iodo@jastim.pl

Administrator powołał Inspektora Ochrony Danych, z którym można się skontaktować pod adresem e-mail: iodo@jastim.pl lub korespondencyjnie na adres Administratora wskazany powyżej z dopiskiem „Inspektor Ochrony Danych”.

IV. Cele i podstawy prawne przetwarzania Danych osobowych

Administrator przetwarza dane osobowe zgodnie z profilem działalności, we wskazanych poniżej celach. Jeżeli ze względu na przepisy prawa, właściwości usługi lub konieczności jej rozliczenia zaistnieje potrzeba przetwarzania innych danych osobowych osób, których dane dotyczą, Administrator może je przetwarzać w niezbędnym zakresie.

Korzystanie z Serwisu
Dane osobowe wszystkich osób korzystających z Serwisu (w tym adres IP lub inne identyfikatory oraz informacje gromadzone za pośrednictwem plików cookies czy innych podobnych technologii), przetwarzane są przez Administratora:

i. w celu świadczenia usług drogą elektroniczną w zakresie udostępniana Użytkownikom treści gromadzonych w Serwisie – wówczas podstawą prawną przetwarzania jest niezbędność przetwarzania do wykonania umowy (art. 6 ust. 1 lit. b RODO);

ii. w celach analitycznych i statystycznych – wówczas podstawą prawną przetwarzania jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), polegający na prowadzeniu analiz aktywności Użytkowników, a także ich preferencji w celu poprawy stosowanych funkcjonalności i świadczonych usług;

iii. w celu ewentualnego ustalenia i dochodzenia roszczeń lub obrony przed roszczeniami – podstawą prawną przetwarzania jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), polegający na ochronie jego praw.

Aktywność Użytkownika w Serwisie, w tym jego dane osobowe, są rejestrowane w logach systemowych (specjalnym programie komputerowym służącym do przechowywania chronologicznego zapisu zawierającego informację o zdarzeniach i działaniach, które dotyczą systemu informatycznego służącego do świadczenia usług przez Administratora). Zebrane w logach informacje przetwarzane są przede wszystkim w celach związanych ze świadczeniem usług. Administrator przetwarza je również w celach technicznych, administracyjnych, na potrzeby zapewnienia bezpieczeństwa systemu informatycznego oraz zarządzania tym systemem, a także w celach analitycznych i statystycznych – w tym zakresie podstawą prawną przetwarzania jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO).

Rekrutacja
Jeśli odpowiadasz na naszą ofertę pracy Twoje Dane osobowe przetwarzane są w celu przeprowadzenia procesu rekrutacji na stanowisko oferowane w naszych strukturach i wyboru odpowiedniej osoby do zatrudnienia na stanowisku określonym w ofercie pracy, w tym oceny kwalifikacji, zdolności i umiejętności kandydata do pracy. Dane te pozyskaliśmy bezpośrednio od Ciebie.

Podstawą prawną przetwarzania Twoich Danych osobowych w zakresie wynikającym z art. 22(1) Kodeksu pracy jest obowiązek prawny spoczywający na Administratorze (art. 6 ust. 1 lit. c RODO); w przypadku podania danych osobowych w zakresie szerszym niż określony w przepisach prawa pracy oraz w sytuacji kiedy oferujemy Ci zatrudnienie na innej podstawie niż umowa o pracę w związku z czym kodeks pracy nie będzie miał zastosowania, podstawą prawną przetwarzania jest zgoda (art. 6 ust. 1 lit. a RODO).

Jeśli dostarczasz nam swoją aplikację, lecz aktualnie nie prowadzimy rekrutacji Twoje Dane osobowe przetwarzane są w celu przeprowadzenia przyszłych procesów rekrutacji i wyboru odpowiedniej osoby do zatrudnienia na wolnym stanowisku, w tym oceny kwalifikacji, zdolności i umiejętności kandydata do pracy.

Podstawą prawną przetwarzania Twoich Danych osobowych na potrzeby przyszłych rekrutacji jest Twoja zgoda (art. 6 ust. 1 lit. a RODO). Przesłanie do nas dokumentów aplikacyjnych traktujemy jako równoznaczne z wyrażeniem zgody na przetwarzanie danych w nich zawartych.

Przesyłanie informacji handlowych/marketingowych
W przypadku wyrażenia zgody na otrzymywanie od Administratora informacji marketingowych/handlowych drogą elektroniczną i/lub telefoniczną Dane osobowe są przetwarzane w celu dostarczenia w/w informacji.

Podstawą prawną przetwarzania Danych osobowych jest prawnie uzasadniony interes Administratora w związku z wyrażoną zgodą – art. 6 ust. 1 lit. f RODO, polegający na dostarczeniu wnioskowych przez Użytkownika treści.

Formularz kontaktowy
Administrator zapewnia możliwość skontaktowania się z nim przy wykorzystaniu elektronicznych formularzy kontaktowych. Skorzystanie z formularza wymaga podania danych osobowych niezbędnych do nawiązania kontaktu z Użytkownikiem i udzielenia odpowiedzi na zapytanie. Użytkownik może podać także inne dane w celu ułatwienia kontaktu lub obsługi zapytania. Podanie danych oznaczonych jako obowiązkowe jest wymagane w celu przyjęcia i obsługi zapytania, a ich niepodanie skutkuje brakiem możliwości obsługi. Podanie pozostałych danych jest dobrowolne.

Podstawą prawną przetwarzania danych osobowych jest prawnie uzasadniony interes Administratora – art. 6 ust. 1 lit. f RODO, polegający na zapewnieniu obsługi wiadomości i udzieleniu odpowiedzi na wynikające z niej pytania.

Korespondencja mailowa i tradycyjna
W przypadku kierowania do Administratora za pośrednictwem poczty e-mail lub tradycyjnej korespondencji niezwiązanej z usługami świadczonymi na rzecz nadawcy lub inną zawartą z nim umową, dane osobowe zawarte w tej korespondencji są przetwarzane wyłącznie w celu komunikacji i rozwiązania sprawy, której dotyczy korespondencja.

Podstawą prawną przetwarzania jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO) polegający na prowadzeniu korespondencji kierowanej do niego w związku z jego działalnością gospodarczą.

Kontakt telefoniczny
W przypadku kontaktowania się z Administratorem drogą telefoniczną, w sprawach niezwiązanych z zawartą umową lub świadczonymi usługami, Administrator może żądać podania danych osobowych tylko wówczas, gdy będzie to niezbędne do obsługi sprawy, której dotyczy kontakt. Podstawą prawną jest w takim wypadku prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO) polegający na konieczności rozwiązania zgłoszonej sprawy związanej z prowadzoną przez niego działalnością gospodarczą.

Zbieranie danych w ramach kontaktów biznesowych
W związku z prowadzoną działalnością gospodarczą Administrator zbiera dane osobowe np. podczas spotkań biznesowych czy poprzez wymianę wizytówek – w celach związanych z inicjowaniem i utrzymywaniem kontaktów biznesowych.

Takie dane osobowe są przetwarzane w celu realizacji prawnie uzasadnionego interesu Administratora oraz jego kontrahenta (art. 6 ust. 1 lit. f RODO) polegającego na tworzeniu sieci kontaktów w związku z prowadzoną działalnością gospodarczą.

Przetwarzanie danych w związku ze świadczeniem usług czy wykonywaniem innych praw
W razie zbierania danych dla celów związanych z wykonaniem konkretnej umowy, Administrator przekazuje osobie, której dane dotyczą, szczegółowe informacje dotyczące przetwarzania jej danych osobowych w momencie zawierania umowy lub w momencie pozyskania danych osobowych w przypadku, gdy przetwarzanie jest niezbędne w celu podjęcia przez Administratora działań na żądanie Podmiotu danych, przed zawarciem umowy.

Przetwarzanie danych osobowych klientów Administratora lub członków personelu kontrahentów.
W związku z zawieraniem umów w ramach prowadzonej działalności gospodarczej, Administrator pozyskuje od kontrahentów / klientów dane osób zaangażowanych w realizację takich umów (np. dane osób uprawnionych do kontaktu, wykonujących zlecenia itp.). Zakres przekazywanych danych jest w każdym wypadku ograniczony do stopnia niezbędnego dla wykonania umowy i zazwyczaj nie obejmuje innych informacji niż imię i nazwisko oraz służbowe dane kontaktowe.
Takie dane osobowe są przetwarzane w celu realizacji prawnie uzasadnionego interesu Administratora oraz jego kontrahenta (art. 6 ust. 1 lit. f RODO), polegającego na umożliwieniu prawidłowego i efektywnego wykonywania umowy.

Realizacja obowiązków prawnych nałożonych na Administratora
Administrator przetwarza Dane osobowe Użytkowników w związku z realizacja obowiązków prawnych na niego nałożonych, dotyczących m. in. prowadzenia rachunkowości i dokumentacji księgowej, a także realizacji praw osób, których dane dotyczą.

Takie dane osobowe są przetwarzane na podstawie art. 6 ust. 1 lit. c) RODO – przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze.

Ustalenie, dochodzenie roszczeń i obrona przed roszczeniami
W celu ustalenia, dochodzenia roszczeń i obrony przed roszczeniami, w tym udokumentowanie zgłoszonych sprzeciwów wobec przetwarzania danych osobowych, będą przetwarzane dane osobowe Użytkowników, jakie zostały przez nich przekazane Administratorowi.

Podstawą prawną przetwarzania danych osobowych jest art. 6 ust. 1 lit. f) RODO, który pozwala na przetwarzanie danych osobowych w celu ewentualnego ustalenia, dochodzenia lub obrony przed roszczeniami, będące realizacją prawnie uzasadnionego interesu Administratora.

Portale społecznościowe
Facebook
W ramach prowadzenia przez Administratora konta na portalu Facebook przetwarza są dane osób, które:
i. dokonały subskrypcji fanpage poprzez kliknięcie ikony „Lubię to” lub „Obserwuj”;
ii. opublikowały swój komentarz, pod którymkolwiek z postów zamieszczonych na fanpage’u.
Administrator przetwarza następujące rodzaje danych osobowych:
i. identyfikator Facebooka (zazwyczaj zawierający imię i nazwisko lub nick);
ii. zdjęcie profilowe;
iii. inne zdjęcia (które również mogą przedstawiać wizerunek);
iv. treść komentarzy.
v. dane statystyczne, dotyczące osób odwiedzających fanpage’a dostępne za pomocą funkcji „Facebook Insights”, gromadzone dzięki plikom cookies.

Administrator przetwarza powyżej wskazane dane osobowe na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO) polegającego na: prowadzeniu fanpage pod nazwą „Jastim Transport – Spedycja” na portalu społecznościowym Facebook, na warunkach oraz na zasadach określonych przez portal Facebook i informowania za jego pomocą o aktywności Administratora, promowaniu wydarzeń i marki, produktów oraz usług, budowaniu i utrzymaniu społeczności z Administratorem oraz w celu komunikacji za pośrednictwem dostępnych funkcjonalności serwisu Facebook (komentarze, wiadomości), prowadzeniu statystyk (poprzez analizę danych na temat aktywności użytkowników fanpage’a), ewentualnym ustalaniu, dochodzeniu lub obronie przed roszczeniami.
Dane osobowe są także przetwarzane na podstawie odrębnie udzielonej zgody w zakresie i celu określonym w treści zgody i przez czas do wycofania zgody (podstawa z art. 6 ust. 1 lit a. lub art. 9 ust. 2 lit. a RODO) jak również na podstawie wymogów ustawowych w celu wypełnienia przez Administratora obowiązków prawnych wynikających z przepisów prawa (podstawa z art. 6 ust. 1 lit. c RODO).
Dodatkowo Administrator wskazuje, iż wraz z Facebook Ireland Limited (dalej „Facebook Ireland”) pełnią funkcję współadministratorów w zakresie przetwarzania danych na potrzeby statystyk. Więcej na temat przetwarzania danych na potrzeby statystyk strony znajdą Państwo pod linkiem:
https://www.facebook.com/legal/terms/information_about_page_insights_data

V. Odbiorcy Danych osobowych

W związku z prowadzeniem działalności wymagającej przetwarzania danych osobowych, dane osobowe mogą być ujawniane zewnętrznym podmiotom.

Odbiorcami danych osobowych powierzonych Administratorowi przez osoby, których dane dotyczą są następujące podmioty, którym przekazywane są dane osobowe w minimalnym zakresie, niezbędnym do realizacji celu/celów w jakim dane zostały pozyskane:
• upoważniony personel Administratora, podwykonawcy oraz podmioty świadczące usługi na rzecz Administratora (m.in. usługi IT i wsparcia technicznego), które muszą mieć dostęp do danych, aby wykonywać swoje obowiązki;
• podmioty przetwarzające dane osobowe w imieniu Administratora (np. biuro rachunkowe, dostawcy usług technicznych, dostawcy usług hostingowych, kancelarie prawne);
• właściwe organy upoważnione zgodnie z obowiązującymi przepisami prawa;
• w przypadku danych udostępnionych na portalu Facebook – inni Użytkownicy portalu (z uwagi na fakt, iż informacje o osobach obserwujących fanpage’a, o polubieniach, a także
treści komentarzy, posty i inne informacje dostarczane przez Użytkowników są jawne) oraz właściciel portalu społecznościowego Facebook na zasadach dostępnych pod adresem https://www.facebook.com/about/privacy.

Administrator oświadcza, że nie sprzedaje, nie udostępnia i nie przekazuje zgromadzonych do przetwarzania danych osobowych innym osobom lub instytucjom, chyba, że nastąpi to za wyraźną zgodą lub na życzenie osób, których dane dotyczą, albo też na żądanie uprawnionych na podstawie ustawy organów państwowych na potrzeby prowadzonych przez nie postępowań lub działań związanych z bezpieczeństwem lub obronnością, dla określonych prawem zadań realizowanych dla dobra publicznego, gdy jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów Administratora.

VI. Przekazywanie danych osobowych poza Europejski Obszar Gospodarczy (EOG)

Poziom ochrony danych osobowych poza Europejskim Obszarem Gospodarczym (EOG) różni się od tego zapewnianego przez prawo europejskie. Z tego powodu Administrator przekazuje dane osobowe poza EOG tylko wtedy, gdy jest to konieczne, i z zapewnieniem odpowiedniego stopnia ochrony, przede wszystkim poprzez:
i. współpracę z podmiotami przetwarzającymi dane osobowe w państwach, w odniesieniu do których została wydana stosowna decyzja Komisji Europejskiej dotycząca stwierdzenia zapewnienia odpowiedniego stopnia ochrony Danych osobowych;
ii. stosowanie standardowych klauzul umownych wydanych przez Komisję Europejską;
iii. stosowanie wiążących reguł korporacyjnych, zatwierdzonych przez właściwy organ nadzorczy.

VII. Okres przetwarzania Danych osobowych

Administrator przetwarza pozyskane dane osobowe przez okres niezbędny do realizacji celu/celów dla jakich zostały przekazane. Okres przetwarzania danych jest związany z celami i podstawami ich przetwarzania, w związku z czym:
• dane przetwarzane na podstawie wymogów ustawowych (np. podatkowych) będą przetwarzane przez czas, w którym przepisy prawa nakazują przechowanie danych;
• gdy podstawą przetwarzania jest wykonanie umowy, wówczas dane przetwarzane są przez Administratora tak długo, jak jest to niezbędne do wykonania umowy;
• dane przetwarzane na podstawie prawnie uzasadnionego interesu Administratora będą przetwarzane do czasu skutecznego złożenia sprzeciwu przez osobę, której dane dotyczą
lub ustania tego interesu. Dane przetwarzane w celu dochodzenia lub obrony przed roszczeniami będą przetwarzane przez czas równy okresowi przedawnienia tych roszczeń;
• dane przetwarzane na podstawie zgody będą przetwarzane do czasu wycofania zgody wyrażonej przez osobę, której dane dotyczą;
• dane osobowe przetwarzane w ramach procesu rekrutacji będą przetwarzane do czasu zakończenia tego procesu.

Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia lub dochodzenia roszczeń lub obrony przed roszczeniami, a po tym okresie – jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa. Po upływie okresu przetwarzania dane są nieodwracalnie usuwane lub anonimizowane.

VIII. Pliki cookies

Pliki cookies (ciasteczka) to małe pliki wysyłane przez serwer internetowy do przeglądarki Użytkownika i przechowywane na jego komputerze. Ciasteczka pomagają Administratorowi analizować ruch sieciowy i rozpoznają, która część strony internetowej była odwiedzana. Pliki cookies w żaden sposób nie umożliwiają Administratorowi dostępu do komputera lub informacji o Użytkownikach, za wyjątkiem informacji o tym, w jaki sposób korzystano ze strony internetowej oraz danych osobowych, które Użytkownicy udostępniają automatycznie ze względu na ustawienia przeglądarki.

Administrator stosuje sesyjne i stałe pliki cookies. Sesyjne pliki cookies są plikami tymczasowymi, które przechowywane są w urządzeniu końcowym Użytkownika do czasu wylogowania lub opuszczenia strony internetowej. Stałe pliki cookies umożliwiają Administratorowi rozpoznanie Państwa przeglądarki podczas następnej wizyty na stronach internetowych administrowanych przez Administratora i dostosowanie Serwisów do potrzeb Użytkowników (np. zapamiętanie preferowanego języka lub rozmiaru czcionki), a także w celach statystycznych. Stałe pliki cookies pozostają w pamięci Państwa urządzenia peryferyjnego do momentu ich usunięcia. Korzystając z Serwisu, Użytkownik wyraża zgodę na umieszczanie plików cookies na jego komputerze lub innym urządzeniu w podanych wyżej celach. Jeżeli Użytkownik nie wyrazi zgody na otrzymywanie plików cookies, może nimi zarządzać i kontrolować je poprzez ustawienia swojej przeglądarki. Należy jednak pamiętać, że usunięcie bądź zablokowanie plików cookies może wpłynąć na sposób korzystania z Serwisu Administratora.

W celu monitorowania i ulepszania strony internetowej gromadzone są zbiorcze informacje na temat Użytkowników w momencie przeglądania strony internetowej, w tym szczegóły dotyczące systemu operacyjnego, wersji przeglądarki, nazwy domeny, adresu IP, adresu URL Użytkownika, z którego trafia na stronę internetową Administratora i pod który się udaje oraz które podstrony strony internetowej zostały odwiedzone. Administrator może prowadzić ogólne statystyki, zbierać dane dotyczące ruchu sieciowego na stronie internetowej oraz informacje o spokrewnionych stronach i udostępniać te dane zbiorcze osobom trzecim w celach marketingowych, reklamowych lub w innych celach promocyjnych, niemniej jednak te dane zbiorcze nie zawierają żadnych danych osobowych. Do celów statystycznych Administrator korzysta z usług takich dostawców jak: Google Analytics.

IX. Prawa podmiotów danych

Administrator realizuje przysługujące osobom, których dane dotyczą uprawnienia związane z przetwarzaniem ich danych osobowych. W szczególności każdemu podmiotowi danych przysługuje prawo do:
• dostępu do swoich danych osobowych,
• sprostowania danych osobowych,
• usunięcia danych („prawo do bycia zapomnianym”),
• ograniczenia przetwarzania danych osobowych,
• sprzeciwu wobec przetwarzania danych osobowych.

W przypadku, gdy podstawą przetwarzania danych osobowych jest prawnie uzasadniony interes Administratora, podmiotowi danych przysługuje prawo do wniesienia w dowolnym momencie sprzeciwu wobec przetwarzania danych osobowych, bez konieczności uzasadniania swojej decyzji, szczególnie w przypadku, gdy prawnie uzasadniony interes polega na prowadzeniu działań związanych z marketingiem bezpośrednim.

Zgoda wyrażona przez podmioty danych za pośrednictwem Serwisów internetowych może zostać w dowolnym momencie wycofana, co nie wpłynie na zgodność z prawem przetwarzania danych, których dokonano przed jej wycofaniem.

Administrator informuje, że nie ma obowiązku usunięcia danych (czyli realizacji „prawa do bycia zapomnianym”) w przypadku, gdy przetwarzanie danych jest niezbędne do:
• korzystania z praw i wolności wypowiedzi i informacji,
• wywiązania się z prawnego obowiązku przetwarzania na mocy prawa Unii Europejskiej lub prawa polskiego,
• celów archiwalnych w interesie publicznym, celów badań naukowych lub historycznych lub celów statystycznych,
• do ustalenia, dochodzenia lub obrony roszczeń.

Powyższe uprawnienia, a także zamiar wycofania zgody mogą zostać zrealizowane poprzez przesłanie stosownego żądania drogą elektroniczną na adres poczty wskazany w punkcie III Polityki bądź listownie na adres siedziby Administratora podany w punkcie I oraz III Polityki.

W każdym przypadku uznania, że prawa osoby fizycznej wynikające z przepisów prawa i Polityki są naruszane, Użytkownikom przysługuje prawo do wniesienia skargi do Urzędu Ochrony Danych Osobowych z siedzibą w Warszawie przy ul. Stawki 2.

X. Bezpieczeństwo Danych osobowych

Administrator zapewnia bezpieczeństwo danych osobowych przed bezprawnym ich udostępnieniem osobom nieupoważnionym, przejęciem danych przez osoby nieupoważnione, zniszczeniem, utratą, uszkodzeniem lub zmianą oraz przetwarzaniem danych osobowych w sposób niezgodny z przepisami RODO.

Administrator danych podejmuje w celu zabezpieczenia powierzonych danych osobowych środki techniczne i organizacyjne spełniające wymogi RODO, w szczególności środki wymienione w art. 24 oraz art. 32 RODO, zapewniające poufność, integralność i dostępność usług przetwarzania przekazanych danych osobowych.

XI. Zautomatyzowane podejmowanie decyzji i profilowanie

Państwa dane mogą być przetwarzane przez Administratora w sposób zautomatyzowany, w tym również w formie profilowania. Jednak decyzje dotyczące indywidualnej osoby, związane z tym przetwarzaniem nie będą zautomatyzowane.

XII. Postanowienia końcowe

W zakresie nieuregulowanym niniejszą Polityką obowiązują unijne i krajowe przepisy z zakresu ochrony danych osobowych.

Data ostatniej aktualizacji Polityki: 13.05.2022

I.     PRZEDMIOT / CEL

Niniejsza Polityka Ochrony Danych Osobowych Jastim  powstała w oparciu o analizę charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. Jej podstawowym celem jest uregulowanie wszystkich obszarów, które odnoszą się do procesów przetwarzania danych oraz przyjętych w Jastim środków technicznych i organizacyjnych.

II.   ODPOWIEDZIALNOŚĆ

  1. Nadzór nad aktualnością niniejszego dokumentu sprawuje Zarząd Jastim oraz IOD.
  2. Każdorazowa zmiana bądź aktualizacja niniejszej polityki wymaga konsultacji z powołanym w Jastim inspektorem ochrony danych (IOD).

III. ZAWARTOŚĆ

Rozdział 1. Słowniczek

  • 1.

Przez użyte w Polityce Ochrony Danych Osobowych (PODO) terminy należy rozumieć:

  • administrator danych – Jastim Sp. z o.o., czyli osoba prawna która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;
  • audyt – systematyczny, niezależny i udokumentowany proces uzyskiwania dowodu z audytu oraz jego obiektywnej oceny w celu określenia stopnia spełnienia kryteriów audytu;
  • dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
  • dostępność – właściwość określającą, że zasób systemu teleinformatycznego jest możliwy do wykorzystania na żądanie, w założonym czasie, przez podmiot uprawniony do pracy w systemie teleinformatycznym;
  • incydent bezpieczeństwa – każde wykryte naruszenie albo wykryta próba naruszenia bezpieczeństwa danych osobowych będąca naruszeniem obowiązujących przepisów wewnętrznych Jastim lub powszechnie obowiązujących przepisów prawa; źródłem incydentu bezpieczeństwa może być zarówno przypadkowe, jak i celowe działanie albo jego zaniechanie przez pracowników / współpracowników lub osoby, przy pomocy których Jastim wykonuje swoje czynności;
  • inspektor ochrony danych (IOD) – osoba wyznaczona do realizacji zadań wskazanych w art. 39 RODO;
  • integralność – właściwość polegającą na tym, że zasób systemu teleinformatycznego nie został zmodyfikowany w sposób nieuprawniony;
  • naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
  • ocena ryzyka – proces mający na celu oszacowanie wagi ryzyka rozumianej jako funkcja prawdopodobieństwa wystąpienia skutku i krytyczności jego następstw dla praw lub wolności osób fizycznych, których dane osobowe przetwarza Jastim ;
  • organ nadzorczy – Prezes Urzędu Ochrony Danych Osobowych (PUODO);
  • podatność systemu teleinformatycznego – właściwość systemu teleinformatycznego, która może być wykorzystana przez co najmniej jedno zagrożenie;
  • podmiot przetwarzający (procesor) – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
  • polityka ochrony danych osobowych (PODO) – niniejszy dokument, przez który należy rozumieć zestaw efektywnych, udokumentowanych zasad i procedur bezpieczeństwa wraz z ich planem wdrożenia i egzekwowania;
  • postępowanie z ryzykiem – proces modyfikowania ryzyka; postępowanie z ryzykiem może uwzględniać np. unikanie ryzyka poprzez decyzję o nierozpoczynaniu lub niekontynuowaniu działań powodujących ryzyko, usunięcie źródła ryzyka, zachowanie ryzyka na podstawie świadomej decyzji;
  • poufność – właściwość zapewniająca, że dane osobowe nie są udostępniane lub wyjawiane nieupoważnionym osobom fizycznym;
  • pracownicy i współpracownicy IT – osoby nadzorujące pracę systemu teleinformatycznego oraz wykonujące czynności wymagające specjalnych uprawnień lub osoby nadzorujące wykonywanie tych czynności przez pomiot (podmioty) zewnętrzny na podstawie umowy (umów) zawartej z Jastim;
  • proces przetwarzania danych – seria powiązanych ze sobą działań lub zadań, które rozwiązują określony problem lub prowadzą do osiągnięcia określonego efektu przy wykorzystaniu danych osobowych;
  • profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
  • przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
  • RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;
  • rozliczalność – właściwość zasobu informatycznego oznaczająca, że wykonane na nim działania mogą być jednoznacznie przypisane wykonującej je osobie lub systemowi informatycznemu;
  • ryzyko – prawdopodobieństwo tego, że zagrożenie wykorzysta podatność powodując skutek;
  • system teleinformatyczny – zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania, zapewniający przetwarzanie i przechowywanie, a także wysyłanie i odbieranie danych poprzez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci urządzenia końcowego w rozumieniu ustawy z dnia 21 lipca 2000 r. – Prawo telekomunikacyjne;
  • system ochrony danych osobowych (SODO) – polityka ochrony danych osobowych, procedury, wytyczne, związane zasoby i działania, wspólnie zarządzane przez Jastim dążące do ochrony danych osobowych, które przetwarza;
  • użytkownik – pracownik lub współpracownik Jastim oraz inne osoby, przy pomocy których Jastim wykonuje swoje czynności, posiadające uprawnienia do pracy w systemie teleinformatycznym zgodnie z zakresem obowiązków służbowych i nadanymi uprawnieniami;
  • właściciel biznesowy – osoba odpowiedzialna za działanie i ciągłe ulepszanie danego procesu przetwarzania danych;
  • zagrożenie – stan faktyczny, który może spowodować naruszenie bezpieczeństwa danych osobowych;
  • zagrożenie systemu teleinformatycznego – potencjalna przyczyna niepożądanego zdarzenia, która może wywołać szkodę w systemie teleinformatycznym;
  • zasada wiedzy koniecznej – dostęp pracowników i współpracowników Jastim lub osób, przy pomocy których Jastim wykonuje swoje czynności na danych osobowych, ograniczony wyłącznie do tych danych, które są im niezbędne do wykonania powierzonych zadań.

Rozdział 2. Podstawy prawne

  • 2.

Niniejsza Polityka Ochrony Danych Osobowych opiera się na:

  • Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (w dalszej części jako RODO);
  • Ustawie z dnia 10 maja 2018 o ochronie danych osobowych (UODO);
  • Ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (w dalszej części jako UŚUDE);
  • Ustawie z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (w dalszej części jako PT);
  • PN-ISO/IEC 27001:2013;
  • PN-ISO/IEC 27005:2014;
  • Wytycznych Grupy Roboczej Art. 29 Ds. Ochrony Danych Osobowych tj.:
  1. Wytyczne dotyczące inspektorów ochrony danych (‘DPO’) z dnia 13 grudnia 2016 r.;
  2. Wytyczne dotyczące oceny skutków dla ochrony danych (DPIA) oraz ustalenia, czy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko” do celów rozporządzenia 2016/679 z dnia 4 kwietnia 2017 r.;
  3. Wytyczne dotyczące prawa do przenoszenia danych z dnia 13 grudnia 2016 r.;
  4. Wytyczne dotyczące ustalenia wiodącego organu nadzorczego właściwego dla administratora lub podmiotu przetwarzającego z dnia 13 grudnia 2016 r.

Rozdział 3. Deklaracja stosowania

  • 3.
  • Zarząd Jastim, świadomy odpowiedzialności za zapewnienie bezpieczeństwa danych osobowych, deklaruje gotowość budowy kompleksowego systemu ochrony danych osobowych (SODO) oraz wsparcie wszelkich działań mających na celu ochronę danych osobowych przetwarzanych przez Jastim.
  • Zarząd Jastim, z uwagi na to, że istotnym elementem działalności biznesowej Jastim jest przetwarzanie danych osobowych, podjął decyzję o powołaniu inspektora ochrony danych (IOD). Szczegółowy zakres zadań i statut IOD zostały określone w procedurze „Zadania i status Inspektora Ochrony Danych” stanowiącej załącznik nr 1 do PODO.
  • Zarząd Jastim zobowiązuje dział IT do:
    1. informowania Zarządu Jastim o potrzebach w zakresie niezbędnych środków technicznych, które zapewniać będą bezpieczeństwo danych osobowych;
    2. wdrożenia niezbędnych środków technicznych i organizacyjnych mających na celu zabezpieczenie infrastruktury IT oraz systemów teleinformatycznych służących do przetwarzania danych osobowych;
    3. dbania o zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów teleinformatycznych i usług przetwarzania;
    4. dbania o zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego mającego związek z systemami teleinformatycznymi i infrastrukturą IT służącymi do przetwarzania danych osobowych;
    5. regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych w ramach systemów teleinformatycznych i infrastruktury IT.
  • W celu uszczegółowienia zasad wskazanych w PODO Zarząd Jastim może wyznaczyć osobę bądź osoby odpowiedzialne za opracowanie dokumentacji ochrony danych osobowych obejmującej szczegółowe polityki, instrukcje i procedury wynikające z PODO oraz do wdrożenia i utrzymania właściwego poziomu bezpieczeństwa danych osobowych wynikającego z tych uregulowań.

Rozdział 4. Cel i zakres PODO

 

  • 4.
  • Celem PODO jest stworzenie podstaw organizacyjnych dla wdrożenia RODO w Jastim.
  • PODO odnosi się do wszelkich danych osobowych znajdujących się w posiadaniu Jastim niezależnie od tego w jaki sposób te dane są przetwarzane.
  • Zasady ustanowione w PODO powinny być stosowane przez wszystkie osoby zatrudnione w Jastim/ współpracujące z Jastim.

Rozdział 5. Czynniki zewnętrzne i wewnętrzne istotne dla celu działania Jastim

 

  • 5.
    • Czynniki zewnętrzne mające wpływ na działalność Jastim (kontekst zewnętrzny) w zakresie dotyczącym bezpieczeństwa danych osobowych:
  1. powszechnie obowiązujące przepisy prawa w zakresie ochrony danych osobowych;
  2. pozycja rynkowa Jastim;
  3. współpraca z innymi podmiotami i partnerami biznesowymi;
  4. oczekiwania klientów, kontrahentów.
    • Czynniki wewnętrzne mające wpływ na działalność Jastim (kontekst wewnętrzny) w zakresie dotyczącym bezpieczeństwa danych osobowych:
  5. wewnętrzne regulacje i procedury obowiązujące w Jastim;
  6. struktura organizacyjna Jastim;
  7. zobowiązania i uprawnienia Jastim wynikające z zawartych umów i porozumień;
  8. cele opisane w niniejszej PODO.

Rozdział 6. Role i odpowiedzialność za bezpieczeństwo danych osobowych

 

  • 6.

Szczególna rola i odpowiedzialność za bezpieczeństwo danych osobowych spoczywa na:

  1. Zarządzie Jastim;
  2. Dyrektorach/Managerach poszczególnych działów;
  3. Dziale IT;
  4. Inspektorze Ochrony Danych (IOD).
  • 7.
  • Zarząd Jastim sprawuje nadzór nad bezpieczeństwem danych osobowych, w szczególności odpowiada za odpowiednią strukturę organizacyjną i podział zadań zapewniający bezpieczeństwo danych i systemów teleinformatycznych.
  • Do zadań Zarządu Jastim należy:
  1. prawna odpowiedzialność za funkcjonowanie Jastim, w tym również za przestrzeganie wymagań związanych z zabezpieczeniem danych osobowych i systemów teleinformatycznych;
  2. zatwierdzanie i publikowanie dokumentów i procedur związanych z ochroną danych osobowych dotyczących wszystkich pracowników i współpracowników Jastim;
  3. zapewnienie wsparcia organizacyjno-finansowego przy wdrażaniu mechanizmów zabezpieczenia danych osobowych i systemów teleinformatycznych;
  4. zapewnienie odpowiednich pomieszczeń (stosownie zabezpieczonych i wyposażonych) do procesu przetwarzania i przechowywania danych osobowych;
  5. uwzględnianie kryterium wiarygodności zatrudnianych pracowników i współpracowników przy rekrutacji na stanowiska związane z dostępem do krytycznych danych osobowych lub z administracją krytycznych komponentów systemów teleinformatycznych;
  6. zaznajomienie pracowników i współpracowników z prawnymi oraz pracowniczymi konsekwencjami naruszenia bezpieczeństwa danych osobowych (za pośrednictwem IOD);
  7. zapewnienie pracownikom i współpracownikom szkoleń w zakresie  poszerzania wiedzy i świadomości związanej z bezpieczeństwem danych osobowych oraz stosowanymi rozwiązaniami używanymi w celu utrzymania bądź zapewnienia odpowiedniego poziomu zabezpieczeń stosowanych w procesach przetwarzania i gromadzenia danych (co do zasady szkolenia w powyższym zakresie prowadzi IOD);
  8. wyznaczenie i powołanie IOD.
  • 8.

Do zadań dyrektorów/managerów, w tym w szczególności właścicieli biznesowych dla poszczególnych procesów przetwarzania danych, należy:

  1. nadzór nad przestrzeganiem zasad i procedur składających się na PODO w pracy kierowanego działu;
  2. promowanie i wymaganie postaw zgodnych z zasadami bezpieczeństwa danych osobowych przyjętymi w Jastim, w tym reakcja na wszelkie wykryte nieprawidłowości;
  3. przekazywanie, bezpośrednio po wykryciu naruszenia ochrony danych osobowych, stosownej informacji o takim naruszeniu do ……………………, Zarządu oraz IOD (uwaga – w przypadkach szczególnych Jastim ma obowiązek zgłosić naruszenie do Prezesa Urzędu Ochrony Danych Osobowych i ma na to 72 godziny liczone od wykrycia naruszenia, stąd reakcja dyrektora/managera musi być niezwłoczna); informacja taka powinna zawierać:
  • opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  • opis możliwych konsekwencji naruszenia ochrony danych osobowych, na tyle na ile jest to możliwe;
  1. identyfikowanie podatności i zagrożeń dla nadzorowanych procesów przetwarzania danych i przekazywanie w tym zakresie informacji do Działu IT oraz IOD;
  2. uczestniczenie w procesie oceny i postępowania z ryzykiem, które odnosi się do nadzorowanych przez danego dyrektora (lub innego właściciela procesu) procesów przetwarzania danych;
  3. współpraca z innymi podmiotami i osobami odpowiedzialnymi za bezpieczeństwo danych osobowych w Jastim.
  • 9.

Do zadań Działu IT oraz pracowników i współpracowników Działu IT, oprócz tych, które zostały wprost wskazane w PODO albo jej załącznikach, należą:

  1. dbanie o poprawne i efektywne działanie administrowanych systemów teleinformatycznych;
  2. opiniowanie zgłoszeń w zakresie potrzeb dotyczących rozwoju systemów teleinformatycznych;
  3. uczestniczenie w identyfikacji i ocenie ryzyka związanego ze środowiskiem teleinformatycznym;
  4. uczestniczenie w procesie oceny i postępowania z ryzykiem;
  5. wdrażanie odpowiednich środków organizacyjnych i technicznych odpowiadających zidentyfikowanym w trakcie oceny ryzyka zagrożeniom;
  6. świadczenie wsparcie technicznego dla użytkowników systemów teleinformatycznych;
  7. wykonywanie i/lub nadzorowanie procedury backupu danych osobowych (sporządzania kopii awaryjnych);
  8. reagowanie i podejmowanie stosownych działań w odniesieniu do wykrytych incydentów naruszenia ochrony danych osobowych;
  9. na wniosek ……………………….. nadają użytkownikom prawa dostępu do systemów teleinformatycznych;
  10. uczestniczenie w przygotowaniu propozycji zakresu testów, dokonywanie instalacji i uczestniczenie w testowaniu nowych wersji oprogramowania w środowisku testowym;
  11. sporządzanie zapotrzebowania na oprogramowanie, sprzęt i usługi związane z technicznymi aspektami ochrony systemu teleinformatycznego;
  12. dokonywanie i/lub nadzorowanie bezpiecznej eliminacji wycofanych z użytku systemów i komponentów infrastruktury teleinformatycznej;
  13. odpowiedzialność za ciągłość działania systemów i infrastruktury teleinformatycznej oraz łączy teleinformatycznych;
  14. dbanie o właściwe wyposażenie lokalizacji zapasowych (o ile występują), a także odpowiednie zabezpieczenie zasobów awaryjnych;
  15. monitorowanie dostępności systemów teleinformatycznych;
  16. odpowiedzialność za odtworzenie danych osobowych z kopii awaryjnych;
  17. sprawowanie nadzoru nad działaniem zewnętrznych dostawców usług w zakresie jakości i przestrzegania standardów bezpieczeństwa danych osobowych w zakresie czynności technicznych realizowanych w związku z wykonaniem umów.
  • 10.

Szczegółowe zadania i status IOD zostały określone w dokumencie “Zadania i status Inspektora Ochrony Danych” stanowiącym załącznik nr 1 do PODO. Szczegółowy opis kompetencji określonych osób w systemie ochrony danych osobowych został określony w dokumencie “Schemat osób funkcyjnych w systemie ochrony danych osobowych” stanowiącym załącznik nr 2 do PODO.

  • 11.

Do zadań użytkowników, oprócz tych, które zostały wprost wskazane w PODO albo jej załącznikach, należą:

  1. przestrzeganie zasad określonych w PODO i wskazanych w niej załącznikach;
  2. zapewnienie poufności w stosunku do wszystkich danych osobowych przetwarzanych w Jastim;
  3. zabronione jest rozpowszechnianie danych osobowych podlegających ochronie;
  4. obowiązek zachowania poufności danych osobowych w Jastim w zakresie związanym z wykonywaniem przez pracowników i współpracowników zadań dla Jastim/ nie wygasa po ustaniu stosunku pracy/współpracy.

Rozdział 7. Zasady korzystania z przydzielonego sprzętu służbowego i elektronicznych nośników informacji oraz regulamin pracy zdalnej

 

  • 12.

Szczegółowe zasady korzystania z systemów informatycznych oraz z przydzielonego sprzętu służbowego, elektronicznych nośników informacji oraz regulamin pracy zdalnej stanowi załącznik nr 3  do PODO.

Rozdział 8. Kontrola dostępu

 

  • 13.

Szczegółowa polityka kontroli dostępu do urządzeń, baz danych, oraz systemów została opisana w poniżej wskazanych dokumentach:

  • Procedura nadawania/zmiany/odbierania uprawnień dla użytkownika w systemie informatycznym stanowi załącznik nr 4 do PODO;
  • Procedura zmiany haseł w systemach informatycznych oraz zarządzania danymi wykorzystywanymi do uwierzytelnienia stanowi załącznik nr 5 do PODO.

 

Rozdział 9.  Korzystanie z systemów informatycznych, poczty elektronicznej oraz tworzenie kopii zapasowych

 

  • 14.

Szczegółowe procedury dotyczące korzystania z systemów informatycznych, poczty elektronicznej oraz tworzenia kopii zapasowych:

  • Zasady zabezpieczenia danych osobowych na stanowisku pracy stanowią załącznik nr 6 do PUODO.
  • Zasady pracy z pocztą elektroniczną stanowią załącznik nr 7 do PODO;

Rozdział 10. Relacje z dostawcami, którzy uzyskują dostęp do danych osobowych Jastim

 

  • 15.

Szczegółowa procedura ochrony danych osobowych w relacjach z dostawcami Jastim stanowi załącznik nr 8 do PODO.

Rozdział 11. Sposób postępowania przy naruszeniu ochrony danych osobowych

 

  • 16.

Szczegółowa procedura dotycząca zgłaszania naruszeń / zarządzania zdarzeniami związanymi z bezpieczeństwem danych osobowych (zasady dotyczące zgłaszania incydentów) stanowi załącznik nr 9 do PODO.

Rozdział 12. Prawa podmiotów danych osobowych

  • 17.

Szczegółowa procedura obsługi wniosków podmiotów danych stanowi załącznik nr 10 do PODO.

Rozdział 13. Nadawanie upoważnień do przetwarzania danych

  • 18.

Szczegółowa procedura dotycząca nadawania upoważnień do przetwarzania danych osobowych stanowi załącznik nr 11 do PODO.

Rozdział 14. Projektowanie nowych procesów

  • 19.

Szczegółowa procedura dotycząca projektowania nowych procesów stanowi załącznik nr 12 do PODO.

Rozdział 15. Retencja danych

  • 20.

Wytyczne dotyczące wewnętrznych okresów przechowywania danych stanowią załącznik nr 13 do PODO.

 

Rozdział 16. Szkolenia i edukacja

 

  • 21.
  • Pracownicy i współpracownicy Jastim w zakresie odpowiednim do swoich zadań i obowiązków są zobowiązani znać treść niniejszej PODO oraz wskazanych w niej załączników.
  • Pracownicy i współpracownicy Jastim powinni zostać poinformowani o zakresie odpowiedzialności i obowiązków wynikających z niniejszej PODO wraz z konsekwencjami prawnymi i dyscyplinarnymi w przypadku jej naruszenia.
  • Wszyscy pracownicy i współpracownicy Jastim zobligowani są do uczestnictwa w szkoleniach dotyczących ochrony danych osobowych.

 

  • 22.
  • Szkolenia w zakresie ochrony danych osobowych przeprowadza się wstępnie przed udzieleniem upoważnienia do przetwarzania danych osobowych, cyklicznie, lub w razie potrzeby, na wniosek.
  • Szczegółowe zasady dotyczące szkoleń określone zostały w załączniku nr 14 do PUODO (Procedura szkoleń pracowników/współpracowników Jastim).

Rozdział 17. Audyt

 

  • 23.
  • PODO oraz procesy zachodzące w Jastim jak również stosowana dokumentacja powinna być poddawana regularnym audytom.
  • Do przeprowadzania audytu upoważnieni są, każdy we właściwym zakresie (odpowiadającym realizowanym zadaniom służbowym):
  1. osoby zatrudnione na stanowisku audytora wewnętrznego;
  2. IOD;
  3. podmioty zewnętrzne za zgodą Zarządu Jastim.
  • Szczegółowy zakres audytu ustalany jest przez IOD i Zarząd.
  • Przeprowadzenie audytu wymaga sporządzenia jego planu, w którym określa się m.in. cel, kryteria, zakres podmiotowy i przedmiotowy.
  • Audyt zachodzących w Jastim procesów oraz stosowanej dokumentacji powinien odbyć się przynajmniej raz w roku i uwzględniać poniższe stałe elementy:
  1. przegląd wszystkich lub poszczególnych procesów;
  2. analizę stosowanej w organizacji dokumentacji w odniesieniu do wszystkich lub poszczególnych procesów;
  3. analizę kluczowych dokumentów, do prowadzenia których zobowiązany jest Jastim (rejestr upoważnień, rejestr podmiotów przetwarzających, rejestr czynności przetwarzania, rejestr kategorii czynności przetwarzania, rejestr naruszeń).
  • Wyniki audytu przedstawia się Inspektorowi Ochrony Danych (jeśli nie przeprowadzał tego audytu) oraz Zarządowi Jastim .
  • Jeżeli przeprowadzony przez IOD audyt wykaże określone niezgodności w odniesieniu do poszczególnych procesów zachodzących w Jastim czy stosowanej dokumentacji, komórką odpowiedzialną za usunięcie wskazanych niezgodności jest Zarząd.
  • IOD współpracuje z Zarządem przy usuwaniu, ujawnionych w trakcie audytu, niezgodności, o których mowa w pkt. 7 powyżej.

Rozdział 18. Przegląd i aktualizacja PODO

 

  • 24.
  • Przegląd PODO powinien być dokonywany co najmniej raz do roku z zastrzeżeniem postanowień ust. 2.
  • W przypadku wystąpienia znaczących zmian powinien być przeprowadzany przegląd doraźny, którego celem będzie weryfikacja zasad i ewentualne dostosowanie PODO do zmian środowiska organizacyjnego, warunków biznesowych, środowiska technicznego, a także w zakresie zachowania zgodności z przepisami powszechnie obowiązującego prawa.
  • Za aktualizację PODO odpowiedzialność ponosi wyznaczony w Jastim IOD.
  • Wszelkie zmiany w niniejszej Polityce wymagają akceptacji IOD.

   IV.            Załączniki

Integralną częścią niniejszej polityki są następujące załączniki:

  • Zadania i status Inspektora Ochrony Danych;
  • Schemat osób funkcyjnych w systemie ochrony danych osobowych;
  • Zasady korzystania z systemów informatycznych oraz z przydzielonego sprzętu służbowego, elektronicznych nośników informacji oraz regulamin pracy zdalnej;
  • Procedura nadawania/zmiany/odbierania uprawnień dla użytkownika w systemie informatycznym;
  • Procedura zmiany haseł w systemach informatycznych oraz zarządzania danymi wykorzystywanymi do uwierzytelnienia;
  • Zasady zabezpieczenia danych osobowych na stanowisku pracy;
  • Zasady pracy z pocztą elektroniczną;
  • Procedura ochrony danych osobowych w relacjach z dostawcami;
  • Zasady dotyczące zgłaszania incydentów;
  • Procedura obsługi wniosków podmiotów danych;
  • Procedura nadawania upoważnień do przetwarzania danych osobowych;
  • Procedura projektowania nowych procesów (uwzględniające zasady privacy by default, privacy by design);
  • Wytyczne dotyczące wewnętrznych okresów przechowywania danych;
  • Procedura szkoleń pracowników i współpracowników Jastim