Polityka ochrony danych osobowych

Polityka ochrony danych osobowych

TeTaWORK

Niniejszy dokument stanowi zestawienie zasad mających na celu zapewnienie bezpieczeństwa danych osobowych w spółce TeTa.Work spółka z ograniczoną odpowiedzialnością (zwanej dalej „Spółką” lub „TeTaWork”).

Celem przyjęcia niniejszego dokumentu, zwanego dalej Polityką Ochrony Danych Osobowych lub Polityką, jest zapewnienie spójności procesu przetwarzania danych osobowych z wymogami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia  2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej zwanego „RODO”), polskiej Ustawą o ochronie danych osobowych z dn. 10 maja 2018 r. i innych powszechnie obowiązujących aktów prawa z zakresu ochrony danych osobowych.

W związku z wagą zagadnienia ochrony danych osobowych, Spółka TeTaWork przyjmuje

niniejszą regulację, aby zapewnić możliwie najpełniejszy zakres ochrony danych osobowych

przez siebie przetwarzanych.

Mając na uwadze specyfikę przepisów oraz wypływający z nich model oddolnego budowania bezpieczeństwa danych Spółka TeTaWork oczekuje od wszystkich współpracujących z nią podmiotów, dla których niniejsza Polityka będzie wiążąca, aby w codziennej działalności przestrzegały zaleceń zawartych w niniejszym dokumencie, przepisach prawa oraz w standardach bezpieczeństwa danych osobowych, które mogą być komunikowane przez Spółkę drogą elektroniczną w trakcie obowiązywania niniejszej Polityki.

TeTaWork w niniejszej Polityce wdraża zasady RODO w zakresie Privacy by default i Privacy by design. Z zasady privacy by default wynika obowiązek, stanowiący, iż każdy oferowany produkt lub usługa świadczona w ramach działalności Spółki powinna uwzględniać bezpieczeństwo danych osobowych jako domyślny standard oraz umożliwiać osobom indywidualnym realizację ich uprawnień gwarantowanych przepisami prawa. Privacy by design z kolei oznacza obowiązek projektowania rozwiązań technologicznych, produktów, usług lub działań operacyjnych związanych z przetwarzaniem danych osobowych w taki sposób, aby uwzględniały one ochronę danych osobowych, w tym w szczególności efektywną realizację uprawnień osób, których dane podlegają przetwarzaniu oraz sprawne reagowanie na wykryte naruszenia bezpieczeństwa danych osobowych.

Spis treści

Część I. Zbiór zasad ochrony danych osobowych………………………………………………………………………… 3

Definicje……………………………………………………………………………………………………………………. 3

Podstawowe obowiązki ………………………………………………………………………………………………………. 4

Podmiot przetwarzający …………………………………………………………………………………………….. 6

Ochrona danych osobowych ……………………………………………………………………………………….. 6

Zabezpieczenia..………………………………………………………………………………………………………… 8

Zasady przetwarzania…………………………………………………………………………………………………. 9

Usługi zewnętrzne.…………………………………………………………………………………………………… 10

Rejestr czynności przetwarzania ……………………………………………………………………………….. 11

Koordynator ds. Danych Osobowych …………………………………………………………………………. 12

Inspektor Ochrony Danych Osobowych ……………………………………………………………………… 13

Ocena Skutków dla Ochrony Danych………………………………………………………………………….. 14

Procedura zgłaszania naruszeń bezpieczeństwa danych osobowych……………………………… 14

Postanowienia końcowe..…………………………………………………………………………………………. 15

Część II. Wyjaśnienie kluczowych pojęć RODO.………………………………………………………………………. 17

i instrukcja stosowania Polityki Ochrony Danych Osobowych …………………………………………………. 17

A. Wstęp………………………………………………………………………………………………………………….. 17

B. Dane osobowe ……………………………………………………………………………………………………… 17

C. Przetwarzanie danych……………………………………………………………………………………………. 18

D. Prawna podstawa przetwarzania danych osobowych………………………………………………… 18

E. Szczególne kategorie danych…………………………………………………………………………………… 20

F. Administrator danych osobowych……………………………………………………………………………. 21

G. Podmiot przetwarzający ………………………………………………………………………………………… 21

H. Rejestr czynności przetwarzania …………………………………………………………………………….. 22

I. Inspektor Ochrony Danych………………………………………………………………………………………. 22

J. Techniczne środki ochrony danych osobowych………………………………………………………….. 24

K. Kary i sankcje………………………………………………………………………………………………………… 24

L. Dobre praktyki i standardy techniczne………………………………………………………………………. 25

Załącznik nr 1.………………………………………………………………………………………………………….. 29

Formularz zgłoszenia wykrytego naruszenia bezpieczeństwa danych / podejrzenia

naruszenia bezpieczeństwa danych*…………………………………………………………………………… 29

Załącznik 2………………………………………………………………………………………………………………. 30

Urzędowy formularz zgłoszenia naruszenia………………………………………………………………….. 30

Część I. Zbiór zasad ochrony danych osobowych

§1

Definicje

Ilekroć w Polityce bezpieczeństwa mowa jest o:

1. Administratorze danych, rozumie się przez to pierwotny podmiot przetwarzający dane osobowe na własny rachunek i we własnym imieniu, decydujący o celach, sposobach i zakresie przetwarzania danych osobowych (dalej także jako „Administrator”);

2. Podmiocie przetwarzającym, rozumie się przez to podmiot przetwarzający dane wtórnie, z polecenia i upoważnienia Administratora danych, stosując się do instrukcji Administratora i działając na podstawie pisemnej umowy powierzenia przetwarzania danych osobowych;

3. Subprocesorze, rozumie się przez to Podmiot przetwarzający dane osobowe wtórnie, z upoważnienia Podmiotu przetwarzającego, za zgodą Administratora danych;

4. Podwykonawcy, rozumie się przez to osoby zatrudnione przez TeTaWork na umowach o współpracy biznesowej (B2B);

5. Danych osobowych, rozumie się przez to wszelkie informacje, symbole, zdjęcia i inne dane pozwalające na zidentyfikowanie konkretnej osoby fizycznej;

6. Zbiorze danych osobowych, rozumie się przez to usystematyzowanym zestawie danych osobowych, bez względu na jego spójność tudzież rozproszenie;

7. Czynnościach przetwarzania, rozumie się przez to wszelkie operacje przeprowadzane na danych osobowych, w szczególności ich gromadzenie, zapisywanie, modyfikowanie i usuwanie;

8. Rejestrze czynności przetwarzania, rozumie się przez to rejestr w rozumieniu przepisów RODO, zawierającym informacje o podejmowanych czynnościach przetwarzania, podstawach przetwarzania, osobach, których dane dotyczą, kategoriach danych i planowanym czasie zakończenia przetwarzania;

9. Podstawie przetwarzania, rozumie się przez to prawnie relewantne uzasadnienie przetwarzania danych, wymienione w zamkniętym katalogu ustawowym w RODO, to jest zgodę osoby, której dane dotyczą, realizację zobowiązań umownych, ochronę żywotnych interesów osób fizycznych, realizację obowiązku prawnego, realizację interesu publicznego oraz realizację prawnie uzasadnionego interesu Administratora;

10. Zgodzie, rozumie się przez to jedną z uznanych przepisami prawa podstaw przetwarzania, daną dobrowolnie i w sposób wyraźny, która może być wycofana w dowolnym

momencie;

11. Realizacji umowy, rozumie się przez to jedną z wymienionych w RODO podstaw prawnych przetwarzania, polegającą na realizacji zobowiązań umownych wiążących się z koniecznością przetwarzania danych osobowych;

12. Ochronie żywotnych interesów osoby fizycznej, rozumie się przez to podstawę przetwarzania danych służącą ochronie życia lub zdrowia osób fizycznych;

13. Realizacji obowiązku prawnego, rozumie się przez to podstawę przetwarzania, która ma zastosowanie, gdy przetwarzanie danych osobowych jest konieczne ze względu na wymogi obowiązującego prawa;

14. Realizacji interesu publicznego, rozumie się przez to podstawę prawną przetwarzania stosowaną w przypadkach, gdy przetwarzanie danych osobowych jest koniecznym działaniem w interesie społecznym;

15. Realizacji prawnie uzasadnionego interesu Administratora, rozumie się przez to podstawę prawną przetwarzania aktualizującą się w momencie przetwarzania danych dla celów interesów Administratora danych, które to interesy muszą być miarkowane wobec interesów osób, których dane dotyczą;

16. Organach nadzoru, rozumie się przez to kompetentne w zakresie ochrony danych osobowych organy państwowe, w szczególności Prezesa UODO;

17. Dniu roboczym, rozumie się przez to dzień niebędący świętem państwowym lub dniem ustawowo wolnym od pracy. Jako dzień roboczy traktuje się również dni przypadające w trakcie urlopów i innych przypadków, w których określony podwykonawca nie prowadzi działań zleconych przez Spółkę TeTaWork;

18. Odpowiednim stosowaniu, rozumie się przez to zastosowanie określonych przepisów w sposób dostosowany do realiów sytuacji, jednakże możliwie zbliżony do oryginalnego brzmienia i celu przepisów.

Dział I

Podstawowe obowiązki

§2

1. W zależności od zakresu przetwarzania danych osobowych oraz podstawy prawnej ich przetwarzania (w tym w szczególności w zależności od treści umów dot. świadczenia usług oraz umów o powierzenie przetwarzania danych osobowych) – TeTaWork będzie pełnić rolę Administratora lub Podmiotu przetwarzającego; w niektórych sytuacjach może pełnić rolę Subprocesora.

2. Za bezpieczeństwo danych osobowych odpowiada Administrator oraz – w zakresie powierzenia danych osobowych – Podmiot przetwarzający lub Subprocesor. Do zadań Administratora należy uzyskanie i wykazanie posiadania należytej podstawy przetwarzania jak również zagwarantowanie należytego poziomu ochrony danych przez Podmioty przetwarzające, którym powierzane są dane osobowe.

§3

1. Spółka prowadzi Rejestr czynności przetwarzania, w którym uwzględnia podejmowane czynności przetwarzania danych osobowych, z wyszczególnieniem istotnych informacji dotyczących każdej z takich czynności wymaganych przepisami prawa.

2. Jeśli Spółka powierza przetwarzanie danych osobowych innym podmiotom, powinny one prowadzić własny Rejestr czynności przetwarzania – co najmniej w odniesieniu do danych osobowych powierzonych przez TeTaWork, także jeśli nie podlegają z mocy prawa obowiązkowi prowadzenia tej dokumentacji.

3. Spółka przyjęła Politykę prywatności dostępną na stronie internetowej pod linkiem www.tal.work/polityka-ochrony-danych-osobowych .

§4

Administrator, Podmiot przetwarzający i Subprocesor stosują należyte środki ochrony danych osobowych w szczególności środki techniczne i organizacyjne.

§5

1. Administrator określa zakres, cele i sposoby przetwarzania danych w stosunku do danych powierzanych Podmiotom przetwarzającym. Administrator może również określić, jakie środki ochrony danych osobowych powinien przyjąć Podmiot przetwarzający.

2. Przez określenie zakresu przetwarzania rozumie się w szczególności wskazanie jakie konkretnie dane mają lub mogą być przetwarzane. Wskazanie to może przyjąć formę określenia rodzaju i kategorii danych, kategorii osób, których dane dotyczą, jak również kategorii odbiorców danych, jeżeli dane mają być udostępniane.

3. Określając cele przetwarzania Administrator wskazuje w szczególności na podstawy przetwarzania oraz powody, dla których dane są przetwarzane.

4. Wskazując sposoby przetwarzania Administrator wskazuje dopuszczalne czynności przetwarzania, które Podmiot przetwarzający może podejmować dla danej grupy danych. Określając sposoby przetwarzania Administrator może również wskazać na sugerowane lub wymagane środki ochrony danych osobowych.

§6

W sytuacjach spornych Administrator ma wyłączne prawo dokonywania wiążącej wykładni przepisów niniejszej Polityki Ochrony Danych Osobowych. Dokonywane przez Administratora interpretacje wybranych przepisów są załączone do niniejszej Polityki. Wykładnia ta nie może być sprzeczna z wiążącymi przepisami prawa oraz ich wykładnią dokonywaną przez kompetentne urzędy i sądy.

Dział II

Podmiot przetwarzający

§7

W rozumieniu niniejszej Polityki wszyscy Podwykonawcy Spółki będący członkami jej zespołu programistów i usługodawców z zakresu marketingu, księgowości i administracji mają status Podmiotów przetwarzających.

§8

Podmiot przetwarzający przetwarza dane osobowe jedynie w celu i zakresie wskazanym przez Spółkę. Podmiot przetwarzający zapewnia bezpieczeństwo danych osobowych stosując należyte środki ochrony, w szczególności te wskazane przez Administratora danych.

§9

Podmiot przetwarzający może powierzyć dalsze przetwarzanie danie osobowych jedynie za pisemnym pozwoleniem Administratora. Pozwolenie takie może być uzależnione od spełnienia określonych warunków przez Podmiot przetwarzający lub przez wskazanego Subprocesora.

Dział III

Ochrona danych osobowych

§10

1. Poprzez ochronę danych osobowych rozumie się w szczególności zapewnienie poufności danych osobowych oraz utrzymania ich integralności i podjęcie środków techniczno-organizacyjnych pozwalających zapewnić bezpieczeństwo danych osobowych.

Poufność danych rozumiana jest jako wykluczenie dostępu osób trzecich do przetwarzanych danych. Integralność danych osobowych polega na zagwarantowaniu kompletności przetwarzanych danych osobowych oraz ich poprawności.

2. Ochrona danych osobowych powinna być uwzględniana nie tylko przy wykonywaniu bieżących czynności, ale również na etapie projektowania nowych rozwiązań, usług i produktów.

3. Każde nowe rozwiązanie, produkt lub usługa powinny mieć ustawioną jako domyślną konfigurację zapewniającą maksymalny poziom ochrony danych osobowych, jeżeli dla danego rozwiązania, produktu lub usługi przewidziane są różne poziomy ochrony danych.

§11

1. Osoby, których dane dotyczą mogą korzystać z przysługujących im praw. Realizacja tych uprawnień spoczywa zarówno na Administratorze jak i Podmiocie przetwarzającym.

2. Do praw osób, których dane dotyczą należą:

a. Prawo dostępu do danych

b. Prawo modyfikowania danych

c. Prawo do otrzymania danych w czytelnym formacie

d. Prawo do przeniesienia danych osobowych do innego Podmiotu przetwarzającego

e. Prawo sprzeciwu wobec przetwarzania

f. Prawo żądania ograniczenia przetwarzania

g. Prawo żądania usunięcia danych

§12

1. W razie wpłynięcia żądania udostępnienia danych osobowych w czytelnym formacie Podwykonawca ma obowiązek przygotować zestawienie wszystkich danych osobowych osoby wnoszącej żądanie przetwarzanych przez siebie. Zestawienie to należy przedstawić w jednym z następujących formatów:

a. PDF

b. Doc

c. Docx

d. Rtf

e. Txt

2. Jeżeli dane, o których mowa w ust. 2 mają formę plików graficznych należy przedstawić je w jednym z następujących formatów:

a. Jpg

b. Png

c. Gif

3. Jeżeli dane, o których mowa w ust. 2 mają formę plików video należy je przedstawić w jednym z następujących formatów:

a. Mp4

b. Avi

c. Mov

d. mpg

4. Zestawienie, o którym mowa w ust.1 należy przesłać Spółce na adres Al. Piastów 22, 71-064 Szczecin

§13

Postanowienia §12 stosuje się odpowiednio w sytuacji wpłynięcia żądania przeniesienia danych osobowych do innego podmiotu.

§14

W przypadku wpłynięcia żądania sprostowania danych osobowych każdy Podwykonawca ma obowiązek zlokalizować dane osoby wnoszącej żądanie i wprowadzić wskazane modyfikacje.

§15

W przypadku wpłynięcia sprzeciwu wobec przetwarzania danych osobowych, żądania ograniczenia przetwarzania lub żądania usunięcia danych osobowych każdy podwykonawca ma obowiązek zlokalizować dane objęte wnioskiem i zwrócić się do Administratora danych osobowych po dalsze instrukcje. Decyzja o zaprzestaniu lub ograniczeniu przetwarzania danych osobowych, lub ich usunięciu jest wyłączną kompetencją Administratora.

§16

Obowiązki, o których mowa w §11 i następnych należy wykonać w terminie zgodnym z Rozporządzeniem RODO.

Dział IV

Zabezpieczenia

§17

Administrator i Podmiot przetwarzający stosują techniczne i organizacyjne środki zabezpieczeń. Wśród środków technicznych stosuje się zabezpieczenia fizyczne w postaci zamków i szaf pancernych oraz środki elektroniczne takie jak programy antywirusowe, oprogramowania szyfrujące, czy hasła zabezpieczeń. Środki organizacyjne to w szczególności wewnętrzne procedury ograniczające dostęp do danych osobowych.

§18

Każdy Podwykonawca ma obowiązek stosowania się do następujących zasad bezpieczeństwa:

1. Przetwarzanie danych osobowych powinno być samodzielnie ograniczane do minimalnego poziomu niezbędnego do wykonania poleconego zadania, w związku, z którym dane są przetwarzane. Na wypadek stwierdzenia przez Podwykonawcę przekroczenia zakresu powierzenia danych niezbędnych do wykonania danego zadania należy niezwłocznie, lecz nie później niż w ciągu 2 godzin od wykrycia zgłosić ten fakt Administratorowi. Jeżeli określony termin przypada na okres po zakończeniu wykonywania zadań w danym dniu zgłoszenia należy dokonać niezwłocznie następnego dnia roboczego. Ostateczna weryfikacja zasadności zakresu powierzenia danych osobowych należy do Administratora.
2. Wszelkie wątpliwości i wnioski w zakresie przetwarzania danych osobowych powinny by niezwłocznie zgłaszane Administratorowi. W wypadku wykrycia zagrożenia na komputerze, z którego uzyskiwany jest dostęp do danych należy natychmiast odciąć połączenie z Internetem. Komputer powinien zostać ponownie uruchomiony w trybie bezpiecznym i przeskanowany przy użyciu programu antywirusowego (instrukcja obowiązująca dla systemu Windows®, w przypadku innych systemów operacyjnych należy podjąć czynności zalecane przez producentów oprogramowania). Zgłoszenie zagrożenia w rozumieniu ustępu 2 §10 niniejszej Polityki powinno nastąpić w przeciągu 2 godzin od wykrycia. Jeżeli powyższy termin wypada na okres po zakończeniu pracy w danym dniu zgłoszenie należy przesłać niezwłocznie następnego dnia roboczego w rozumieniu §1 niniejszej Polityki, nie później jednak niż w ciągu 2 godzin od rozpoczęcia pracy w tym dniu.
3. Wszystkie wykryte naruszenia bezpieczeństwa danych muszą być niezwłocznie zgłaszane Administratorowi. Postanowienia ustępu poprzedzającego stosuje się odpowiednio w przypadku podejrzenia naruszenia bezpieczeństwa, którego nie udało się jednak potwierdzić.
4. Załącznik nr 1 do niniejszej Polityki zawiera wzór zgłoszenia wykrytego naruszenia lub podejrzenia naruszenia bezpieczeństwa danych osobowych.

Dział V

Zasady przetwarzania

§19

Wszyscy Podwykonawcy zobowiązani są do przestrzegania poniższych zasad:

1. Dyski komputerów służących do przetwarzania danych osobowych podlegają szyfrowaniu. Dysk należy zaszyfrować przed przystąpieniem do wykonywania zadań wiążących się z przetwarzaniem danych osobowych.
2. Urządzenia mobilne służące do uzyskiwania dostępu do serwisów, przy użyciu których przetwarzane są dane osobowe podlegają szyfrowaniu i zabezpieczeniu hasłem. Postanowienia ustępu poprzedzającego stosuje się odpowiednio.
3. Wszystkie komputery służące do przetwarzania danych osobowych muszą mieć zainstalowane aktualne oprogramowanie antywirusowe.
4. Oprogramowanie antywirusowe, o którym mowa w ust. 3 powinno być regularnie, lecz nie rzadziej niż raz w tygodniu aktualizowane. Bazy wirusów powinny być aktualizowane nie rzadziej niż raz dziennie. Postanowień powyższych nie stosuje się, gdy wydawca oprogramowania nie wypuści aktualizacji.
5. Opuszczając stanowisko komputerowe służące przetwarzaniu danych należy zablokować komputer. Blokada komputera powinna być skonfigurowana w sposób wymagający podania hasła dostępu przy odblokowywaniu. Do hasła służącego odblokowywaniu stosuje się postanowienia ust. 6 i 7.
6. Komputery służące do przetwarzania danych osobowych powinny mieć wprowadzone zabezpieczenie hasłem dostępu do systemu BIOS. Postanowienie niniejsze stosuje się analogicznie w przypadku komputerów operujących na systemie UEFI, jeżeli producent zapewnia dostęp do ustawień systemowych.
7. Wszystkie hasła dostępu generowane będą w aplikacji 1password.
8. Zakazane jest zapisywanie haseł poza aplikacją 1password.
9. Korzystanie z opcji autentykacji dwuetapowej jest obowiązkowe w każdej oferującej taką możliwość usłudze i aplikacji.

§20

1. Ogranicza się dostęp Podwykonawców do danych osobowych przetwarzanych w aplikacjach i usługach do zakresu niezbędnego dla realizacji bieżących zadań.
2. Postanowienie ustępu 1 nie ma zastosowania w przypadku zgłoszenia prośby o dostęp do danych osobowych.
3. Postanowienia ust. 2 stosuje się w związku z postanowieniami §12 ust.1.

§21

W razie zgłoszenia żądania usunięcia danych osobowych przez osobę, której dane dotyczą każdy Podwykonawca zobowiązany jest usunąć w terminie wskazanym przez Administratora wszelkie kopie przedmiotowych danych, w szczególności dane przechowywane w ramach poczty mailowej i kopii zapasowych na dysku komputera, innych urządzeniach lub nośnikach.

§22

1. W przypadku wniesienia żądania ograniczenia przetwarzania danych, na czas ustalenia zasadności żądania ogranicza się przetwarzanie danych osoby wnoszącej wniosek do zakresu wskazanego poniżej.

2. W trakcie ograniczenia przetwarzania, dane osobowe osoby zgłaszającej wniosek są przechowywane przez TeTaWork, zawieszeniu podlegają natomiast aktywne formy przetwarzania danych.

3. Postanowień punktu 2 nie stosuje się w zakresie, w którym istnieje ważna podstawa prawna przetwarzania w postaci obowiązku prawnego lub ochrony żywotnych interesów osób fizycznych.

4. Postanowienia punktu 3 stosuje się odpowiednio w przypadku zaistnienia obowiązków natury prawnej powiązanych z przetwarzaniem danych osobowych opartych o pozostałe podstawy przetwarzania, w szczególności w wypadku wystąpienia terminów realizacji czynności związanych z przetwarzaniem danych.

Dział VI

Usługi zewnętrzne

§23

Podjęcie współpracy z usługodawcą zewnętrznym, w ramach której ma dojść do powierzenia przetwarzania danych osobowych, dopuszczalne jest po ustaleniu zgodności działalności usługodawcy z przepisami RODO oraz powiązanych z nim przepisów prawa powszechnie obowiązującego.

§24

1. Usługodawcy działający z obszaru Europejskiego Obszaru Gospodarczego korzystają z domniemania zgodności działalności z przepisami RODO.

2. Usługodawcy działający z obszaru Stanów Zjednoczonych korzystają z częściowego domniemania zgodności działań z przepisami RODO na podstawie SCC. Do pełnego wykazania zgodności działalności usługodawcy z przepisami należy przeprowadzić analizę jego dokumentów określających tematykę ochrony danych osobowych.

3. W przypadku usługodawców operujących spoza obszarów wskazanych w punktach 1 i 2 wymagane jest wykazanie pełnej zgodności działań z przepisami RODO. Wykazanie zgodności przeprowadza się przez analizę dokumentów usługodawcy dotyczących ochrony danych osobowych oraz zwrócenie się do usługodawcy o przedstawienie stanowiska dotyczącego kompatybilności działalności z przepisami RODO.

§25

Ostateczną odpowiedzialność za zgodność działań usługodawcy z przepisami RODO ponosi TeTaWork.

§26

Nawiązanie współpracy z usługodawcą zewnętrznym może nastąpić jedynie na podstawie pisemnej umowy regulującej wzajemne zobowiązania i uprawnienia (Umowa powierzenia przetwarzania danych osobowych). Umowa powinna w szczególności określać zakres obowiązków usługodawcy oraz uprawnienia kontrolne TeTaWork i spełniać wymogi określone w RODO i powiązanych z nim przepisach prawa powszechnie obowiązującego.

Dział VII

Rejestr czynności przetwarzania

§27

1. Administrator zobowiązany jest prowadzić Rejestr czynności przetwarzania dla każdej podejmowanej przez siebie czynności przetwarzania. Rejestr ten powinien w szczególności zawierać informacje o:

1. Czynności przetwarzania, pozwalającej na hasłowe jej zidentyfikowanie;
   1. Kategorii danych będących przedmiotem danej czynności;
   1. Podstawie prawnej przetwarzania;
   1. Planowanym czasie zakończenia przetwarzania;
   1. Celu przetwarzania;
   1. Kategoriach osób, których dane dotyczą;
   1. Organizacyjnych i technicznych środkach zabezpieczeń;

2. Rejestr czynności przetwarzania może zawierać ponadto informacje o:

1. Danych współadministratora, jeżeli taki występuje;
   1. Danych Podmiotu przetwarzającego, jeżeli powierzono dane do dalszego przetwarzania;
   1. Kategorii odbiorców, jeżeli dane są udostępniane;
   1. Transferze zagranicznym lub do organizacji międzynarodowej, jeżeli taki transfer danych ma miejsce;
   1. Innych zagadnieniach, jeżeli Administrator uzna ich zamieszczenie za konieczne.

§28

Administrator zapewnia dostęp do Rejestru czynności przetwarzania wszystkim Podwykonawcom, którzy wyrażą takie życzenie.

§29

1. Administrator może nałożyć na Podwykonawcę obowiązek prowadzenia własnego Rejestru czynności przetwarzania. Obowiązek ten powinien być ujęty w umowie regulującej wzajemne stosunki między Administratorem a Podwykonawcą.

2. Nakładając na Podwykonawcę wspomniany w ust. 1 obowiązek Administrator wskazuje w szczególności jaką formę ma przyjąć Rejestr czynności przetwarzania oraz jakie elementy powinny być w nim zawarte.

3. Postanowienia punktu 1 i 2 pozostają bez uszczerbku dla postanowień §3 niniejszej Polityki.

Dział VII

Koordynator ds. Danych Osobowych

§30

TeTaWork powołuje Panią/ Pana Tomasza Zembrzyckiego na funkcję Koordynatora ds. Danych Osobowych (dalej: KDO).

§31

Do zadań KDO należy:

1. Nadzorowanie standardów bezpieczeństwa utrzymywanych przez TeTaWork i jej Podwykonawców;
2. Opiniowanie czynności podejmowanych przez TeTaWork pod względem bezpieczeństwa danych osobowych;
3. Występowanie w roli osoby kontaktowej na między TeTaWork a organami administracji publicznej właściwymi dla ochrony danych osobowych oraz między TeTaWork a osobami indywidualnymi, których dane podlegają przetwarzaniu przez TeTaWork;
4. Informowanie Podwykonawców TeTaWork o ich prawach i obowiązkach w zakresie ochrony danych osobowych;
5. Przeprowadzanie analiz bieżącej działalności TeTaWork pod względem bezpieczeństwa danych osobowych;
6. Prowadzenie Rejestru Czynności Przetwarzania i Oceny Skutków dla Ochrony Danych.

§32

TeTaWork może określić inne zadania i obowiązki Koordynatora ds. Danych Osobowych. Zmiany te należy wprowadzić do niniejszej Polityki na zasadach ogólnych.

§33

W przypadku jego powołania, IODO zastępuje KDO i przejmuje jego funkcje.

Dział VIII

Inspektor Ochrony Danych Osobowych

§34

1. TeTaWork może podjąć decyzję o powołaniu Inspektora Ochrony Danych Osobowych (IODO).
2. Na pozycję IODO można powołać osobę posiadającą wiedzę i doświadczenie w zakresie ochrony danych osobowych.
3. Na pozycję IODO można powołać osobę spoza struktury TeTaWork jak również osobę już związaną ze Spółką.
4. IODO w zakresie swoich obowiązków raportuje do Zarządu Spółki.

§35

TeTaWork jest zobowiązany do powołania IODO w następujących przypadkach:

1. Działalność prowadzona przez TeTaWork nabierze charakteru regularnego i systematycznego monitorowania danych osobowych na dużą skalę;
2. Działalność prowadzona przez TeTaWork nabierze charakteru przetwarzania na dużą skalę szczególnych kategorii danych osobowych lub danych dotyczących wyroków skazujących i naruszeń prawa.

§36

Powołując IODO TeTaWork zgłasza ten fakt odpowiednim organom nadzoru na zasadach określonych w przepisach prawa. Zgłoszenie powinno nastąpić w terminie 14 dni od powołania IODO.

§37

Do obowiązków IODO należy w szczególności:

1. Opiniowanie czynności TeTaWork pod względem bezpieczeństwa danych osobowych;
2. Badanie zgodności bieżącej działalności TeTaWork ze standardami ochrony danych osobowych oraz dbanie o informowanie oraz szkolenie zespołu Podwykonawców Spółki z zakresu danych osobowych w celu zapewnienia aktualnego stanu wiedzy w tym zakresie, w szczególności odnośnie do dobrych praktyk i wymogów techniczno-organizacyjnych w zakresie ochrony danych osobowych;
3. Występowanie w roli osoby kontaktowej na między TeTaWork a organami administracji publicznej właściwymi dla ochrony danych osobowych oraz między TeTaWork  
4. a osobami indywidualnymi, których dane podlegają przetwarzaniu przez TeTaWork;
5. Informowanie Administratora i Podmiotów przetwarzających o ich obowiązkach w zakresie ochrony danych osobowych.

§38

Powołując IODO TeTaWork może określić dodatkowo także zadania Inspektora niewymienione w §37 niniejszej Polityki.

Dział IX

Ocena Skutków dla Ochrony Danych

§39

TeTaWork przeprowadza Ocenę Skutków dla Ochrony Danych. Ocena zawiera w szczególności:

1. Uzupełniany systematycznie opis planowanych czynności przetwarzania, z uwzględnieniem celów przetwarzania danych osobowych;
2. Gdy ma to zastosowanie opis prawnie relewantnych interesów Administratora stanowiących podstawę przetwarzania danych osobowych;
3. Ocenę ryzyka dla praw i wolności osób, których dane dotyczą;
4. Planowane rozwiązania mające zniwelować ryzyko wskazane w ustępie 3, w szczególności techniczne i organizacyjne środki zabezpieczeń danych osobowych oraz środki wykazywania zgodności podejmowanych działań z przepisami dotyczącymi ochrony danych osobowych.

Dział X

Procedura zgłaszania naruszeń bezpieczeństwa danych osobowych

§40

1. Realizując obowiązek ustawowy TeTaWork zgłasza wykryte naruszenia bezpieczeństwa danych osobowych do kompetentnego organu krajowego. Na chwilę przyjęcia niniejszej Polityki organem kompetentnym jest Prezes Urzędu Ochrony Danych Osobowych (PUODO).
2. Termin, w którym ma nastąpić zgłoszenie wskazane w ust. 1 wynosi 72 godziny liczone od momentu wykrycia naruszenia.
3. Zgłoszenia dokonuje osoba oddelegowana w tym celu przez TeTaWork, którą na

moment uchwalenia niniejszej Polityki jest Tomasz Zembrzycki.

• Zgłoszenia dokonuje się przy wykorzystaniu interaktywnego formularza dostępnego

na stronie uodo.gov.pl

Dział XI

Postanowienia końcowe

§41

1. Każde naruszenie praw dotyczących ochrony danych osobowych Podwykonawców może być zgłoszone do właściwego organu nadzorczego, którym na moment przyjmowania niniejszej Polityki jest PUODO.
2. Zgłoszenia do PUODO można zanosić osobiście jak również wysyłać pocztą na adres Stawki 2, 00-193 Warszawa. Biuro podawcze otwarte jest w godzinach 8-16 od poniedziałku do piątku.
3. Zgłoszenia można dokonać również za pomocą infolinii 606-950-000 otwartej w dni robocze w godzinach 10-13, faxu 22 531 03 01, telefonicznie pod numerem 22 531 03 00 oraz mailowo pod adresem kancelaria@uodo.gov.pl
4. Zgłoszeń można dokonywać elektronicznie, przy wykorzystaniu platform ePUAP i business.gov.pl

§42

1. Wszelkie zmiany w niniejszej Polityce mają być wprowadzane w zgodzie z następującymi zasadami:
   1. Każdorazowe wprowadzenie zmian w Polityce wymaga zmiany §29 poprzez wprowadzenie doń ust. następującej treści „Polityka została zmodyfikowana po raz ostatni dnia [.].”
   1. Zmiany redakcyjne w treści niniejszej polityki polegające na dodaniu nowego paragrafu, ustępu lub litery przeprowadza się z zachowaniem dotychczasowej numeracji jednostek redakcyjnych. Nowe paragrafy wprowadza się poprzez powtórzenie numeru paragrafu poprzedzającego i dodanie litery alfabetu. W przypadku kolejnych zmian dodaje się kolejne litery alfabetycznie. Zmiany wprowadzane pomiędzy zmienionymi jednostkami redakcyjnymi oznaczonymi dodatkowymi literami zaznacza się poprzez powtórzenie numeru i litery poprzedzającego paragrafu i dodanie symbolu ‘.
   1. Postanowienia lit. b stosuje się odpowiednio w przypadku zmian wprowadzanych w strukturze redakcyjnej paragrafu, z pominięciem sytuacji dodania ustępu bądź litery będącej ostatnią w ramach danej jednostki redakcyjnej. W takim przypadku nadaje się jej oznaczenie spójne z numeracją danej jednostki redakcyjnej będące chronologicznie następną liczbą lub alfabetycznie następną literą.

§43

1. Niniejsza Polityka Ochrony Danych Osobowych wchodzi w życie z dniem 1.08.2022.

2. Niniejsza Polityka stanowi tekst jednolity przyjęty i aktualny na dzień 1.08.2022.

Część II. Wyjaśnienie kluczowych pojęć RODO i instrukcja stosowania Polityki Ochrony Danych Osobowych

A. Wstęp

Poniższa instrukcja ma za zadanie przybliżyć w sposób praktyczny metody postępowania z danymi osobowymi osobom, których dotyczą przepisy Polityki Ochrony Danych Osobowych. Zawarte w niej komentarze objaśniają pojęcia, wskazują sposoby realizacji obowiązków płynących z zawartych powyżej przepisów oraz wskazują na dobre praktyki, służące ochronie bezpieczeństwa danych. Jednakże informacje te nie wyczerpują tematu ochrony danych osobowych ani wymogów stawianych przez RODO i nie mogą zastąpić konsultacji prawnej w tym zakresie – mają jedynie na celu ułatwienie interpretacji i stosowania Polityki Ochrony Danych Osobowych.

B. Dane osobowe

Kluczowym dla wypracowania odpowiednich praktyk ochrony danych jest zrozumienie czym są dane osobowe. Danymi osobowymi w rozumieniu przepisów RODO są takie informacje, które pozwalają na

zidentyfikowanie na ich podstawie konkretnej osoby. Tak przyjęta definicja oznacza, że ocenę tego, czy dany rodzaj informacji należy zaklasyfikować jako dane osobowe trzeba przeprowadzać z osobna dla każdej analizowanej sytuacji. Przykładowo popularne imię nie będzie daną osobową, gdyż samo w sobie nie pozwala na wskazanie konkretnej osoby, której dotyczy.

Natomiast połączenie tej informacji z dodatkowym kontekstem (np. miejsce zamieszkania, zawód, nazwisko, numer PESEL, data urodzenia, lokalizacja geograficzna w określonym czasie, udział w określonym wydarzeniu, ID internetowe/ login, ID urządzenia, numer karty SIM, numer telefonu etc.) już na taką identyfikację pozwala, co wiąże się z koniecznością zakwalifikowania tej informacji jako danej osobowej.

W ramach danych osobowych wskazano na pewne szczególne kategorie danych osobowych, które ze względu na potencjalne konsekwencje dla osób, których dotyczą na wypadek ich wypłynięcia objęte zostały ogólnym zakazem przetwarzania. RODO zawiera katalog takich kategorii danych, wymieniając dane natury medycznej, informacje o seksualności czy też preferencjach seksualnych, poglądach filozoficznych, religijnych, politycznych, pochodzeniu rasowym lub etnicznym, przynależności do związków zawodowych oraz danych biometrycznych służących ostatecznemu zidentyfikowaniu osoby. Ogólny zakaz wspomniany powyżej nie jest jednak zakazem bezwzględnym. RODO przewiduje wyjątki od tej zasady jak np. uzyskanie zgody osoby, której dane dotyczą. W takim wypadku na przetwarzającego nakładane są jednak dodatkowe obowiązki mające zapewnić wyższy standard bezpieczeństwa danych.

C. Przetwarzanie danych

Na początku należy sobie odpowiedzieć na pytanie, czym tak naprawdę jest przetwarzanie danych osobowych? W związku z faktem, iż przepisy RODO mają na celu zapewnienie jak najszerszej ochrony osobom, których dane dotyczą, pojęcie przetwarzania danych jest rozumiane niezwykle szeroko. Przetwarzanie danych osobowych w nowej sytuacji prawnej oznaczać będzie właściwie każdą czynność lub zaniechanie związane z danymi osobowymi. Obrazując powyższą definicję można wskazać na klasycznie rozumiane czynności przetwarzania, czyli gromadzenie danych, katalogowanie, tworzenie kategorii, korzystanie w celu uzyskania kontaktu z konkretną osobą, udostępnianie czy profilowanie. Do tych znanych już dawniej sposobów przetwarzania RODO dodajem.in. usuwanie danych, które nie powinny być usunięte oraz zaburzenie integralności danych osobowych. Zadając więc sobie pytanie, czy dane działanie, które jest podejmowane jest przetwarzaniem danych, czy też nie, można bezpiecznie przyjąć następujący model: jeżeli w jakikolwiek sposób dotknięte danym działaniem są dane osobowe, jest ono czynnością przetwarzania.

Wiedząc już czym są dane osobowe i na czym polega ich przetwarzanie, należy mieć na uwadze, że istnieje szereg wymogów, dotyczących posługiwania się tymi danymi.

D. Prawna podstawa przetwarzania danych osobowych

Zgodnie z nowymi przepisami każda czynność przetwarzania danych wymaga odpowiedniej podstawy prawnej. Podstawa prawna przetwarzania jest niczym innym jak jednym z 6 wskazanych w przepisach powodów uzasadniających przetwarzanie danych. Aby dobrze zrozumieć wagę tego zagadnienia należy zauważyć, że sytuacją domyślną w świetle przepisów jest zakaz przetwarzania danych osobowych. Jedyną drogą do legalnego przetwarzania jest wykazanie właśnie jednego z owych 6 powodów.

Zgodnie z art. 6 RODO przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy –i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
   1. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
   1. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze;
   1. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
   1. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi;
   1. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.

Pierwszą podstawą prawną wskazaną przez przepisy jest zgoda osoby, której dane dotyczą. Jest to podstawa w zasadzie najszersza, gdyż pozwala ona na przeprowadzenie w zasadzie każdej dozwolonej czynności przetwarzania. Wadą tej podstawy z perspektywy Administratorów i Podmiotów przetwarzających dane jest możliwość każdoczesnego jej wycofania. Ponadto ze względu na jej szeroki zakres, zgoda nigdy nie może być domniemana. Konieczność jasnego wykazania zgody łączy się również z zakazem jakiegokolwiek wymuszania wydania zgody. Nie ogranicza się to do tak oczywistych rzeczy jak groźby, ale również do jakichkolwiek negatywnych konsekwencji dla osoby, której dane dotyczą.

Drugą podstawą przetwarzania danych osobowych jest konieczność wykonania umowy zawartej z osobą, której dane dotyczą lub czynności zmierzające do zawarcia umowy z określoną osobą. Jest to podstawa, która w praktyce może okazać się najczęściej wykorzystywaną podstawą. Ta podstawa przetwarzania trwa tak długo jak wiążąca strony umowa. Oznacza to, że osoba, której dane dotyczą nie może zażądać usunięcia jej danych czy w inny sposób negatywnie wpłynąć na przetwarzanie danych przez Administratora. Jedyną drogą do zakończenia legalnego przetwarzania danych opartego na tej podstawie jest rozwiązanie umowy głównej.

Trzecią przewidzianą przepisami podstawą jest realizacja obowiązku ciążącego na Administratorze. Jest to podstawa o tyle istotna, że może być ona często stosowana jako pod-stawa przetwarzania przynajmniej części danych po ustaniu pierwotnej podstawy (przykładowo przetwarzanie danych osobowych oparte na zgodzie czy umowie, może być częściowo kontynuowane po cofnięciu zgody lub wygaśnięciu umowy ze względu na ciążący na Administratorze obowiązek prawny, przykładowo obowiązek podatkowy).

Czwarta podstawa wskazana w RODO to ochrona żywotnych interesów osób fizycznych. Podstawa ta definiowana jest dosyć wąsko jako taka sytuacja, w której przetwarzanie danych osobowych jest konieczne dla ochrony życia lub zdrowia osoby fizycznej (niekoniecznie tej, której dane dotyczą).

Kolejną podstawą jest konieczność wykonywania zadania realizacji interesu publicznego.

Ostatnią podstawą przetwarzania danych osobowych jest realizacja prawnie relewantnych interesów Administratora lub osoby trzeciej. Zasada ta jest sformułowana w otwarty sposób, umożliwiając dość szerokie zastosowanie; natomiast nie będzie można powołać się na tę podstawę przetwarzania danych osobowych, jeśli interes osób, których dane dotyczą okaże się nadrzędny.

Poza zamknięciem zakresu możliwych podstaw przetwarzania do wskazanego powyżej, ochrona osób, których dane dotyczą rozciągana przez RODO zawiera również zasadę proporcjonalności czynności przetwarzania. Niedozwolone jest wychodzenie poza niezbędny zakres przetwarzania potrzebny dla osiągnięcia celów przetwarzania (więc przykładowo nie wolno przechowywać danych osobowych po ustaniu podstawy przetwarzania w oparciu o to, że mogą się kiedyś jeszcze przydać). Ten postulat proporcjonalności jest niezwykle istotny z punktu widzenia przeniesienia ciężaru ochrony danych osobowych na oddolne działania. Proporcjonalne muszą być nie tylko działania Administratora, ale również oddolne działania pracowników i Podwykonawców. Zdarzyć się może, że Administrator przetwarza szerszy zakres danych w oparciu o swoją działalność, do których dostęp uzyskuje określona osoba, w ramach konkretnego działania. Wówczas ten pracownik lub Podwykonawca musi zwrócić uwagę, żeby w swoim działaniu nie przetwarzać tych danych ponad potrzebę dyktowaną specyfiką konkretnego działania.

E. Szczególne kategorie danych

Spośród szerokiej kategorii danych osobowych ustawodawca unijny określił szczególne kategorie danych osobowych podlegające wzmożonej ochronie. Co do zasady tych danych nie można w ogóle przetwarzać, a kiedy już się to robi, stawiane są jeszcze bardziej rygorystyczne wymogi.

Do szczególnych kategorii danych należą dane, które pozwalają na identyfikację pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych, przynależność do związków zawodowych oraz dane genetyczne i biometryczne używane do ostatecznej identyfikacji osoby jak również dane dotyczące seksualności, orientacji seksualnej oraz zdrowia.

F. Administrator danych osobowych

Administratorem ochrony danych osobowych jest podmiot, który decyduje o celach i sposobach przetwarzania danych. Co istotne, może takie decyzje podejmować samodzielnie, jak i wspólnie z innymi podmiotami (tzw. współadministratorami). W zależności od realnego zakresu w jakim podwykonawca działa, może on w rzeczywistości pełnić tę właśnie funkcję.

Jako podmiot decyzyjny, to właśnie Administrator obarczony jest największym zakresem obowiązków i odpowiedzialności prawnej. Jednym z tych obowiązków jest konieczność należytego wybierania podmiotów, którym powierzane jest przetwarzanie danych, jak również zawieranie z tymi podmiotami umów powierzenia przetwarzania danych oraz dbanie o zachowanie wszelkich standardów techniczno-organizacyjnych w zakresie bezpieczeństwa danych i umożliwienia osobom indywidualnym realizacji ich uprawnień przyznanych przez RODO i powiązanie przepisy prawa.

G. Podmiot przetwarzający

Mianem Podmiotu przetwarzającego dane osobowe (w uproszczeniu także nazywanego procesorem) określa się te podmioty, które działają w imieniu Administratora, a więc dokonują faktycznych czynności przetwarzania bez podejmowania decyzji co do celów i sposobów przetwarzania. Procesorem może być osoba fizyczna, spółka lub innego typu organizacja dokonująca przetwarzania danych, niezależnie od tego, czy posiada formalnie osobowość prawną.

Warto mieć na uwadze, że przetwarzanie danych przez Podmioty przetwarzające musi być oparte na nadanym przez Administratora upoważnieniu. Istotnym jest tu fakt, że upoważnienia takiego nie można domniemywać z istniejących już między Administratorem a Podmiotem przetwarzającym relacji. Przetwarzanie danych osobowych powinno być oparte na umowie o powierzeniu przetwarzania danych osobowych.

Podmiot przetwarzający ponosi odpowiedzialność za swoje działania w zakresie, w jakim dokonuje lub powinien dokonywać przetwarzania. Podmiot przetwarzający dane może powierzać dalej przekazywać przetwarzanie powierzonych danych, konieczne dla tego jest jednak uzyskanie zgody Administratora danych.

H. Rejestr czynności przetwarzania

Przepisy RODO wprowadzają wymóg prowadzenia rejestru czynności przetwarzania dla Administratorów i rejestru kategorii czynności przetwarzania dla Podmiotów przetwarzających. Obowiązki te nie dotyczą jedynie podmiotów zatrudniających nie więcej niż 250 osób, przetwarzających dane w sposób sporadyczny, nieprzetwarzających szczególnych kategorii danych oraz niestwarzających ryzyka naruszenia praw i wolności osób, których dane dotyczą. Co za tym idzie, jeśli którykolwiek z elementów wyżej wymienionych jest naruszony, mamy obowiązek prowadzić odpowiedni rejestr.

Rejestr kategorii czynności przetwarzania powinien zawierać informacje o procesorach danych (tj. Podmiotach przetwarzających) oraz o wszystkich Administratorach danych, w imieniu których działa procesor, jak również dane kontaktowe Inspektora Ochrony Danych, jeśli został on wyznaczony.

Ponadto rejestr musi zawierać informacje o formach przetwarzania, którego dokonuje Podmiot przetwarzający, informacje o przekazywaniu danych do państw trzecich wraz z dokumentacją opisującą zabezpieczenia, jeśli do takiego przekazywania dochodziło. W takim rejestrze trzeba również zamieścić opis zastosowanych zabezpieczeń technicznych i organizacyjnych. Jak zaznaczono powyżej, obowiązek ten dotyczy wszystkich podmiotów, z wyjątkiem tych, które nie przetwarzają danych szczególnych kategorii, przetwarzają dane sporadycznie, przetwarzane przezeń dane nie naruszają praw i wolności osób, których dotyczą i nie zatrudniają więcej niż 250 osób. Trzeba uważnie przeanalizować charakter swojego przetwarzania i odpowiedzieć na pytanie, czy przypadkiem nie dotyczy nas obowiązek prowadzenia wspomnianego rejestru.

I. Inspektor Ochrony Danych

Zgodnie z art. 37 RODO Administrator i Podmiot przetwarzający wyznaczają Inspektora

Ochrony Danych (IOD), zawsze, gdy:

1. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
   1. główna działalność Administratora lub Podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
   1. główna działalność Administratora lub Podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Do TeTaWork zastosowanie ma przede wszystkim art. 37 ust.1 lit. b), czyli konieczne byłoby powołanie Inspektora Ochrony Danych w sytuacjach, w których główna działalność Administratora lub Podmiotu przetwarzającego polega na przetwarzaniu danych na dużą skalę, poprzez regularne i systematyczne monitorowanie osób, których dane dotyczą. Fakt powołania IOD należy formalnie zgłosić do Prezesa Urzędu Ochrony Danych Osobowych.

Istotna uwaga: zgodnie z aktualnym stanem piśmiennictwa prawnego oraz interpretacji wydanych przez Grupę Roboczą Artykułu 29 (podmiot działający w strukturach Unii Europejskiej powołany m.in. w celu wydawania interpretacji RODO) – IOD powinien mieć swobodę działania i duży stopień niezależności w ramach określonej spółki/organizacji. W związku z tym wskazuje się, że funkcji IOD nie powinien pełnić członek zarządu ani członek rady nadzorczej.

IOD jest odpowiedzialny zarówno za kontakt z zewnętrznymi organami kontrolnymi, jak np. Prezes UODO, jak i za zapewnienie odpowiednich standardów ochrony danych wewnątrz przedsiębiorstwa. Pełni on funkcję doradczą, stanowi również punkt kontaktu we wszelkich sprawach związanych z ochroną danych osobowych.

Jeśli pojawiają się jakieś wątpliwości odnośnie do przyjętych rozwiązań, gdy pojawia się podejrzenie, że gdzieś w firmie może dochodzić do stwarzania ryzyka powstania naruszeń ochrony danych osobowych, to właśnie IOD powinien zgłosić takie zastrzeżenia czy wnioski. Wskazywanie błędów w istniejącym systemie ochrony danych jest żywotnym jego elementem – pozwala na stałe jego udoskonalanie i w rezultacie, na zapewnienie jego skuteczności.

W sytuacji, gdy powołanie IOD nie jest obowiązkowe dla danej organizacji – zaleca się powołanie mimo wszystko takiej osoby lub osoby o podobnym zakresie kompetencji, mającej za zadanie koordynować wszelkie działania związane z ochroną danych osobowych. W TeTaWork taką osobą jest Koordynator ds. Danych Osobowych. Z uwagi na fakt, że Koordynator ds. Danych Osobowych jest powołany na zasadzie swobody działalności gospodarczej i – w przeciwieństwie do IOD – nie podlega formalnym uregulowaniom ani ograniczeniom prawnym – nie ma formalnych przeszkód dla łączenia tej funkcji z funkcją w zarządzie spółki.

J. Techniczne środki ochrony danych osobowych

Przepisy RODO nakładają obowiązek stosowania odpowiednich technicznych środków ochrony danych osobowych, nie precyzują jednak konkretnych zasad ani środków ochrony, przenosząc tym samym ciężar i ryzyko właściwego zabezpieczenia danych na Administratorów i procesorów danych.

Techniczne środki ochrony danych można w uproszczeniu podzielić na zabezpieczenia fizyczne oraz elektroniczne. Do fizycznych środków zabezpieczeń należy zaliczyć stosowanie zamykanych tradycyjnymi lub elektronicznymi zamkami pomieszczeń, w których dane osobowe są przetwarzane, jak również wykorzystanie sejfów i kas pancernych do przechowywania fizycznych kopii danych osobowych oraz kontrolowanie fizycznego dostępu do wszelkich dokumentów i nośników danych, monitorowanie, kto i na jakich zasadach ma dostęp do poszczególnych kategorii informacji.

Do środków elektronicznych można zaliczyć m.in. stosowanie haseł dostępu, programów szyfrujących i antywirusowych, jak również dwustopniowej autoryzacji.

Nie ma zamkniętego katalogu zabezpieczeń i zasadzie każdy taki środek może być zastosowany, jeśli pozwala na osiągnięcie celu w postaci ochrony danych osobowych przed naruszeniem integralności, nieuprawnionym dostępem lub bezpodstawnym przetwarzaniem.

Poza technicznymi środkami ochrony danych osobowych RODO przewiduje stosowanie środków organizacyjnych. Przykładem takich środków jest między innymi ograniczenie dostępu pracowników czy Podwykonawców do danych osobowych, w oparciu o zadania wykonywane przez konkretne osoby.

K. Kary i sankcje

Fragmentem reformy systemu ochrony danych osobowych, któremu poświęca się relatywnie najwięcej uwagi są oczywiście rozmaite przewidywane przez prawo kary za niedostosowanie się do przepisów i inne ich naruszenia. Samo RODO nie precyzuje dokładnego ich zakresu, odpowiednie postanowienia możemy znaleźć natomiast w polskiej ustawie. Przepisy przewidują nakładanie kar w postaci grzywny, ograniczenia wolności i pozbawienia wolności.

Za przetwarzanie danych osobowych bez podstawy lub danych, których przetwarzać nie wolno grozi kara grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2, a w przypadku szczególnych kategorii danych do lat 3.

Za utrudnianie lub uniemożliwianie przeprowadzenia kontroli grozi kara grzywny, ograniczenia

wolności lub pozbawienia wolności do lat 2.

W toku prowadzonego postępowania PUODO może przedstawić wezwanie do stawienia się w celu wykonania czynności w postępowaniu. Za nieuzasadnione niestawiennictwo grozi kara od 500 do 5000 zł. Kara ta może zostać nałożona również za odmowę przetłumaczenia przedstawianej organowi dokumentacji na język polski.

Za naruszenie obowiązków Administratora i Podmiotu przetwarzającego grożą grzywny w wysokości do 10 000 000 € lub 2% rocznego obrotu.

Przy naruszeniu obowiązków dotyczących podstaw przetwarzania, praw osób, których dane dotyczą oraz zasad przekazywania danych do państw trzecich i organizacji międzynarodowych grożą grzywny do 20 000 000 € lub 4% rocznego obrotu.

L. Dobre praktyki i standardy techniczne

Dobre praktyki w ochronie danych osobowych

1. Zawsze traktuj temat danych osobowych jako prawny priorytet w swojej działalności. Dane osobowe są cenne i muszą być należycie chronione z uwagi na znaczące ryzyko prawnej i finansowej odpowiedzialności za naruszenie obowiązków wynikających z RODO.
2. Zwracaj uwagę na potencjalne zagrożenia. Pamiętaj, że dane osobowe stanowią bardzo pożądany cel potencjalnych cyberataków lub wyłudzeń. Należy się więc upewnić, że nasze działania nie ułatwiają przeprowadzenia takiego ataku. Czy strona, którą właśnie zamierzasz odwiedzić ze służbowego komputera jest bezpieczna? Czy sieć, z którą się łączysz jest odpowiednio zabezpieczona/ czy połączenie jest szyfrowane? Czy nie przenosisz danych na nośniki, których potem używasz łącząc się z nieznanym sprzętem? Czy Twój program antywirusowy jest odpowiednio uaktualniony? Te podstawowe środki ostrożności mogą mieć kluczowy wpływ na zapewnienie bezpieczeństwa danych osobowych.
3. Nie przetwarzaj danych ponad potrzebę. Często zdarza się, że jeden pracownik/ Podwykonawca ma dostęp do różnych baz danych, w ramach różnych obowiązków. Należy wówczas pamiętać o ogólnej zasadzie minimalizacji zakresu przetwarzanych danych – w tym w szczególności w postaci anonimizacji i pseudonimizacji danych osobowych. Nawet jeśli masz dostęp do szerszego zakresu danych, a nie są one potrzebne w danej sytuacji, w miarę możliwości ogranicz się do przetworzenia jedynie danych niezbędnych i nie wykonuj zbędnych kopii dokumentów lub baz danych, gdyż będzie to zaklasyfikowane jako przetwarzanie nadmiarowe, negatywnie wpływające na bezpieczeństwo danych osobowych.
4. Dziel się swoimi wątpliwościami. Skuteczność systemu ochrony danych zależy od zaangażowania osób w nim uczestniczących. Zgłaszając swoje wątpliwości przyczyniasz się do eliminowania potencjalnych zagrożeń dla bezpieczeństwa danych osobowych, co z kolei pozwala na uniknięcie kosztownych (zarówno finansowo, jak i wizerunkowo) konsekwencji wycieków danych i innych naruszeń ich bezpieczeństwa mogących wystąpić w przyszłości.
5. Stój na straży bezpieczeństwa danych. Każdy Podwykonawca, bez względu na zakres obowiązków powinien działać jako strażnik skuteczności ochrony danych. To od Was zależy skuteczność systemu ochrony danych. Fundamentalne jest tu przyjęcie odpowiedniego podejścia. Ochrona danych osobowych nie jest zadaniem państwowych organów. To zadanie każdej osoby, która ma do czynienia z danymi osobowymi. Poprzez stawianie wymogów samym sobie czy też zwracanie uwagi współpracownikom zapewnia się skuteczną, oddolną gwarancję ochrony danych osobowych.
6. Sprawdzaj, czy spełniasz ciążące na Tobie wymogi. RODO nakłada wymogi na wszelkie podmioty mające jakikolwiek dostęp do danych osobowych. Bez względu zatem czy jesteś Administratorem danych czy Podmiotem przetwarzającym musisz czynić tym wymaganiom zadość. Na chwilę obecną są to wymagania głównie natury formalnej, jak np. wymóg posiadania odpowiedniego upoważnienia przez Podmiot przetwarzający czy obowiązek prowadzenia odpowiedniego rejestru. Jeżeli masz wątpliwości, czy takie upoważnienie posiadasz, lub też czy na innym polu nie naruszasz przepisów RODO zwróć się z pytaniem do Administratora, Koordynatora ds. Danych Osobowych lub Inspektora Ochrony Danych, jeżeli takowy został powołany.
7. Zgłaszaj niezwłocznie wszelkie naruszenia bezpieczeństwa danych osobowych. Jednym z obowiązków nałożonych przez przepisy RODO jest obowiązek niezwłocznego poinformowania odpowiednich organów o każdym naruszeniu bezpieczeństwa danych, np. o ich wycieku. Aby zapewnić skuteczność tego postanowienia konieczna jest współpraca wszystkich podmiotów mających kontakt z danymi osobowymi i ich stała czujność. Im szybciej naruszenie bezpieczeństwa zostanie wykryte, tym szybciej będzie można mu zaradzić i tym mniejsze będą spowodowane przezeń straty.

Techniczne wymogi TeTaWork w zakresie bezpieczeństwa danych

Poza wiedzą w temacie ochrony danych osobowych i stosowaniem dobrych praktyk w codziennych zadaniach, konieczne jest również przyjęcie pewnych instrukcji bezpieczeństwa, które spełnić musi każdy podwykonawca. Instrukcje te stanowią rodzaj polityki przyjętej przez TeTaWork i są obietnicą złożoną wobec osób, których dane są przez nas przetwarzane. Wobec tego stosowanie ich nie może podlegać negocjacjom i musi być egzekwowane.

1. Wszystkie dyski komputerów, na których wykonywane są zadania muszą być zaszyfrowane. Gwarancją bezpieczeństwa danych osobowych jest stosowanie rozsądnych zabezpieczeń na każdym szczeblu struktury przetwarzania danych. Atak hackerski czy nawet zwykłe zgubienie laptopa, którego dysk nie został zaszyfrowany może pokonać cały system zabezpieczeń odgórnych.
2. Wszystkie urządzenia mobilne, wykorzystywane do łączenia się ze infrastrukturą wewnętrzna firmy i ściągania poczty firmowej muszą być zablokowane i zaszyfrowane. Jeżeli dane osobowe znalazłyby się na urządzeniu mobilnym, do którego dostęp mogłyby uzyskać osoby trzecie, bezpieczeństwo tych danych byłoby naruszone.
3. Wszystkie komputery, na których wykonywane są zadania muszą mieć zainstalowane aktualne oprogramowanie antywirusowe. Istotne jest również regularne przeprowadzanie skanów komputera w poszukiwaniu wirusów oraz aktualizowanie zarówno oprogramowania jak i baz wirusów.
4. Odchodząc od komputera należy go zablokować – niezależnie od tego, czy następuje to w miejscu publicznym czy w przestrzeni prywatnej.
5. Wszystkie hasła dostępu będą generowane w aplikacji 1password. Niedopuszczalne jest zapisywanie haseł w jakimkolwiek innym miejscu niż aplikacja 1password. Niedopuszczalne jest zapisanie hasła w notatkach na telefonie, innym urządzeniu elektronicznym lub w papierowym notatniku. Każde takie miejsce może umożliwić dostęp do hasła osobom trzecim, co stanowiłoby poważne ryzyko dla bezpieczeństwa danych.
6. Jeżeli serwis oferuje uwierzytelnienie dwustopniowe, to musi być ono włączone. W rozwiązaniach, w których istnieje opcja podwójnej autentykacji (2FA) – należy ją stosować.
7. Dostęp do danych przetwarzanych w serwisach SaaS i in. będzie domyślnie ograniczony do zakresu uznanego za niezbędny do wykonania powierzonych zadań. Jest to realizacja wypływającego z RODO postulatu minimalizacji zakresu przetwarzania danych. Na życzenie każdego Podwykonawcy dostęp do wskazanego zakresu danych osobowych może zostać rozszerzony w celu wykonania określonych zadań. To po stronie Podwykonawców leży ciężar oceny, czy ten dostęp jest wam potrzebny, czy nie. Pamiętajcie o punkcie 3 dobrych praktyk i rozsądnie korzystajcie z tego uprawnienia.
8. W przypadku prośby o usunięcie danych osobowych, Podwykonawcy muszą usunąć dane dotyczące osoby wystosowującej żądanie z poczty i własnych dysków, w tym usunąć kopie zapasowe. Jest to obowiązek płynący wprost z przepisów RODO. Usunięcie tych danych powinno nastąpić bez zbędnej zwłoki po otrzymaniu wspomnianego żądania. W razie wątpliwości dotyczących lokalizacji danych osobowych, które mają być usunięte można skorzystać z informacji zgromadzonych w rejestrze czynności przetwarzania i powiązanych z nim dokumentach, gdzie powinna znaleźć się informacja o tym, w ramach jakiego projektu dane były przetwarzane, w jaki sposób i gdzie można ich szukać.