Polityka prywatności

POLITYKA OCHRONY DANYCH OSOBOWYCH

 MONTERSTAL SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ

Olesno, dnia 1 kwietnia 2025 r

CEL POLITYKI OCHRONY DANYCH OSOBOWYCH

Polityka ochrony danych osobowych została opracowana i wdrożona w strukturze Administratora Danych w celu zapewnienia zgodności przetwarzania danych osobowych z wymogami obowiązujących w tym zakresie polskich i europejskich aktów prawnych, w szczególności:

  1. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”),

Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Niniejszy dokument ma zastosowanie do wszystkich pracowników i współpracowników MONTERSTAL Spółka z ograniczoną odpowiedzialnością (dalej: „Administrator” lub „Administrator Danych”), którzy w zakresie wykonywanych przez siebie obowiązków przetwarzają dane osobowe lub mają do nich dostęp. Każda z tych osób została zapoznana z najważniejszymi procedurami bezpieczeństwa danych opisanymi w Polityce ochrony danych osobowych i zobowiązana do ich przestrzegania w zakresie wynikającym z przydzielonych zadań. Osoby, o których mowa złożyły oświadczenie o zapoznaniu się z procedurami bezpieczeństwa danych oraz zobowiązały się do ich stosowania.

OSOBY MAJĄCE DOSTĘP DO DANYCH OSOBOWYCH

 Za przetwarzanie danych osobowych oraz ich ochronę zgodnie z obowiązującymi przepisami oraz niniejszą polityką, odpowiadają:

  1. Administrator Danych,
  2. Osoby upoważnione do przetwarzania danych osobowych w oparciu o odrębną umowę – zgodnie z listą osób upoważnionych do przetwarzania danych osobowych.

Na dzień wdrożenia niniejszego dokumentu nie stwierdza się konieczności powołania Inspektora Ochrony Danych Osobowych, o którym mowa w art. 37 ust. 1 RODO.

ZAKRES PRZETWARZANIA DANYCH OSOBOWYCH

  1. Administrator przetwarza dane osobowe w zakresie imion i nazwisk, adresów zamieszkania, numerów PESEL, numerów telefonu oraz adresów e-mail, nazw kontrahentów, numerów NIP, numerów REGON, numerów KRS, adresów kontrahentów.
  2. Administrator nie przetwarza szczególnych kategorii danych.
  3. Administrator nie przetwarza danych osobowych osób poniżej 18-tego roku życia.
  4. Administrator nie przekazuje danych osobowych do krajów trzecich, tj. poza obszar EOG oraz organizacji międzynarodowych.

POUFNOŚĆ PRZETWARZANIA DANYCH OSOBOWYCH

  1. Przetwarzanie danych osobowych odbywa się wyłącznie z upoważnienia Administratora. Dostęp do danych osobowych mogą mieć osoby, które: a/ są zatrudnione przez Administratora lub b/ zawarły z Administratorem umowę powierzenia przetwarzania danych osobowych lub c/ są upoważnione do przetwarzania danych na podstawie obowiązującego na terytorium Rzeczypospolitej Polskiej aktu prawnego lub d/ są współadministratorami danych osobowych.
  2. W przypadku osób zatrudnionych dostęp do przetwarzania danych osobowych mają wyłącznie osoby, które:
  3. zostały upoważnienie przez Administratora do przetwarzania danych osobowych oraz
  4. zostały poinformowane przez Administratora o zasadach przetwarzania danych osobowych u Administratora, w szczególności poprzez zapoznanie się z dokumentacją wdrożoną u Administratora w zakresie ochrony danych osobowych, w tym z niniejszym dokumentem oraz
  5. uczestniczyły w szkoleniu zorganizowanym przez Administratora w zakresie ochrony danych osobowych.
  6. W celu utrzymania odpowiedniego poziomu wiedzy osób upoważnionych do przetwarzania danych osobowych Administrator zapewnia:
  7. uprzednią informację o zmianach dokumentacji z zakresu przetwarzania danych osobowych,
  8. szkolenia z zakresu ochrony danych osobowych.
  9. W celu zapewnienia poufności danych osobowych przetwarzanych u Administratora, Administrator pozyskuje oświadczenia o zachowaniu poufności od:
  10. osób zatrudnionych,
  11. osób, które nie są upoważnione do przetwarzania danych osobowych, jednak z uwagi na dostęp do pomieszczeń Administratora mogą mieć dostęp do danych osobowych (np. dotyczy osób sprzątających).
  12. Wykaz osób upoważnionych do przetwarzania danych osobowych zawiera Załącznik nr 1 do Polityki Bezpieczeństwa.
  13. Wzór umowy o przetwarzanie danych osobowych stanowi Załącznik 2 do Polityki Bezpieczeństwa.

PODSTAWOWE ZASADY PRZETWARZANIA DANYCH OSOBOWYCH

  1. Przetwarzanie danych osobowych w odbywa się zgodnie z ogólnymi zasadami przetwarzania danych osobowych określonymi w art. 5 RODO. Oznacza to, że dane osobowe są:
  2. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
  3. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;(„ograniczenie celu”);
  4. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
  5. prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
  6. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”);
  7. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
  8. Dane osobowe przechowywane są w ramach systemu teleinformatycznego prowadzonego przez …[wpisać dostawcę serwera]………….. z siedzibą w …….., a to w ramach poczty elektronicznej prowadzonej w domenie @o2.pl.
  9. Dostęp do poczty elektronicznej jest zabezpieczony dwuetapową weryfikacją w postaci loginu i hasła oraz drugiego kanału zabezpieczenia (np. wiadomość sms lub aplikacja mobilna).
  10. Wszystkie osoby mające dostęp do danych osobowych korzystają z poczty elektronicznej w sposób zapewniający jej bezpieczeństwo – w tym poprzez korzystanie z komputerów lub urządzeń mobilnych (telefony/tablety) posiadających aktualne oprogramowanie systemowe oraz antywirusowe. Osoby te zapewniają również, żeby osoby trzecie nie miały dostępu do tych komputerów lub urządzeń mobilnych, a one same były dodatkowo zabezpieczone hasłem lub PINem.

REJESTRY PRZETWARZANIA DANYCH OSOBOWYCH

  1. Administrator Danych prowadzi:
  1. rejestr czynności przetwarzania danych osobowych, których jest administratorem (załącznik nr 3),
  2. rejestr kategorii czynności przetwarzania dokonywanych w imieniu administratorów, którzy powierzyli mu przetwarzanie danych (załącznik nr 4).
  1. Rejestr, o którym mowa w ust. 1 lit. a zawiera:
    1. nazwę oraz dane kontaktowe Administratora oraz wszelkich współadministratorów,
    2. cele przetwarzania,
    3. opis kategorii osób, których dane dotyczą,
    4. opis kategorii danych osobowych,
    5. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
    6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
    7. ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
  2. Rejestr, o którym mowa w ust. 1 lit. b zawiera co najmniej następujące informacje:
    1. nazwę oraz dane kontaktowe Administratora,
    2. imię i nazwisko lub nazwę oraz dane kontaktowe każdego administratora, w imieniu którego działa Administrator,
    3. gdy ma to zastosowanie, imię, nazwisko lub nazwę oraz dane kontaktowe przedstawiciela każdego administratora, w imieniu którego działa Administrator Danych,
    4. gdy ma to zastosowanie, imię i nazwisko oraz dane kontaktowe IOD każdego administratora, w imieniu którego działa Administrator Danych,
    5. kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
    6. ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
  3. Administrator Danych prowadzi rejestry, o których mowa w ust. 1 w formie elektronicznej.
  4. W przypadku zgłoszenia przez organ nadzoru żądania w tym zakresie, Administrator Danych udostępnia mu prowadzone przez siebie rejestry.

 

PODSTAWA PRZETWARZANIA DANYCH OSOBOWYCH

  1. Administrator przetwarza dane osobowe:
  1. na podstawie zgody osoby, której dane dotyczą lub
  2. w celu wykonania umowy zawartej przez Administratora lub
  3. w celu wypełnienia obowiązków prawnych ciążących na Administratorze lub
  4. w celu wynikającym z prawnie uzasadnionych interesów realizowanych przez Administratora.
    1. W przypadku przetwarzania danych osobowych na podstawie zgody osoby, zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia.

CZAS PRZETWARZANIA DANYCH OSOBOWYCH

 Administrator przechowuje dane osobowe przez okres niezbędny do realizacji celu ich przetwarzania. Okres przetwarzania danych osobowych może zostać każdorazowo przedłużony o okres przedawnienia roszczeń, jeżeli przetwarzanie danych osobowych będzie niezbędne dla dochodzenia ewentualnych roszczeń lub obrony przed takimi roszczeniami przez Administratora Danych Osobowych. Po tym okresie dane będą przetwarzane jedynie w zakresie i przez czas wymaganym przepisami prawa, w tym przepisami prawa podatkowego i o rachunkowości.

  1. REALIZACJA OBOWIĄZKU INFORMACYJNEGO
  1. Administrator, zbierając dane osobowe, przekazuje osobom fizycznym informacje, o których mowa w art. 13 i 14 RODO z uwzględnieniem przepisów ustawy o ochronie danych osobowych. Administrator podejmuje odpowiednie środki, by w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą wszelkich informacji. Jeżeli osoba, której dane dotyczą tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.
  2. W przypadku zbierania przez Administratora danych osobowych od osoby, której dane dotyczą, Administrator przekazuje informację, o której mowa w art. 13 RODO podczas pozyskiwania danych, chyba że osoba, której dane dotyczą dysponuje już tymi informacjami.
  3. W przypadku pozyskania przez Administratora danych osobowych w sposób inny niż od osoby, której dane dotyczą, Administrator podaje informację:
  4. w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych,
  5. jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
  6. jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
  7. Postanowienia powyższe nie mają zastosowania, gdy – i w zakresie, w jakim:
  8. osoba, której dane dotyczą, dysponuje już tymi informacjami;
  9. udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku;
  10. pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą lub;
  11. dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii Europejskiej lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
  12. Wzór klauzuli informacyjnej RODO stanowi Załącznik nr 5 do Polityki Bezpieczeństwa.

 

PRAWA OSÓB, KTÓRYCH DANE SĄ PRZETWARZANE

  1. Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem prowadzić z osobą, której dane dotyczą wszelką komunikację na podstawie art. 15 – 22 oraz 34 RODO, tj. w przypadku wykonywania przez tę osobę:
  2. prawa dostępu do danych osobowych (art. 15 RODO),
  3. prawa do sprostowania danych (art. 16 RODO),
  4. prawa do usunięcia danych („prawa do bycia zapomnianym”) (art. 17 RODO),
  5. prawa do ograniczenia przetwarzania (art. 18 RODO),
  6. prawa do przenoszenia danych (art. 20 RODO),
  7. prawa do sprzeciwu (art. 21 RODO),
  8. prawa do niepodlegania zautomatyzowanemu przetwarzaniu, w tym profilowaniu (art. 22 RODO),

oraz w przypadku powiadomienia osoby, której dane dotyczą o sprostowaniu lub usunięciu lub ograniczeniu przetwarzania danych (art. 19 RODO) oraz zawiadomienia o naruszeniu ochrony danych osobowych (art. 34 RODO).

  1. Administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na podstawie przepisów RODO wskazanych ust. 1 powyżej.
  2. Administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem zgłoszonym przez osobę, której dane dotyczą na podstawie art. 15 – 22 RODO. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania Administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.
  3. Jeżeli Administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

 

ZGŁASZANIE NARUSZEŃ ORGANOWI NADZORCZEMU

  1. W przypadku powzięcia informacji, przez jakąkolwiek osobę zatrudnioną u Administratora lub przez któregokolwiek z odbiorców danych, o jakimkolwiek incydencie, który może doprowadzić do naruszenia ochrony danych osobowych (lub podejrzeniu takiego naruszenia) od jakiejkolwiek osoby lub z jakiegokolwiek źródła, w tym od podmiotu przetwarzającego, osoba, która powzięła taką informacje niezwłocznie informuje o tym fakcie Administratora. Incydentem, o którym mowa powyżej może być jakiekolwiek zdarzenie, które zagraża bezpośrednio lub pośrednio bezpieczeństwu przetwarzania danych osobowych, w tym np. naruszenie bezpieczeństwa fizycznego pomieszczeń lub sprzętów (w szczególności podejrzenie włamania, zalania, zagubienia nośnika z danymi osobowymi) lub próby wyłudzenia danych osobowych przez osoby nieupoważ
  2. W przypadku stwierdzenia naruszenia ochrony danych osobowych, Administrator, po przeprowadzeniu analizy bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
  3. Zgłoszenia dokonuje się do organu nadzorczego. Zgłoszenia dokonuje Administrator.
  4. Zgłoszenie organowi nadzorczemu musi co najmniej:
  5. opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  6. zawierać imię i nazwisko oraz dane kontaktowe punktu kontaktowego, od którego można uzyskać więcej informacji;
  7. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
  8. opisywać środki zastosowane lub proponowane przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutkó
  9. Jeżeli – i w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki. Wzór zgłoszenia naruszenia stanowi załącznik nr 6 do tego dokumentu.
  10. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze poprzez prowadzenie rejestru naruszeń. Wzór rejestru naruszeń stanowi załącznik nr 7 do tego dokumentu.

 

ZAWIADOMIENIE OSOBY
O NARUSZENIU OCHRONY JEJ DANYCH OSOBOWYCH

  1. Jeżeli naruszenie ochrony danych osobowych, o którym mowa w rozdziale XI, może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
  2. Zawiadomienie, o którym mowa w ust. 1 powyżej, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d) RODO, tj.
  3. zawierać imię i nazwisko oraz dane kontaktowe punktu kontaktowego, od którego można uzyskać więcej informacji;
  4. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
  5. opisywać środki zastosowane lub proponowane przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutkó
  6. Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach:
  7. Administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
  8. Administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;
  9. wymagałoby ono niewspółmiernie dużego wysiłku; w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposó
  10. Jeżeli Administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3.
  11. Naruszenie ochrony danych osobowych może polegać na:
    1. naruszeniu poufności – niedozwolonym lub przypadkowym ujawnieniu lub uzyskania dostępu do danych osobowych,
    2. naruszeniu dostępności – niedozwolonej lub przypadkowej utracie dostępu do danych osobowych lub zniszczeniu ich,
    3. naruszeniu integralności – niedozwolonej lub przypadkowej zmianie danych osobowych.
  12. Weryfikacja poszczególnych naruszeń wymaga oceny ryzyka naruszenia praw lub wolności osób fizycznych. W toku oceny ryzyka bierze się pod uwagę:
    1. typ lub rodzaj naruszenia – zgodnie z ust. 5 lit. a – c powyżej,
    2. charakter, wrażliwość i zakres danych osobowych – należy ustalić czy naruszenie dotyczy danych osobowych zwykłych czy szczególnych kategorii danych osobowych,
    3. łatwość identyfikacji osób – należy rozważyć łatwość identyfikacji osoby, której dane osobowe uległy naruszeniu, tj. czy za pomocą tych danych można zidentyfikować konkretne osoby lub dopasować te dane do innych informacji w celu ich identyfikacji,
    4. rodzaj konsekwencji – w zależności od charakteru danych osobowych, rodzaj konsekwencji może być różny. W szczególności, jeżeli naruszenie dotyczy szczególnych kategorii danych, takie naruszenie może prowadzić do kradzieży tożsamości lub oszustwa, cierpienia psychicznego, upokorzenia lub zniszczenia reputacji,
    5. szczególne cechy Osoby, której dane dotyczą – należy ustalić czy naruszone dane dotyczą osób, które są narażone na większe ryzyko,
    6. liczba dotkniętych – im większa liczba osób, tym większy może być wpływ naruszenia. Należy jednak pamiętać, że naruszenie dotyczące Danych osobowych wyłącznie jednej osoby fizycznej możę mieć poważny wpływ na tę osobę, w zależności od charakteru jej danych osobowych, które zostały naruszone,
    7. szczególne cechy Administratora – charakter i rola działalności administratora.
  13. Wysokie ryzyko naruszenia praw lub wolności osób fizycznych występuje, gdy naruszenie może prowadzić do materialnych lub niematerialnych szkód dla Osób, których Dane zostały naruszone, np. dyskryminacja, kradzież tożsamości lub oszustwo, straty finansowe i szkody wizerunkowe. Ponadto, naruszenie może występować w szczególności, gdy dotyczy Danych osobowych, które ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, biometrycznych, dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

 

OCENA SKUTKÓW DLA OCHRONY DANYCH

  1. W przypadku, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele, z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.
  2. Do oceny skutków dla ochron danych osobowych zastosowanie mają przepisy art. 35 RODO oraz inne wytyczne i procedury wydane przez upoważnione do tego organy.
  3. W razie potrzeby, przynajmniej gdy zmienia się ryzyko wynikające z operacji przetwarzania, Administrator dokonuje przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych.
  4. Jeżeli ocena skutków dla ochrony danych, o której mowa w powyżej, wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania Administrator konsultuje się z organem nadzorczym.

 

POSTANOWIENIA KOŃCOWE

Niniejsza procedura wchodzi w życie z dniem 1 kwietnia 2025 r.

Załączniki:

  1. wykaz osób upoważnionych do przetwarzania danych osobowych,
  2. wzór umowy o przetwarzaniu danych osobowych,
  3. rejestr czynności przetwarzania danych osobowych,
  4. rejestr kategorii czynności przetwarzania dokonywanych w imieniu innych administratorów,
  5. klauzula informacyjna RODO,
  6. wzór zgłoszenia naruszenia,
  7. wzór rejestru naruszeń.