Bydgoszcz, dnia 29.08.2021 r.
POLITYKA OCHRONY DANYCH OSOBOWYCH W SPÓŁCE WISE PEOPLE SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W BYDGOSZCZY
PREAMBUŁA
Zważywszy, że:
- Spółka WISE PEOPLE Spółka z ograniczoną odpowiedzialnością z siedzibą w Bydgoszczy, al. Powstańców Wielkopolskich 26, 85-090 Bydgoszcz, wpisaną do rejestru przedsiębiorców KRS przez Sąd Rejonowy w Bydgoszczy XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000736714, NIP: 9532750999, REGON: 380521440, kapitał zakładowy: 5.000 zł, dalej: „Spółka”, prowadzi działalność gospodarczą w szeroko pojętej branży IT.
- Spółka prowadzi działalność zgodnie z obowiązującymi regulacjami prawnymi, w tym w szczególności z poszanowaniem prawa do prywatności osób fizycznych, ich dóbr osobistych oraz uwzględnieniem prawa ochrony danych osobowych.
- W związku z prowadzoną działalnością Spółka przetwarza dane osobowe.
- Niniejsza Polityka ochrony danych osobowych, dalej: „Polityka”, zapewnia zgodność działalności Spółki z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1), dalej: „RODO”, jak również innych przepisów prawa dotyczących ochrony danych osobowych;
- Spółka jest świadoma znaczenia należytej ochrony danych osobowych w ramach prowadzonej przez nią działalności, w tym zwłaszcza praw i wolności osób, których dane dotyczą,
Spółka wprowadza Politykę o następującej treści:
§1
Postanowienia ogólne. Zakres stosowania Polityki
- Polityka reguluje:
- zasady przetwarzania danych osobowych w Spółce;
- bezpieczeństwo przetwarzania danych osobowych w Spółce;
- procedury związane z naruszeniem ochrony danych osobowych w Spółce;
- zasady odpowiedzialności za wykonanie i naruszenie Polityki;
- Politykę stosuje się do wszelkich czynności związanych z przetwarzaniem danych osobowych w Spółce, w tym w szczególności do przetwarzania danych osobowych:
- uzyskanych w związku ze świadczeniem usług przez Spółkę;
- osób zatrudnionych na podstawie umowy o pracę przez Spółkę;
- osób, z którymi Spółka współpracuje na podstawie umów cywilnoprawnych;
- praktykantów, studentów, stażystów.
- Politykę stosuję się niezależnie od tego, czy w związku z przetwarzaniem danych osobowych Spółka pełni funkcję administratora, podmiotu przetwarzającego czy odbiorcy danych.
§2
Zasady przetwarzania danych osobowych
- Dane osobowe w Spółce są przetwarzane zgodnie z obowiązującymi regulacjami prawnymi, Polityką oraz innymi aktami wewnętrznymi obowiązującymi w Spółce.
- Dane osobowe w Spółce są:
- przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);
- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
- prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
- przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”);
- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
- Jeżeli przetwarzane w Spółce dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, Spółka realizuje wobec niej obowiązek informacyjny w zakresie określonym w art. 13 RODO.
- Jeżeli przetwarzanych w Spółce danych osobowych nie pozyskano od osoby, której dane dotyczą, Spółka realizuje wobec tej osoby obowiązek informacyjny w zakresie określonym w art. 14 RODO.
- Jeżeli w związku z przetwarzaniem danych osobowych w Spółce osoba, której dane dotyczą, zgłasza zamiar realizacji któregokolwiek prawa lub wolności przewidzianego w RODO, Spółka podejmuje decyzję co do uwzględnienia tego żądania, mając na uwadze RODO i inne obowiązujące przepisy prawa. Jeżeli żądanie zostanie zgłoszone innej osobie niż Spółka, wówczas osoba ta niezwłocznie przekazuje je Spółce.
- Spółka prowadzi rejestr, w którym ujawniane są wszystkie czynności przetwarzania danych osobowych dokonywane w Spółce.
- Spółka może powierzyć przetwarzanie danych osobowych podmiotowi niedziałającemu w ramach Spółki, o ile nie sprzeciwiają się temu obowiązujące przepisy prawa. W takim przypadku Spółka zawiera z podmiotem przetwarzającym umowę o powierzenie przetwarzania danych osobowych zgodnie z wymaganiami określonymi w art. 28 RODO. Do powierzenia przetwarzania danych osobowych nie jest uprawniona w Spółce inna osoba niż osoba uprawniona do jej reprezentacji, zgodnie z zapisami umowy Spółki.
- Spółka nie przekazuje danych osobowych do państw trzecich ani organizacji międzynarodowych w rozumieniu RODO. Jeżeli jednak okaże się to absolutnie konieczne, wówczas przekazanie danych osobowych następuje zgodnie z postanowieniami rozdziału V RODO.
§3
Bezpieczeństwo przetwarzania danych osobowych
- Spółka zapewnia środki organizacyjne i techniczne w celu skutecznej realizacji zasad ochrony danych osobowych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymagania wynikające z RODO i z innych przepisów prawa oraz chronić prawa i wolności osób, których dane dotyczą. Stosowane zabezpieczenia ochrony danych osobowych odpowiadają możliwemu ryzyku naruszeniu praw osób, których dane dotyczą.
- Spółka zapewnia minimalizację przetwarzanych danych osobowych, w szczególności poprzez:
- ograniczenie zakresu i ilości przetwarzanych danych osobowych w stopniu adekwatnym do celów przetwarzania;
- ograniczenie dostępności do danych osobowych wyłącznie do osób posiadających upoważnienie od Spółki oraz zobowiązanych do zachowania poufności;
- ograniczenie miejsc, w których dokonywane są czynności przetwarzania danych osobowych;
- ograniczenie czasu przetwarzania danych osobowych wyłącznie do czasu wymaganego przepisami RODO oraz innymi przepisami prawa.
- Dane osobowe powinny być przetwarzane w siedzibie Spółki i to wyłącznie w pomieszczeniach, do których nie mają dostępu osoby nieupoważnione przez Spółkę do czynności przetwarzania danych osobowych.
- Przetwarzanie danych osobowych w formie elektronicznej dopuszczalne jest wyłącznie na przeznaczonych do tego komputerach administrowanych przez Spółkę zgodnie z zasadami umożliwiającymi ich przetwarzanie zgodnie z zapisami Polityki.
§4
Procedury związane z naruszeniem ochrony danych osobowych
- Spółka i wszystkie osoby przetwarzające dane osobowe na polecenie Spółki zobowiązują się podejmować wszelkie zgodne z prawem środki zaradcze, w tym w szczególności przestrzegać warunków określonych w Polityce, aby nie dopuścić do naruszenia ochrony danych osobowych.
- Przez naruszenie ochrony danych osobowych należy rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
- W przypadku wykrycia naruszenia ochrony osobowych, jak również w przypadku próby lub ryzyka takiego naruszenia, osoba przetwarzająca dane osobowe jest zobowiązana do natychmiastowego podjęcia niezbędnych działań zaradczych oraz do zawiadomienia Spółki, nie później niż w ciągu dwóch godzin od wykrycia naruszenia albo próby lub ryzyka takiego naruszenia.
- W przypadku naruszenia ochrony danych osobowych Spółka bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
- Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, Spółka bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu, chyba że zachodzą okoliczności określone w art. 34 ust. 3 i 4 RODO lub w innych przepisach prawa.
- Spółka prowadzi w formie pisemnej rejestr naruszeń ochrony danych osobowych, w którym szczegółowo opisuje:
- okoliczności naruszenia ochrony danych osobowych,
- skutki naruszenia ochrony danych osobowych,
- podjęte działania zaradcze.
§5
Odpowiedzialność za wykonanie Polityki
- Spółka ponosi odpowiedzialność za przetwarzane przez Spółkę dane osobowe oraz za wdrożenie i przestrzeganie Polityki w Spółce.
- Spółka zapewnia, że osoby dokonujące czynności przetwarzania danych osobowych w Spółce:
- ukończyły szkolenie z zakresu ochrony danych osobowych uwzględniające stan prawny po wejściu w życie RODO;
- zostały pisemnie upoważnione do przetwarzania danych osobowych i dokonują tego wyłącznie na polecenie Spółki;
- pisemnie zobowiązały się do zachowania w tajemnicy przetwarzanych danych osobowych;
- pisemnie zobowiązały się do przestrzegania Polityki, RODO oraz innych przepisów prawa w zakresie ochrony danych osobowych.
- Spółka udziela upoważnienia do przetwarzania danych osobowych wyłącznie osobom zatrudnionym przez Spółkę na podstawie umowy o pracę lub osobom, z którymi Spółka zawarła pisemną umowę cywilnoprawną.
- Spółka, z własnej inicjatywy lub na wniosek osoby przetwarzającej dane osobowe, udziela jej porad, informacji, wskazówek, a także wiążących poleceń dotyczących ochrony danych osobowych, w tym niniejszej Polityki.
- Za naruszenie Polityki osoby przetwarzające dane osobowe mogą ponosić odpowiedzialność na zasadach określonych w odrębnych przepisach. W szczególności naruszenie Polityki może stanowić:
- przyczynę uzasadniającą wypowiedzenie umowy o pracę;
- ciężkie naruszenie podstawowych obowiązków pracowniczych uzasadniające rozwiązanie umowy o pracę bez wypowiedzenia z winy pracownika;
- ważny powód wypowiedzenia umowy zlecenia lub umowy o świadczenie usług.
- Każda osoba dokonująca operacji przetwarzania danych osobowych może zgłaszać Spółce propozycje optymalizacji systemu ochrony danych osobowych w Spółce, mając na względzie przede wszystkim ochronę praw i wolności osób, których dane dotyczą. Zgłoszone propozycje mogą w szczególności skutkować zmianą Polityki lub przeglądu, o którym mowa w § 7 ust. 4 poniżej.
§6
Postanowienia końcowe
- W sprawach nieuregulowanych w Polityce stosuje się powszechnie obowiązujące przepisy prawa, w tym w szczególności przepisy RODO.
- Polityka została sporządzona w formie pisemnej w jednym egzemplarzu. Podpisany oryginał Polityki przechowywany jest w Spółce, natomiast jego skan może być udostępniany osobom upoważnionym przez Spółkę drogą elektroniczną.
- Polityka wchodzi w życie z dniem 29.08.2021r.
- Polityka obowiązuje do czasu jej zmiany lub uchylenia. W razie potrzeby, nie rzadziej niż raz w ciągu sześciu miesięcy, Spółka dokonuje przeglądu Polityki, uwzględniając w szczególności analizę skutków jej obowiązywania dla ochrony danych osobowych oraz ochrony praw i wolności osób, których dane dotyczą. Spółka dokona zmiany Polityki w szczególności w przypadku, gdy zmianie ulegną obowiązujące regulacje prawne w zakresie ochrony danych osobowych.