Wise People – tworzymy strony internetowe, które rozwiązują problemy

Bydgoszcz, dnia 29.08.2021 r.

 

POLITYKA OCHRONY DANYCH OSOBOWYCH W SPÓŁCE WISE PEOPLE SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W BYDGOSZCZY

 

PREAMBUŁA

Zważywszy, że:

  1. Spółka WISE PEOPLE Spółka z ograniczoną odpowiedzialnością z siedzibą w Bydgoszczy, al. Powstańców Wielkopolskich 26, 85-090 Bydgoszcz, wpisaną do rejestru przedsiębiorców KRS przez Sąd Rejonowy w Bydgoszczy XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000736714, NIP: 9532750999, REGON: 380521440, kapitał zakładowy: 5.000 zł, dalej: „Spółka”, prowadzi działalność gospodarczą w szeroko pojętej branży IT.
  2. Spółka prowadzi działalność zgodnie z obowiązującymi regulacjami prawnymi, w tym w szczególności z poszanowaniem prawa do prywatności osób fizycznych, ich dóbr osobistych oraz uwzględnieniem prawa ochrony danych osobowych.
  3. W związku z prowadzoną działalnością Spółka przetwarza dane osobowe.
  4. Niniejsza Polityka ochrony danych osobowych, dalej: „Polityka”, zapewnia zgodność działalności Spółki z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1), dalej: „RODO”, jak również innych przepisów prawa dotyczących ochrony danych osobowych;
  5. Spółka jest świadoma znaczenia należytej ochrony danych osobowych w ramach prowadzonej przez nią działalności, w tym zwłaszcza praw i wolności osób, których dane dotyczą,

Spółka wprowadza Politykę o następującej treści:

§1

Postanowienia ogólne. Zakres stosowania Polityki

  1. Polityka reguluje:
    1. zasady przetwarzania danych osobowych w Spółce;
    2. bezpieczeństwo przetwarzania danych osobowych w Spółce;
    3. procedury związane z naruszeniem ochrony danych osobowych w Spółce;
    4. zasady odpowiedzialności za wykonanie i naruszenie Polityki;
  2. Politykę stosuje się do wszelkich czynności związanych z przetwarzaniem danych osobowych w Spółce, w tym w szczególności do przetwarzania danych osobowych:
    1. uzyskanych w związku ze świadczeniem usług przez Spółkę;
    2. osób zatrudnionych na podstawie umowy o pracę przez Spółkę;
    3. osób, z którymi Spółka współpracuje na podstawie umów cywilnoprawnych;
    4. praktykantów, studentów, stażystów.
  3. Politykę stosuję się niezależnie od tego, czy w związku z przetwarzaniem danych osobowych Spółka pełni funkcję administratora, podmiotu przetwarzającego czy odbiorcy danych.

§2

Zasady przetwarzania danych osobowych

  1. Dane osobowe w Spółce są przetwarzane zgodnie z obowiązującymi regulacjami prawnymi, Polityką oraz innymi aktami wewnętrznymi obowiązującymi w Spółce.
  2. Dane osobowe w Spółce są:
    1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
    2. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);
    3. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
    4. prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
    5. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”);
    6. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
  3. Jeżeli przetwarzane w Spółce dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, Spółka realizuje wobec niej obowiązek informacyjny w zakresie określonym w art. 13 RODO.
  4. Jeżeli przetwarzanych w Spółce danych osobowych nie pozyskano od osoby, której dane dotyczą, Spółka realizuje wobec tej osoby obowiązek informacyjny w zakresie określonym w art. 14 RODO.
  5. Jeżeli w związku z przetwarzaniem danych osobowych w Spółce osoba, której dane dotyczą, zgłasza zamiar realizacji któregokolwiek prawa lub wolności przewidzianego w RODO, Spółka podejmuje decyzję co do uwzględnienia tego żądania, mając na uwadze RODO i inne obowiązujące przepisy prawa. Jeżeli żądanie zostanie zgłoszone innej osobie niż Spółka, wówczas osoba ta niezwłocznie przekazuje je Spółce.
  6. Spółka prowadzi rejestr, w którym ujawniane są wszystkie czynności przetwarzania danych osobowych dokonywane w Spółce.
  7. Spółka może powierzyć przetwarzanie danych osobowych podmiotowi niedziałającemu w ramach Spółki, o ile nie sprzeciwiają się temu obowiązujące przepisy prawa. W takim przypadku Spółka zawiera z podmiotem przetwarzającym umowę o powierzenie przetwarzania danych osobowych zgodnie z wymaganiami określonymi w art. 28 RODO. Do powierzenia przetwarzania danych osobowych nie jest uprawniona w Spółce inna osoba niż osoba uprawniona do jej reprezentacji, zgodnie z zapisami umowy Spółki.
  8. Spółka nie przekazuje danych osobowych do państw trzecich ani organizacji międzynarodowych w rozumieniu RODO. Jeżeli jednak okaże się to absolutnie konieczne, wówczas przekazanie danych osobowych następuje zgodnie z postanowieniami rozdziału V RODO.

§3

Bezpieczeństwo przetwarzania danych osobowych

  1. Spółka zapewnia środki organizacyjne i techniczne w celu skutecznej realizacji zasad ochrony danych osobowych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymagania wynikające z RODO i z innych przepisów prawa oraz chronić prawa i wolności osób, których dane dotyczą. Stosowane zabezpieczenia ochrony danych osobowych odpowiadają możliwemu ryzyku naruszeniu praw osób, których dane dotyczą.
  2. Spółka zapewnia minimalizację przetwarzanych danych osobowych, w szczególności poprzez:
    1. ograniczenie zakresu i ilości przetwarzanych danych osobowych w stopniu adekwatnym do celów przetwarzania;
    2. ograniczenie dostępności do danych osobowych wyłącznie do osób posiadających upoważnienie od Spółki oraz zobowiązanych do zachowania poufności;
    3. ograniczenie miejsc, w których dokonywane są czynności przetwarzania danych osobowych;
    4. ograniczenie czasu przetwarzania danych osobowych wyłącznie do czasu wymaganego przepisami RODO oraz innymi przepisami prawa.
  3. Dane osobowe powinny być przetwarzane w siedzibie Spółki i to wyłącznie w pomieszczeniach, do których nie mają dostępu osoby nieupoważnione przez Spółkę do czynności przetwarzania danych osobowych.
  4. Przetwarzanie danych osobowych w formie elektronicznej dopuszczalne jest wyłącznie na przeznaczonych do tego komputerach administrowanych przez Spółkę zgodnie z zasadami umożliwiającymi ich przetwarzanie zgodnie z zapisami Polityki.

§4

Procedury związane z naruszeniem ochrony danych osobowych

  1. Spółka i wszystkie osoby przetwarzające dane osobowe na polecenie Spółki zobowiązują się podejmować wszelkie zgodne z prawem środki zaradcze, w tym w szczególności przestrzegać warunków określonych w Polityce, aby nie dopuścić do naruszenia ochrony danych osobowych.
  2. Przez naruszenie ochrony danych osobowych należy rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
  3. W przypadku wykrycia naruszenia ochrony osobowych, jak również w przypadku próby lub ryzyka takiego naruszenia, osoba przetwarzająca dane osobowe jest zobowiązana do natychmiastowego podjęcia niezbędnych działań zaradczych oraz do zawiadomienia Spółki, nie później niż w ciągu dwóch godzin od wykrycia naruszenia albo próby lub ryzyka takiego naruszenia.
  4. W przypadku naruszenia ochrony danych osobowych Spółka bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
  5. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, Spółka bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu, chyba że zachodzą okoliczności określone w art. 34 ust. 3 i 4 RODO lub w innych przepisach prawa.
  6. Spółka prowadzi w formie pisemnej rejestr naruszeń ochrony danych osobowych, w którym szczegółowo opisuje:
    1. okoliczności naruszenia ochrony danych osobowych,
    2. skutki naruszenia ochrony danych osobowych,
    3. podjęte działania zaradcze.

§5

Odpowiedzialność za wykonanie Polityki

  1. Spółka ponosi odpowiedzialność za przetwarzane przez Spółkę dane osobowe oraz za wdrożenie i przestrzeganie Polityki w Spółce.
  2. Spółka zapewnia, że osoby dokonujące czynności przetwarzania danych osobowych w Spółce:
    1. ukończyły szkolenie z zakresu ochrony danych osobowych uwzględniające stan prawny po wejściu w życie RODO;
    2. zostały pisemnie upoważnione do przetwarzania danych osobowych i dokonują tego wyłącznie na polecenie Spółki;
    3. pisemnie zobowiązały się do zachowania w tajemnicy przetwarzanych danych osobowych;
    4. pisemnie zobowiązały się do przestrzegania Polityki, RODO oraz innych przepisów prawa w zakresie ochrony danych osobowych.
  3. Spółka udziela upoważnienia do przetwarzania danych osobowych wyłącznie osobom zatrudnionym przez Spółkę na podstawie umowy o pracę lub osobom, z którymi Spółka zawarła pisemną umowę cywilnoprawną.
  4. Spółka, z własnej inicjatywy lub na wniosek osoby przetwarzającej dane osobowe, udziela jej porad, informacji, wskazówek, a także wiążących poleceń dotyczących ochrony danych osobowych, w tym niniejszej Polityki.
  5. Za naruszenie Polityki osoby przetwarzające dane osobowe mogą ponosić odpowiedzialność na zasadach określonych w odrębnych przepisach. W szczególności naruszenie Polityki może stanowić:
    1. przyczynę uzasadniającą wypowiedzenie umowy o pracę;
    2. ciężkie naruszenie podstawowych obowiązków pracowniczych uzasadniające rozwiązanie umowy o pracę bez wypowiedzenia z winy pracownika;
    3. ważny powód wypowiedzenia umowy zlecenia lub umowy o świadczenie usług.
  6. Każda osoba dokonująca operacji przetwarzania danych osobowych może zgłaszać Spółce propozycje optymalizacji systemu ochrony danych osobowych w Spółce, mając na względzie przede wszystkim ochronę praw i wolności osób, których dane dotyczą. Zgłoszone propozycje mogą w szczególności skutkować zmianą Polityki lub przeglądu, o którym mowa w § 7 ust. 4 poniżej.

§6

Postanowienia końcowe

  1. W sprawach nieuregulowanych w Polityce stosuje się powszechnie obowiązujące przepisy prawa, w tym w szczególności przepisy RODO.
  2. Polityka została sporządzona w formie pisemnej w jednym egzemplarzu. Podpisany oryginał Polityki przechowywany jest w Spółce, natomiast jego skan może być udostępniany osobom upoważnionym przez Spółkę drogą elektroniczną.
  3. Polityka wchodzi w życie z dniem 29.08.2021r.
  4. Polityka obowiązuje do czasu jej zmiany lub uchylenia. W razie potrzeby, nie rzadziej niż raz w ciągu sześciu miesięcy, Spółka dokonuje przeglądu Polityki, uwzględniając w szczególności analizę skutków jej obowiązywania dla ochrony danych osobowych oraz ochrony praw i wolności osób, których dane dotyczą. Spółka dokona zmiany Polityki w szczególności w przypadku, gdy zmianie ulegną obowiązujące regulacje prawne w zakresie ochrony danych osobowych.