POLITYKA PRYWATNOŚCI ORAZ  OCHRONY DANYCH OSOBOWYCH W KOMARNICKI I MACHAJSKI KANCELARIA PRAWNICZA ADWOKATA I RADCY PRAWNEGO SP. P. 

PRZEPISY OGÓLNE

§1

Niniejszą Politykę Prywatności i Ochrony Danych Osobowych (dalej: „Polityka”) przedsiębiorstwo KOMARNICKI I MACHAJSKI KANCELARIA PRAWNICZA ADWOKATA I RADCY PRAWNEGO SP. P.  (dalej KiM) wdraża w związku z wejściem w życie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”) oraz ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku.

§2

 W Polityce wskazano:

  1. Zasady ochrony danych obowiązujące w KiM,
  2. Opis załączników – wzorów procedur postępowania w sprawach z zakresu ochrony danych osobowych

§3

Osobą odpowiedzialną za wdrożenie oraz nadzór nad przestrzeganiem Polityki jest właściciel firmy radca prawny Paweł Machajski oraz adwokat Jan Komarnicki – Drużbycz.

§4

Wszyscy pracownicy KiM mają obowiązek zapoznać się z treścią Polityki i stosować się do zasad zawartych w Polityce.

§5

W Polityce zawarto następujące definicje:

  1. Polityka- Polityka Ochrony Danych Osobowych
  2. RODO- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
  3. Dane- dane osobowe w rozumieniu art. 4 ust. 1 RODO,
  4. Dane szczególnej kategorii- dane osobowe wskazane w art. 9 ust. 1 RODO,
  5. Osoba- osoba fizyczna, której dane są przetwarzane w przedsiębiorstwie KiM,
  6. Podmiot Przetwarzający-osoba fizyczna lub prawna przetwarzająca dane osobowe w imieniu KiM,
  7. RCPD- Rejestr Czynności Przetwarzania Danych Osobowych
  8. KiM – KOMARNICKI I MACHAJSKI KANCELARIA PRAWNICZA ADWOKATA I RADCY PRAWNEGO SPÓŁKA PARTNERSKA. 

§6

KiM Dane przetwarzane są z zachowaniem następujących zasad:

  1. Zasada legalności – Dane przetwarzane są jedynie zgodnie z prawem i w oparciu o określoną podstawę prawną,
  2. Bezpieczeństwo- KiM zapewnia odpowiednie środki bezpieczeństwa przetwarzanych danych osobowych,
  3. Zasada poszanowania praw jednostki – umożliwienie osobom, których dane są przetwarzane w KiM wykonywanie praw jednostki związanych z ochroną danych osobowych i realizacja tych praw,
  4. Zasada rozliczalności – KiM prowadzi RCPD celem wykazania zgodności przetwarzania danych z RODO i ustawą o ochronie danych osobowych,
  5. Zasada transparentności- informacje o prawach osób są przekazywane w sposób jasny i zrozumiały,
  6. Zasada minimalizacji i czasowości – dane są przetwarzane jedynie w określonych celach, w niezbędnym zakresie i przez ograniczony czas.

 

SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE

§7

KiM celem wprowadzenia prawidłowego systemu ochrony danych przeprowadza inwentaryzację przetwarzanych danych osobowych, klasyfikację danych z uwagi na ich kategorię (dane zwykłe, dane szczególnego rodzaju) oraz określa sposób wykorzystania tych danych.

§8

KiM prowadzi RCPD, który pozwala na rozliczenie prawidłowości przetwarzania danych osobowych przez KiM. W RCPD KiM wprowadza podstawę prawną przetwarzania danych. Podstawy prawne przetwarzania są na bieżąco weryfikowane i uaktualniane.

§9

KiM zapewnia realizację obowiązku informacyjnego względem Osób i realizuje następujące żądania tych Osób:

  1. Obowiązek informacyjny – KiM przekazuje Osobom informacje dotyczące ich praw, wskazane w RODO oraz dokumentuje fakt udzielenia tych informacji,
  2. Spełnianie żądań Osób – KiM zapewnia możliwość wykonania żądań osób, których dane przetwarza przez KiM oraz inne Podmioty Przetwarzające, w terminach i w sposób wymagany przez RODO oraz odpowiednio dokumentuje fakt spełnienia tych żądań,
  3. W przypadku naruszenia danych KiM weryfikuje, czy istnieje konieczność zawiadomienia Osób których dane zostały w sposób zidentyfikowany naruszone.

§10

Stosując zasadę minimalizacji, KiM:

  1. Wprowadza szczegółowe upoważnienia dla pracowników KiM, ograniczające możliwość przetwarzania przez pracowników Danych do celu wykonania obowiązków służbowych (minimalizacja dostępu),
  2. Przekazuje Dane Podmiotom Przetwarzającym jedynie w zakresie niezbędnym do realizacji przez te podmioty określonych świadczeń na rzecz KiM (minimalizacja dostępu),
  3. Przetwarza Dane jedynie do niezbędnych celów, przez określony czas (minimalizacja zakresu, minimalizacja czasu),
  4. Kontroluje, czy przetwarzanie danych jest adekwatne i konieczne, a w razie ustalenia, że dalsze przetwarzanie Danych nie jest konieczne, dokonuje trwałego usunięcia tych danych (minimalizacja zakresu, minimalizacja czasu),
  5. Wprowadza fizyczne ograniczenie dostępu do danych osobowych: zamykane pomieszczenia, w których znajdują się dane osobowe, zamykane szafki na dokumenty, hasła do komputerów i wszelkich innych elektronicznych nośników danych, udostępnia te dane określonemu kręgowi osób upoważnionych i dokonuje aktualizacji uprawnień dostępowych w razie zmian w składzie personelu, zmian obowiązków służbowych personelu i zmian podmiotów przetwarzających (minimalizacja dostępu).

§11

 Stosując zasadę zapewnienia bezpieczeństwa danych osobowych, KiM:

  1. Przeprowadza analizę ryzyka przetwarzania Danych w przedsiębiorstwie i wdraża odpowiednie środki bezpieczeństwa dla przetwarzania danych,
  2. Przeprowadza szkolenie dla pracowników KiM zobowiązując pracowników do przestrzegania procedur bezpieczeństwa,
  3. Współpracuje z podmiotami wyspecjalizowanymi, w tym w bezpieczeństwie ochrony informacji i cyberbezpieczeństwie,
  4. Zapewnia bezpieczeństwo ochrony danych osobowych poprzez:

D1) ograniczenie dostępu fizycznego do danych osobowych – przekazanie kluczy do pomieszczeń i szafek ograniczonemu kręgowi upoważnionych osób,

D2) wprowadzenie haseł do : komputera, logowania do systemu operacyjnego, folderów, w których znajdują się dane osobowe, poczty elektronicznej, służbowych telefonów komórkowych, przenośnych nośników danych osobowych (pendrive, dyski zewnętrzne, płyty CD i DVD),

D3) dokonuje periodycznych zmian haseł o których mowa w pkt. D1) oraz weryfikuje, czy do haseł mają dostęp jedynie upoważnione osoby,

D4) w razie przesyłania do kontrahentów plików, w których znajdują się dane osobowe, KiM zabezpiecza te pliki hasłem, do którego dostęp mają jedynie osoby upoważnione,

  1. w przeciągu 72 godzin od stwierdzenia zweryfikowanego naruszenia danych osobowych, zgłasza za pośrednictwem systemu teleinformatycznego, fakt takiego naruszenia danych osobowych do organu nadzorczego
  2. w razie stwierdzenia faktu naruszenia danych osobowych, przeprowadza analizę przyczyn powstania naruszenia i wdraża metody pozwalające na uniknięcie kolejnych przypadków naruszeń w przyszłości;
  3. prowadzi Rejestr Naruszeń Bezpieczeństwa Danych Osobowych.

§12

KiM powierza podmiotom trzecim: zleceniobiorcom, podwykonawcom, kontrahentom,  podmiotom wykonującym dla KiM usługi outsorcingowe; dane osobowe, jedynie na podstawie pisemnej umowy o powierzenie przetwarzania danych osobowych, w której to umowie zobowiązuje podmioty przetwarzające do postępowania zgodnie z RODO.

§13

KiM stale weryfikuje, czy przetwarzane dane nie są przekazywane do państw trzecich poza EOG oraz czy ma miejsce przetwarzanie transgraniczne, a jeśli takie przypadki występują, zapewnia legalność takiego przetwarzania zgodnie z RODO.

§14

W przypadku ustalenia, że KiM przetwarza dane szczególne, uzyskuje wyraźną zgodę od osoby, której dane dotyczą, na takie przetwarzanie.

§15

W przypadku ustalenia, że KiM przetwarza dane niezidentyfikowane, KiM wdraża odpowiednie mechanizmy pozwalające na realizację praw osób, których dotyczą dane niezidentyfikowane.

§16

KiM nie dokonuje profilowania przetwarzanych danych i/lub  zautomatyzowanego podejmowania decyzji w zakresie posiadanych danych.

§17

W przypadku współadministrowania danymi osobowymi przez KiM oraz innego Administratora danych/ Administratorów danych, KiM zawiera z takimi podmiotami pisemne umowy o współadministrowanie i w tych umowach zobowiązuje współadministratorów do przetwarzania danych osobowych zgodnie z RODO.

REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH

§18

KiM w celu rozliczenia ciążących na przedsiębiorstwie obowiązków ochrony danych, prowadzi w formie elektronicznej Rejestr Czynności Przetwarzania Danych, w którym inwentaryzuje dane osobowe i monitoruje sposób ich wykorzystania.

§19

W Rejestrze  Czynności Przetwarzania Danych odnotowuje się:

  1. Dane Administratora, w tym jego dane kontaktowe
  2. Nazwę czynności
  3. Cel przetwarzania
  4. Opis kategorii osób
  5. Podstawę prawną przetwarzania
  6. Sposób, w jaki zbiera się dane
  7. Kategorię odbiorców danych
  8. W przypadku gdy znajdzie to zastosowanie, przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej
  9. Planowany termin usunięcia danych
  10. Opis technicznych i organizacyjnych środków bezpieczeństwa.

§20

KiM wskazując w RCPD podstawę prawną przetwarzania danych, w miarę możliwości konkretyzuje tę podstawę prawną, podając konkretną umowę i inne dokumenty z których wynika podstawa prawna przetwarzania, opisuje zakres udzielonej zgody na przetwarzanie danych, opisuje uzasadniony cel przetwarzania lub wskazuje konkretne żywotne interesy, z których taka potrzeba przetwarzania zaistniała.

OBSŁUGA PRAW JEDNOSTKI I OBOWIĄZKÓW INFORMACYJNYCH

§21

KiM udziela osobom, których dane przetwarza informacji o ich prawach związanych z ochroną danych osobowych : przesyła informacje w formie mailowej, umieszcza stosowne informacje na stronie internetowej KiM.

§22

KiM dotrzymuje prawnie uregulowanych terminów na realizację obowiązków względem osób, których dane przetwarza oraz zapewnia możliwość zidentyfikowania danych konkretnych osób, wprowadzenia do nich zmian i ich usunięcia.

§23

KiM przy pozyskaniu danych osoby, informuje tę osobę o przetwarzaniu jej danych osobowych. Przy przetwarzaniu danych uniemożliwiających zidentyfikowanie osoby, KiM w miarę możliwości  informuje takie osoby o przetwarzaniu ich danych. W przypadku uzyskania danych osobowych niebezpośrednio od danej osoby, KiM informuje taką osobę o przetwarzaniu jej danych.

§24

W przypadku zmiany celu przetwarzania danych, KiM informuje osobę, której takie dane dotyczą, o planowanej zmianie. KiM informuje także właściwą osobę o uchyleniu ograniczenia przetwarzania jej danych.

§25

W razie gdy nie wymaga to niewspółmiernie dużego wysiłku lub gdy nie jest niemożliwe, KiM informuje odbiorców danych osobowych o przypadku:

  1. Sprostowania danych
  2. Usunięcia danych
  3. Ograniczenia przetwarzania danych.

§26

KiM, przy pierwszym kontakcie z osobą, której dane zamierza przetwarzać, informuje taką osobę o przysługującym jej prawie sprzeciwu względem przetwarzania danych.

§27

KiM, w razie zaistnienia takiej potrzeby, przedłuża ponad jeden miesiąc termin na rozpatrzenie żądania osoby i wówczas informuje taką osobę o przedłużeniu terminu.

§28

Jeżeli osoba zgłosiła żądanie dotyczące jej praw, a KiM nie przetwarza jej danych osobowych, informuje taką osobę o nieprzetwarzaniu jej danych.

§29

W razie zaistnienia podstaw do odmowy spełnienia żądania osoby, KiM informuje taką osobę w ciągu miesiąca od otrzymania żądania o odmowie rozpatrzenia tego żądania i o prawach przysługujących takiej osobie w związku z odmową.

§30

W przypadku wyrażenia przez osobę żądania dostępu do jej danych, KiM informuje taką osobę o tym, czy dane te przetwarza, a jeśli tak to informuje ją dodatkowo o:

  1. Celu przetwarzania danych,
  2. Kategorii przetwarzanych danych,
  3. Odbiorcach danych, w szczególności jeżeli odbiorca ma siedzibę w państwie trzecim lub jest organizacją międzynarodową,
  4. W miarę możliwości o planowanym okresie przetwarzania danych lub kryteriach ustalenia tego okresu,
  5. Prawie do żądania od KiM sprostowania, usunięcia lub ograniczenia przetwarzania danych oraz do wniesienia sprzeciwu co do przetwarzania,
  6. Prawie wniesienia skargi do organu nadzorczego
  7. Fakcie, czy w przypadku tej osoby wykorzystywane jest zautomatyzowane podejmowanie decyzji w tym profilowanie,
  8. Prawie do uzyskania kopii danych.

§31

W przypadku wystąpienia stosownego żądania, KiM wydaje osobie, której dane dotyczą, kopię przetwarzanych danych dotyczących tej osoby – bezpłatnie i odnotowuje fakt wydania kopii. W razie ponownego żądania wydania kopii danych tej samej osoby, KiM pobiera opłatę za wydanie kopii. Wysokość opłaty jest oszacowana na podstawie kosztu jednostkowej obsługi takiego żądania.

§32

W przypadku otrzymania żądania sprostowania danych, KiM niezwłocznie takiego sprostowania dokonuje. KiM może odmówić sprostowania danych, chyba, że osoba, która z żądaniem sprostowania wystąpiła, w rozsądny sposób wykaże nieprawidłowość danych. W przypadku sprostowania danych na żądanie osoby, której dotyczą dane, informuje o sprostowaniu odbiorców danych.

§33

W przypadku otrzymania żądania uzupełnienia lub aktualizacji danych, KiM wykonuje takie żądanie. KiM ma prawo odmówić uzupełnienia danych, gdyby takie uzupełnienie było niezgodne z celami, w jakich dane przetwarza.

§34

W przypadku żądania usunięcia danych KiM usuwa dane, jeżeli:

  1. Dane te nie są niezbędne do celów, w których zostały zebrane bądź nie są przetwarzane w innych zgodnych z przepisami celach,
  2. Cofnięto zgodę na przetwarzanie danych, a brak jest innych podstaw prawnych do ich przetwarzania,
  3. Sprzeciw osoby względem przetwarzania danych jest skuteczny,
  4. Dane były przetwarzane niezgodnie z przepisami obowiązującego prawa,
  5. Usunięcie danych podyktowane jest prawnym obowiązkiem,
  6. Dane dotyczą dziecka, a zostały zebrane na podstawie zgody Opiekuna Prawnego.

§35

 W przypadku usunięcia danych, KiM na żądanie osoby, której dotyczą dane, przekazuje tej osobie informację o odbiorcach danych.

§36

W przypadku żądania ograniczenia przetwarzania danych, KiM ogranicza przetwarzanie danych:

  1. w przypadku kwestionowania przez osobę prawidłowości danych – na czas niezbędny do sprawdzenia ich prawidłowości,
  2. Dane były przetwarzane niezgodnie z przepisami obowiązującego prawa, a osoba, której dane dotyczą, sprzeciwia się ich usunięciu i żąda ograniczenia ich przetwarzania,
  3. KiM nie ma już potrzeby przetwarzania danych, lecz są one potrzebne osobie, której dane dotyczą, do ustalenia/dochodzenia/obrony roszczeń,
  4. W razie wniesienia sprzeciwu co do przetwarzania uzasadnionego szczególną sytuacją osoby- do czasu stwierdzenia, czy pomimo sprzeciwu KiM ma nadrzędne wobec sprzeciwu prawnie uzasadnione podstawy przetwarzania danych.

§37

W przypadku zastosowania przez KiM ograniczenia przetwarzania danych, KiM przechowuje te dane, ale bez zgody osoby, której one dotyczą nie przetwarza tj. nie wykorzystuje i nie przekazuje tych danych. A jeśli dalsze przetwarzanie  byłoby niezbędne w celu ustalenia, dochodzenia lub obrony roszczeń, w celu ochrony praw innej osoby fizycznej lub prawnej, z uwagi na ważne względy interesu publicznego – informuje o tym Osobę z pytaniem o zgodę na dalsze wykorzystanie Danych.

§38

W przypadku ograniczenia przetwarzania danych, KiM na żądanie osoby, której dotyczą dane, przekazuje tej osobie informację o odbiorcach danych. Przed uchyleniem ograniczenia przetwarzania KiM informuje o tym  osobę, której dane dotyczą.

§39

W przypadku żądania przenoszenia danych, KiM wydaje w ustrukturyzowanym, powszechnie używanym formacie lub, jeżeli jest to możliwe, przekazuje innemu podmiotowi, dane dotyczące osoby, która przeniesienia żądała, jeżeli osoba ta przekazała KiM swoje dane na podstawie wyrażonej zgody na przetwarzanie lub w celu zawarcia lub wykonania umowy.

POSTANOWIENIA KOŃCOWE

 §40

KiM oświadcza, że zapoznał pracowników z treścią Polityki i zobowiązał pracowników do przestrzegania Polityki.

§41

Aby usprawnić i ułatwić procedury bezpieczeństwa ochrony danych osobowych w KiM i zapewnić zgodność przetwarzania danych z RODO i ustawą o ochronie danych osobowych, KiM wprowadził następujące wzory dokumentów:

  1. Upoważnienie do przetwarzania danych przez pracownika KiM,
  2. Umowa powierzenia danych osobowych
  3. Rejestr Przetwarzania Danych Osobowych
  4. Klauzula informacyjna
  5. Rejestr Naruszeń Bezpieczeństwa Danych Osobowych.