POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

PREAMBUŁA

Mając na uwadze prawa i zobowiązania spółki Inwestycje Miejskie Sp. z o.o. z siedzibą w Płocku, pod adresem ul. Bielska 9/11, 09-400 Płock zarejestrowaną w rejestrze przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIV Wydział KRS pod numerem 0000344933, NIP: 774-31-37-869, REGON: 142149864 (dalej: „Spółka”), jej pracowników, klientów i kontrahentów w zakresie ochrony danych osobowych, w szczególności wynikające z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: „RODO”), Zarząd Spółki ustanowił niniejszą Politykę Bezpieczeństwa Ochrony Danych Osobowych stanowiącą zestawienie zasad w zakresie ochrony danych osobowych w ramach przedsiębiorstwa Spółki, w tym niezbędne procedury postępowania.

 §1

Definicje

Administrator” oznacza osobę która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, którym w ramach niniejszej Polityki Bezpieczeństwa jest Spółka;

Dane Dotyczące Zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;

Dane Osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej do chwili śmierci, w szczególności takie jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej, w szczególności dotyczące Pracowników, Klientów lub Osób Trzecich;

Klient” oznacza podmiot na rzecz, którego Administrator świadczy usługi lub dostarcza produkty w ramach prowadzonej działalności gospodarczej Administratora;

Kontrahent” oznacza podmiot współpracujący ze Administratorem na podstawie umów cywilno-prawnych, dostarczający dobra lub usługi itp. na rzecz Administratora;

Naruszenie Ochrony Danych Osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

Osoba Trzecia” oznacza podmiot, którego dane są lub będą przetwarzana przez Administratora, inny niż Pracownik, Klient lub Kontrahent, a którego przetwarzanie danych osobowych jest niezbędne do spełnienie zobowiązań umownych lub ustawowych, w szczególności mogą to być w stosunku do w/w osób ich pracownicy, współpracownicy, członkowie zarządów, wspólnicy, członkowie, rodziny, osoby najbliższe itd.;

Podmiot Przetwarzający” oznacza podmiot, który przetwarza dane osobowe w imieniu Administratora, który między innymi może być Kontrahent lub Pracownik;

Pracownik” oznacza osobę zatrudnioną przez Administratora w ramach stosunku pracy;

Przedstawiciel” oznacza pracownika lub inny podmiot wyznaczony przez Administratora do reprezentowania Administratora w zakresie obowiązków wynikających z RODO;

Przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

Spółka” Inwestycje Miejskie Sp. z o.o. z siedzibą w Płocku, pod adresem ul. Bielska 9/11, 09-400 Płock, zarejestrowana w rejestrze przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIV Wydział KRS pod numerem 0000344933, NIP: 774-31-37-869, REGON: 142149864;

Przedmiot Działalności” roboty budowlane związane ze wznoszeniem budynków mieszkalnych i niemieszkalnych oraz wynajem i zarządzanie nieruchomościami własnymi, a także wytwarzanie i sprzedaż energii elektrycznej;

Zgoda” oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

§ 2

Postanowienia Ogólne

  1. Administrator zapewnia przetwarzanie Danych Osobowych zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
  2. Dane Osobowe będą zbierane wyłącznie w celu wykonania zobowiązań umownych i ustawowych przez Administratora, w tym w szczególności w ramach stosunku pracy, stosunków cywilnych, a także zobowiązań wynikających z Przedmiotu Działalności.
  3. Administrator zapewnia minimalizację zbieranych Danych Osobowych, tj. ograniczenie ich zakresu do danych niezbędnych do wykonania Przedmiotu Działalności oraz w stosunkach z Kontrahentami i Pracownikami. Odnośnie pracowników zakres Danych Osobowych będzie zgodny z brzmieniem art. 22 Kodeksu Pracy lub innym właściwym obowiązującym przepisem prawa.
  4. Administrator dba, aby wszelkie Dane Osobowe były prawidłowe, a w razie potrzeby podejmuje działania mające na celu usunięcia lub sprostowania nieprawidłowości.
  5. Dane Osobowe będą przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
  6. Administrator podejmuje obiektywnie możliwe środki techniczne i organizacyjne celem właściwego zabezpieczenia Danych Osobowych przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.
  7. Administrator jest uprawniony do przetwarzania Danych Osobowych na podstawie zgody osoby, której dane dotyczą lub gdy przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy lub gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze oraz w innych przypadkach określonych w art. 6 i art. 9 RODO.
  8. Za osobę do lat 13 lub nieposiadającą zdolności do czynności prawnych, wszelkich zgód, oświadczeń itp. w zakresie ochrony Danych Osobowych udziela przedstawiciel ustawowy tej osoby.
  9. Dane Osobowe, o ile będzie to możliwe do wykonania, będą przetwarzane na podstawie klauzul umownych, umów i innych dokumentów stanowiących załączniki do niniejszej Polityki Bezpieczeństwa, tj.: wzoru umowy w zakresie ochrony danych osobowych z dotychczasowymi Klientami (Załącznik nr 1), wzoru umowy w zakresie ochrony danych osobowych z Kontrahentami (Załącznik nr 2), wzoru umowy w zakresie ochrony danych osobowych z Pracownikami (Załącznik nr 3), wzoru umowy w zakresie ochrony danych osobowych z Członkami Zarządu (Załącznik nr 3A), wzoru umowy wzajemnej w zakresie ochrony danych osobowych z Usługodawcą (Załącznik nr 3B), wzoru oświadczenia o udzieleniu zgody na przetwarzanie danych osobowych wraz z pouczeniem (Załącznik nr 4), wzoru pisma informacyjnego z pouczeniem w zakresie ochrony danych osobowych w wersji do podpisania (Załącznik nr 5), wzoru pisma informacyjnego z pouczeniem w zakresie ochrony danych osobowych w wersji do doręczenia (Załącznik nr 6). Wskazane dokumenty oraz klauzula zawarta w ust. 10 poniżej, mają postać pisemną i elektroniczną oraz są udostępniane przez Administratora Klientom, Kontrahentom, Pracownikom oraz Osobom Trzecim na ich uzasadnione żądanie, z zastrzeżeniem innych postanowień niniejszej Polityki Bezpieczeństwa.
  10. Do umów zawieranych z nowymi klientami lub w przypadku zmiany dotychczasowych umów stosuje się następującą klauzulę w zakresie ochrony danych osobowych, która jednocześnie zawarta jest w Załączniku nr 7 do niniejszej Polityki Bezpieczeństwa:

§ […]

  1. 1.         O ile ma to zastosowanie, Klient niniejszym wyraża zgodę na przetwarzanie danych osobowych swoich, swoich pracowników, współpracowników, członków organów, osób najbliższych, w tym małżonka i dzieci oraz wszelkich innych osób, których dane osobowe zostaną przekazane Spółce w celu lub w związku z wykonaniem niniejszej Umowy.
  2. 2.         Jednocześnie Klient oświadcza, iż jest w pełni uprawniony do przetwarzania danych osobowych osób, o których mowa w ust. 1 powyżej, w tym w szczególności do przekazania danych osobowych Spółce. W przypadku powstania jakiejkolwiek odpowiedzialności Spółki wobec osób, o których mowa w ust. 1 lub nałożenia na Spółkę kar, grzywien itp. spowodowanych brakiem prawa Klienta do przetwarzania danych osób wskazany w ust. 1, Klient będzie zobowiązany do naprawienia wszelkiej szkody Spółki z tego tytułu, w tym do zwrotu Spółce wszelkich kosztów obsługi prawnej, w tym kosztów wynagrodzeń prawników oraz kosztów wszelkich postępowań w powyższym zakresie.
  3. 3.         Spółka zobowiązuje się do przetwarzania danych osobowych zgodnie z powszechnie obowiązującymi przepisami prawa.
  4. 4.         Nadto, Spółka informuje, iż:
  •  Spółka będzie administratorem danych osobowych Klienta oraz o ile będzie to konieczne, danych osób wskazanych w ust. 1, pod adresem ul. Bielska 9/11, 09-400 Płock tel. (24) 364-19-66;
  • Dane osobowe będą przetwarzane na cele związane działalnością gospodarczą Spółki, tj. budową, wynajmem i zarządzeniem budynkami mieszkalnymi i niemieszkalnymi oraz produkcją i sprzedażą energii elektrycznej, w tym w szczególności na cele finansowo-księgowe, a także na cele wszelkiej sprawozdawczości, do której Spółka zobowiązana jest zgodnie z powszechnie obowiązującymi przepisami prawa, z uwagi na zakres prowadzonej działalności gospodarcze jak również na potrzeby tworzenia bazy klientów oraz bazy danych kontaktowych klientów;
  • Podstawą prawną przetwarzania danych osobowych jest art. 6 ust. 1 pkt b i c oraz o ile okaże się to konieczne art. 9 ust. 2 pkt b lub pkt c lub pkt d Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
  • Dane osobowe będą przetwarzane przez okres wykonywania zleconych czynności, a także w zakresie przechowywania dokumentacji finansowej/podatkowej oraz trwania praw i obowiązków stron Umowy, wynikających z powszechnie obowiązujących przepisów prawa;
  • Osobie, której dane są przetwarzane, przysługuje prawo do żądania od Spółki dostępu do danych osobowych, ich sprostowania, a także od 25.05.2018 r. prawo do usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania danych z uwagi na szczególną sytuację osoby, której dane są przetwarzane, a także do przenoszenia danych (uzyskania usystematyzowanego zestawienia sowich danych i przekazania ich innemu administratorowi), jak również prawo do cofnięcia zgody w dowolnym momencie i wniesienia skargi do organu nadzoru;
  • Podanie danych osobowych jest wymogiem koniecznym wykonania zobowiązań niniejszej Umowy. Niepodanie lub podanie w niepełnym zakresie żądanych danych Spółce uniemożliwi wykonanie Umowy, powodując odpowiedzialność odszkodowawczą.
  1. 5.         Z najdalej posuniętej ostrożności Spółka informuje Klienta, iż od dnia 25 maja 2018 roku, na podstawie powszechnie obowiązujących przepisów prawa Spółka zobowiązana jest powiadomić każdą z osób, o których mowa w ust. 1 o fakcie przetwarzania jej danych osobowych oraz pouczyć zgodnie z treścią ust. 4 powyżej, co niniejszym uczyni poprzez uzyskanie własnoręcznie podpisanych oświadczeń lub poprzez przesłanie pisma informacyjnego za pośrednictwem listów poleconych lub skrzynki mailowej.
  2. 6.         W przypadku jeżeli Klient nie przedłoży Spółce podpisanych oświadczeń, o których  mowa w ust. 5 powyżej, Spółka zobowiązany będzie do przesłania stosownego pisma listem poleconym za potwierdzeniem odbioru, za co obciąży Klienta opłatą w kwocie 15 zł netto za każde wysłane pismo.
  3. 7.         Ponadto, w ramach przedsiębiorstwa Spółki, na podstawie uchwały nr 22/2018 z dnia 08 maja 2018 Zarządu Spółki, została utworzona Polityka Bezpieczeństwa Danych Osobowych Inwestycje Miejskie Sp. z o.o., z którą Klient się zapoznał i którą w pełni akceptuje.
  4. Administrator dopuszcza możliwość i wyraża zgodę na zmianę treści dokumentów wskazanych w ust. 9 powyżej oraz klauzuli z ust. 10, powyżej, w ramach negocjacji umownych ze stronami czynności prawnych, w zakresie jakim jest to dopuszczalne powszechnie obowiązującymi przepisami prawa, przy czym każda zmiana musi zostać zatwierdzona przez Administratora.
  5. Administrator informuje, iż prowadzi działalność gospodarczą pod następującymi adresami, pod którymi odpowiednio są przetwarzane Dane Osobowe: ul. Bielska 9/11, 09-400 Płock.

§ 3

Obowiązki Informacyjne Administratora

  1. Administrator informuje, iż w zakresie przetwarzanych Danych Osobowych:
  • Administratorem Danych Osobowych jest Inwestycje Miejskie Sp. z o.o. z siedzibą w Płocku, pod adresem ul. Bielska 9/11, 09-400 Płock, zarejestrowana w rejestrze przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIV Wydział KRS pod numerem 0000344933, NIP: 774-31-37-869, REGON: 142149864;
  • Dane Osobowe będą przetwarzane na cele związane z wykonania zobowiązań umownych i ustawowych przez Administratora, w tym w szczególności w ramach stosunku pracy, stosunków cywilnych, a także zobowiązań z tytułu Przedmiotu Działalności;
  • Podstawą prawną przetwarzania Danych Osobowych jest art. 6 ust. 1 pkt a, b i c oraz o ile okaże się to konieczne art. 9 ust. 2 pkt b lub pkt c lub pkt d RODO;
  • Dane Osobowe mogą zostać powierzone do przetwarzania przez Kontrahentów, takich jak Kancelaria Prawne, audytorzy, rewidenci, obsługa IT itp., którzy zostaną zobowiązani do ich przetwarzania zgodnie z przepisami RODO oraz innymi powszechnie obowiązującymi przepisami prawa, na podstawie stosownych umów;
  • Dane osobowe będą przetwarzane przez okres trwania właściwych stosunków prawnych pomiędzy Administratorem a odpowiednio Klientem, Pracownikiem, Kontrahentem, a także w zakresie przechowywania dokumentacji oraz trwania praw i obowiązków stron wynikających z powszechnie obowiązujących przepisów prawa;
  • Osobie, której dane są przetwarzane, przysługuje prawo do żądania od Administratora dostępu do danych osobowych, ich sprostowania, a także od 25.05.2018 r. prawo do usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania danych z uwagi na szczególną sytuację osoby, której dane są przetwarzane, a także do przenoszenia danych (uzyskania usystematyzowanego zestawienia sowich danych i przekazania ich innemu administratorowi), jak również prawo do cofnięcia zgody w dowolnym momencie i wniesienia skargi do organu nadzoru;
  • Podanie danych osobowych jest wymogiem koniecznym wykonania zobowiązań ustawowych oraz umownych pomiędzy Administratorem a odpowiednio Klientem, Pracownikiem, Kontrahentem lub dotyczących Osób Trzecich.
  1. W przypadku otrzymania do przetwarzania Danych Osobowych Osób Trzecich, Administrator Zawiadomi te osoby w formie pisemnej, udzielają informacji analogicznych do wskazanych w ust. 1, zgodnie z wzorem pisma informacyjnego stanowiącego Załącznik nr 5 do niniejszej Polityki Bezpieczeństwa.
  2. Osoba, której dane dotyczą, jest uprawniona do uzyskania od Administratora potwierdzenia, czy przetwarzane są Dane Osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz informacji analogicznych jak w ust. 1 wraz z informacją o podmiocie, który dane przekazał oraz kopią przetwarzanych Danych Osobowych.
  3. Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w niniejszej Polityce oraz w art. 13 i 14 RODO. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.
  4. Administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie niniejszej Polityki, zawartych umów lub art. 15–22 RODO. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania Administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.
  5. Jeżeli Administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.
  6. Pozostałe obowiązki informacyjne Administratora zostały uregulowane w art. 12-22 RODO.

§ 4

Procedura Przetwarzania Danych Osobowych

  1. Administrator przed rozpoczęciem Przetwarzania Danych Osobowych winien uzyskać Zgodę osoby, której dane dotyczą na to Przetwarzanie lub zostać upoważnionym do ich przetwarzania przez podmiot posiadający stosowne prawo, chyba że podstawa do Przetwarzania, bez uzyskania stosownej zgody wynika z przepisów RODO lub innych powszechnie obowiązujących przepisów prawa lub z natury prawnej umów zawieranych ze stronami umów.
  2. W celu uzyskania Zgody na Przetwarzanie i uzyskania Danych Osobowych Osób Trzecich do przetwarzania oraz uregulowania stosunków w zakresie ochrony Danych Osobowych, Administrator zawiera odpowiednio z Pracownikami, Klientami, Kontrahentami i innymi właściwymi podmiotami umowy w zakresie ochrony Danych Osobowych wskazane w § 2 ust. 9 lub przyjmuje stosowne oświadczenia w tym zakresie lub zamieszcza we właściwych dokumentach klauzule dotyczące ochrony Danych Osobowych, analogiczne jak w § 2 ust. 10, a także ust. 20 niniejszego paragrafu.
  3. W przypadku zamiaru powierzenia Danych Osobowych przez Administratora Kontrahentom lub jakimkolwiek osom trzecim, Administrator przed tym powierzeniem zawiera z tym podmiotem stosowną umowę w zakresie ochrony Danych Osobowych, której wzór stanowi Załącznik nr 2.
  4. Wzory dokumentów, o których mowa w ust. 2 stanowią załączniki do niniejszej Polityki Bezpieczeństwa.
  5. Podpisane dokumenty, o których mowa w ust. 2 powyżej oraz § 2 ust. 9 powyżej winny przyjąć także postać elektroniczną poprzez ich zeskanowanie oraz umieszczenie na serwerze Administratora lub na innym właściwym nośniku pamięci, zgodnie z zasadami bezpieczeństwa określonymi w dalszej części niniejszej Polityki Bezpieczeństwa.
  6. Odnośnie Osób Trzecich, których Dane Osobowe Administrator uzyskał od innych podmiotów, w tym w szczególności Pracowników lub Klientów, Administrator informuje te osoby o tym fakcie oraz poucza w brzmieniu analogicznym do § 3 ust. 1.
  7. Obowiązek, o którym mowa w ust. 6 powyżej winien zostać dokonany poprzez przyjęcie od Osoby Trzeciej podpisanego oświadczenia zgodnie ze wzorem stanowiącym Załącznik nr 5 lub poprzez przesłanie do tej osoby pisma informacyjnego drogą elektroniczną za pośrednictwem skrzynki mailowej lub listem poleconym za potwierdzeniem odbioru, którego wzór stanowi Załącznik nr 6.
  8. Jeżeli oświadczenie, o którym mowa w ust. 7 powyżej nie zostało dostarczone Administratorowi przez Osobę Trzecią lub podmiot, który powierzył administratorowi dane Osoby Trzeciej do przetwarzania, Administrator ma prawo obciążyć ten podmiot opłatą za sporządzenie i przesłanie listem poleconym za potwierdzeniem odbioru właściwego pisma informacyjnego.
  9. Powinności opisane w ust. 2 powyżej winny zostać wykonane niezwłocznie, nie później jednak niż w terminie miesiąca od rozpoczęcia przetwarzania Danych Osobowych danego podmiotu.
  10. W przypadku jeżeli obowiązek opisany w ust. 7 powyżej Administrator realizował poprzez przesłanie stosownego pisma informacyjnego listem poleconym, a pismo to nie zostało doręczone Osobie Trzeciej z przyczyn, za które Administrator nie ponosi odpowiedzialności, obowiązek ten uznaje się za spełniony.
  11. Z uwagi, iż Administrator w ramach Przedmiotu Działalności oraz obowiązków prawnych może przetwarzać Dane Osobowe dotyczące stanu zdrowia, tj.  dane szczególne na podstawie art. 30 ust. 5 RODO, Administrator utworzył Rejestr Czynności Przetwarzania na podstawie uchwały Zarządu Administratora.
  12. Wszystkie dokumenty w formie pisemnej, stanowiące podstawę przetwarzania lub powierzenia do przetwarzania danych osobowych oraz pisma informacyjne podpisane lub z potwierdzeniem odbioru lub inną właściwą adnotacją, tj. pisma których wzory zostały wymienione w § 2 ust. 9, winny być magazynowe w usystematyzowany sposób w jednym miejscu w ramach biura Administratora.
  13. W celu wykonania ust. 12 powyżej Administrator tworzy w niezbędnej ilości odrębne środki do przechowywanie w/w dokumentów, tj. np. segregatory, teczki, skoroszyty itp., opisując je odpowiednio
    – „Umowy Ochrona Danych Osobowych z Pracownikami”;
    – „Umowy Ochrona Danych Osobowych z Członkami Zarządu”;
    – „Umowy Ochrona Danych Osobowych z Klientami”;
    – „Umowy Ochrona Danych Osobowych z Kontrahentami”;
    – „Zgody na przetwarzanie danych osobowych”;
  14. „Pisma informacyjne o powierzeniu przetwarzania danych osobowych z pouczeniem” (podzielona zakładkami według Klientów z podaniem na zakładce nazwy/firmy Klienta).
  15. Ponadto, Administrator tworzy w niezbędnej ilości środki do przechowywanie dokumentów ogólnych dotyczących ochrony Danych Osobowych., opisując je „Dokumenty Ogólne Dotyczące Ochrony Danych Osobowych”, w ramach których zamieszcza: odpisy Uchwał związanych z przetwarzaniem Danych Osobowych, niniejszą Politykę Bezpieczeństwa, Rejestr Przetwarzania, dokumenty je zmieniające oraz inne dokumenty ogólne.
  16. W przypadku jeżeli przetwarzanie Danych Osobowych odbywa się na podstawie komercyjnych umów z Klientami, w zakresie których zamieszona jest klauzula o ochronie danych osobowych, umowy te przechowywane są bądź w aktach danego Klienta, bądź za pomocą środków przechowywania oznaczonych „Umowy z Klientami” lub w inny właściwy sposób, wskazany przez Administratora.
  17. Dokumenty, o których mowa ust. 12  oraz ust. 14 powyżej, niezwłocznie po ich otrzymaniu przez Administratora winny zostać zmagazynowane zgodnie z ust. 13 i ust. 14.
  18. Dokumenty, o których mowa ust. 14 powyżej wraz z środkami ich przechowywania mogą zostać przedstawione do wglądu uprawionym podmiotom, w tym w szczególności właściwemu organowi nadzoru z zakresu ochrony danych osobowych.
  19. Pouczenia informacyjne w zakresie danych osobowych, o ile jest to możliwe do przedstawienia, w miejsce formy oświadczenia, mogą przyjąć formę informacji elektronicznej przesłanej na adres mailowy podmiotu, którego dane będą lub są przetwarzane lub mogą zostać zawarte w ramach innych dokumentów np. na fakturze, zamówieniu, liście przewozowym, CMR, dokumencie WZ itp., o ile nie sprzeciwia się to powszechnie obowiązującym przepisom prawa i jest możliwe do zrealizowane. Pouczenia takie mogą zostać umieszczone np. na pustej stronie faktury lub innego dokumentu wręczanego lub przesyłanego do osoby, której dane są przetwarzane. Nie mniej Administrator winien podjąć działania umożliwiające potwierdzenie złożenia pouczenia w/w osobie np. poprzez złożenie podpisu przez tą osobę pod właściwym pouczeniem.
  20. Administrator od osób ubiegających się o pracę uprawniony jest do otrzymania następujących danych: imię (imiona) i nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie, przebieg dotychczasowego zatrudnienia.
  21. Na cele prowadzenia postępowania rekrutacyjnego Administrator będzie korzystał z poniższej klauzuli, stanowiącej Załącznik nr 9, która zostanie umieszona w miejscu ogłoszenia o rekrutacji i/lub w korespondencji z aplikującym o pracę:
  22. 1.         „Aplikujący niniejszym wyraża zgodę na przetwarzanie swoich danych osobowych przez Inwestycje-Miejskie Sp. z o.o. z siedzibą w Płocku (dalej: „Spółka”) na cele postępowania rekrutacyjnego prowadzonego przez Spółkę związanego z zatrudnieniem prze Spółkę.
  23. 2.         Spółka zobowiązuje się do przetwarzania danych osobowych zgodnie z powszechnie obowiązującymi przepisami prawa.
  24. 3.         Nadto, Spółka informuje, iż:
  • Spółka będzie administratorem danych osobowych Aplikującego, pod adresem 09-400 Płock ul. Brzeska 9/11, tel. (24) 364-19-66;
  • Dane osobowe będą przetwarzane na cele rekrutacyjne opisane w ust. 1 powyżej;
  • Podstawą prawną przetwarzania danych osobowych jest art. 6 ust. 1 pkt b i c Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz art. 221 ust. 1 Kodeksu Pracy;
  • Dane osobowe będą przetwarzane do czasu zakończenia postępowania rekrutacyjnego;
  • Osobie, której dane są przetwarzane, przysługuje prawo do żądania od Spółki dostępu do danych osobowych, ich sprostowania, a także od 25.05.2018 r. prawo do usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania danych z uwagi na szczególną sytuację osoby, której dane są przetwarzane, a także do przenoszenia danych (uzyskania usystematyzowanego zestawienia sowich danych i przekazania ich innemu administratorowi), jak również prawo do cofnięcia zgody w dowolnym momencie i wniesienia skargi do organu nadzoru;
  • Podanie danych osobowych nie jest wymogiem ustawowym, koniecznym do przeprowadzenia postępowania rekrutacyjnego. Niepodanie lub podanie w niepełnym zakresie danych Aplikującego spowoduje pominięcie Aplikującego w procesie rekrutacji prowadzonej przez Spółkę.
  1. Administrator od pracownika, oprócz danych opisanych w ust. 19 może żądać także innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy, numeru PESEL, numeru rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych (od 01.01.2019 r.).
  2. Administrator może żądać od pracownika innych danych niż wymienione w ust. 19 i 21 powyżej, jeżeli obowiązek ich podania wynika z powszechnie obowiązujących przepisów prawa.
  3. Na żądanie Administratora pracownik zobowiązany jest do przedłożenia stosownych dokumentów, potwierdzających dane wskazane w ust. 19, 21 i 22 powyżej, w tym do wylegitymowania się dokumentem tożsamości.

§ 5

Przetwarzanie Danych Osobowych Przez Pracownika

  1. Pracownik może przetwarzać Dane Osobowe powierzone mu przez Administratora wyłącznie na podstawie upoważnienia w formie pisemnej, w tym zawartego w umowie o pracę lub umowie, której wzór stanowi Załącznik nr 3.
  2. Pracownik ma prawo do przetwarzania powierzonych mu Danych Osobowych wyłącznie w celach określonych upoważnieniem, o którym mowa w ust. 1 powyżej,  tj.  w celu wykonania umów zawartych przez Administratora z Klientami lub Kontrahentami i wyłącznie do tego niezbędnych.
  3. Pracownika ma prawo do przetwarzania Danych Osobowych wyłącznie w ramach wypełniania obowiązków służbowych na podstawie umowy o pracę i nie może przetwarzać tych danych na jakikolwiek inny cel.
  4. Upoważnienie, o którym mowa w ust. 1, zostanie zawarte na okres trwania umowy o pracę, co nie wyłącza prawa Administratora do czasowego wstrzymania lub uchylenia upoważnienia, w szczególności w przypadku zaistnienia incydentu z zakresu bezpieczeństwa ochrony Danych Osobowych.
  5. Rozwiązanie lub wygaśnięcie lub jakiekolwiek inne ekspirowanie umowy o pracę, powoduje automatyczne wygaśnięcie upoważnienia, o którym mowa w ust. 1.
  6. Pracownik w zakresie ochrony Danych Osobowych zobowiązany jest do przestrzegania wszelkich obowiązujących przepisów prawa, w tym RODO oraz zasad wynikających z niniejszej Polityki Bezpieczeństwa.
  7. Obowiązki Administratora opisane w niniejszej Polityce Bezpieczeństwa stosuje się odpowiednio do Pracownika.
  8. W szczególności w przypadku, gdy Pracownik wykonuje jakiekolwiek usługi lub czynności w imieniu Administratora wobec Klientów lub innych podmiotów, bez uprzedniego zawarcia przez Administratora z tymi Klientami lub innymi podmiotami umów w zakresie Ochrony Danych Osobowych, Pracownik zobowiązany jest do niezwłocznego poinformowania o tym Administratora w formie elektronicznej (mail) oraz przedsięwzięcia wszelkich odpowiednich czynności celem spełnienia przez Administratora obowiązków z zakresu ochrony Danych Osobowych.
  9. Przez odpowiednie czynności celem spełnienia przez Administratora obowiązków z zakresu Danych Osobowych należy rozumieć:
  • poinformowanie Klienta lub innego właściwego podmiotu o obowiązkach z zakresu Ochrony Danych Osobowych względem Administratora opisanych w § 4 ust. 1-8, tj. złożenia odpowiednich oświadczeń lub zawarcie umów, według wzorów stanowiących załączniki do niniejszej Polityki Bezpieczeństwa;
  • uzyskanie od Klienta lub podmiotu trzeciego odpowiednich do okoliczności, podpisanych dokumentów (według zasad reprezentacji tego Klienta lub podmiotu Trzeciego) o treści według wzorów stanowiących załączniki do niniejszej Polityki Bezpieczeństwa.
  1. W przypadku jeżeli ziszczą się okoliczności, o których mowa w ust. 8 powyżej, a Pracownik z obiektywnych powodów nie będzie mógł wykonać czynności, o których mowa w ust. 9, Pracownikowi nie wolno przyjąć jakichkolwiek Danych Osobowych, w tym dokumentów je zawierających od Klientów lub podmiotów trzecich, do czasu wykonania czynności z ust. 9 lub uzyskania właściwej decyzji Administratora w formie elektronicznej (mail).
  2. Pracownik zobowiązany jest także przestrzegać środków i zasad bezpieczeństwa opisanych w § 6 niniejszej Polityki Bezpieczeństwa.
  3. W przypadku jeżeli na skutek działania, zaniechania, omyłki lub przypadkowej czynności Pracownika dojdzie do Naruszenia Ochrony Danych Osobowych, Pracownik niezwłocznie zgłasza tę okoliczność Administratorowi.
  4. Zgłoszenie winno być dokonane Administratorowi bezpośrednio (ustnie) lub telefonicznie oraz dodatkowo, co najmniej w formie elektronicznej (mail).
  5. Wraz ze zgłoszeniem, o którym mowa w ust. 12 powyżej Pracownik informuje o stanie faktycznym sprawy, w tym sposobie naruszenia, podmiocie, którego dane zostały naruszone oraz ewentualnie Kliencie, który przekazał dane tego podmiotu, czasie i miejscu jego zajścia, jego przyczynach oraz podjętych czynnościach zaradczych.
  6. Po otrzymaniu zgłoszenia zgodnie z ust. 13 powyżej, Administrator może wskazać dalsze niezbędne czynności do wykonania przez Pracownika w zakresie ochrony Danych Osobowych.

§ 6

Środki Bezpieczeństwa

Procedura Zgłaszania Naruszeń Danych Osobowych

  1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
  2. Administrator oświadcza, iż w celu właściwej ochrony Danych Osobowych została utworzona niniejsza Polityka Bezpieczeństwa, która określa zasady postępowania z danymi osobowymi, w tym zasady i procedury bezpieczeństwa.
  3. Zgodnie z postanowieniami poprzedzającymi Administrator przed podjęciem czynności z zakresu działalności gospodarczej zawiera z Klientami, Kontrahentami, Pracownikami oraz innymi podmiotami umowy oraz przyjmuje oświadczenia z zakresu ochrony Danych Osobowych, według wzorów stanowiących załączniki do niniejszej Polityki Bezpieczeństwa.
  4. Nadto, Administrator wprowadza następujące zasady bezpieczeństwa, które muszą być bezwzględnie przestrzegane, w szczególności przez Pracowników i Kontrahentów:
  • Dane osobowe winny być przechowywane w sposób bezpieczny, w szczególności uniemożliwiający dostęp bez nadzoru przez podmioty nieuprawnione;
  • Administrator zapewnia w miarę obiektywnych możliwości stosowanie programów komputerowych, aplikacji, usług sieciowych (Internet) posiadających zabezpieczenia przez Naruszeniem Ochrony Danych Osobowych;
  • Administrator podejmuje starania w celu uniemożliwienia swobodnego dostępu do Danych Osobowych przez osoby nieuprawnione, w tym poprzez tworzenie właściwych zabezpieczeń fizycznych i komputerowych;
  • Administrator oraz Pracownicy w korespondencji mailowej, na dole wiadomości, zamieszczają niniejsza klauzulę: „Niniejsza wiadomość jest przeznaczona wyłącznie dla wskazanego w niej odbiorcy i może zawierać informacje poufne. Jeśli nie jesteście Państwo adresatem tej informacji prosimy o niezwłoczne poinformowanie o tym fakcie nadawcy pocztą elektroniczną pod adresem [adres nadawcy] lub telefonicznie pod nr [numer tel. nadawcy] oraz trwałe usunięcie, niekopiowanie i nieprzekazywanie tej wiadomości osobom nieupoważnionym. Dziękujemy.”
  • Pracownicy nie pozostawiają ogólnodostępnych pomieszczeń, w których znajdują się Dane Osobowe bez nadzoru. W takim pomieszczeniu wymaga jest obecność Administratora lub co najmniej jednego pracownika lub podmiotu zajmującego się ochroną lub zabezpieczeniem mienia Administratora;
  • Pracownik opuszczając pomieszczenie, w którym znajduje się jego stanowisko pracy, odkłada dokumenty zawierające Dane Osobowe, w miejsce ich stałego przechowywania;
  • W trakcie pracy Pracownik podejmuje działania mające na celu uniemożliwienie wglądu w Dane Osobowe, wynikające z dokumentów, programów itp., z których aktualnie korzysta Pracownik, przez podmioty nieuprawnione;
  • W celu spełnienia powyższego wymagania Pracownik w trakcie Pracy korzysta (przechowuje poza miejscem stałego przechowywania, tj. na biurku lub jego okolicach) wyłącznie dokumenty sprawy lub Klienta, nad którymi obecnie pracuje, pozostałe dokumenty winny znajdować się w miejscach ich stałego przechowywania (szafki, regały, sejfy itp.);
  • Pracownikowi nie wolno wynosić jakichkolwiek dokumentów, akt itp., w tym zawierających Dane Osobowe poza biuro należące do Administratora, w których dokumenty są na stałe przechowywane, chyba że co innego wynika z polecenia Administratora lub Administrator wyraził na to zgodę;
  • W przypadku wyniesienia przez Pracownika dokumentów poza biuro Administratora, w tym na polecenie Administratora lub za jego zgodą, Pracownik podejmuje wszelkie właściwe działania celem zabezpieczenia tych dokumentów i znajdujących się w nich Danych Osobowych oraz w pełni odpowiada za te akta w okresie ich posiadania poza biurem Administratora oraz za wszelkie negatywne następstwa tego stanu;
  • Za wyjątkiem czynności wynikających z obowiązków służbowych, Pracownikowi nie wolno kopiować, skanować, udostępniać, przesyłać itp. jakichkolwiek dokumentów lub ich części;
  • W żadnym wypadku Pracownik nie jest uprawniony do kopiowania lub skanowania, udostępniania, przesyłania, magazynowania itp. dokumentów tożsamości (dowód osobisty i paszport) oraz innych dokumentów zawierających Dane Osobowe (prawo jazdy, legitymacje, bilety długookresowe itp.), chyba że co innego wynika z powszechnie obowiązujących przepisów prawa. W celu zgodnego z prawem pozyskania danych zawartych w tych dokumentach Administrator i Pracownicy są uprawnienie do ich spisania w niezbędnym zakresie oraz zarchiwizowania w formie pisemnej lub elektronicznej;
  • W przypadku Naruszenia Ochrony Danych Osobowych Pracownik zobowiązany jest do podjęcia działań opisanych w § 5 ust. 12-15 niniejszej Polityki Bezpieczeństwa.
  1. W przypadku Naruszenia Ochrony Danych Osobowych administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
  2. Zgłoszenie, o którym mowa w ust. 7, musi co najmniej: a) opisywać charakter Naruszenia Ochrony Danych Osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje Naruszenia Ochrony Danych Osobowych; d) opisywać środki zastosowane lub proponowane przez Administratora w celu zaradzenia naruszeniu Ochrony Danych Osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków. Jeżeli – i w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można je udzielać bez zbędnej zwłoki
  3. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności Naruszenia Ochrony Danych Osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.
  4. Jeżeli Naruszenie Ochrony Danych Osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
  5. Zawiadomienie, o którym mowa w ust. 10 powyżej, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w ust. 8 powyżej.
  6. Zawiadomienie, o którym mowa w ust. 10 powyżej, nie jest wymagane, w następujących przypadkach: a) Administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do Danych Osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych Danych Osobowych; b) Administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą; c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

§7

Postanowienia Końcowe

  1. Niniejsza Polityka Bezpieczeństwa, oprócz powszechnie obowiązujących przepisów prawa, stanowi wiążące reguły postępowania w zakresie ochrony Danych Osobowych w ramach przedsiębiorstwa Administratora.
  2. Polityka Bezpieczeństwa została sporządzona i przechowuje się ją w formie wydruku i elektronicznej.
  3. Politykę Bezpieczeństwa przechowuje się w formie wydruku w każdym biurze Administratora, a w formie elektronicznej na każdym komputerze używanym przez Pracowników oraz serwerze Administratora oraz ewentualnie innych nośnikach danych według uznania Administratora.
  4. Każdemu Pracownikowi zapewnia się dostęp do Polityki Bezpieczeństwa w sposób opisany w ust. 3 powyżej.
  5. Zmiana niniejszej Polityki Bezpieczeństwa wymaga uchwały Zarządu Administratora.
  6. W przypadku rozbieżności pomiędzy Polityką Bezpieczeństwa, a powszechnie obowiązującymi przepisami prawa, bezwzględne pierwszeństwo zastosowania mają przepisy powszechnie obowiązującego prawa. Nie mniej pozostałe zapisy Polityki Bezpieczeństwa pozostają w mocy a Zarząd Administratora podejmie działania mające na celu zmianę treści Polityki Bezpieczeństwa w sposób odpowiadający aktualnemu brzmieniu powszechnie obowiązujących przepisów prawa.
Skip to content