Amernet

Polityka ochrony danych osobowych w Amernet Sp. z o.o.

Polityka ochrony danych osobowych w Amernet Sp. z o.o.

1. [Cel wprowadzania polityki]
Polityka została opracowana w celu wypełnienia obowiązków Amernet Sp. z o.o. z siedzibą w Warszawie jako administratora Danych osobowych oraz podmiotu przetwarzającego w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem Danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Celem Polityki jest zapewnienie ochrony Danych osobowych przetwarzanych przez Amernet Sp. z o.o. z siedzibą w Warszawie przed wszelkiego rodzaju zagrożeniami, tak wewnętrznymi jak i zewnętrznymi, świadomymi lub nieświadomymi.

2. [Definicje]
Użyte w niniejszej Polityce pojęcia rozumiane są następująco:
ADO - administrator Danych osobowych: Amernet Sp. z o.o. z siedzibą w Warszawie przy ul. Puławska 487, 02-844 Warszawa, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000214118, REGON: 015766236, NIP: 5213301231;
Bezpieczeństwo przetwarzania Danych osobowych - zachowanie poufności, integralności i rozliczalności Danych osobowych;
Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Przez “osobę możliwą do zidentyfikowania” rozumie się osobę, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na jeden lub kilka specyficznych czynników ją określających;
Dokumentacja - dokumentacja ADO związana z przetwarzaniem Danych osobowych, składająca się z następujących dokumentów:
a. Rejestr czynności przetwarzania (załącznik nr 1 do Polityki),
b. Wykaz zbiorów Danych osobowych (załącznik nr 2 do Polityki),
c. Procedura szacowania ryzyka (załącznik nr 3 do Polityki),
d. Ogólne oszacowanie ryzyka (załącznik nr 4 do Polityki),
e. Tabela retencji danych (załącznik nr 5 do Polityki),
f. Instrukcja zarzadzania systemem informatycznym (załącznik nr 6 do Polityki),
g. Wykaz pomieszczeń (załącznik nr 7 do Polityki),
h. Inwentaryzacja zasobów IT (załącznik nr 8 do Polityki),
i. Klauzula informacyjna e-mail (stopka mailowa) (załącznik nr 9 do Polityki)
j. Klauzula informacyjna - pracownicy / kontraktorzy (załącznik nr 10 do Polityki),
k. Klauzula informacyjna - rekrutacja (załącznik nr 11 do Polityki),
l. Procedura działania w przypadku naruszenia zasad ochrony Danych osobowych (załącznik nr 12 do Polityki),
m. Ewidencja naruszeń ochrony Danych osobowych (załącznik 13 do Polityki),
n. wzór umowy powierzenia przetwarzania Danych osobowych (załącznik nr 14 do Polityki),
o. Rejestr kategorii czynności przetwarzania (rejestr procesora) (załącznik nr 15 do Polityki),
p. wzór oświadczenia pracownika/kontraktora o zapoznaniu się z dokumentacją RODO (załącznik nr 16 do Polityki),
q. wzór upoważnienia do przetwarzania Danych osobowych (załącznik nr 17 do Polityki),
r. Ewidencja osób upoważnionych do przetwarzania Danych osobowych (załącznik nr 18 do Polityki),
s. dokumentację związaną z przeprowadzonymi sprawdzeniami, kontrolami oraz wszelkimi postępowaniami administracyjnymi związanymi z ochroną Danych osobowych,
t. oryginały i kopie dokumentów dotyczących ochrony Danych osobowych, w szczególności uchwały Zarządu ADO oraz inne niezbędne regulaminy i procedury.
Integralność Danych osobowych - właściwość zapewniająca, że Dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
Kontraktor - osoba fizyczna prowadząca działalność gospodarczą świadcząca usługi na rzecz ADO na podstawie umowy cywilnoprawnej;
Naruszenie ochrony Danych osobowych - zamierzone lub przypadkowe naruszenie środków technicznych i organizacyjnych zastosowanych w celu ochrony Danych osobowych;
Polityka - polityka ochrony danych osobowych - niniejszy dokument wraz ze wszystkimi załącznikami stanowiącymi jego integralną część;
Poufność - właściwość zapewniająca, że informacja (np. Dane osobowe) jest dostępna jedynie dla osób upoważnionych;
Przetwarzanie Danych osobowych - jakiekolwiek operacje wykonywane na Danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
PUODO – Prezes Urzędu Ochrony Danych Osobowych;
RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem Danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
Rozliczalność - właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;
System informatyczny - infrastruktura informatyczna, na którą składa się cały system informatyczny: systemy i aplikacje informatyczne, zespół współpracujących urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania Danych osobowych;
Ustawa - ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2019 poz. 1781 t.j.);
Użytkownik - osoba upoważniona do bezpośredniego dostępu do Danych osobowych przetwarzanych w Systemie Informatycznym, która posiada ustalony identyfikator (login) i hasło;
Zbiór Danych osobowych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony czy podzielony funkcjonalnie.

3. [Dane osobowe]
ADO prowadzi Rejestr czynności przetwarzania, w którym zostają odnotowane wszystkie procesy przetwarzania Danych osobowych w ramach funkcjonowania ADO. Rejestr zawiera wszystkie informacje, o których mowa w art. 30 RODO, a w szczególności:
a) procesy przetwarzania Danych osobowych;
b) kto ma/może mieć dostęp do przetwarzanych Danych osobowych;
c) w jakim celu Dane osobowe są przetwarzane;
d) kto jest podmiotem przetwarzanych Danych osobowych;
e) jakie kategorie Danych osobowych są przetwarzane;
f) podstawę prawną przetwarzania Danych osobowych;
g) źródło pozyskiwania Danych osobowych;
h) okres retencji przetwarzanych Danych osobowych;
i) jakim podmiotom powierzono przetwarzanie Danych osobowych;
j) czy sporządzono dla danego procesu przetwarzania Danych osobowych ocenę skutków dla ochrony Danych osobowych (DPIA);
k) czy Dane osobowe są transferowane poza obszar UE.
Przetwarzane Dane osobowe to przede wszystkim informacje dotyczące:
a) pracowników i kontraktorów ADO, które są przetwarzane zgodnie z przepisami prawa w związku z procesem rekrutacji oraz stosunkiem pracy/współpracy;
b) związane z bieżącym funkcjonowaniem ADO, jak dane:
i) dot. wszelkich roszczeń ADO,
ii) związane z bieżącymi rozliczeniami finansowymi ADO;
c) wynikające i niezbędne do prawidłowego świadczenia usług przez ADO.

4. [Rola ADO]
Postanowienia Polityki mówiące o obowiązkach czy działaniach ADO należy rozumieć jako działania wykonywane bezpośrednio przez Zarząd ADO.
Działania i zaniechania podejmowane przez każdego pracownika lub kontraktora Amernet Sp. z o.o. z siedzibą w Warszawie w trakcie przetwarzania Danych osobowych w ramach wykonywania swoich obowiązków służbowych, są również działaniami lub zaniechaniami ADO.
ADO jest odpowiedzialny za przetwarzanie i ochronę Danych osobowych zgodnie z przepisami prawa, w tym za wprowadzenie procedur postępowania zapewniających prawidłowe przetwarzanie Danych osobowych, mających na celu ochronę Danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zmianą lub zabraniem przez osoby nieuprawnione, przetwarzaniem z naruszeniem Ustawy oraz utratą, uszkodzeniem lub zniszczeniem.
Przy przetwarzaniu Danych osobowych należy podjąć odpowiednie kroki, mające na celu zapewnienie prawidłowej ochrony Danych osobowych, w szczególności zapewnienie, że przez cały okres ich przetwarzania Dane osobowe będą:
- przetwarzane zgodnie z prawem;
- zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami;
- merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane;
- przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu w jakim Dane osobowe zostały pozyskane;
- zabezpieczone środkami technicznymi i organizacyjnymi, które zapewniają rozliczalność, integralność oraz poufność Danych osobowych;
- przetwarzane w Systemie informatycznym, w którym stosuje się poziom bezpieczeństwa oraz zabezpieczeń odpowiedni do zagrożeń zidentyfikowanych w przeprowadzonym przez ADO Ogólnym oszacowaniu ryzyka stanowiącym Załącznik nr 4 do Polityki;
- usuwane zgodnie z terminami określonymi w Tabeli retencji Danych osobowych stanowiącej Załącznik nr 5 do Polityki.
W procesie przetwarzania Danych osobowych ADO jest odpowiedzialny za nadawanie, zmienianie oraz cofanie upoważnień do przetwarzania Danych osobowych zgodnie z Polityką.

5. [Podział obowiązków w związku z przetwarzaniem Danych osobowych]
Zarząd ADO
Zgodnie z wytycznymi Grupy Roboczej Art. 29, przeprowadzono analizę, która pozwoliła ustalić brak istnienia obowiązku wyznaczenia inspektora ochrony Danych osobowych. Analiza wykazała, iż nie zachodzą przesłanki wskazane w art. 37 ust. 1 RODO, wobec czego Zarząd ADO nie jest zobowiązany do powołania Inspektora Ochrony Danych.
Zarząd ADO zarządcza i kontroluje procesem przetwarzania Danych osobowych. W skład Zarządu wchodzi Artur Włodarczyk, dane kontaktowe: tel. +48 602 220 422; mail: artur.wlodarczyk@amernet.eu;
Zarząd ADO podejmuje działania w imieniu i na rzecz ADO i jest odpowiedzialny za przestrzeganie przez wszystkie osoby przetwarzające Dane osobowe w ramach funkcjonowania ADO.
Zarząd ADO jest odpowiedzialny za przetwarzanie i ochronę Danych osobowych zgodnie z przepisami prawa, w tym za wdrożenie i przestrzeganie procedur postępowania zapewniających prawidłowe przetwarzanie Danych osobowych, mających na celu ochronę Danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zmianą lub zabraniem przez osoby nieuprawnione, przetwarzaniem z naruszeniem Ustawy oraz utratą, uszkodzeniem lub zniszczeniem.
Do obowiązków Zarządu ADO w szczególności należy:
a) określenie zasad, procedur i instrukcji ochrony Danych osobowych;
b) inicjowanie procedur dotyczących ukarania osób winnych naruszenia przepisów i zasad dotyczących ochrony Danych osobowych;
c) nadzór nad wdrożeniem stosownych środków organizacyjnych, technicznych i fizycznych w celu ochrony przetwarzanych Danych osobowych;
d) opiniowanie umów pod kątem uregulowań normujących dostęp do Danych osobowych jak również udostępniania ich innym podmiotom;
e) opiniowanie wniosków wpływających do ADO o udostępnianie Danych osobowych w zakresie dopuszczalności udostępnienia i zakresu udostępnianych Danych osobowych;
f) udzielanie odpowiedzi w przypadku zwrócenia się do ADO, osoby której Dane osobowe są przetwarzane zgodnie z Procedurą udzielania odpowiedzi na żądania podmiotu Danych osobowych stanowiącą Załącznik nr 14 do Polityki;
g) nadzór nad zapewnieniem dostosowania funkcjonalności systemów przetwarzających Dane osobowe do wymagań określonych w Ustawie;
h) zapoznawanie pracowników oraz kontraktorów ADO z przepisami i zasadami ochrony Danych osobowych oraz informowanie o zagrożeniach związanych z ich przetwarzaniem, a także dokumentowanie tego faktu;
i) nadzorowanie lub prowadzenie cyklicznych szkoleń z zakresu zasad i przepisów ochrony Danych osobowych;
j) reprezentowanie ADO w kontaktach z PUODO;
k) reagowanie na zgłaszane incydenty związane z naruszeniem lub ryzykiem naruszenia ochrony Danych osobowych oraz analizowanie ich;
l) sprawdzanie wypełnienia obowiązków technicznych i organizacyjnych związanych z ochroną Danych osobowych;
m) prowadzenie i aktualizowanie Dokumentacji.
n) określanie i redagowanie zasad i procedur korzystania z Systemu informatycznego;
o) nadawanie i odbierania uprawnień pracownikom i kontraktorom ADO do poszczególnych:
i. aplikacji,
ii. programów,
iii. systemów operacyjnych,
iv. urządzeń elektronicznych;
p) przeprowadzanie audytów bezpieczeństwa Systemu informatycznego w każdej konieczności, ale nie rzadziej niż raz na miesiąc;
q) bieżące (cykliczne) aktualizowanie Inwentaryzacji zasobów IT;

6. [Sankcje za naruszenie ochrony Danych osobowych]
Naruszenie ochrony Danych osobowych przez pracownika lub kontraktora, może skutkować postawieniem mu zarzutu popełnienia przestępstwa spenalizowanego w art. 266 § 1 Kodeksu Karnego (ustawa z dnia 6 czerwca 1997 r. - Kodeks karny, Dz. U. 2020, poz. 1444, t.j.).
W takim przypadku zgodnie z przepisem art. 66 Kodeksu Pracy (ustawa z dnia 26 czerwca 1974 r. - Kodeks pracy, Dz. U. 2020, poz.1320 t.j.) umowa o pracę z pracownikiem tymczasowo aresztowanym wygasa z upływem 3 miesięcy nieobecności pracownika w pracy z powodu tymczasowego aresztowania, chyba, że ADO rozwiązał wcześniej bez wypowiedzenia umowę o pracę z winy pracownika.
Zgodnie z treścią art. 100 § 2 pkt 5 Kodeksu Pracy (ustawa z dnia 26 czerwca 1974 r. - Kodeks pracy, Dz. U. 2020, poz.1320 t.j.), pracownik jest obowiązany przestrzegać tajemnicy określonej w odrębnych przepisach. Dane osobowe, którym ADO nadaje charakter poufny mają charakter takiej tajemnicy, a jej ujawnienie w zależności od zakresu ujawnionych Danych osobowych oraz nastawienia pracownika dopuszczającego się nieuprawnionego ujawnienia Danych osobowych, może mieć charakter naruszenia lub ciężkiego naruszenia obowiązków pracowniczych.
Pracownik lub kontraktor dopuszczający się nieuprawnionego ujawnienia lub wykorzystania Danych osobowych w sposób sprzeczny z ich przeznaczeniem (np. wykorzystania Danych osobowych do celów prywatnych) czy też ich przetwarzania w sposób niezgodny z przyjętymi w strukturze organizacyjnej ADO procedurami może zostać ukarany karą upomnienia lub karą nagany.
Zgodnie z treścią art. 52 § 1 ustawy Kodeks Pracy (ustawa z dnia 26 czerwca 1974 r. - Kodeks pracy, Dz. U. 2020, poz.1320 t.j.), ADO jako pracodawca, może rozwiązać umowę o pracę bez wypowiedzenia z winy pracownika w razie ciężkiego naruszenia przez pracownika podstawowych obowiązków pracowniczych. Naruszeniem takim jest nieprzestrzeganie obowiązku zachowania Danych osobowych w tajemnicy lub przetwarzanie ich w sposób rażąco sprzeczny z Polityką.
Sankcje dotyczące ujawnienia poufnych Danych osobowych stosuje się analogicznie do ujawnienia przez pracownika lub kontraktora informacji dotyczących zabezpieczenia Danych osobowych u ADO.
Niezależnie od odpowiedzialności określonej w przepisach powszechnie obowiązującego prawa, naruszenie zasad określonych w niniejszej Polityce może zostać uznane za ciężkie naruszenie zobowiązań wynikających z umów i złożonych oświadczeń.
W przypadku kontraktorów, naruszenie zasad przetwarzania Danych osobowych opisanych w niniejszej Polityce, stanowi również rażące naruszenia umowy łączącej ADO z danym kontraktorem.

7. [Obowiązek informacyjny]
Pracownicy lub kontraktorzy prowadzący na rzecz ADO proces rekrutacyjny nowych pracowników lub kontraktorów zobowiązani są do udostępnienia kandydatowi klauzuli informacyjnej zgodnej z wzorem klauzuli informacyjnej - rekrutacja stanowiącej Załącznik nr 11 do Polityki.
Pracownikom lub kontraktorom osoby odpowiedzialne za zatrudnienie zobowiązane są do udostępnienia klauzuli informacyjnej zgodnej z wzorem klauzuli informacyjnej - pracownicy/kontraktorzy stanowiącej Załącznik nr 10 do Polityki.
W przypadku konieczności pobrania wyraźnej zgody od osoby, której Dane osobowe dotyczą, zanim nastąpi przetwarzanie jej Danych osobowych, pracownik lub kontraktor jest zobowiązany do pobrania takiej zgody. Treść zgody powinna zostać uzgodniona z Pełnomocnikiem ADO.

8. [Szkolenia]
Przed dopuszczeniem do przetwarzania Danych osobowych pracownik lub kontraktor powinien zostać przeszkolony. Zakres szkolenia obejmuje zaznajomienie pracownika lub kontraktora z przepisami o ochronie Danych osobowych oraz wydanymi na jej podstawie aktami wykonawczymi i instrukcjami obowiązującymi u ADO.
Przeprowadzenie szkolenia odbywa w sposób elektroniczny pod nadzorem Zarządu ADO.
Szkolenia, w celu zapewnienia odpowiedniego poziomu wiedzy z zakresu ochrony Danych osobowych, powinny być powtarzane okresowo lub gdy zaistnieje taka potrzeba.
Po przeprowadzeniu szkolenia oraz po zapoznaniu się z Dokumentacją przez pracownika lub kontraktora, zostaje złożone przez daną osobę pisemne oświadczenia o treści zgodnej ze wzorem oświadczenia pracownika/kontraktora o zapoznaniu się z dokumentacją RODO.

9. [Dopuszczenie osób do przetwarzania Danych osobowych]
Przetwarzanie Danych osobowych jest możliwe wyłącznie po uzyskaniu przez pracownika lub kontraktora formalnego upoważnienia do przetwarzania Danych osobowych, wystawionego przez Zarząd ADO lub osobę przez niego upoważnioną.
Osoba udzielająca upoważnienia do przetwarzania Danych osobowych w pierwszej kolejności musi zweryfikować czy dany pracownik lub kontraktor w formie przyjętej przez ADO : (a) odbył szkolenie z zasad przetwarzania Danych osobowych, (b) złożył oświadczenie o zapoznaniu się z Dokumentacją w formie przyjętej przez ADO, (c) podpisał oświadczenie o zachowaniu poufności.
Jeżeli dany pracownik lub kontraktor spełnił wszystkie wyżej opisane wymagania, wówczas nadaje mu się upoważnienie do przetwarzania Danych osobowych.
Upoważnienia, o których mowa powyżej, odnotowuje się w ewidencji upoważnień prowadzonej w formie elektronicznej w ramach Systemu informatycznego.
Upoważnienia, o których mowa powyżej, przechowuje się wraz z dokumentacją pracowniczą lub w aktach dotyczących zawarcia i wykonania umowy o współpracy, zlecenia lub o dzieło w zakresie osób nie stanowiących pracowników w rozumieniu Kodeksu Pracy.
Zasady analogiczne do opisanych powyżej stosuje się w odniesieniu do osób niebędących pracownikami lub osobami, z którymi ADO zawarł umowę zlecenia lub umowę o dzieło, które upoważnia się do przetwarzania Danych osobowych.

10. [Wymiana informacji dotyczących Danych osobowych]
Osoby upoważnione do przetwarzania Danych osobowych w strukturze organizacyjnej ADO, w celu ochrony wymienianych informacji dotyczących Danych osobowych oraz samych Danych osobowych, bezwzględnie przestrzegają, tej Polityki oraz pozostałych procedur obowiązujących w Spółce.

11. [Środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych Danych osobowych]
W celu ochrony Danych osobowych stosuje się następujące zabezpieczenia organizacyjne:
- opracowano i wdrożono Politykę,
- przeprowadzono Ogólne oszacowanie ryzyka;
- do przetwarzania Danych osobowych dopuszczono wyłącznie osoby posiadające upoważnienia nadane przez ADO lub osób przez niego upoważnionej;
- prowadzona jest ewidencja osób upoważnionych do przetwarzania Danych osobowych;
- osoby dopuszczone do przetwarzania Danych osobowych zaznajomiono z przepisami dotyczącymi ochrony tych Danych osobowych oraz z zasadami zabezpieczeń Systemu informatycznego;
- osoby dopuszczone do przetwarzania Danych osobowych zobowiązano do zachowania ich w tajemnicy;
- przetwarzanie Danych osobowych prowadzone jest w warunkach zabezpieczających je przed dostępem osób nieuprawnionych;
- stosuje się umowy powierzenia przetwarzania Danych osobowych przy współpracy z podmiotami przetwarzającymi Dane osobowe, których administratorem jest Amernet Sp. z o.o. z siedzibą w Warszawie oraz z podmiotami w imieniu których Amernet Sp. z o.o. z siedzibą w Warszawie przetwarza Dane osobowe jako podmiot przetwarzający.
W celu ochrony Danych osobowych stosuje się następujące zabezpieczenia fizyczne:
- Dane osobowe nie są przechowywane na serwerach ADO, wszystko jest przechowywane w ramach oprogramowania znajdującego się w chmurze szczegółowo wymienionego w Inwentaryzacji zasobów IT;
- dostęp do poszczególnych komputerów mają osoby, którym je powierzono;
- pracownicy i współpracownicy zostali przeszkoleni na okoliczności ataku socjotechnicznego;
- pomieszczenia, w których znajdują się zasoby przetwarzające Dane osobowe są zamykane na klucz a dostęp do nich mają wyłącznie osoby do tego upoważnione.
W celu ochrony Danych osobowych stosuje się następujące zabezpieczenia sprzętowe infrastruktury informatycznej i telekomunikacyjnej:
- wykorzystuje się zaporę sieciową w celu separacji sieci lokalnej od sieci publicznej;
- wymaga się podania nazwy użytkownika i hasła w celu korzystania z zasobów gromadzonych w chmurach;
- stosuje się zabezpieczenie oprogramowaniem antywirusowym, by zminimalizować ryzyko ingerencji przez złośliwe wirusy w systemy informatyczne i Dane osobowe;

12. [Szacowanie ryzyka]
Prawidłowe oszacowanie ryzyka pozwala z wyprzedzeniem wprowadzać takie środki bezpieczeństwa, które albo znacząco obniżą ryzyko wystąpienia konkretnego zdarzenia, albo przynajmniej realnie ograniczą negatywne skutki, które będą z nim związane gdy faktycznie takie zdarzenie nastąpi.
W celu ustalenia słabych stron (podatności) ADO, które mogą w określonych sytuacjach doprowadzić do naruszenia ochrony Danych osobowych, Zarząd ADO, przeprowadza ogólne szacowanie ryzyka.
Przeprowadzając szacowania ryzyka, Zarząd ADO musi uwzględnić ryzyko wystąpienia nieuprawnionego lub przypadkowego: (a) zniszczenia Danych osobowych; (b) utraty Danych osobowych; (c) modyfikacji Danych osobowych; (d) nieuprawnionego ujawnienia Danych osobowych; (e) nieuprawnionego dostępu do Danych osobowych.

13. [Zasady ochrony Danych osobowych w zbiorach nieinformatycznych]
Dokumenty i wydruki zawierające Dane osobowe przechowuje się w zamykanych pomieszczeniach lub szafach (szafkach), do których dostęp mają jedynie osoby uprawnione.
Wydruki robocze, błędne lub zdezaktualizowane są niezwłocznie niszczone przy użyciu niszczarki do papieru lub w inny sposób zapewniający skuteczne ich usunięcie lub zanonimizowanie.
Wszyscy pracownicy oraz kontraktorzy ADO zostali poinformowani o konieczności stosowania tzw. polityki czystego biurka, w celu ograniczenia ryzyka związanego z dostępem do Danych osobowych osób nieuprawnionych.

14. [Powierzenie przetwarzania - procedura zawierania umów]
Powierzenie danych podwykonawcy (procesorowi)

Przed przekazaniem jakichkolwiek Danych osobowych znajdujących się w Zbiorach Danych osobowych, należy sprawdzić czy podwykonawca podpisał umowę lub oświadczenie o zachowaniu poufności.
Kolejnym krokiem jest zawarcie umowy powierzenia przetwarzania Danych osobowych. W przypadku żądania zmiany treści wzorca albo korzystania z innego wzorca (np. od drugiej strony) przed jej zawarciem umowę musi zaakceptować Zarząd ADO.
Należy ustalić dane kontaktowe pracowników procesora upoważnionych do nadzorowania procesu przetwarzania Danych osobowych w związku z realizacją umowy.
Proces zawierania umowy powierzenia Danych osobowych, kończy się umieszczeniem stosownej adnotacji przez Pełnomocnika ADO w Rejestrze czynności przetwarzania.
Powierzenie Danych osobowych ADO jako procesorowi
W celu przetwarzania Danych osobowych jako procesor na rzecz innego administratora Danych osobowych, należy wcześniej zawrzeć umowę powierzenia przetwarzania Danych osobowych. W przypadku żądania zmiany treści wzorca albo korzystania z innego wzorca (np. od drugiej strony) przed jej zawarciem umowę musi zaakceptować Zarząd ADO.
Należy również upewnić się czy w strukturach ADO została wyznaczona osoba do kontaktu z klientem (administratorem).
Następnie należy upewnić się, czy pracownik lub kontraktor dopuszczony do przetwarzania Danych osobowych w ramach danej umowy posiada stosowne upoważnienia.
Proces zawierania umowy powierzenia Danych osobowych, kończy się umieszczeniem stosownej adnotacji przez Zarząd ADO w Rejestrze kategorii czynności przetwarzania.
Zakończenie każdej umowy powierzenia Danych osobowych
W przypadku zakończenia lub rozwiązania umowy powierzenia Danych osobowych, niezależnie od przyczyny, należy pamiętać, aby:
a) osobom przetwarzającym Dane osobowe cofnięto upoważnienia do ich przetwarzania;
b) ww. osobom zablokowano fizyczny dostęp do Danych osobowych;
c) cofnięcie upoważnień i zakończenie odnotowano w odpowiednim rejestrze (Rejestrze czynności przetwarzania oraz Rejestrze osób upoważnionych do przetwarzaniu Danych osobowych; albo Rejestrze kategorii czynności przetwarzania (procesora));
d) usunięcie Danych osobowych zgodnie z Tabelą retencji Danych osobowych.
Wszelkie odstępstwa od powyższej procedury będą traktowane jako naruszenie zasad ochrony Danych osobowych przetwarzanych przez ADO.

15. [Postępowanie w przypadku konieczności przekazania Danych osobowych do państwa trzeciego]
ADO ma prawo do przekazywania Danych osobowych do państw spoza UE, pod warunkiem zapewnienia odpowiednich gwarancji ochrony Danych osobowych oraz praw osób, które te Dane osobowe dotyczą.
Niezależnie od procedury opisanej w ust. 14 Polityki, przed przekazaniem jakichkolwiek Danych osobowych znajdujących się w Zbiorach Danych osobowych, należy sprawdzić czy podmiot spoza UE zawarł z ADO porozumienie/umowę opartą o zatwierdzone przez Komisję Europejską standardowe klauzule umowne, których wykorzystanie reguluje art. 46 RODO.

16. [Postępowanie w przypadku naruszenia lub podejrzenia naruszenia ochrony Danych osobowych]
W przypadku pozyskania informacji z jakiegokolwiek źródła o potencjalnym naruszeniu ochrony Danych osobowych, ADO jest zobowiązany do natychmiastowego podjęcia niezbędnych środków w celu ustalenia, czy takie zdarzenie miało miejsce, a następnie, czy stanowiło ono naruszenie ochrony Danych osobowych.
Realizacja powyższego obowiązku jest możliwa tylko i wyłącznie przy pełnej współpracy Zarządu ADO, pracowników i kontraktorów. Dlatego każda osoba, która stwierdzi lub podejrzewa, iż mogło dojść do naruszenia zasad ochrony Danych osobowych jest zobowiązana niezwłocznie poinformować o swoich spostrzeżeniach Zarząd ADO.
Postępowania w przypadku naruszenia lub podejrzenia naruszenia ochrony Danych osobowych ma na celu:
a) podjęcie środków zaradczych w celu powstrzymania niepożądanych skutków zaistniałego zdarzenia;
b) udokumentowanie oraz analizę przebiegu zdarzenia;
c) dokonanie oceny:
i) czy doszło do naruszenia ochrony Danych osobowych,
ii) czy naruszenie Danych osobowych mogło nieść za sobą większe niż małe prawdopodobieństwo, że naruszenie mogło skutkować naruszeniem praw i wolności osób fizycznych,
iii) czy należy powiadomić osoby, których Dane osobowe dotyczą;
iv) czy należy powiadomić PUODO.
d) wdrożenia dodatkowych zabezpieczeń lub innych zmian technologicznych czy proceduralnych zwiększających bezpieczeństwo Danych osobowych.

Załączniki:
1. Rejestr czynności przetwarzania;
2. Wykaz zbiorów Danych osobowych;
3. Procedura szacowania ryzyka;
4. Ogólne oszacowanie ryzyka;
5. Tabela retencji Danych osobowych;
6. Instrukcja zarządzania systemem informatycznym;
7. Wykaz pomieszczeń;
8. Inwentaryzacja zasobów IT;
9. Klauzula informacyjna e-mail (stopka mailowa);
10. Klauzula informacyjna - pracownicy / kontraktorzy;
11. Klauzula informacyjna - rekrutacja;
12. Procedura działania w przypadku naruszenia zasad ochrony Danych osobowych;
13. Ewidencja naruszeń ochrony Danych osobowych;
14. Wzór umowy powierzenia przetwarzania Danych osobowych;
15. Rejestr kategorii czynności przetwarzania (rejestr procesora);
16. Wzór oświadczenia pracownika/kontraktora o zapoznaniu się z dokumentacją RODO;
17. Wzór upoważnienia do przetwarzania Danych osobowych;
18. Ewidencja osób upoważnionych do przetwarzania Danych osobowych.