Akro Development spółka z ograniczoną odpowiedzialnością spółka komandytowa z siedzibą w Rzeszowie
Niniejszy dokument zatytułowany „Polityka ochrony danych osobowych” (dalej jako Polityka) ma za zadanie stanowić mapę wymogów, zasad i regulacji ochrony danych osobowych w Akro Development spółka z ograniczoną odpowiedzialnością spółka komandytowa z siedzibą w Rzeszowie, ul. Kardynała Karola Wojtyły 31, 35-304 Rzeszów, REGON: 690510382, NIP: 8132702192, KRS: 0000731807, dalej jako „Akro”.
Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Dz.U.UE.L.2018.127.2 t. j.(dalej jako RODO)
§ 1
Zasady ogólne
- Polityka zawiera opis zasad ochrony danych obowiązujących w Akro.
- Odpowiedzialny za wdrożenie i utrzymanie niniejszej Polityki jest Prezes Zarządu spółki Akro.
- Za stosowanie niniejszej Polityki odpowiedzialni są wszyscy pracownicy Akro, przetwarzający dane osobowe w ramach pełnionych czynności służbowych.
- Akro zapewnia zgodność postępowania kontrahentów z niniejszą Polityką w odpowiednim zakresie, gdy dochodzi do przekazania im danych osobowych.
- Filary ochrony danych osobowych w Akro to:
- Legalność – Akro dba o ochronę prywatności i przetwarza dane zgodnie z prawem.
- Bezpieczeństwo – Akro zapewnia odpowiedni poziom bezpieczeństwa danych podejmując stale działania w tym zakresie.
- Prawa Jednostki – Akro umożliwia osobom, których dane przetwarza, wykonywanie swoich praw i prawa te realizuje.
- Rozliczalność – Akro dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej chwili móc wykazać zgodność.
- Akro przetwarza dane osobowe z poszanowaniem następujących zasad:
- w oparciu o podstawę prawną i zgodnie z prawem (legalizm);
- rzetelnie i uczciwie (rzetelność);
- w sposób przejrzysty dla osoby, której dane dotyczą (transparentność);
- w konkretnych celach i nie „na zapas” (minimalizacja);
- nie więcej niż potrzeba (adekwatność);
- z dbałością o prawidłowość danych (prawidłowość);
- nie dłużej niż potrzeba (czasowość);
- zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo).
§ 2
System ochrony danych
System ochrony danych osobowych w Akro składa się z następujących elementów:
- Akro dokonuje identyfikacji zasobów danych osobowych, klas danych, zależności między zasobami danych, identyfikacji sposobów wykorzystania danych (dalej jako inwentaryzacja), w tym:
- przypadków przetwarzania danych wrażliwych – Akro identyfikuje przypadki, w których przetwarza lub może przetwarzać dane wrażliwe oraz utrzymuje dedykowane mechanizmy zapewnienia zgodności z prawem przetwarzania danych wrażliwych,
- współadministrowania danymi – Akro identyfikuje przypadki współadministrowania danymi i postępuje w tym zakresie zgodnie z obowiązującymi przepisami prawa,
- powierzenia przetwarzania danych osobowych – Akro identyfikuje przypadki powierzenia przetwarzania danych i postępuje w tym zakresie zgodnie z obowiązującymi przepisami prawa.
- Akro opracowuje, prowadzi i utrzymuje Rejestr Czynności Przetwarzania Danych Osobowych (dalej jako Rejestr). Rejestr jest narzędziem rozliczania zgodności z ochroną danych. Akro zapewnia, identyfikuje, weryfikuje podstawy prawne przetwarzania danych i rejestruje je w Rejestrze.
- Akro spełnia obowiązki informacyjne względem osób, których dane przetwarza, oraz zapewnia obsługę ich praw, realizując otrzymane w tym zakresie żądania, w tym:
- Obowiązki informacyjne – Akro przekazuje osobom prawem wymagane informacje przy zbieraniu danych i w innych sytuacjach oraz organizuje i zapewnia udokumentowanie realizacji tych obowiązków.
- Możliwość wykonania żądań – Akro weryfikuje i zapewnia możliwość efektywnego wykonania każdego typu żądania przez siebie i swoich przetwarzających.
- Obsługa żądań – Akro zapewnia odpowiednie nakłady i procedury, aby żądania osób były realizowane w terminach i w sposób wymagany RODO i dokumentowane.
- Zawiadamianie o naruszeniach – Akro stosuje procedury pozwalające na ustalenie konieczności zawiadomienia osób dotkniętych zidentyfikowanym naruszeniem ochrony danych.
- Akro respektuje zasady i metody zarządzania minimalizacją, a w tym:
- zasady zarządzania adekwatnością danych;
- zasady reglamentacji i zarządzania dostępem do danych;
- zasady zarządzania okresem przechowywania danych i weryfikacji dalszej przydatności.
- Akro zapewnia odpowiedni poziom bezpieczeństwa danych, w tym:
- analizuje ryzyko czynności przetwarzania danych lub ich kategorii;
- przeprowadza oceny skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw i wolności osób jest wysokie;
- dostosowuje środki ochrony danych do ustalonego ryzyka;
- posiada system zarządzania bezpieczeństwem informacji;
- stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych − zarządza incydentami.
- Akro stosuje zasady doboru podmiotów przetwarzających dane, wymogów co do warunków przetwarzania (umowa powierzenia), zasad weryfikacji wykonywania umów powierzenia.
- Akro weryfikuje czy nie przekazuje danych do państw trzecich (czyli poza UE, Norwegię, Lichtenstein, Islandię) lub do organizacji międzynarodowych oraz zapewnia zgodne z prawem warunki takiego przekazywania, jeśli ma ono miejsce.
- Akro zarządza zmianami mającymi wpływ na prywatność. W tym celu procedury uruchamiania nowych projektów i inwestycji w Akro uwzględniają konieczność oceny wpływu zmiany na ochronę danych, zapewnienie prywatności (a w tym zgodności celów przetwarzania, bezpieczeństwa danych i minimalizacji) już w fazie projektowania zmiany, inwestycji czy na początku nowego projektu.
§ 3
Rejestr Czynności Przetwarzania Danych
- Rejestr stanowi formę dokumentowania czynności przetwarzania danych, pełni rolę mapy przetwarzania danych i jest jednym z kluczowych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności.
- Akro prowadzi Rejestr w którym inwentaryzuje i monitoruje sposób, w jaki wykorzystuje dane osobowe. Rejestr jest jednym z podstawowych narzędzi umożliwiających Akro rozliczanie większości obowiązków ochrony danych.
- W Rejestrze, Akro odnotowuje co najmniej:
- Kategorię osób,
- Cel przetwarzania,
- Czynności przetwarzania,
- Kategorie danych osobowych,
- Źródło danych,
- Planowany termin usunięcia kategorii danych,
- Nazwę i dane kontaktowe współadministratorów,
- Nazwę i dane kontaktowe podmiotów przetwarzających dane,
- Kategorie odbiorców,
- Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa,
- Informację o transferze do kraju trzeciego lub organizacji międzynarodowej.
§ 4
Podstawy przetwarzania
- Akro każdorazowo identyfikuje podstawy prawne przetwarzania danych dla poszczególnych kategorii danych osobowych oraz czynności przetwarzania.
- Akro zarządza zgodami na przetwarzanie danych osobowych w sposób umożliwiający weryfikację posiadania zgody osoby na przetwarzanie jej konkretnych danych, w konkretnym celu, w tym rejestrację odmowy zgody, cofnięcia zgody i podobnych czynności (sprzeciw, ograniczenie itp.).
§ 5
Sposób obsługi praw jednostki i obowiązków informacyjnych
- Akro dba o czytelność i styl przekazywanych informacji i komunikacji z osobami, których dane przetwarza.
- Akro dba o dotrzymywanie prawnych terminów realizacji obowiązków względem osób.
- Akro wprowadza adekwatne metody identyfikacji i uwierzytelniania osób dla potrzeb realizacji praw jednostki i obowiązków informacyjnych.
- Akro dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań osób.
§ 6
Obowiązki informacyjne
- Akro określa zgodne z prawem i efektywne sposoby wykonywania obowiązków informacyjnych.
- Akro informuje osobę o przedłużeniu ponad dwa tygodnie terminu na rozpatrzenie żądania tej osoby.
- Akro informuje osobę o przetwarzaniu jej danych, przy pozyskiwaniu danych od tej osoby.
- Akro informuje osobę o przetwarzaniu jej danych, przy pozyskiwaniu danych o tej osobie niebezpośrednio od niej.
- Akro określa sposób informowania osób o przetwarzaniu danych niezidentyfikowanych, tam gdzie to jest możliwe (np. tabliczka o objęciu obszaru monitoringiem wizyjnym)
- Akro informuje osobę o planowanej zmianie celu przetwarzania danych.
- Akro informuje odbiorców danych o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych (chyba że będzie to wymagało niewspółmiernie dużego wysiłku lub będzie niemożliwe).
- Akro informuje osobę o prawie sprzeciwu względem przetwarzania danych najpóźniej przy pierwszym kontakcie z tą osobą.
- Akro bez zbędnej zwłoki zawiadamia osobę o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby.
§ 7
Żądania osób
- Realizując prawa osób, których dane dotyczą, Akro wprowadza proceduralne gwarancje ochrony praw i wolności osób trzecich. W szczególności w przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób (np. prawa związane z ochroną danych innych osób, prawa własności intelektualnej, tajemnicę handlową, dobra osobiste itp.), Akro może zwrócić się do osoby w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia żądaniu.
- Akro informuje osobę o tym, że nie przetwarza danych jej dotyczących, jeśli taka osoba zgłosiła żądanie dotyczące jej praw.
- Akro informuje osobę, w ciągu dwóch tygodni od otrzymania żądania, o odmowie rozpatrzenia żądania i o prawach osoby z tym związanych.
- Na żądanie osoby dotyczące dostępu do jej danych, Akro informuje osobę, czy przetwarza jej dane oraz informuje osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO (zakres odpowiada obowiązkowi informacyjnemu przy zbieraniu danych), a także udziela osobie dostępu do danych jej dotyczących. Dostęp do danych może być zrealizowany przez wydanie kopii danych.
- Akro dokonuje sprostowania nieprawidłowych danych na żądanie osoby. Akro ma prawo odmówić sprostowania danych, chyba że osoba w rozsądny sposób wykaże nieprawidłowości danych, których sprostowania się domaga.
- Akro uzupełnia i aktualizuje dane na żądanie osoby. Akro ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych. Akro może polegać na oświadczeniu osoby, co do uzupełnianych danych, chyba że będzie to niewystarczające w świetle przyjętych przez Akro procedur (np. co do pozyskiwania takich danych), prawa lub zaistnieją podstawy, aby uznać oświadczenie za niewiarygodne.
§ 8
Usunięcie danych osobowych
- Akro usuwa dane osobowe, gdy:
- dane nie są niezbędne do celów, w których zostały zebrane ani przetwarzane w innych celach,
- zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania,
- osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych,
- dane były przetwarzane niezgodnie z prawem,
- konieczność usunięcia wynika z obowiązku prawnego.
- Akro określa sposób obsługi prawa do usunięcia danych w taki sposób, aby zapewnić efektywną realizację tego prawa przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpieczeństwa, a także weryfikację, czy nie zachodzą wyjątki, o których mowa w art. 17. ust. 3 RODO.
- Jeżeli dane podlegające usunięciu zostały upublicznione, Akro podejmuje rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe, o potrzebie usunięcia danych i dostępu do nich.
§ 9
Ograniczenie przetwarzania i przenoszenie danych
- Akro dokonuje ograniczenia przetwarzania danych osobowych na żądanie osoby, gdy:
- osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość,
- przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
- Akro nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
- osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie Akro zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu
- W trakcie ograniczenia przetwarzania Akro przechowuje dane, natomiast nie przetwarza ich (nie wykorzystuje, nie przekazuje), bez zgody osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego.
- Na żądanie osoby Akro wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła ona Akro, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z nią zawartej lub w celu wypełnienia obowiązku prawnego.
§ 10
Minimalizacja
Akro dba o minimalizację przetwarzania danych pod kątem:
- Adekwatności danych do celów (ilości danych i zakresu przetwarzania) poprzez:
- weryfikację zakresu pozyskiwanych danych, zakresu ich przetwarzania i ilości przetwarzanych danych pod kątem adekwatności do celów przetwarzania w ramach wdrożenia RODO
- dokonywanie okresowego przeglądu ilości przetwarzanych danych i zakresu ich przetwarzania nie rzadziej niż raz na rok.
- przeprowadzanie weryfikacji zmian co do ilości i zakresu przetwarzania danych w ramach procedur zarządzania zmianą (privacy by design).
- Minimalizacji dostępu do danych osobowych poprzez stosowanie ograniczeń dostępu do danych osobowych:
- Akro dokonuje aktualizacji uprawnień dostępowych przy zmianach w składzie personelu i zmianach ról osób, oraz zmianach podmiotów przetwarzających,
- Akro stosuje kontrolę dostępu fizycznego do przetwarzanych danych osobowych
- Akro stosuje środki techniczne ograniczające dostęp do systemów przetwarzających dane osobowe i zasobów sieciowych, w których rezydują dane osobowe. Akro dokonuje okresowego przeglądu ustanowionych użytkowników systemów i aktualizuje ich nie rzadziej niż raz na rok.
- Minimalizacji czasu poprzez:
- stosowanie mechanizmów kontroli cyklu życia danych osobowych, w tym weryfikacji dalszej przydatności danych względem terminów i punktów kontrolnych wskazanych w Rejestrze,
- usuwanie z systemów oraz akt danych, których zakres przydatności ulega ograniczeniu wraz z upływem czasu
- stosowanie procedury archiwizacji i korzystania z archiwów, tworzenia i wykorzystania kopii zapasowych przy uwzględnieniu wymagań kontroli nad cyklem życia danych, w tym wymogów usuwania danych.
§ 11
Bezpieczeństwo
- Akro zapewnia stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania danych osobowych.
- Akro kontroluje adekwatność stosowanych środków bezpieczeństwa danych osobowych, tym celu:
- zapewnia odpowiedni stan wiedzy o bezpieczeństwie informacji, cyberbezpieczeństwie i ciągłości działania − wewnętrznie lub ze wsparciem podmiotów wyspecjalizowanych,
- analizuje możliwe sytuacje i scenariusze naruszenia ochrony danych osobowych uwzględniając charakter, zakres, kontekst i cele przetwarzania, ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia,
- ustala możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa i ocenia koszt ich wdrażania.
- Akro stosuje środki cyberbezpieczeństwa składające się na zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz środki zapewnienia ciągłości działania i zapobiegania skutkom katastrof, czyli zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.
- Akro dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych tam, gdzie ryzyko naruszenia praw i wolności osób jest wysokie.
- Akro stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych w terminie 72 godzin od ustalenia naruszenia.
- Akro dobiera i weryfikuje podmioty przetwarzające dane, w celu zapewnienia, aby przetwarzający dawali wystarczające gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa, realizacji praw jednostki i innych obowiązków ochrony danych spoczywających na Akro.
- Akro rozlicza przetwarzających dane z wykorzystania podprzetwarzających, jak też z realizacji innych wymagań wynikających z umowy powierzenia danych osobowych.
- Akro rejestruje w Rejestrze przypadki eksportu danych, czyli przekazywania danych poza Europejski Obszar Gospodarczy.
§ 12
Postanowienia końcowe
- Polityka bezpieczeństwa przeznaczona jest dla pracowników, którzy przetwarzają dane osobowe w Akro.
- Wykonanie postanowień zawartych w tym dokumencie ma na celu wprowadzenie jednolitego systemu bezpieczeństwa przetwarzania danych osobowych w Akro.