Związek Pracodawców Turystyki Lewiatan

Polityka prywatności

Obowiązuje od dnia 01.01.2024r
W wykonaniu przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – dalej RODO). ustanawia się Politykę przetwarzania danych osobowych w ZPT Lewiatan zwany dalej Polityką.

§ 1.

Przedmiot Polityki

Polityka ustala w szczególności zasady przetwarzania i ochrony danych osobowych w Związku Pracodawców Turystyki Lewiatan (dalej ZPT Lewiatan). Polityka ta określa obowiązki pracodawcy i pracowników związane z ochroną danych osobowych oraz zasady użytkowania sprzętu komputerowego powierzonego pracownikom przez ZPT Lewiatan

§ 2.

Znaczenie terminów

Ilekroć w Polityce jest mowa o:
1) administratorze danych, rozumie się przez to ZPT Lewiatan,
2) danych osobowych, rozumie się przez to każdą informację dotyczącą osoby fizycznej pozwalającą na określenie w sposób pośredni lub bezpośredni tożsamość tej osoby,
3) Inspektorze Ochrony Danych – rozumie się przez to wyznaczoną przez pracodawcę osobę odpowiedzialną za:
• informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
• monitorowanie przestrzegania wymogów RODO, innych przepisów o ochronie danych
• udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
• współpraca z organem nadzorczym;
• pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
4) odbiorca – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania, nie są jednak uznawane za odbiorców
5) przetwarzaniu danych osobowych, rozumie się jakiekolwiek operacje wykonywane na danych osobowych, a zwłaszcza zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych
6) podmiot przetwarzający – Podmiot przetwarzający dane osobowe w imieniu administratora
7) pracowniku, rozumie się osobę zatrudnioną w ZPT Lewiatan bez względu na podstawę prawną nawiązania stosunku pracy,
8) pracowniku upoważnionym, rozumie się pracownika upoważnionego do przetwarzania danych osobowych,
9) naruszeniu przepisów ochrony danych osobowych, rozumie się przez to nielegalne lub niekontrolowane ujawnienie, pozyskanie danych przez osoby nie będące pracownikami, nieuzasadniona modyfikacje lub zniszczenie danych osobowych,
10) systemie informatycznym, rozumie się przez to system informatyczny przetwarzania danych osobowych oraz urządzenia do niego przynależne
11) sprzęcie komputerowym, rozumie się przez to wszelkie urządzenia służące do przetwarzania danych w postaci elektronicznej, które stanowią własność ZPT Lewiatan, bądź są użytkowane na podstawie odrębnej umowy w związku z realizacją celów ZPT Lewiatan.
12) strona trzecia – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe
13) współadministratorzy – co najmniej dwóch administratorów wspólnie ustalających cele i sposoby przetwarzania danych osobowych.

§ 3.
Zakres
1. Podstawowym zadaniem Polityki jest określenie obowiązków kadry kierowniczej, pracowników oraz osób świadczących usługi dla ZPT Lewiatan, związanych z przetwarzaniem i ochroną danych osobowych w ZPT Lewiatan, w tym wdrożeniu wymogów określonych w RODO.
2. Kadra Kierownicza zobowiązana jest w szczególności do zapewnienia nadzoru (w tym zapewnienia aktualności opisu) nad:
2.1. procesami przetwarzania danych osobowych
2.2. systemami informatycznymi
2.3. obszarami przetwarzania danych osobowych
3. Kadra kierownicza zobowiązana jest do przygotowania i monitorowania regulacji wewnętrznych zapewniających właściwe przetwarzanie i ochronę – rozumianą jako zgodną z potrzebami biznesowymi, z najlepszymi praktykami oraz z przepisami prawa – danych osobowych przetwarzanych w ZPT Lewiatan w dowolnej postaci (tradycyjnej na papierze i w formie elektronicznej).
4. Wszystkie osoby upoważnione dopuszczone do przetwarzania danych osobowych w ZPT Lewiatan zobowiązane są do przetwarzania danych osobowych zgodnie z przepisami RODO, Ustawy, a także regulacjami wewnętrznymi ZPT Lewiatan dotyczącymi ochrony danych osobowych.
5. Wszyscy Pracownicy zobowiązani są do współpracy z IOD w zakresie realizowanych przez IOD zadań
6. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie ZPT Lewiatan.
7. Zakres uprawnień poszczególnych użytkowników do przetwarzania danych osobowych, w tym w systemach informatycznych określają osobne dokumenty (zależnie od formy świadczenia pracy) takie jak:
• zakres czynności (dla pracowników),
• umowa zlecenie,
• umowa o dzieło.
8. Upoważnienia do przetwarzania danych osobowych w imieniu ZPT Lewiatan wystawia Prezes Zarządu ZPT Lewiatan. Upoważnienia są wystawiane pracownikom, współpracownikom (osobom świadczącym pracę na rzecz) ZPT Lewiatan, które zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz z odpowiedzialnością za niezgodne z prawem przetwarzanie danych osobowych oraz podpisały oświadczenie o zachowaniu w poufności danych osobowych.
9. Prezes Zarządu ZPT Lewiatan prowadzi ewidencję osób upoważnionych, której wzór znajduje się w załączniku 1.1.
10. Każdy Pracownik przetwarzający dane osobowe w systemie informatycznym posiada uprawnienia nadane zgodnie z właściwymi procedurami udzielania dostępu do systemów informatycznych (w tym systemów przetwarzających dane osobowe). Zakres upoważnień może być określony w umowie o pracę, umowie zleceniu lub innym dokumencie jednoznacznie określającym rolę danej osoby w ZPT Lewiatan. Wnioskowanie o nadanie, zmianę lub usunięcie uprawnień do systemów informatycznych powinno odbywać się na podstawie wniosku, który jest załącznikiem nr 1.2 do niniejszej Polityki.
11. Sposób postępowania z dokumentami elektronicznymi uregulowany jest w który jest w załączniku nr 1.3 do niniejszej Polityki.
12. Kadra kierownicza odpowiedzialna jest za zapewnienie, że
12.1. podczas pozyskiwania (w tym zbierania) danych osobowych został zrealizowany obowiązek informacyjny (art. 13 i art. 14 RODO), szczegółowe zasady zbierania i przetwarzania danych osobowych są określone w załączniku nr 9 do Polityki;
12.2. ZPT Lewiatan zapewnia realizację praw osób, których dane są przetwarzane, sposób zapewnienia realizacji praw jest określony w załączniku nr 8 do Polityki;
12.3. podwładni przetwarzając dane osobowe stosują się do wszystkich zasad przetwarzania danych (określonych w art. 5 RODO) oraz
12.4. ZPT Lewiatan przetwarzając dane jako administrator spełnia co najmniej jeden z warunków legalności przetwarzania danych osobowych (art. 6 RODO),
12.5. ZPT Lewiatan usuwa i anonimizuje dane po upływie okresu retencji danych (określonym w załączniku nr 3) w zależności od kategorii osób, których dane są przetwarzane z uwzględnieniem celów przetwarzania tych danych,
12.6. Zasady retencji zostały określone w załączniku nr 3 do Polityki;
12.7. ZPT Lewiatan przetwarzając dane jako podmiot przetwarzający (procesor) posiada dowód, iż realizuje te działania na polecenie administratora (np. umowa, wytyczne, instrukcje, zalecenia),
12.8. ZPT Lewiatan jako administrator, jeśli jest taka potrzeba, zleca przetwarzanie danych do podmiotu przetwarzającego na podstawie umowy lub innego instrumentu prawnego, a następnie monitoruje ryzyko związane z przetwarzaniem danych osobowych przez podmiot przetwarzający, szczegółowe zasady zawierania umów z podmiotami przetwarzającymi są określone w załączniku nr 4 do Polityki;
12.9. ZPT Lewiatan prowadzi:
12.9.1. Rejestr czynności przetwarzania danych osobowych (RCPD)
12.9.2. Rejestr kategorii czynności przetwarzania
Zasady prowadzenia rejestrów są określone w załączniku nr 6 do Polityki
12.10. Jest przeprowadzana ocena skutków dla ochrony danych oraz jest wykonywana analiza ryzyka, metodyka oraz zasady dokonywania oceny skutków dla ochrony danych są określone w załączniku nr 7 do Polityki
13. Kadra kierownicza prowadzi opisy procesów biznesowych, systemów informatycznych i obszarów, w których są przetwarzane dane osobowe, zasady prowadzenia opisów i nadzór nad ich prowadzeniem są określone w załączniku nr 10 do Polityki

§ 4.
Inspektor Ochrony Danych

1. Inspektor Ochrony Danych powoływany jest decyzją Dyrektora Naczelnego.
2. Inspektor Ochrony Danych (DPO) odpowiada za nadzór nad bezpieczeństwem danych osobowych. Szczegółowe obowiązki IOD są określone w decyzji o. Prezesa Zarządu ZPT Lewiatan nr. ………..
3. Inspektor Ochrony Danych nadzoruje prawidłowość przetwarzania danych osobowych w ZPT Lewiatan, a w szczególności pracę systemu informatycznego oraz pracę informatyków.
4. Inspektor ochrony danych ma następujące zadania:
• informowanie ZPT Lewiatan, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
• monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk ZPT Lewiatan lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
• udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
• współpraca z organem nadzorczym;
• pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
5. Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

§ 5.
Zabezpieczenie i przechowywanie danych osobowych

1. System informatyczny może być obsługiwany wyłącznie przez pracowników upoważnionych do przetwarzania danych osobowych. Upoważnienia do przetwarzania danych osobowych w imieniu ZPT Lewiatan wystawia Kierownik Administracyjny. Upoważnienia są wystawiane pracownikom, współpracownikom (osobom świadczącym pracę na rzecz) ZPT Lewiatan, które zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz z odpowiedzialnością za niezgodne z prawem przetwarzanie danych osobowych.
2. Dostęp do systemów informatycznych nadawany jest wyłącznie osobom posiadającym uprawnienia do przetwarzania danych osobowych.
3. Zakres uprawnień poszczególnych użytkowników do przetwarzania danych osobowych (w tym szczególności w systemach informatycznych) określają osobne dokumenty (zależnie od formy świadczenia pracy) takie jak np:
1) zakres czynności,
2) umowa zlecenie,
3) umowa o dzieło.
4. Przebywanie osób nieuprawnionych do dostępu do danych osobowych wewnątrz obszaru przetwarzania danych osobowych jest dopuszczalne tylko w obecności pracownika upoważnionego.
5. Wszystkie pomieszczenia, w których są przetwarzane dane osobowe powinny być zamykane na czas nieobecności w nich pracowników upoważnionych, w sposób uniemożliwiający dostęp do nich osób nieuprawnionych.
6. Dokumenty, w których znajdują się dane osobowe należy przechowywać pod zamknięciem uniemożliwiającym dostęp do nich osób nieupoważnionych.
7. Dokumenty niepotrzebne powinny być niszczone w niszczarce w sposób zapobiegający ich odtworzeniu.
8. Dokumenty podlegające obowiązkowej archiwizacji należy niezwłocznie po zaprzestaniu ich przetwarzania przekazać do właściwego archiwum.
9. Zakazane jest sporządzanie podręcznych notatek lub innych zapisów zawierających dane osobowe.
10. Wszystkie osoby w ZPT Lewiatan, których rodzaj wykonywanej pracy będzie wiązał się z dostępem do danych osobowych, przed przystąpieniem do pracy, podlegają przeszkoleniu w zakresie obowiązujących przepisów prawa dotyczących ochrony danych osobowych oraz obowiązujących w jednostce zasad ochrony danych osobowych. Wymagana częstotliwość szkoleń raz w roku.
11. Osobą odpowiedzialną za wdrożenie nowego pracownika, oraz zapoznanie go z obowiązujących przepisów prawa, jak również za nadzór i okresowe (minimum raz w roku) przypominanie o wymogach ochrony danych osobowych jest odpowiedzialny każdy kierownik jednostki organizacyjnej w której jest zatrudniana dana osoba.
12. Kadra kierownicza i menadżerska oraz pracownicy odpowiadają za bezpieczeństwo danych osobowych stosownie do powierzonych sobie zadań oraz do zakresu zadań, które ma nadzorować (w tym nadzór nad podwładnymi i podwykonawcami).
13. Wszystkie osoby realizujące zadania na rzecz ZPT Lewiatan, na podstawie np.: umowy o pracę, umowy zlecenia, umowy o dzieło, umowy współpracy, powinni dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. W szczególności osoby te stosownie do zakresu swojej odpowiedzialności, są obowiązane zapewnić, aby przetwarzane dane osobowe były:
a. zasada 1 – zgodność z prawem, rzetelność i przejrzystość (przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą),
b. zasada 2 – ograniczenie celu (zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami );
c. zasada 3 – minimalizacja danych (adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane);
d. zasada 4 – prawidłowość (inaczej aktualność danych) – prawidłowe i w razie potrzeby uaktualniane; Należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe, zostały niezwłocznie usunięte lub sprostowane,
e. zasada 5 – ograniczenie przechowywania (przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane); Dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne w celu ochrony praw i wolności osób, których dane dotyczą;
f. zasada 6 – integralność i poufność (zapewnienie odpowiedniego bezpieczeństwa danych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych).

§ 6.

Korzystanie ze sprzętu komputerowego, monitoring i kontrola

1. Sprzęt komputerowy przynależny do ZPT Lewiatan jest przeznaczony wyłącznie do użytku służbowego dla realizacji celów firmy.
2. Dostępu do Internetu ze sprzętu komputerowego ZPT Lewiatan nie można wykorzystywać z naruszeniem lub w celu naruszenia praw autorskich i pokrewnych, wyszukiwania informacji zakazanych na mocy prawa lub do celów komercyjnych. Każdy przypadek takiego dostępu jest ciężkim naruszeniem obowiązków pracowniczych.
3. Uprawnienia administracyjne do stacji roboczej i innych składników systemu informatycznego przyznaje się tylko na wniosek kadry menadżerskiej ZPT Lewiatan.
4. Oprogramowanie sprzętu komputerowego może być instalowane tylko przez informatyków ZPT Lewiatan. Zabrania się samodzielnego dokonywania zmian w zainstalowanym oprogramowaniu lub instalowania innych programów. Bez zgody Kierownika Administracyjnego ZPT Lewiatan pracownik nie ma prawa do celów realizacji zadań ZPT Lewiatan używać oprogramowania komputerowego nie posiadającego stosownych licencji z których ZPT Lewiatan jest upoważnione do korzystania.
5. Wszystkie informacje zgromadzone w zasobach spółki zawartych w systemie informatycznym przynależą do ZPT Lewiatan i są w wyłącznej dyspozycji ZPT Lewiatan.
6. Korzystanie ze sprzętu komputerowego może być monitorowane przez osoby upoważnione przez Zarząd ZPT Lewiatan. W szczególności monitorowaniu podlega:
1) korzystanie ze sprzętu komputerowego,
2) korzystanie z poczty elektronicznej służbowej,
3) sposób wykorzystania połączeń do Internetu,
4) korzystanie z powierzonego mienia stosownie do postanowień umowy o odpowiedzialności za powierzone mienie.
7. Informacje uzyskane w wyniku monitorowania są jedną z podstaw oceny jakości pracy świadczonej przez pracownika.
8. Do obowiązków pracowników zatrudnionych na stanowiskach kierowniczych niezależnie od innych obowiązków należy kontrola: sposobu wykorzystania zasobów ZPT Lewiatan. (w tym ochrony dany osobowych), rozliczenia się pracownika z ZPT Lewiatan, w związku z rozwiązaniem lub wygaśnięciem stosunku pracy oraz zabezpieczenia dokumentów związanych z pracą i zablokowania dostępu do systemów komputerowych, z których pracownik korzystał.
9. Jeżeli przetwarzanie ma być dokonywane w imieniu ZPT Lewiatan, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
10. ZPT Lewiatan może korzystać z usług wyłącznie takich podmiotów przetwarzających PP, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom RODO, w tym wymogom bezpieczeństwa przetwarzania.

§ 7.

Udzielanie dostępu do systemów informatycznych

1. Zakres uprawnień jest jednoznacznie określony stanowiskiem. Jeżeli potrzebny jest szerszy zakres podaje się dokładny zakres uprawnień, o które się występuje. O przyznanie lub zmianę uprawnień dostępu poszczególnych składników systemu informatycznego dla uprawnionych pracowników mają prawo wnioskować na formularzu stanowiącym załącznik nr 1 do niniejszej Polityki przełożeni pracowników. Decyzję podejmuje Kierownik Administracyjny wydając dyspozycję nadania uprawnień.
2. Dostęp do systemu informatycznego pracownika jest możliwy po zalogowaniu. Koordynator ds. technicznych przydziela każdemu pracownikowi upoważnionemu osobisty login dający, w połączeniu z hasłem ustalanym przez tego pracownika, dostęp do systemu informatycznego. Po założeniu konta, o ustawieniu uprawnień, informowany jest wnioskodawca.
3. Osoba, dla której nadano czy zmieniono uprawnienia dostaje informacje (login, hasło, identyfikator) drogą mailowa, o ile to jest możliwe. Jeżeli to nie jest możliwe to informacja ta przesyłana jest do wnioskodawcy. Wnioski o nadanie uprawnień są archiwizowane przez Koordynatora ds. technicznych.
4. Hasło dostępu do systemu ustalone przez pracownika upoważnionego podlega zmianie nie rzadziej niż raz na 30 dni. Długość hasła musi wynosić nie mniej niż 8 znaków i zawierać 3 grupy z 4 takich jak małe i duże litery, znaki specjalne, cyfry.
5. Każdy pracownik upoważniony winny jest zachować w tajemnicy indywidualne hasło oraz identyfikator i nie udostępniać go osobom nieuprawnionym do korzystania z systemu informatycznego.
6. Pracownik upoważniony jest zobowiązany zabezpieczyć dostęp do komputera hasłem oraz nie zezwalać na używanie komputera osobom nieupoważnionym do dostępu do danych osobowych.
7. Pracownik upoważniony korzystający z przenośnego komputera służącego do przetwarzania danych osobowych, zobowiązany jest zachować szczególną ostrożność podczas jego transportu i przechowywania poza obszarem przetwarzania danych osobowych zapobiegającej naruszeniu ochrony danych osobowych.
8. Wszystkie przenośne urządzenia służące do przetwarzania danych osobowych powinny zabezpieczać dane osobowe przed dostępem do nich osób nieuprawnionych za pomocą szyfrowania.

§ 8
Naruszenie ochrony danych
1. W przypadku stwierdzenia zdarzenia niepożądanego związanego z bezpieczeństwem informacji (w tym cyberbezpieczeństwa i ochrony danych osobowych użytkownicy systemu informatycznego mają obowiązek wstrzymania się z jakimikolwiek czynnościami dokonywanymi w systemie informatycznym, poza jego zabezpieczeniem przed dostępem osób nieuprawnionych oraz niezwłocznego zawiadomienia o naruszeniu przełożonego oraz Inspektora Ochrony Danych lub upoważnioną przez niego osobę.
2. Postanowienia ust. 1 stosuje się również w przypadku, gdy stan urządzeń, zawartość zbioru danych osobowych, sposób działania systemu informatycznego lub jakość komunikacji w sieci telekomunikacyjnej mogą wskazywać na naruszenia ochrony danych osobowych.
3. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zobowiązany będzie zgłosić je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Zgłoszenie takie powinno:
• opisywać charakter naruszenia, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych;
• zawierać imię i nazwisko oraz dane kontaktowe IOD lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
• opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
• opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

§ 9

Inny sprzęt służbowy

1. ZPT Lewiatan udostępnia pracownikom także inny sprzęt służbowy, a w szczególności telefony służbowe i samochody służbowe.
2. Użytkownikowi telefonu służbowego jak również Pracodawcy przysługuje prawo wglądu w bilingi telefonu, który jest w posiadaniu użytkownika. Weryfikacja bilingów będzie przeprowadzona przez osobę upoważnioną przez właścicieli firmy.
3. Pracodawca zastrzega sobie prawo przekazania danych zebranych w pamięci telefonu oraz danych zawartych w książce telefonicznej nowemu użytkownikowi telefonu po rozwiązaniu z dotychczasowym użytkownikiem umowy o pracę.
4. ZPT Lewiatan zastrzega sobie prawo przekazywania w związku z zaistniałym zdarzeniem drogowym, wykroczeniem drogowym lub podejrzeniem jego popełnienia, danych osobowych pracownika – użytkownika pojazdu służbowego organom min. tj. Policja, Prokuratura, Straż Miejska oraz innym uprawnionym do ich przetwarzania podmiotom na podstawie odrębnych przepisów prawa.

§ 10.

Zasada „Czystego Biurka”

W ZPT Lewiatan. wprowadza się zasadę „Czystego Biurka” tzn.
1. Wszyscy Pracownicy ZPT Lewiatan są zobowiązani do dołożenia szczególnej staranności w celu ochrony danych osobowych osób, których dane są przetwarzane w ZPT Lewiatan.
2. W tym celu w momencie opuszczania stanowiska pracy zobowiązuje się pracowników do:
• zabezpieczania dostępu do systemów informatycznych przed dostępem osób nieupoważnionych poprzez blokowanie dostępu do systemów komputerowych.
• zabezpieczania wszelkich dokumentów zawierających dane osobowe przed dostępem osób nieupoważnionych poprzez zabezpieczanie ich (zamykanie) w szafach (biurkach, lub szufladach) zamykanych na klucz.
3. Wszyscy pracownicy zobowiązani są do niezwłocznego odbierania z drukarek wszystkich dokumentów, które skierowali do wydruku.
4. Każdy pracownik w trakcie realizacji swoich obowiązków odpowiada za zabezpieczenie przed dostępem do nich osób nieupoważnionych dokumentów i danych do których ma dostęp w czasie realizacji zadań. Jeżeli dokumenty nie podlegające archiwizacji, które zawierają dane podlegające ochronie utraciły użyteczność dla ZPT Lewiatan to dokumenty takie należy zniszczyć w niszczarce.
5. Na koniec dnia pracy każdy Prezes Zarządu zobowiązany jest przeprowadzić, minimum 1 raz w tygodniu, kontrolę stanu realizacji zasady czystego Biurka w odniesieniu do pracowników wpisując ten fakt do zeszytu „kontroli bieżącej” oraz wyniki kontroli.
6. Jeżeli w danej komórce organizacyjnej brak jest środków zabezpieczenia danych, czy dokumentów (np. szafek zamykanych na klucz, niszczarek, systemów kontroli dostępu to osoba kierująca komórką organizacyjną zobowiązany jest o wnioskowanie o zakup odpowiednich środków zabezpieczeń.
7. Za stosowanie i nadzór zasady „czystego biurka” w ZPT Lewiatan odpowiada Kierownik Administracyjny.

§ 11

Badanie poprawności danych

1. Podczas realizacji zadań pracownicy ZPT Lewiatan są zobowiązani do badania poprawności danych tzn. realizując swoje zadania powinni sprawdzać czy dane osobowe używane do realizacji zadań są aktualne;
2. Każdy pracownik ZPT Lewiatan zobowiązany jest podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe, zostały niezwłocznie usunięte lub sprostowane.

§ 12

Odpowiedzialność pracownicza

1. Oprogramowanie sprzętu komputerowego może być instalowane tylko przez informatyków ZPT Lewiatan. Zabrania się samodzielnego dokonywania zmian w zainstalowanym oprogramowaniu lub instalowania innych programów.
2. Obowiązek każdego pracownika ZPT Lewiatan – natychmiastowe zgłoszenie zauważonych incydentów bezpieczeństwa bezpośredniemu przełożonemu lub Inspektorowi Ochrony Danych.
3. Pracownik ponosi odpowiedzialność porządkową i materialną na zasadach określonych Kodeksem pracy w przypadku:
• stwierdzenia przez kontrolę wewnętrzną lub zewnętrzną zainstalowania na urządzeniach udostępnionych pracownikowi przez pracodawcę w celu wykonywania pracy oprogramowania komputerowego na które nie ma wymaganej licencji,
• stwierdzenia użytkowania sprzętu komputerowego do celów niezgodnych z celami ZPT Lewiatan,
• zainstalowania na udostępnionym pracownikowi sprzęcie komputerowym oprogramowania innego niż zainstalowany przez pracodawcę,
• nie stosowania zasady „Czystego Biurka”.
4. W wypadku umyślnego uszkodzenia sprzętu użytkownik ponosi odpowiedzialność materialną za szkodę wyrządzoną ZPT Lewiatan na zasadach określonych w Kodeksie Cywilnym.

§ 13.

Bezpieczeństwo Informacji.

1. Odpowiedzialność za bezpieczeństwo informacji w ZPT Lewiatan ponoszą wszyscy pracownicy zgodnie z posiadanymi zakresami obowiązków. Zabrania się przenoszenia niezabezpieczonych danych osobowych poza teren ZPT Lewiatan. W szczególności zabrania się przenoszenia danych poufnych na nośnikach elektronicznych (np.: pendrive, nośniki CD) poza teren ZPT Lewiatan.
2. Wszelkie zauważone uszkodzenia lub nieprawidłowości w pracy sprzętu komputerowego należy natychmiast zgłosić do Kierownika.
3. Obowiązek każdego pracownika ZPT Lewiatan – natychmiastowe zgłoszenie zauważonych incydentów bezpieczeństwa bezpośredniemu przełożonemu lub IOD.

§ 14.

Zasady retencji danych

1. Dane osobowe mogą być zbierane w ZPT Lewiatan w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
2. Przetwarzanie danych osobowych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami.
3. Dane osobowe mogą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
4. dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne w celu ochrony praw i wolności osób, których dane dotyczą
5. Dane osobowe mogą być przechowywane w ZPT Lewiatan:
• dane kandydatów (osób zainteresowanych pracą lub współpracą w charakterze zleceń) – przez okres maksymalnie 1 roku od ostatniego potwierdzenia zainteresowania świadczenia usług lub pracy na rzecz ZPT Lewiatan,
• dane pracowników – przez okres wskazany w obowiązku informacyjnym – zwykle10 lat po zakończeniu świadczenia pracy
• dane klientów osób fizycznych – przez okres 5 lat po zamknięciu roku obrachunkowego w którym zostało zakończone ostatnie zlecenie (zrealizowana umowa) ,
• dane potencjalnych klientów – osób fizycznych przez okres 3 lat od uzyskania tych danych lub przez okres 10 lat jeżeli dana osoba wyraziła zgodę na przetwarzanie danych dla celów,
• dane związane z dochodzeniem roszczeń przez okres w którym dochodzenia mogą być skuteczne, jednak nie dłużej niż 10 lat od czasu którego roszczenia dotyczą.
6. Dane powierzone przez Klientów (firmy) celem realizacji na ich potrzeby usług. Okres przechowywania takich danych jest zdefiniowany w umowie z Klientem i zapisany w rejestrze umów.

§ 15
Zasady realizacji praw osób których dane dotyczą

1. ZPT Lewiatan prosi, aby wszelką korespondencję w sprawach związanych z przetwarzaniem danych osobowych w ZPT Lewiatan kierować na adres ZPT Lewiatan z dopiskiem „Dane osobowe” lub na skrzynkę iodo@wwconsulting.pl, jednakże żądanie, prośba lub inna korespondencja związana z realizacją praw osób, których dane dotyczą może zostać skierowana do dowolnego pracownika ZPT Lewiatan.
2. W przypadku wpłynięcia do firmy lub jakiegoś pracownika ZPT Lewiatan korespondencji dotyczącej realizacji praw osób których dane dotyczą powinna ona zostać przesłana do Asystentki Biura celem zaewidencjonowania jej oraz zadekretowania (skierowania do obsługi) jej do osoby, która udzieli odpowiedzi. Asystentka Biura prowadzi rejestr korespondencji (w tym dotyczącej ochrony danych), archiwizuje w odrębnych teczkach dotyczących danej osoby pisma wchodzące oraz kopie udzielonych odpowiedzi.
3. ZPT Lewiatan odpowiada na w/w korespondencję osobie kierującej korespondencję do ZPT Lewiatan jeżeli korespondencja dotyczy danych, której administratorem danych jest ZPT Lewiatan. W przypadku skierowania do ZPT Lewiatan korespondencji w sprawie danych powierzonych do ZPT Lewiatan, korespondencja ta kierowana jest do firmy, która powierzyła te dane do ZPT Lewiatan.
4. Podstawą udzielenia odpowiedzi jest właściwe zidentyfikowanie osoby, która skierowała do ZPT Lewiatan korespondencję w sprawie realizacji praw osoby, której dane dotyczą. Bez jednoznacznego zweryfikowania, czy osoba kierująca korespondencję ma prawo dostępu do tych danych, nie podejmujemy żadnych działań związanych z danymi osobowymi do czasu ich zweryfikowania,
5. Udzielanie odpowiedzi na korespondencję ma na celu zapewnienie spełnienia przestrzeganie zasad przetwarzania danych osobowych, które są określone w art. 15-22 i 34 RODO z uwzględnieniem art. 2-5a Ustawy.
6. Odpowiedź na pisma (wnioski lub żądania) powinna być przekazana w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem, zgodnie z wymaganiem określonym w art. 12 RODO.
7. Za realizowanie w imieniu ZPT Lewiatan praw osób, których dane dotyczą odpowiadają jednostki organizacyjne ZPT Lewiatan, które merytorycznie odpowiadają za przetwarzanie danych osób, które zwrócą się do ZPT Lewiatan z wezwaniem lub żądaniem w sprawie realizacji tych praw. W związku z tym jednostki te odpowiadają za uzgodnienie z Inspektorem Ochrony Danych merytorycznych kwestii propozycji odpowiedzi na nadesłaną korespondencję.
8. Ostateczną decyzję w kwestii kształtu i zawartości odpowiedzi na nadesłana korespondencje podejmuje osoba udzielająca odpowiedzi w imieniu ZPT Lewiatan.
§ 16
Odpowiedzialność prawna

Odpowiedzialność prawna firmy i pracowników w związku z niewłaściwym przetwarzaniem danych osobowych może wynikać z
1. Prawa telekomunikacyjnego
 Naruszenie przez operatora obowiązku zachowania tajemnicy telekomunikacyjnej (m.in. kara pieniężna w wysokości do 3% rocznego przychodu operatora)
2. RODO i Ustawy o ochronie danych osobowych
 Do 20 mln EURO lub 4% światowego obrotu firmy (w zależności które większe) np. za brak realizacji którejkolwiek z zasad przetwarzania danych lub za brak przejrzystego informowania lub przejrzystej komunikacji
 Do 10 mln EURO lub 2% światowego obrotu firmy (w zależności które większe)
3. Ustawy o zwalczaniu nieuczciwej konkurencji
 Ujawnienie tajemnicy przedsiębiorstwa (kara grzywny, ograniczenia albo pozbawienia wolności do 2 lat)
4. Kodeksu pracy
 Ciężkie naruszenie podstawowych obowiązków pracowniczych, w tym naruszenie ustawowych tajemnic (możliwość rozwiązania umowy o pracę bez wypowiedzenia z winy pracownika)
 Wyrządzenie szkody pracodawcy wskutek niewykonania lub nienależytego wykonania obowiązków (odpowiedzialność materialna do pełnej wysokości szkody)
5. Kodeksu karnego (kara grzywny, ograniczenia albo pozbawienia wolności do 5 lat)
 Nieuprawnione ujawnienie informacji dotyczących przedsiębiorstwa
 Naruszenie tajemnicy korespondencji, w tym tajemnicy telekomunikacyjnej
 Nieuprawnione usuwanie albo niszczenie albo utrudnianie dostępu do danych informatycznych
 Nieuprawniona ingerencja w pracę systemów informatycznych, sieci teleinformatycznych

UODO będzie nakładać administracyjne kary pieniężne za naruszenia Rozporządzenia UE
 Kary do 10 mln. EUR lub do 2 % jego całkowitego rocznego światowego obrotu za naruszenia w zakresie: rejestrowania czynności przetwarzania, współadministrowania, współpracy z UODO oraz z podmiotem przetwarzającym, upoważniania, wdrożenia zabezpieczeń, zgłaszania naruszeń, oceny skutków, pracy IOD.
 Kary do 20 mln. EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu za naruszenia w zakresie: legalności przetwarzania, warunków zgód, celowości, adekwatności, czasowości, obowiązku informacyjnego, praw osób, niezgodnego z prawem przetwarzania oraz ochrony przed utratą, zniszczeniem lub uszkodzeniem danych.

§ 17

Postanowienia końcowe

1. Postanowienia niniejszej Polityki stosuje się odpowiednio do przetwarzania danych osobowych na sprzęcie komputerowym powierzonym pracownikowi, w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych.
2. W sprawach nie objętych niniejszą Polityką mają zastosowanie przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych i inne przepisy prawne obowiązujące w Polsce.
3. Polityka wchodzi w życie z dniem ogłoszenia.

§ 18
Załączniki

1. Załączniki nr 1. – Odpowiedzialność za ochronę danych
2. Załącznik nr 1.1. – Ewidencja osób upoważnionych do przetwarzania danych osobowych.
3. Załącznik nr 1.2 – Wniosek o nadanie/zmianę uprawnień
4. Załącznik nr 1.3 – Postępowanie z danymi osobowymi
5. Załącznik nr 2. – Zgłoszenie naruszenia ochrony danych
6. Załącznik nr 3. – Usuwanie i/lub anonimizacja danych osobowych, zasady retencji
7. Załącznik nr 3.1. Retencja danych
8. Załącznik nr 4. Zawieranie umów z podmiotami przetwarzającymi
9. Załącznik nr 4.1 – Karta oceny procesora
10. Załącznik nr 4.2. – karta umowy PP – wzór
11. Załącznik nr 4.3 zabezpieczenia stosowane przez podmiot przetwarzający (środki techniczne i organizacyjne)
12. Załącznik nr 4.4 Wzorcowe zapisy umowy powierzenia przetwarzania
13. Załącznik nr 5 – wzorcowe zapisy umowy przekazania danych
14. Załącznik nr 6 – Prowadzenie rejestrów przetwarzania danych osobowych
15. Załącznik nr 6.1. – wzór Rejestru czynności przetwarzania danych osobowych
16. Załącznik nr 6.2. – wzór Rejestru kategorii czynności przetwarzania
17. Załącznik nr 6.3. – Lista zidentyfikowanych w ZPT Lewiatan celów przetwarzania oraz kategorii danych, osób i odbiorców
18. Załącznik nr 7. Ocena skutków dla ochrony danych
19. Załącznik nr 7.1. Podejście do oceny ryzyka naruszenia praw lub wolności osób. Ocena skutków dla ochrony danych. Analiza ryzyka
20. Załącznik nr 7.2. – wzór arkusza analizy ryzyka
21. Załącznik nr 7.3. – wzór Oceny skutków dla ochrony danych
22. Załącznik nr 7.4. – wzór oceny skutków operacji przetwarzania
23. Załącznik nr 7.5. – wzór oceny ryzyka naruszenia praw lub wolności osób, których dane dotyczą
24. Załącznik nr 8. Udzielanie odpowiedzi na wnioski podmiotu danych
25. Załącznik nr 9 – Zasady zbierania i przetwarzania danych osobowych
26. Załącznik nr 9.1 – Instrukcja tworzenia obowiązku informacyjnego
27. Załącznik nr 9.1.a Obowiązek informacyjny – przy przetwarzaniu danych osób zatrudnionych w tym Pracowników
28. Załącznik nr 9.1.b – Obowiązek informacyjny – przy przetwarzaniu danych w celach rekrutacyjnych
29. Załącznik nr 9.1.c – Obowiązek informacyjny – przy przetwarzaniu danych osób z którymi zostały zawarte umowy cywilnoprawne
30. Załącznik nr 9.1.d – Obowiązek informacyjny – przy przetwarzaniu danych osób zatrudnionych u kontrahentów, których dane w ramach współpracy są przekazywane do ZPT Lewiatan
31. Załącznik nr 9.1.e – Obowiązek informacyjny związany z monitoringiem

§ 17
Dokumenty powiązane
1. Regulamin Organizacyjny
2. Zasady usuwania i anonimizacji danych w ZPT Lewiatan.
3. Instrukcja archiwizowania dokumentów w jednostkach organizacyjnych ZPT Lewiatan.
4. Zasady zarządzania bezpieczeństwem informacji oraz bezpieczeństwem teleinformatycznym ZPT Lewiatan.
5. Instrukcja postępowania z elektronicznymi nośnikami danych w ZPT Lewiatan.
6. Procedura zabezpieczania kopii zapasowych systemów informatycznych
7. Upoważnienie do przetwarzania danych osobowych – wzór
8. Oświadczenie o zachowaniu poufności – wzór
9. Obszar przetwarzania danych osobowych ZPT Lewiatan
10. Zadania IOD
REJESTR ZMIAN