- Podstawa prawna
- Niniejszą Politykę ochrony danych osobowych w PODWAWELSKIEJ SPÓŁDZIELNI SPOŻYWCÓW ustanawia się dążąc do spełniania wymogu rozliczalności, na podstawie art. 5 ust. 2 w związku z art. 5 ust. 1 lit. c., d. oraz e., jak również w związku z art. 6 ust 1 lit. f., art. 15-21, art. 24 ust. 1, art. 33 oraz art. 35-37 RODO, a także biorąc pod uwagę dokumenty wydane przez „Grupę Roboczą art. 29” – a zwłaszcza:
- Guidelines on transparency under Regulation 2016/679,
- Guidelines on Personal data breach notification under Regulation 2016/679,
- Guidelines on Consent under Regulation 2016/679,
- Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679,
- ,
- Wytyczne dotyczące inspektorów ochrony danych (‘DPO’),
- Opinię 2/12017 na temat przetwarzania danych w miejscu pracy.
- Niniejszą Politykę ochrony danych osobowych w PODWAWELSKIEJ SPÓŁDZIELNI SPOŻYWCÓW ustanawia się dążąc do spełniania wymogu rozliczalności, na podstawie art. 5 ust. 2 w związku z art. 5 ust. 1 lit. c., d. oraz e., jak również w związku z art. 6 ust 1 lit. f., art. 15-21, art. 24 ust. 1, art. 33 oraz art. 35-37 RODO, a także biorąc pod uwagę dokumenty wydane przez „Grupę Roboczą art. 29” – a zwłaszcza:
- Definicje
Ilekroć w dokumentacji przetwarzania danych osobowych obowiązującej w PODWAWELSKIEJ SPÓŁDZIELNI SPOŻYWCÓW pojawiają się podane niżej sformułowania należy nadawać im podane niżej znaczenie (chyba, że dany dokument wprost wskazuje coś przeciwnego):
-
- Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
- Przetwarzanie danych osobowych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
- Zbiór danych osobowych – oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.
- RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) z dnia 27 kwietnia 2016 r. (Dz.Urz.UE.L Nr 119, str. 1).
- Rejestr – rejestr czynności przetwarzania danych, prowadzony zgodnie z art. 30 ust. 1 RODO oraz rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, prowadzony zgodnie z art. 30 ust. 2 RODO. Obydwa rejestry znajdują się w jednym dokumencie.
- PSS – PODWAWELSKA SPÓŁDZIELNIA SPOŻYWCÓW z siedzibą w Krakowie (adres al. Daszyńskiego 3, 31-537 Kraków), wpisana do rejestru przedsiębiorców Krajowego Rejestru Sadowego pod nr 0000065020, NIP: 6750003448, będąca administratorem danych, tj. podmiotem ustalającym cele i sposoby przetwarzania danych osobowych.
- Zasady dotyczące przetwarzania danych osobowych (art. 5 RODO)
Dane osobowe w PSS są:
- Przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”).
- Zgodność przetwarzania danych osobowych z prawem zapewniono poprzez zasięgnięcie w tym zakresie porady kancelarii prawnej. Istotne zagadnienia związane z przetwarzaniem danych osobowych są konsultowane z kancelarią prawną na bieżąco. PSS powierzy wewnętrznemu działowi administracyjnemu okresowe prowadzenie szkoleń dla zespołu PSS z zakresu ochrony danych osobowych.
PSS dąży do zapewnienia ciągłej zgodności z prawem przetwarzania danych osobowych. Obejmuje to okresowe (dokonywane nie rzadziej niż raz na 12 miesięcy) oceny i aktualizacje niniejszej Polityki ochrony danych osobowych. Jednym z kryteriów oceny powinna być zgodność z ewentualnymi kodeksami postępowania przyjętymi dla branży handlowo-usługowej, zgodnie z art. 40 i nast. RODO.
W razie potrzeby, niezwłocznej aktualizacji podlegają również informacje podawane osobom, których dane dotyczą, zgodnie z art. 13 i 14 RODO. W zakresie w jakim PSS bazuje na zgodzie, jako podstawie prawnej przetwarzania danych osobowych – zgody podlegają odnowieniu po każdej zmianie informacji udzielanych zgodnie z art. 4 ust. 11 w związku z motywem 42 RODO.
- Podstawy prawne przetwarzania danych osobowych wymieniono w Rejestrze.
PSS opiera się na przesłance legalizacyjnej z art. 6 ust. 1 lit b) RODO (przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy) co do następujących operacji przetwarzania danych osobowych klientów (tj. podmiotów dokonujących zakupów w sklepach prowadzonych przez PSS, przy czym PSS zaznacza, że relatywnie rzadko przetwarza jakiekolwiek dane osobowe klientów):
PSS opiera się na przesłance wykonania umowy również co do następujących operacji przetwarzania danych osobowych dostawców (tj. podmiotów od których PSS zakupuje towary lub usługi):
PSS opiera się na przesłance wykonania umowy również co do następujących operacji przetwarzania danych osobowych najemców (tj. podmiotów którym PSS wynajmuje lokale na prowadzenie działalności gospodarczej w budynku będącym własnością PSS):
PSS opiera się na przesłance legalizacyjnej z art. 6 ust. 1 lit c) RODO (przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze) co do następujących operacji przetwarzania danych osobowych pracowników PSS i członków ich rodzin:
- ;
Dla wykonania obowiązków wynikających z przepisów prawa przetwarzane są również dane osobowe klientów, dostawców i najemców PSS, co obejmuje następujące operacje przetwarzania danych:
Dla wykonania obowiązków wynikających z przepisów prawa przetwarzane są również dane osobowe członków PSS (tj. członków Spółdzielni, zgodnie z ustawą prawo spółdzielcze, oraz osób ubiegających się o takie członkostwo), co obejmuje następujące operacje przetwarzania danych:
- służących do wykonywania obowiązków pracowniczych (w tym w szczególności w aplikacji obsługującej pocztę elektroniczną, aplikacji PC Market, aplikacji Płatnik i aplikacji Optima);
PSS, opierając przetwarzanie danych osobowych pracowników na podstawie prawnej określonej w art. 6 ust. 1 lit. f) RODO wzięła pod uwagę interesy oraz podstawowe prawa i wolności osób, których dane dotyczą. W ocenie PSS, te interesy, prawa i wolności nie przeważają nad prawnie uzasadnionymi interesami realizowanymi przez PSS, tj. prawem do sprawowania nadzoru nad pracownikiem i zapewnienia ciągłości działania przedsiębiorstwa w wypadku odejścia lub nieobecności dalej osoby (co do wglądu do służbowej poczty elektronicznej) oraz chęcią zagwarantowania bezpieczeństwa osób i ochrony mienia (co do monitoringu wizyjnego).
W ocenie PSS, oparcie przetwarzania danych osobowych pracowników na podstawie przewidzianej w art. 6 ust. 1 lit. f) RODO znajduje podstawę również w motywie 47 RODO. Mianowicie, w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z PSS, nadrzędne nie są interesy lub podstawowe prawa i wolności tych osób. Zachodzi bowiem istotny i odpowiedni rodzaj powiązania między osobami, których dane dotyczą a PSS.
Jednocześnie operacje przetwarzania danych dokonywanie w oparciu o tę przesłankę zostały przez PSS tak dobrane, aby nie niosły ze sobą ryzyka naruszenia praw i wolności pracowników (np. poprzez ujawnienie ich danych podmiotom trzecim lub też tworzenie profili czy ocen).
Zmniejszeniu ryzyka naruszenia praw i wolności pracowników służy też przyjęta przez PSS polityka retencji danych osobowych.
Należy wreszcie wskazać, że PSS nie mogła oprzeć żadnej z wymienionych operacji przetwarzania na zgodzie pracowników jako przesłance legalizacyjnej, ponieważ zgoda taka nie byłaby udzielona w sposób dobrowolny, zważywszy na wyraźne zastrzeżenia czynione przez Grupę Roboczą art. 29 w Guidelines on Consent under Regulation 2016/679, a także samą definicję zgody zawartą w art. art. 4 ust. 11 RODO („dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”). Pomiędzy pracownikiem i PSS zachodzi bowiem wyraźny „brak równowagi stron” w rozumieniu motywu 43 RODO. Co nawet ważniejsze, brak udzielenia zgody skutkowałby koniecznością rozwiązania umowy z pracownikiem. Ewentualna zgoda byłaby więc na gruncie RODO nieskuteczna.
- PSS,
- poprzez analizę zebranych danych osobowych, a także (na dalszym etapie rekrutacji) poprzez prowadzenie rozmów kwalifikacyjnych,
- .
PSS, opierając przetwarzanie danych osobowych kandydatów na podstawie prawnej określonej w art. 6 ust. 1 lit. f) RODO wzięła pod uwagę interesy oraz podstawowe prawa i wolności osób, których dane dotyczą. W ocenie PSS, te interesy, prawa i wolności nie przeważają nad prawnie uzasadnionymi interesami realizowanymi przez PSS.
Jednocześnie operacje przetwarzania danych dokonywanie w oparciu o tę przesłankę zostały przez PSS tak dobrane, aby nie niosły ze sobą ryzyka naruszenia praw i wolności kandydatów (np. poprzez nadmierny zakres przetwarzanych danych).
Zmniejszeniu ryzyka naruszenia praw i wolności kandydatów służy też przyjęta przez PSS polityka retencji danych osobowych.
PSS opiera się na przesłance legalizacyjnej z art. 6 ust. 1 lit f) RODO również co do następujących operacji przetwarzania danych osobowych użytkowników strony internetowej https://www.podwawelska.pl/
PSS, opierając przetwarzanie danych osobowych użytkowników strony na podstawie prawnej określonej w art. 6 ust. 1 lit. f) RODO wzięła pod uwagę interesy oraz podstawowe prawa i wolności osób, których dane dotyczą. W ocenie PSS te interesy, prawa i wolności nie przeważają nad prawnie uzasadnionymi interesami realizowanymi przez PSS, tj. prawem do prowadzenia badań statystycznych.
W ocenie PSS, oparcie przetwarzania danych osobowych użytkowników na podstawie przewidzianej w art. 6 ust. 1 lit. f) RODO znajduje podstawę również w motywie 47 RODO. Mianowicie, w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z PSS, nadrzędne nie są interesy lub podstawowe prawa i wolności tych osób. Zachodzi bowiem istotny i odpowiedni rodzaj powiązania między osobami, których dane dotyczą a PSS.
Jednocześnie operacje przetwarzania danych dokonywanie w oparciu o tę przesłankę zostały przez PSS tak dobrane, aby nie niosły ze sobą ryzyka naruszenia praw i wolności użytkowników (np. poprzez nadmierny zakres zbieranych danych, ich ujawnianie podmiotom trzecim, czy poddawanie profilowaniu).
Zmniejszeniu ryzyka naruszenia praw i wolności użytkowników strony służy też przyjęta przez PSS polityka retencji danych osobowych.
PSS opiera się na przesłance legalizacyjnej z art. 6 ust. 1 lit f) RODO również co do następujących operacji przetwarzania danych osobowych osób odwiedzających sklepy prowadzone przez PSS:
W ocenie PSS, oparcie przetwarzania danych osobowych odwiedzających na podstawie przewidzianej w art. 6 ust. 1 lit. f) RODO znajduje podstawę również w motywie 47 RODO. Mianowicie, w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z PSS, nadrzędne nie są interesy lub podstawowe prawa i wolności tych osób. Zachodzi bowiem istotny i odpowiedni rodzaj powiązania między osobami, których dane dotyczą a PSS.
Jednocześnie operacje przetwarzania danych dokonywanie w oparciu o tę przesłankę zostały przez PSS tak dobrane, aby nie niosły ze sobą ryzyka naruszenia praw i wolności odwiedzających (np. poprzez nadmierny zakres zbieranych danych, czy jakiekolwiek opracowywanie).
Zmniejszeniu ryzyka naruszenia praw i wolności odwiedzających służy też przyjęta przez PSS polityka retencji danych osobowych.
PSS opiera się na przesłance legalizacyjnej z art. 6 ust. 1 lit f) RODO również co do następujących operacji przetwarzania danych osobowych klientów, dostawców, najemców, pracowników i członków (a także byłych klientów, dostawców, najemców, pracowników i członków):
- dochodzenie roszczeń w wypadku naruszenia umowy z PSS (lub statutu), lub też w razie wyrządzenia szkody PSS w inny sposób.
PSS, opierając przetwarzanie danych osobowych tych kategorii osób na podstawie prawnej określonej w art. 6 ust. 1 lit. f) RODO wzięła pod uwagę interesy oraz podstawowe prawa i wolności osób, których dane dotyczą. W ocenie PSS te interesy, prawa i wolności nie przeważają nad prawnie uzasadnionymi interesami realizowanymi przez PSS, tj. chęcią ochrony swych praw i dochodzenia naprawienia szkody.
W ocenie PSS, oparcie przetwarzania danych osobowych odwiedzających na podstawie przewidzianej w art. 6 ust. 1 lit. f) RODO znajduje podstawę również w motywie 47 RODO. Mianowicie, w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z PSS, nadrzędne nie są interesy lub podstawowe prawa i wolności tych osób. Zachodzi bowiem istotny i odpowiedni rodzaj powiązania między osobami, których dane dotyczą a PSS.
Jednocześnie operacje przetwarzania danych dokonywanie w oparciu o tę przesłankę zostały przez PSS tak dobrane, aby nie niosły ze sobą ryzyka naruszenia praw i wolności odwiedzających.
Zmniejszeniu ryzyka naruszenia praw i wolności odwiedzających służy też przyjęta przez PSS polityka retencji danych osobowych.
PSS opiera się na przesłance legalizacyjnej z art. 28 RODO (jest podmiotem przetwarzającym dane osobowe dla podmiotu trzeciego, będącego administratorem danych) co do następujących operacji przetwarzania danych osobowych pracowników i ich osób bliskich:
- – zbieranie i przekazywanie [_] (w związku z zawartym w dniu [_] Porozumieniem dotyczącym danych osobowych) danych osobowych pracowników i ich osób bliskich koniecznych do wypełnienia formularzy aplikacyjnych przygotowanych przez towarzystwo ubezpieczeniowe, a także archiwizację tych danych (w formie kopii zapasowych) i ich aktualizację oraz spełnianie w imieniu administratora obowiązku informacyjnego; [TW2]
- zbieranie i przekazywanie Benefit Systems Spółka Akcyjna z siedzibą w Warszawie (w związku z zawartym w dniu 15 marca 2018 Aneksem nr 3 do umowy o świadczenie usług) danych osobowych pracowników i ich osób bliskich koniecznych do wypełnienia formularzy aplikacyjnych przygotowanych przez Benefit Systems Spółka Akcyjnaz siedzibą w Warszawie, a także archiwizację tych danych (w formie kopii zapasowych) i ich aktualizację;
- [TW3]
- Rzetelność i przejrzystość przetwarzania danych osobowych zagwarantowano poprzez wdrożenie Rejestru oraz zapewniając osobom, których dane dotyczą informacje wymagane na podstawie art. 13, 14 i 21. ust. 4. RODO.
Informacje udzielane na podstawie art. 13 i 14 RODO, a także art. 4 ust 11 RODO zostały przygotowane i są aktualizowane w oparciu o wytyczne Grupy Roboczej art. 29 zawarte w Guidelines on transparency under Regulation 2016/679.
- Zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”).
- Cele przetwarzania danych osobowych przez PSS opisano w Rejestrze.
- W przypadku danych osobowych pozyskiwanych przez PSS nie od osób, których one dotyczą (dane osób bliskich pracowników PSS) – w myśl art. 6 ust. 4 RODO, ustalono, że przetwarzanie danych osobowych odbiorców odbywa się w tym samym celu, dla którego zostały pierwotnie zebrane przez pracownika ujawniającego je PSS. Nie ma więc potrzeby dokonywania oceny zgodnie z art. 6 ust. 4 RODO.
- Informacje udzielane zgodnie z art. 14 RODO obejmują m.in. treść ust. 3.2.2. powyżej.
- Adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”).
- W zakresie w jakim dane osobowe przetwarzane są dla innych celów niż realizacja obowiązków nałożonych przez przepisy prawa, PSS regularnie (nie rzadziej niż raz na 12 miesięcy) dokonuje przeglądu tych danych i – w razie takiej możliwości – ich minimalizacji (przez zaprzestanie zbierania, usunięcie lub anonimizację).
- PSS nie dokonuje żadnych operacji na danych osobowych i nie przetwarza żadnych danych osobowych, które nie są konieczne dla założonych celów i w sposób z gruntu nieuczciwy, nawet na podstawie zgody osoby, której dane dotyczą (w myśl wytycznych Grupy Roboczej art. 29 zawartych w pkt 1 Guidelines on Consent under Regulation 2016/679 oraz w Opinion 15/2011 on the definition of consent).
- Prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”).
- PSS wdraża procedury mające na celu okresową (nie rzadziej niż raz na 12 miesięcy) aktualizację danych osobowych.
- Przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”).
- Okresy przechowywania danych osobowych opisano w Rejestrze.
- Retencja znacznej części danych osobowych klientów i dostawców, najemców, członków a także pracowników PSS wynika z przepisów prawa. Pozostałe dane dotyczące tych osób przetwarzane są przez okres (i w zakresie) niezbędnym dla realizacji umowy (statutu), w tym wynikających z niej roszczeń, pozostających w mocy również po wygaśnięciu samej umowy (np. o zapłatę wynagrodzenia, roszczeń regresowych, odszkodowawczych, kar umownych, związanych z zawartą umową o poufności), do upływu przedawnienia tych roszczeń.
- Przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
- Opis środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i możliwości rozliczenia przetwarzanych danych zawarto w Rejestrze.
- Realizacja uprawnień osób, których dane dotyczą
PSS wprowadza następujące procedury pozwalające na zgodną z prawem i przejrzystą realizację uprawnień osób, których dane dotyczą:
- Reagowanie na żądanie udzielenia dostępu do danych osobowych, zgłoszone na podstawie art. 15 RODO.
- Osoba, której dane dotyczą, jest uprawniona do uzyskania od PSS, jako administratora danych osobowych, potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz do informacji przewidzianych przepisami prawa.
- PSS dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, PSS może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną (np. za pośrednictwem poczty elektronicznej). Przy czym prawo do uzyskania takiej kopii nie może niekorzystnie wpływać na prawa i wolności innych osób.
- Osoba uprawniona może zgłosić, żądanie o którym mowa w pkt. 4.1.1. powyżej w dowolnej formie, przy czym szczegółowe informacje co do możliwych form zgłoszenia takiego żądania znajdują się we właściwej polityce prywatności.
- PSS, po weryfikacji, czy zapytanie pochodzi od uprawnionej osoby, tak by wykluczyć uzyskanie informacji przez osobę nieuprawnioną, udzieli takiej informacji w formie oczekiwanej przez osobę uprawnioną, w szczególności w takiej samej w jakiej zgłoszono żądanie.
- Reagowanie na żądanie sprostowania danych osobowych, zgłoszone na podstawie art. 16 RODO.
- Osoba, której dane dotyczą, ma prawo żądania od PSS, jako administratora danych osobowych, niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe.
- Podobnie, z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania od PSS, jako administratora danych osobowych, uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.
- Osoba uprawniona może zgłosić, żądanie o którym mowa w pkt. 4.2.1. powyżej w dowolnej formie, przy czym szczegółowe informacje co do możliwych form zgłoszenia takiego żądania znajdują się we właściwej polityce prywatności.
- PSS, po weryfikacji, czy żądanie pochodzi od uprawnionej osoby, tak by wykluczyć dokonanie zmian na żądanie osoby nieuprawnionej, dokona takiego sprostowania we wszystkich systemach.
- Reagowanie na żądanie zaprzestania przetwarzania danych (w tym skorzystania z prawa do bycia zapomnianym), zgłoszone na podstawie art. 17 RODO.
- Osoba, której dane dotyczą, ma prawo żądania od PSS niezwłocznego usunięcia dotyczących jej danych osobowych, a PSS bez zbędnej zwłoki usunie jej dane osobowe, jeżeli istnieją ku temu przyczyny przewidziane w przepisach prawa oraz gdy nie ma podstaw prawnych do dalszego ich przetwarzania.
- Jeżeli PSS udostępnia dane osobowe innym podmiotom, a ma obowiązek usunąć te dane osobowe, to podejmie wszelkie dostępne działania, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje. Biorąc pod uwagę fakt, że PSS zna wszystkie podmioty, którym dane osobowe udostępnia, poinformowanie tych podmiotów nastąpi niezwłocznie.
- Osoba uprawniona może zgłosić, żądanie o którym mowa w pkt. 4.3.1. powyżej w dowolnej formie, przy czym szczegółowe informacje co do możliwych form zgłoszenia takiego żądania znajdują się we właściwej polityce prywatności.
- PSS, po weryfikacji, czy żądanie pochodzi od uprawnionej osoby, tak by wykluczyć naruszenie praw lub wolności innych osób, natychmiast zaprzestanie przetwarzania danych osobowych żądającego oraz usunie wszystkie jego dane osobowe ze wszystkich systemów oraz wykona działania wskazane w pkt 4.3. powyżej, zgodnie z przepisami prawa.
- Reagowanie na żądanie ograniczenia przetwarzania danych, zgłoszone na podstawie art. 18 RODO.
- Osoba, której dane dotyczą, ma prawo żądania od PSS ograniczenia przetwarzania jej danych osobowych w przypadkach przewidzianych w przepisach prawa.
- Jeżeli przetwarzanie zostało ograniczone zgodnie z przepisami prawa, takie dane osobowe PSS może przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.
- Przed uchyleniem ograniczenia przetwarzania PSS informuje o tym osobę, która żądała ograniczenia.
- PSS niezwłocznie dokona ograniczenia przetwarzania danych osobowych osoby, która zgłosiła żądanie o którym mowa w pkt. 4.4.1. powyżej, przy czym uprzednio zweryfikuje, czy żądanie pochodzi od uprawnionej osoby, tak by wykluczyć naruszenie praw lub wolności innych osób.
- Osoba uprawniona może zgłosić, żądanie o którym mowa w pkt. 4.4.1. powyżej w dowolnej formie, przy czym szczegółowe informacje co do możliwych form zgłoszenia takiego żądania znajdują się we właściwej polityce prywatności.
- Reagowanie na żądanie przeniesienia danych, zgłoszone na podstawie art. 20 RODO.
- PSS na żądanie osoby, której dane dotyczą, dostarczy jej w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła PSS.
- PSS będzie dostarczać dane w formie plików XML, JSON lub CSV i nie będzie czynić żadnych przeszkód by dane, dostarczone zgodnie z pkt 4.5.1. powyżej, zostały przekazane innemu administratorowi przez uprawnioną osobę.
- Ponadto, PSS wykonując prawo do przenoszenia danych, o którym mowa w pkt. 4.5.1. powyżej, na żądanie osoby, której dane dotyczą prześle te dane bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.
- Osoba uprawniona może zgłosić, żądanie o którym mowa w pkt. 4.5.1. powyżej w dowolnej formie, przy czym szczegółowe informacje co do możliwych form zgłoszenia takiego żądania znajdują się we właściwej polityce prywatności.
- PSS, po weryfikacji, czy żądanie pochodzi od uprawnionej osoby, tak by wykluczyć naruszenie praw lub wolności innych osób, niezwłocznie dostarczy żądane dane, zgodnie z pkt. 4.5.1.-4.5.3. powyżej, w sposób indywidualnie ustalony z osobą uprawnioną.
- Reagowanie na sprzeciw co do przetwarzania danych, zgłoszony na podstawie art. 21 RODO.
- Jeśli osoba uprawniona wniesie sprzeciw wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f) RODO, w tym profilowania na podstawie tych przepisów, PSS zaprzestanie przetwarzania tych danych, chyba że będą istniały ważne, prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.
- PSS zaprzestanie również przetwarzania (w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim) danych osobowych, które były przetwarzane na potrzeby marketingu bezpośredniego (w tym profilowania), jeśli osoba, której dane dotyczą, wniesie sprzeciw wobec ich przetwarzania.
- PSS wyraźnie, jasno i odrębnie od wszelkich innych informacji, informuje, najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, o prawie do wniesienia sprzeciwu, o którym mowa w pkt. 4.6.2. powyżej.
- Osoba uprawniona może zgłosić, żądanie o którym mowa w pkt. 4.6.1. lub 4.6.2. powyżej w dowolnej formie, przy czym szczegółowe informacje co do możliwych form zgłoszenia takiego żądania znajdują się we właściwej polityce prywatności.
- PSS informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Przy czym ze względu na fakt, że PSS zna odbiorców danych osobowych powyższy obowiązek informacyjny nie powinien nastręczać problemów. Ponadto, PSS informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.
- Osoba, o której mowa w pkt. 4.8. powyżej, na bieżąco dba by żądania osób uprawnionych były weryfikowane i wykonywane zgodnie z przepisami prawa oraz wewnętrznymi politykami.
- Oprogramowanie służące do przetwarzania danych osobowych w PSS posiada narzędzia umożliwiające spełnienie wymogów RODO, w szczególności w zakresie wyszukiwania danych osobowych, ich zmiany, generowania informacji dla uprawnionych i skutecznego usunięcia.
- Wszystkie działania, o których mowa pkt. 4.1.-4.6. powyżej, będą stosowane do wszystkich nośników danych – zarówno elektronicznych (w tym backupów danych), jak i w formie wydruków, przetwarzanych przez PSS oraz podmioty przetwarzające dane dla PSS (w trybie art. 28 RODO). Odpowiednie umowy z podmiotami przetwarzającymi dane osobowe dla PSS w trybie art. 28 RODO uprawniają PSS do żądania podjęcia analogicznych działań również przez te podmioty.
- Do danych osobowych, co do których PSS jest jedynie podmiotem przetwarzającym (w trybie art. 28 RODO), niniejszy rozdział nie stosuje się. W razie zgłoszenia któregokolwiek z opisanych żądań PSS dokonuje niezwłocznego zawiadomienia administratora o zgłoszeniu, i postępuje zgodnie z procedurą przewidzianą w odpowiedniej umowie zawartej z administratorem.
- Zgłoszenie naruszenia ochrony danych osobowych (art. 33 i 34 RODO)
- Stosując niniejszy rozdział Polityki ochrony danych osobowych, powinno się zawsze na pierwszym miejscu stawiać ochronę osób, których dane przetwarzane są przez PSS. Na potrzeby niniejszego rozdziału przez „pracownika” rozumie się osobę zatrudnioną w PSS, niezależnie od podstawy prawnej zatrudnienia.
- Zgodnie z wytycznymi Grupy Roboczej art. 29, zawartymi we wstępie do Guidelines on Personal data breach notification under Regulation 2016/679, rozdział został podzielony na podrozdziały omawiające wykrycie, ograniczenie, ocenę ryzyka naruszenia praw i wolności osób, podejmowanie decyzji nt. zgłoszenia naruszenia organowi nadzorczemu oraz zawiadomienia osób, których dane dotyczą, a także procedurę dokonywania zgłoszenia i zawiadomienia.
- Wykrycie naruszenia.
- W rozdziale I lit. B pkt 2 Guidelines on personal data breach notification under Regulation 2016/679 zawarto ogólną klasyfikację rodzajów naruszeń ochrony danych. I tak, Grupa Robocza art. 29 wyróżnia:
- naruszenie poufności (oznaczające nieuprawnione lub przypadkowe ujawnienie danych osobowych lub umożliwienie dostępu do nich osobie trzeciej)
- naruszenie integralności (oznaczające nieuprawnioną lub przypadkową zmianę treści danych osobowych)
- utratę dostępu (oznaczającą nieuprawnione lub przypadkowe zniszczenie danych osobowych lub utratę dostępu do nich).
- PSS dokłada starań, aby wykrycie naruszenia danych osobowych było możliwe w jak najkrótszym czasie od chwili naruszenia. I tak:
- naruszenia danych osobowych polegające na włamaniu do pomieszczeń, w których przetwarzane są dane osobowe lub na zniszczeniu tych pomieszczeń (np. w wyniku pożaru) są natychmiastowo raportowane PSS przez pracowników, którzy zostali przeszkoleni w tym zakresie;
- naruszenia danych osobowych danych osobowych polegające na utracie (zniszczeniu, kradzieży) mobilnych urządzeń elektronicznych, służących do przetwarzania danych osobowych (laptopy, telefony), a także polegające na błędach lub zaniedbaniach pracowników PSS (np. zgubienie nośnika USB zawierającego dane osobowe, albo omyłkowe wysłanie wiadomości zawierającej dane osobowe na niewłaściwy adres poczty elektronicznej) są zgłaszane natychmiastowo przez samych pracowników (pracownicy zostali w tym zakresie przeszkoleni);
- [1] (PSS podejmuje stosowne kroki w celu zagwarantowania takiego obowiązku informacyjnego w umowie łączącej ją z dostawcami infrastruktury) zaś w razie awarii lub ataku hackerskiego w ramach środowiska informatycznego PSS ich niezwłocznie wykrycie jest gwarantowane przez odpowiednie oprogramowanie monitorujące[TW7] ,
- naruszenia danych osobowych przez podmioty przetwarzające dane osobowe dla PSS w rozumieniu art. 28 RODO są zgłaszane natychmiastowo przez te podmioty zarządowi PSS lub upoważnionemu pracownikowi PSS (podmioty te zostały zobowiązane do takiego działania w stosownych umowach).
- Ograniczenie zasięgu naruszenia.
- Każdy pracownik PSS, który wykryje naruszenie ochrony danych osobowych informuje przełożonego działu, w którego ramach doszło do naruszenia. Gdy nie jest to możliwe do natychmiastowego wykonania, pracownik informuje swojego bezpośredniego przełożonego.
- W razie gdy naruszenie danych zostaje wykryte przez pracownika poza godzinami pracy (w tym np. w trakcie urlopu), obowiązek natychmiastowego poinformowania przełożonego obwiązuje bez zmian.
- Przełożony informuje o naruszeniu zarząd PSS.
- Zarząd niezwłocznie, jednak nie później niż w ciągu 24 godzin, zwołuje Zespół do Spraw Naruszeń Ochrony Danych. W skład zespołu wchodzi każdorazowo przynajmniej jeden członek Zarządu, Pani Adrianna Marcisz, przełożony działu, w którym doszło do naruszenia oraz – jeśli to możliwe – przedstawiciel kancelarii prawnej obsługującej PSS.
- Przełożony działu, w którym doszło do naruszenia identyfikuje zdarzenie, jako należące do jednej z trzech kategorii:
- rzeczywiste lub prawdopodobne naruszenie ochrony danych osobowych,
- incydent bezpieczeństwa systemu informatycznego, niebędący naruszeniem ochrony danych osobowych,
- inny rodzaj incydentu bezpieczeństwa, narażającego dane osobowe na ryzyko naruszenia, ale niebędący naruszeniem ochrony danych osobowych.
- Przełożony działu, w którym doszło do naruszenia ochrony danych osobowych zbiera wszelkie informacje dotyczące tego zdarzenia i dostarcza je niezwłocznie Zespołowi do Spraw Naruszeń Ochrony Danych. W szczególności zebrane zostają następujące informacje:
- data i godzina wystąpienia zdarzenia i czasokres jego trwania,
- data i godzina wykrycia zdarzenia,
- osoba która wykryła zdarzenie,
- opis zdarzenia,
- przybliżona ilość osób, których zdarzenie może dotyczyć,
- informacje o już podjętych krokach mających na celu zminimalizowanie lub ograniczenie oddziaływania zdarzenia na osoby, których dane dotyczą,
- dane osób, które mają świadomość, że zdarzenie nastąpiło,
- dane związanych ze zdarzeniem podwykonawców (podmiotów przetwarzających dane osobowe).
- Przełożony działu, w którym doszło do naruszenia zapewni, aby jak najmniej osób w ramach PSS, a zwłaszcza poza PSS miało dostęp do informacji zebranych zgodnie z ust. 5.4.6. powyżej.
- Ograniczenie zasięgu naruszenia ochrony danych osobowych obejmuje natychmiastowe zakończenie trwania zdarzenia oraz jak najszybszą minimalizację jego zakresu i wpływu na osoby, których dane dotyczą. W tym celu Zespół do Spraw Naruszeń Ochrony Danych podejmuje wiążące dla PSS decyzje w najszybszym możliwym czasie i przystępuje do ich realizacji. W szczególności Zespół do Spraw Naruszeń Ochrony Danych kontaktuje się z wybranymi osobami wewnątrz i spoza PSS.
- Ocena ryzyka naruszenia praw i wolności osób, których dane dotyczą.
- Zespół do Spraw Naruszeń Ochrony Danych wydaje opinię, czy zdarzenie stanowi naruszenie ochrony danych osobowych. W tym celu Zespół do Spraw Naruszeń Ochrony Danych posiłkuje się przede wszystkim wytycznymi Grupy Roboczej art. 29 zawartymi m.in. w Annex B do Guidelines on Personal data breach notification under Regulation 2016/679. Opinia ma formę pisemną.
- W razie gdy zdarzenie zostaje zakwalifikowane jako naruszenie ochrony danych osobowych, Zespół do Spraw Naruszeń Ochrony Danych przeprowadza dochodzenie mające na celu ustalenie:
- czy naruszenie jest naruszeniem poufności, integralności czy utratą dostępu,
- kategorie i ilość danych objętych naruszeniem,
- wrażliwość danych,
- jaki zakres informacji o osobach, których dane dotyczą, może być wyczytany z danych osobowych objętych naruszeniem,
- liczbę osób dotkniętych skutkami naruszenia,
- jaki rodzaj osób został dotknięty naruszeniem (np. klienci, kandydaci, pracownicy),
- istniejące zabezpieczenia danych objętych naruszeniem (np. pseudonimizacja danych lub szyfrowanie nośnika),
- czy dane mogą trafić w ręce osób trzecich i potencjalnie zostać wykorzystane w celu sprzecznym z prawem lub innym niewłaściwym celu.
- Dochodzenie powinno być zakończone nie później niż w 36 godzin od chwili wykrycia naruszenia. Rezultaty dochodzenia są dokumentowane na piśmie.
- Biorąc pod uwagę wyniki dochodzenia Zespół do Spraw Naruszeń Ochrony Danych wydaje w terminie 60 godzin od wykrycia naruszenia opinię, czy naruszenie ochrony danych osobowych wymaga zgłoszenia organowi nadzorczemu właściwemu zgodnie z art. 55 RODO lub zawiadomienia osób, których dane dotyczą. Opinia ma formę pisemną.
- Przy wydawaniu opinii Zespół do Spraw Naruszeń Ochrony Danych kieruje się przede wszystkim tym, czy zaistniałe naruszenie może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne (zgodnie z motywem 85 RODO). Ponadto Zespół do Spraw Naruszeń Ochrony Danych kieruje się wytycznymi Grupy Roboczej art. 29 zawartymi w rozdziale II lit. A oraz D, jak też w rozdziale III lit. A oraz w rozdziale IV lit. A i B, a także w Annex B do Guidelines on Personal data breach notification under Regulation 2016/679.
- Ilekroć Zespół do Spraw Naruszeń Ochrony Danych poweźmie wątpliwości, czy naruszenie ochrony danych wymaga zgłoszenia organowi nadzorczemu, albo gdy nie jest w tym zakresie jednomyślny – należy przyjąć, że zgłoszenie jest wymagane. W razie wątpliwości, czy naruszenie ochrony danych wymaga zawiadomienia osób nim dotkniętych – PSS bezwzględnie zastosuje się w tym zakresie do rekomendacji organu nadzorczego.
- Procedura dokonywania zgłoszenia i zawiadomienia.
- W przypadku stwierdzenia zgodnie z niniejszym rozdziałem, że doszło do naruszenia ochrony danych osobowych podlegającego zgłoszeniu, PSS bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
- Zgłoszenie naruszenia musi co najmniej:
- opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
- .
- W razie gdyby informacje wymagane zgodnie z ust. 5.6.2. tiret pierwsze powyżej nie były dostępne, PSS dokonuje zgłoszenia z podaniem danych przypuszczalnych lub przybliżonych. Przy dokonywaniu zgłoszenia należy koncentrować się na odwróceniu lub ograniczeniu skutków naruszenia, raczej niż na badaniu dokładnych liczb.
- Jeżeli – i w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki.
- Wzór zgłoszenia stanowi Załącznik nr 1 do niniejszej Polityki ochrony danych osobowych.
- W przypadku stwierdzenia zgodnie z niniejszym rozdziałem, że doszło do naruszenia ochrony danych osobowych wymagającego zawiadomienia osób, których dane dotyczą – PSS niezwłocznie zawiadamia takie osoby.
- Zawiadomienie zawiera przynajmniej następujące informacje (art. 34 ust. 2 RODO oraz motyw 86 RODO):
- opis charakteru naruszenia ochrony danych osobowych,
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
- opis możliwych konsekwencji naruszenia ochrony danych osobowych,
- opis środków zastosowanych lub proponowanych przez PSS w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków,
- zalecenia dla dotkniętych naruszeniem osób co do minimalizacji potencjalnych niekorzystnych skutków (np. dokonanie resetu haseł).
- Zawiadomienie jest dokonywane jasnym i prostym językiem. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. Na przykład potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym lub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie (motyw 86 RODO).
- PSS zawiadamia osoby dotknięte naruszeniem ochrony danych osobowych w sposób bezpośredni, chyba że wymagałoby to niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
- W przypadku wyboru drogi elektronicznej (np. e-mail czy sms) w celu dokonania zawiadomienia, wiadomość taka będzie wysłana odrębnie (i będzie się wyraźnie różnić) od innych, regularnie wysłanych, standardowych wiadomości (np. newslettera). Ma to zapewnić, że zawiadomienie nie pozostanie niezauważone przez odbiorcę. PSS w uzasadnionych wypadkach może zdecydować o zastosowaniu kilku sposobów zawiadomień jednocześnie (np. za pośrednictwem wiadomości e-mail i równolegle poczty tradycyjnej).
- Z uwagi na fakt, że adresatami zawiadomienia mogą być osoby nieznające języka polskiego (zwłaszcza w wypadku gdy naruszenie dotyczy danych osobowych ze zbioru klientów sklepu internetowego), każde zawiadomienie powinno być dokonane – obok języka polskiego – co najmniej również w języku angielskim.
- PSS dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja obejmuje również zdarzenia, które nie zostały zakwalifikowane jako naruszenia ochrony danych osobowych po przeprowadzeniu procedury przewidzianej w niniejszym rozdziale, a także takie naruszenia ochrony danych osobowych, które nie zostały zgłoszone do organu nadzorczego. Dokumentacja obejmuje w szczególności rezultaty dochodzenia zgodnie z ust. 5.5.3. powyżej, jak też opinie wydane przez Zespół do Spraw Naruszeń Ochrony Danych zgodnie z ust. 5.5.1. i 5.5.4 powyżej. Dokumentacja pozwala organowi nadzorczemu na weryfikowanie przestrzegania art. 33 RODO przez PSS. Wzór raportu z naruszenia ochrony danych osobowych stanowi Załącznik nr 2 do niniejszej Polityki ochrony danych osobowych, a wzór ewidencji naruszeń ochrony danych osobowych stanowi Załącznik nr 3 do niniejszej Polityki ochrony danych osobowych.
- Procedura zmiany i usuwania danych osobowych
Mając na uwadze, że dane osobowe należy usuwać w razie ustania ich przydatności do celu przetwarzania, a także m.in. w razie skutecznego zgłoszenia sprzeciwu lub żądania „bycia zapomnianym” przez osobę, której dane dotyczą, jak też w razie zgłoszenia do PSS takiego żądania przez administratora powierzającego PSS przetwarzanie danych w trybie art. 28 RODO – wprowadza się następującą procedurę gwarantującą pełne i bezpowrotne usunięcie danych:
- W PSS jest zatrudniona osoba, której zadaniem jest dbanie o zachowanie zasad i wymogów ochrony danych osobowym, w tym wypełnianie obowiązku zmiany bądź usunięcia danych osobowych. Osoba ta posiada odpowiednią wiedzę z zakresu ochrony danych osobowych i jest odpowiednio przeszkolona w tym zakresie.
- Osoba, o której mowa w pkt. 6.1. powyżej, na bieżąco dba by dane osobowe były usuwane w razie ustania ich przydatności do celu przetwarzania, a także m.in. w razie skutecznego zgłoszenia sprzeciwu lub żądania „bycia zapomnianym” przez osobę, której dane dotyczą.
- Wszystkie działania, o których mowa pkt. 6. będą stosowane do wszystkich nośników danych – zarówno elektronicznych (w tym backupów danych), jak i w formie wydruków, przetwarzanych przez PSS oraz podmioty przetwarzające dane dla PSS (w trybie art. 28 RODO). Odpowiednie umowy z podmiotami przetwarzającymi dane osobowe dla PSS w trybie art. 28 RODO uprawniają PSS do żądania podjęcia analogicznych działań również przez te podmioty.
- Oprogramowanie służące do przetwarzania danych osobowych w PSS posiada narzędzia umożliwiające spełnienie wymogów RODO, w szczególności w zakresie wyszukiwania danych osobowych, ich zmiany, generowania informacji dla uprawnionych i skutecznego usunięcia.
- Opinia w przedmiocie istnienia obowiązku powołania inspektora ochrony danych osobowych, na podstawie art. 37 RODO
PSS rozważyła istnienie obowiązku powołania inspektora ochrony danych osobowych i uznała, że nie dotyczy jej ten obowiązek. Podejmując tę decyzję kierowała się tym, że:
- Główna działalność PSS nie polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę[2].
- rozważyła stworzenie i prowadzenia oceny skutków przetwarzania danych osobowych i uznała, że nie dotyczy jej ten obowiązek. Dokonując tego ustalenia wzięto pod uwagę w szczególności to, że operacje przetwarzania dokonywane przez PSS:
- nie są operacjami, które wchodzą w zakres wskazany w art. 35. ust. 3. RODO;
- nie są operacjami, które wskazał Generalny Inspektor Ochrony Danych Osobowych w „Proponowanym wykazie rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny skutków dla ochrony danych”, a który to wykaz dostępny był w maju 2018 roku na stronie: https://www.giodo.gov.pl/pl/1520281/10430;
- nie są operacjami, które wskazała Grupa Robocza art. 29 na stronie 13. i 14. „Wytycznych dotyczących oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679” jako takie dla których istnieje prawdopodobieństwo, że wymagane będzie przeprowadzenie oceny skutków przetwarzania;
- zgodnie z Wytycznymi dotyczącymi oceny skutków dla ochrony danych oraz pomagającymi ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679przygotowanymi przez Grupę Roboczą art. 29 nie spełniają kryteriów wskazanych w tych wytycznych, a to:
- Ocena lub punktacja, w tym profilowanie i prognozowanie w szczególności na podstawie „aspektów dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą” (motywy 71 i 91).
- rozważyła stworzenie i prowadzenia oceny skutków przetwarzania danych osobowych i uznała, że nie dotyczy jej ten obowiązek. Dokonując tego ustalenia wzięto pod uwagę w szczególności to, że operacje przetwarzania dokonywane przez PSS:
Jedynie operacja analizy CV przesłanych przez kandydatów do pracy w PSS spełnia to kryterium. Nie spełnia jednak żadnego z pozostałych kryteriów, co pozwala w ocenie PSS uznać, że nie wymaga ona przeprowadzenia oceny skutków przetwarzania[3].
- Automatyczne podejmowanie decyzji o skutku prawnym lub podobnie znaczącym skutku: przetwarzanie mające na celu podjęcie decyzji w sprawie osób, których dane dotyczą, wywołujących „skutki prawne wobec osoby fizycznej” lub decyzji, które „w podobny sposób istotnie na nią wpływają” (art. 35 ust. 3 lit. a).
Żadna z operacji nie spełnia tego kryterium.
- Systematyczne monitorowanie: przetwarzanie wykorzystywane do obserwacji, monitorowania lub kontrolowania osób, których dane dotyczą, w tym danych gromadzonych za pośrednictwem sieci lub ramach „systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie” (art. 35 ust. 3 lit. c).
Żadna z operacji nie spełnia tego kryterium[4].
- Dane wrażliwe lub dane o charakterze wysoce osobistym: obejmują szczególne kategorie danych osobowych określone w art. 9 (np. informacje o poglądach politycznych obywateli) oraz dane osobowe dotyczące wyroków skazujących za przestępstwo lub naruszeń prawa zdefiniowane w art. 10 RODO, a także inne dane wrażliwe zgodne z powszechnym rozumieniem tego terminu, czyli powiązane z gospodarstwem domowym i działalnością prywatną lub dotyczące wykonania prawa podstawowego (np. dane o lokalizacji mają związek z prawem do swobodnego poruszania się), lub dane których naruszenia może mieć wyraźny wpływ na codzienne życie osoby, której one dotyczą (np. dane finansowe, które mogą zostać wykorzystane do oszustw płatniczych).
Żadna z operacji nie spełnia tego kryterium oprócz operacji dotyczących pracowników i członków ich rodzin, przy czym nie przetwarza się danych o charakterze wysoce osobistym, a jedynie np. dane związane ze stanem zdrowia na potrzeby zabezpieczenia społecznego (zwolnienia lekarskie, tzw. L-4), przetwarzanie tych danych wynika wyłącznie z obowiązku nałożonego na PSS jako pracodawcę, przez przepisy prawa, które mają gwarantować pracownikowi prawo do świadczeń z ubezpieczeń społecznych.
- Dane przetwarzane na dużą skalę:
Żadna z operacji nie spełnia tego kryterium.
- Dopasowywanie lub łączenie zbiorów danych np. pochodzących z co najmniej dwóch operacji przetwarzania danych przeprowadzonych w różnych celach lub przez różnych administratorów danych w sposób wykraczający poza uzasadnione oczekiwania osób, których dane dotyczą.
Żadna z operacji nie spełnia tego kryterium.
- Dane dotyczące osób wymagających szczególnej opieki, których dane dotyczą: przetwarzanie tego rodzaju danych stanowi jedno z kryteriów ze względu na zwiększoną nierównowagę sił między osobami, których dane dotyczą, a administratorem danych, co oznacza, że osoby fizyczne mogą mieć trudności z wyrażeniem zgody na przetwarzanie swoich danych lub z wyrażeniem sprzeciwu wobec ich przetwarzania, lub mogą mieć trudności z korzystaniem z przysługujących im praw. Do osób wymagających szczególnej opieki, których dane dotyczą, można zaliczyć dzieci (można je uznać za niezdolne do świadomego i przemyślanego sprzeciwienia się przetwarzaniu danych lub do wyrażenia zgody na przetwarzanie danych), pracowników, bardziej wrażliwe grupy społeczne wymagające szczególnej ochrony (osoby chore psychicznie, osoby ubiegające się o azyl lub osoby starsze, pacjenci itp.) oraz w każdej sytuacji, gdy można stwierdzić brak równowagi między stanowiskiem osoby, której dane dotyczą, a stanowiskiem administratora.
Żadna z operacji nie spełnia tego kryterium oprócz operacji dotyczących pracowników.
- Innowacyjne wykorzystanie lub stosowanie nowych rozwiązań technologicznych lub organizacyjnych, takich jak połączenie technologii rozpoznającej odcisk palca i twarz w celu poprawy fizycznej kontroli dostępu itd.
Żadna z operacji nie spełnia tego kryterium.
- Gdy samo przetwarzanie „uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy” (art. 22 i motyw 91). Obejmuje to operacje przetwarzania, których celem jest umożliwienie osobom, których dane dotyczą, uzyskania dostępu do usługi lub zawarcia umowy, zmiana tego dostępu lub odmówienie dostępu.
Żadna z operacji nie spełnia tego kryterium.
- (zgodnie z Proponowanym wykazem rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny skutków dla ochrony danych, dostępnym w kwietniu 2018 roku na stronie: https://www.giodo.gov.pl/pl/1520281/10430)
Żadna z operacji nie spełnia tego kryterium[TW8] .
- Pomimo, że operacje przetwarzania danych szczególnych kategorii dotyczących pracowników mogą spełniać jednocześnie dwa kryteria (dane wrażliwe i osoby szczególne chronione), to po dodatkowej analizie, popartej udostępnionym przez GIODO wzorem „Rejestru czynności przetwarzania danych” dostępnym w maju 2018 roku na stronie: https://www.giodo.gov.pl/pl/1520281/10449, PSS uznaje, że operacje polegające na przetwarzaniu danych osobowych pracowników w związku z ich zatrudnieniem, a w szczególności na potrzeby wykonania obowiązków pracodawcy wynikających z przepisów prawa, nie są podstawą do sporządzenia oceny skutków przetwarzania danych osobowych.
- Zgodnie z art. 35 ust. 1. i 11. RODO oraz z wytycznymi Grupy Roboczej art. 29 i GIODO, w PSS na bieżąco analizuje się ryzyko przetwarzania danych osobowych i w razie potrzeby sporządza ocenę skutków przetwarzania dla odpowiednich operacji, gdy wystąpią ku temu podstawy, a zwłaszcza:
- przed rozpoczęciem nowej operacji przetwarzania – w szczególności z użyciem nowych technologii – która ze względu na swój charakter, zakres, kontekst i cele może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych,
- po wystąpieniu naruszenia ochrony danych osobowych,
- po zmianie przepisów prawa, dotyczącej ochrony danych osobowych, jak też po wydaniu przez Grupę Roboczą art. 29 lub krajowy organ nadzorczy wytycznych dotyczących prowadzenia oceny skutków przetwarzania danych lub oceny ryzyka przetwarzania.
- Zgodnie z art. 35 ust. 1. i 11. RODO oraz z wytycznymi Grupy Roboczej art. 29 i GIODO, w PSS na bieżąco analizuje się ryzyko przetwarzania danych osobowych i w razie potrzeby sporządza ocenę skutków przetwarzania dla odpowiednich operacji, gdy wystąpią ku temu podstawy, a zwłaszcza:
Załącznik nr 1
do Polityki ochrony danych osobowych
Zgłoszenie naruszenia ochrony danych osobowych
…………………………………………………
(miejscowość, data, godzina)
……………………………………………….
(pieczęć administratora danych)
Prezes Urzędu Ochrony Danych Osobowych
ul. [_]
[_] Warszawa
ZGŁOSZENIE NARUSZENIA OCHRONY
DANYCH OSOBOWYCH
Data naruszenia: | Godzina naruszenia: |
Kto powiadomił o naruszeniu: | Data i godzina powiadomienia: |
Lokalizacja naruszenia: | |
Charakter naruszenia: | |
Ilość osób: | Ilość wpisów danych osobowych:[TW9] |
Kategorie osób, których naruszenie dotyczy:[TW10] | Kategorie wpisów, których naruszenie dotyczy:[TW11] |
Okoliczności naruszenia: | |
Konsekwencje naruszenia: | |
Środki zaradcze: | |
Zastosowane: | Proponowane: |
Środki w celu zminimalizowania negatywnych skutków: | |
Dodatkowe informacje: | |
Dane kontaktowe do osoby mogącej podać więcej informacji: | |
Imię i nazwisko: | Stanowisko: |
Adres e-mail: | Telefon: |
W imieniu Podwawelskiej Spółdzielni Spożywców z siedzibą w Krakowie
………………………………………………………………….
(podpis osoby upoważnionej do reprezentacji)
Załącznik nr 2
do Polityki ochrony danych osobowych
Raport z naruszenia ochrony danych osobowych
…………………………………………………
(miejscowość, data)
……………………………………………….
(pieczęć administratora danych)
RAPORT Z NARUSZENIA OCHRONY
DANYCH OSOBOWYCH
Data naruszenia: | Godzina naruszenia: | ||||
Kto powiadomił o naruszeniu: | Data i godzina powiadomienia: | ||||
Lokalizacja naruszenia: | |||||
Ilość osób: | Ilość wpisów danych osobowych: | ||||
Kategorie osób, których naruszenie dotyczy: | Kategorie wpisów, których naruszenie dotyczy: | ||||
Okoliczności naruszenia: | |||||
Przyczyny i przebieg naruszenia: | |||||
Naruszone dane osobowe: | |||||
Skutki i konsekwencje naruszenia: | |||||
Podjęte działania zaradcze i naprawcze: | |||||
Dodatkowe informacje: | |||||
Dokonano zgłoszenia organowi: | Dokonano zawiadomienia osoby: | ||||
TAK | NIE | TAK | NIE[TW12] | ||
Uzasadnienie takiej decyzji: | Uzasadnienie takiej decyzji: | ||||
Czy nastąpiło opóźnienie w zgłoszeniu/zawiadomieniu: | |||||
TAK | NIE | NIE DOTYCZY[TW13] | |||
Uzasadnienie opóźnienia (jeśli dotyczy): | |||||
Osoba koordynująca: | |||||
Imię i nazwisko: | Stanowisko: | ||||
W imieniu Podwawelskiej Spółdzielni Spożywców z siedzibą w Krakowie
………………………………………………………………….
(podpis osoby upoważnionej do reprezentacji)
Załącznik nr 3
do Polityki ochrony danych osobowych
Ewidencja naruszeń ochrony danych osobowych
Lp. | Data | Godzina | Lokalizacja | Ilość osób | Kategorie osób | Ilość wpisów | Kategorie wpisów | Opis | Zawiad. organu | Zawiad. osoby | Uwagi |