POLITYKA OCHRONY DANYCH OSOBOWYCH

 w Agencji Ochrony Pracy i Środowiska „BHPE” Paweł Pacuła

59-225 Chojnów, ul. Fabryczna 1.

 

Zgodnie z Rozporządzeniem Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), 4.5.2016 PL, opublikowanym w Dzienniku Urzędowym Unii Europejskiej  L119/1, zwanego dalej „rozporządzeniem” lub „RODO”, niniejszym ustanawia się Politykę bezpieczeństwa danych osobowych (dalej: „Polityka”) w Agencji Ochrony Pracy i Środowiska „BHPE” Paweł Pacuła w Chojnowie (dalej: „Agencja”).

 

 

Artykuł 1

Zakres stosowania

  1. Niniejsza Polityka ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez Agencję jako administratora danych lub podmiotu przetwarzającego.

Artykuł 2

Definicje

Na użytek niniejszej Polityki:

1) „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

 

2) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych , taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

 

3) „ograniczenie przetwarzania” oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

 

 

 

4) „zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

 

5) „administrator” oznacza właściciela Agencji lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

 

6) „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Agencja jest podmiotem przetwarzającym dane osobowe udostępniane przez podmioty zewnętrzne.

 

 

6) „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia przyzwala na przetwarzanie dotyczących jej danych osobowych;

 

7) „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

 

 

8) „dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;

 

 

 

 

 

 

21) „organ nadzorczy” oznacza niezależny organ publiczny ustanowiony przez państwo.

 

 

 

 

 

Artykuł 2

Zasady dotyczące przetwarzania danych osobowych

  1. Dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);

 

b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; („ograniczenie celu”);

 

c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);

 

d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);

 

e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; („ograniczenie przechowywania”);

 

f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
  1. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie        wykazać ich przestrzeganie („rozliczalność”).

 

Artykuł 3

Zgodność przetwarzania z prawem

  1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

 

 

 

b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej,

 

 

 

 

 

 

c) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa lub zgodnie z umową z pracownikiem służby zdrowia;

 

 

2.   Dane osobowe, o których mowa w ust. 1, mogą być przetwarzane do celów, o których mowa w lit. c), jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa.

 

Artykuł 4

Warunki wyrażenia zgody

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę.

 

Artykuł 5

Przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą

  1. Administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z jej żądaniem dotyczącym danych osobowych. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.
  2. Jeżeli administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

 

Artykuł 6

Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą

  1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

 

b) dane kontaktowe inspektora ochrony danych;

 

c) cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;

 

 

  1. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

 

b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

 

 

c) informacje o prawie wniesienia skargi do organu nadzorczego;

 

d) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym;

 

 

Artykuł 7

Obowiązki administratora

  1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator dokonał szczegółowej analizy i oceny ww. zagrożeń i wdrożył odpowiednie środki techniczne i organizacyjne. Środki te określone są w następujących dokumentach:
  2. a) Instrukcja zarządzania systemem komputerowym oraz dokumentacją papierową zawierających dane osobowe w Agencji Ochrony Pracy i Środowiska BHPE Paweł Pacuła – załącznik     RODO/01/2018,
  3. b) Instrukcja zarządzania systemem komputerowym oraz dokumentacją papierową zawierających dane osobowe w Przychodni Medycyny Pracy Agencji Ochrony Pracy i Środowiska BHPE     Paweł Pacuła – załącznik     RODO/02/2018,

które w razie potrzeby będą na bieżąco poddawane przeglądom i uaktualniane.

 

Artykuł 8

Podmiot przetwarzający

  1. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
  2. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
  3. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
Podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
  1. Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.

Artykuł 9

Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego

Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora.

 

Artykuł 10

Rejestrowanie czynności przetwarzania

  1. Administrator prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie informacje wymienione w odnośnych przepisach RODO
  2. Podmiot przetwarzający prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora.
  3. W rejestrach w ust. 1 i 2 zamieszcza się wszystkie informacje wymienione w odnośnych przepisach RODO
  4. Rejestry, o których mowa w ust. 1 – 2 mają formę pisemną, w tym formę elektroniczną.

 

Artykuł 11

Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu

  1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je właściwemu organowi nadzorczemu , chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
  2. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.
  3. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.

 

Artykuł 12

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

  1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

Artykuł 13

Inspektor ochrony danych

  1. W Agencji ustanawia się funkcję inspektora ochrony danych.
  2. Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy prawa o ochronie danych.
  3. Inspektor ochrony danych jest zobowiązany przynajmniej raz w miesiącu kontrolować przestrzeganie w Agencji przepisów o ochronie danych, dokumentować wyniki kontroli i informować administratora o wszelkich stwierdzonych uchybieniach.

 

Art. 14

Przetwarzania i ochrony danych osobowych w Agencji

  1. Każda osoba, mająca dostęp do danych osobowych przetwarzanych w Agencji jest zobowiązana do zapoznania się z niniejszym dokumentem (wraz z załącznikami).
  2. Osoby, które przetwarzają w Agencji dane osobowe, muszą posiadać pisemne upoważnienie do przetwarzania danych nadane przez Administratora Danych Osobowych oraz podpisać oświadczenie o zachowaniu poufności tych danych.
  3. Każda osoba posiadająca upoważnienie do przetwarzania danych osobowych posiada swój identyfikator oraz hasło, pozwalające na zalogowanie się do systemu informatycznego, w którym przetwarzane są dane osobowe.
  4. W przypadku konieczności dostępu do obszaru przetwarzania osób nieposiadających upoważnienia, które muszą dokonać doraźnych prac o charakterze serwisowym lub innym, podpisują oni oświadczenie o zachowaniu poufności.
  5. Zlecenie podmiotowi zewnętrznemu przetwarzania danych osobowych może nastąpić wyłącznie w ramach umowy powierzenia przetwarzania danych osobowych.
  6. Udostępnienie danych osobowych podmiotowi zewnętrznemu może nastąpić wyłącznie po pozytywnym zweryfikowaniu ustawowych przesłanek dopuszczalności takiego udostępnienia, przez co rozumie się w szczególności pisemny wniosek podmiotu uprawnionego.
  7. Nadzór nad przetwarzaniem danych osobowych w Agencji sprawuje Administrator danych.

Art. 15.

Dokumentacja w zakresie danych osobowych

  1. Administrator (za pomocą wyznaczonych osoby) ustala i wdraża do stosowania odpowiednią dokumentację w zakresie ochrony danych osobowych, spełniającą w formie i treści wymagania RODO.
  2. Administrator (za pomocą wyznaczonych osoby) prowadzi ewidencję osób, którym nadano upoważnienia do przetwarzania danych osobowych.

Art. 16.

Postanowienia końcowe

  1. Nieprzestrzeganie zasad ochrony danych osobowych grozi odpowiedzialnością karną określoną przepisach prawa.
  2. W sprawach nieuregulowanych niniejszym dokumentem, mają zastosowanie przepisy RODO i krajowej ustawy o ochronie danych osobowych
  3. Niniejszy dokument wchodzi w życie z dniem 24.05.2018 r.

 

KONTAKT IODO

iodo@bhpe.com.pl

tel. 513 192 450