POLITYKA OCHRONY PRYWATNOŚCI
I. WSTĘP
1. Niniejszy dokument zatytułowany „Polityka ochrony prywatności” (dalej: Polityka) stanowi zbiór wymogów, zasad i regulacji ochrony danych osobowych gromadzonych przez Radosława Lesiak, prowadzącego działalność gospodarczą pod firmą World Home Radosław Lesiak z siedzibą w Warszawie, ul. Puławska 228 lok. 29 (dalej: World Home).
2. Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady(UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osob fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119, s..1) – dalej RODO.
3. Polityka zawiera: a) opis zasad ochrony danych obowiązujących w World Home, b) odwołania do załączników uszczegóławiających (wzorcowe procedury lub instrukcje dotyczące poszczególnych obszarów z zakresu ochrony danych osobowych wymagających doprecyzowania w odrębnych dokumentach).
4. Za wdrożenie i utrzymanie niniejszej Polityki odpowiada Radosław Lesiak, jako przedsiębiorca będący administratorem danych osobowych przetwarzanych przez World Home lub osoba przez niego wyznaczona do zapewnienia zgodności procesów przetwarzania danych osobowych klientów World Home z przepisami obowiązującymi w zakresie ochrony danych osobowych.
5. Z uwagi na fakt, że:
a) World Home nie jest podmiotem ani organem publicznym przetwarzającym dane,
b) główna działalność World Home nie polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele, wymagają regularnego i systematycznego monitorowania, osób, których dane dotyczą na dużą skalę,
c) główna działalność World Home nie polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących, o których mowa w art. 10 RODO,
d) na chwilę obecną nie istnieją krajowe przepisy prawne wskazujące na inne przesłanki powołania Inspektora Ochrony Danych, po przeprowadzeniu wnikliwej analizy prawnych uwarunkowań i przesłanek do wprowadzenia instytucji Inspektora Ochrony Danych, World Home podjął decyzję o niepowoływaniu Inspektora. Jednakże za nadzór i monitorowanie przestrzegania Polityki oraz zgodności procesu przetwarzania danych osobowych w World Home odpowiada Radosław Lesiak.
6. Za stosowanie niniejszej Polityki odpowiedzialny jest personel World Home, mający dostęp do danych osobowych. Podmioty współpracujące z World Home zobowiązane są do stosowania zasad wynikających z przepisów prawa powszechnie obowiązującego oraz niniejszej Polityki w ramach przyjętych przez siebie regulacji zgodnych z ww. dokumentami.
7. Do obowiązków World Home w zakresie ochrony danych należą:
a) ułatwianie osobie, której dane dotyczą wykonywania praw przysługującej jej na mocy RODO (prawa do informacji, dostępu, do sprostowania danych, do usunięcia danych - „bycia zapomnianym”, do ograniczenia przetwarzania, do przenoszenia danych, do sprzeciwu,);
b) obowiązek informacyjny wypełniany przy zbieraniu danych osobowych;
c) szczególna staranność przy przetwarzaniu danych osobowych w celu ochrony interesów i praw osób, których dane przetwarza;
d) udzielanie informacji o zakresie przetwarzanych danych osobowych, umożliwienie osobie, której dane dotyczą monitorowania przetwarzania danych;
e) obowiązek uzupełniania, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, gdy zażąda tego osoba, której dane są przetwarzane przez administratora;
f) obowiązek wdrożenia i stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a także umożliwiających wykazanie przetwarzania danych osobowych zgodnie z RODO;
g) kontrola jakie dane, kiedy i przez kogo zostały wprowadzone do zbioru i komu są ujawniane / przekazywane (odbiorcy danych), utworzenie i prowadzenie rejestru czynności przetwarzania danych osobowych przez Administratora danych osobowych, obowiązek poinformowania odbiorcy danych o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych osobowych;
h) prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych;
i) umożliwienie przeniesienia danych osoby, której dotyczą do innego usługodawcy, wygenerowania pliku z przetwarzanymi danymi osobowymi;
j) w przypadku powierzenia przetwarzania danych osobowych – weryfikacja możliwości wywiązania się przez podmiot przetwarzający z obowiązków i wymogów zakreślonych przez RODO;
k) wdrożenie i stosowanie Procedury wykrywania, analizy, zgłaszania naruszeń ochrony danych oraz - w miarę możliwości - informowania osób, których dane dotyczą o naruszeniach ochrony danych (Procedura powiadamiania zainteresowanego o naruszeniu danych osobowych);
l) zawarcie umów powierzenia przetwarzania danych z podmiotem przetwarzającym oraz kontrola ich wykonywania – jeśli następuje powierzenie przetwarzania danych podmiotowi zewnętrznemu;
m) współpraca z Organem Nadzorczym przy wykonywaniu zadań w zakresie ochrony danych osobowych;
II. SKRÓTY I DEFINICJE:
Polityka - niniejsza Polityka ochrony prywatności, o ile co innego nie wynika wyraźnie z kontekstu.
RODO - rozporządzenie Parlamentu Europejskiego i Rady(UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119, s..1).
Dane - dane osobowe, o ile co innego nie wynika wyraźnie z kontekstu.
Dane szczególnych kategorii - dane wymienione w art..9 ust..1 RODO, tj..dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
Dane karne - dane wymienione w art..10 RODO, tj..dane dotyczące wyroków skazujących i naruszeń prawa.
Dane dzieci - dane osób poniżej 16. roku życia.
Osoba - osoba, której dane dotyczą, o ile co innego nie wynika wyraźnie z kontekstu.
Klient World Home – osoba fizyczna korzystająca z usług World Home
Partner - podmiot, z którym World Home posiada relacje biznesowe, reprezentujący właściciela nieruchomości, uczestniczący w procesie uzgadniania warunków nabycia nieruchomości przez Klienta
Właściciel – właściciel Nieruchomości biorący udział w transakcji zakupu jako sprzedający
Podmiot przetwarzający - organizacja lub osoba, której World Home powierzył przetwarzanie danych osobowych (np..usługodawca IT, zewnętrzna księgowość).
Profilowanie - dowolna formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Eksport danych - przekazanie danych do państwa trzeciego lub organizacji międzynarodowej.
IOD / Inspektor - Inspektor Ochrony Danych Osobowych
RCPD / Rejestr - Rejestr Czynności Przetwarzania Danych Osobowych.
III. OCHRONA DANYCH OSOBOWYCH W WORLD HOME – ZASADY OGÓLNE
1. Filarami przetwarzania danych osobowych przez World Home są:
a) legalność – World Home dba o ochronę prywatności i przetwarza dane zgodnie z prawem;
b) bezpieczeństwo – World Home zapewnia odpowiedni poziom bezpieczeństwa danych, podejmując stale działania w tym zakresie;
c) prawa jednostki – World Home umożliwia osobom, których dane przetwarza, wykonywanie swoich praw i prawa te realizuje;
d) rozliczalność– World Home dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej chwili móc wykazać zgodność.
2. Dane osobowe muszą być przetwarzane z poszanowaniem następujących zasad:
a) zgodności z prawem (w oparciu o podstawę prawną i zgodnie z obowiązującymi przepisami w tym zakresie) oraz rzetelności i przejrzystości dla osoby, które te dane dotyczą;
b) ograniczenia celu zbierania danych osobowych (do konkretnych wyraźnych i prawnie uzasadnionych celów);
c) minimalizacji i adekwatności zebranych danych - ich ograniczenia do niezbędnego minimum w ramach celu, dla którego dane są przetwarzane (nie więcej niż potrzeba i nie „na zapas”);
d) prawidłowości – zapewnienia prawidłowości oraz - w miarę możliwości - aktualności przetwarzanych danych;
e) ograniczenia przechowywania – do okresu, który jest niezbędny dla celów w jakich dane te są przetwarzane;
f) integralności i poufności – w sposób zapewniający odpowiednie bezpieczeństwo przetwarzanych danych;
g) zapewnienia bezpieczeństwa - odpowiedzialności Administratora za przestrzeganie zasad ochrony danych osobowych oraz rozliczalności ich przestrzegania (zdolności do wykazania przestrzegania zasad ochrony danych osobowych).
IV. SYSTEM OCHRONY DANYCH
System ochrony danych osobowych w World Home składa się z następujących elementów:
1. Inwentaryzacja danych.
1.1. World Home dokonuje identyfikacji zasobów danych osobowych, kategorii zbieranych i przetwarzanych danych, zależności między zasobami danych, identyfikacji sposobów wykorzystania danych.
1.2. World Home nie zbiera danych osobowych szczególnych kategorii, danych osobowych dzieci ani danych karnych. Dane osobowe gromadzone i przetwarzane przez World Home obejmują – imię i nazwisko Klienta World Home, telefon kontaktowy, adres email. W przypadku zawarcia umowy o świadczenie usług dodatkowych, Klient World Home zostanie poproszony o podanie daty urodzenia, adresu zamieszkania, numeru PESEL, numeru dowodu osobistego lub paszportu – dane te będą niezbędne do prawidłowego świadczenia usług objętych umową i będą przetwarzane wyłącznie w celu realizacji umowy oraz przez okres niezbędny do należytego wykonania usługi, obejmujący również okres przedawnienia ewentualnych roszczeń z tym związanych.
1.3. W przypadku gromadzenia danych niezidentyfikowanych np. w przypadku zapisu monitoringu pomieszczeń, World Home wyraźnie informuje o tym swoich Klientów pracowników lub współpracowników (w szczególności poprzez wyraźną informację o monitoringu i możliwości przetwarzania danych niezidentyfikowanych), zapewniając realizację praw osób, których dotyczą dane niezidentyfikowane.
2. Rejestr.
2.1. Dla wszystkich kategorii danych przetwarzanych przez siebie lub podmioty współpracujące, World Home prowadzi Rejestr Czynności Danych Osobowych (Rejestr), który jest narzędziem rozliczania zgodności przetwarzania danych, w którym monitoruje sposób w jaki wykorzystuje dane osobowe poszczególnych kategorii.
2.2. W Rejestrze Word Home odnotowuje co najmniej:
(i) nazwę czynności,
(ii) cel przetwarzania,
(iii) opis kategorii osób,
(iv) opis kategorii danych,
(v) podstawę prawną przetwarzania, wraz z wyszczególnieniem kategorii uzasadnionego interesu World Home, jeśli podstawą jest uzasadniony interes,
(vi) sposób zbierania danych,
(vii) opis kategorii odbiorców danych (w tym przetwarzających),
(viii) informację o przekazaniu poza EU/EOG;
(ix) ogólny opis technicznych i organizacyjnych środków ochrony danych.
Wzór Rejestru stanowi Załącznik nr 1 do Polityki – „Wzór Rejestru
3. Podstawy prawne przetwarzania.
3.1. World Home zapewnia podstawy prawne przetwarzania danych i gromadzi je w Rejestrze dla poszczególnych czynności przetwarzania. W tym celu:
a) utrzymuje system zarządzania zgodami na przetwarzanie danych i komunikację na odległość, rejestrując poprzez skrzynkę poczty elektronicznej udzielone zgody i kontrolując datę cofnięcia zgody lub zgłoszonych innych czynności przez osobę, której dane dotyczą (sprzeciw wobec przetwarzania danych, żądanie ograniczenia przetwarzania danych, itp.)
b) gromadzi i przechowuje zgody na przetwarzanie danych osobowych,(wzór zgody na przetwarzanie danych osobowych stanowi załącznik nr 2 do niniejszej Polityki), zgoda udzielana jest w formie elektronicznej w mailu wysyłanym na adres Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. poprzez potwierdzenie zgody na przetwarzanie danych osobowych po zapoznaniu się z niniejszą Polityką i klauzulą informacyjną;
c) inwentaryzuje i uszczegóławia uzasadnienie przypadków, gdy przetwarzanie danych ma odbywać się na podstawie prawnie uzasadnionego interesu World Home, oraz zapewnia, by kierownik jednostki organizacyjnej lub współpracownik World Home znał szczegółowy i konkretny interes World Home realizowany przetwarzaniem tych danych osobowych,
d) wskazując ogólną podstawę prawną przetwarzania danych, World Home doprecyzowuje w miarę możliwości szczegółowy zakres podstawy poprzez wskazanie konkretnego przepisu prawnego, dokumentu, zakresu udzielonej zgody, konkretnego celu, który jest uzasadniony dla przetwarzania danych;
4. Obsługa praw jednostki.
4.1. World Home spełnia obowiązki informacyjne względem osób, których dane przetwarza, oraz zapewnia obsługę ich praw, realizując otrzymane w tym zakresie żądania. W tym celu:
a) przy zbieraniu danych przekazuje osobom prawem wymagane informacje oraz organizuje i zapewnia udokumentowanie realizacji tych obowiązków poprzez zawarcie w formularzu zgody na przetwarzanie danych osobowych klauzul informacyjnych zgodnych z RODO;
b) na każde żądanie udziela informacji oraz realizuje żądania w zakresie określonym odrębną Procedurą, która stanowi załącznik nr 3 do niniejszej Polityki
c) weryfikuje i zapewnia możliwość efektywnego wykonania każdego typu żądania w zakresie danych osobowych przez siebie i swoich przetwarzających, o ile spełnienie tych żądań nie jest powiązane z nadmiernymi kosztami dla World Home;
d) stosuje procedury pozwalające na wykrywanie naruszeń w zakresie przetwarzania danych osobowych i ustalenie konieczności zawiadomienia osób dotkniętych zidentyfikowanym
naruszeniem ochrony danych – Procedura w zakresie incydentów bezpieczeństwa (wykrywania i zawiadamiania o naruszeniach) stanowi załącznik nr 4 do niniejszej Polityki.
5. Minimalizacja.
5.1. World Home dba o minimalizację przetwarzania danych pod kątem adekwatności danych do celów (kategorii, ilości danych i zakresu ich przetwarzania), dostępu do danych i czasu ich przechowywania. W tym celu:
a) zapewnia, by dane gromadzone w systemie informatycznym World Home były ograniczone wyłącznie do danych niezbędnych do prawidłowego świadczenia usług;
b) dokonuje okresowych (nie rzadziej niż raz na rok) przeglądów ilości przetwarzanych danych i zakresu ich przetwarzania;
c) stosuje ograniczenia dostępu do danych osobowych następujących kategorii: prawne: upoważnienia do przetwarzania danych osobowych, zobowiązania do poufności (podpisywane przez Partnerów, Oferentów lub Właścicieli Nieruchomości, z którymi współpracuje World Home), umowy o powierzenie przetwarzania danych osobowych innym podmiotom współpracującym, których wzory stanowią załączniki nr 5-7 do niniejszej Polityki; - fizyczne: zamykane pomieszczenia, w których gromadzone i przetwarzane są dane osobowe; logiczne: ograniczenia uprawnień do systemów, w których przetwarzane są dane osobowe i zasobów sieciowych, w których zgromadzone są dane osobowe;
d) przy każdorazowej zmianie personelu lub podmiotów przetwarzających dokonywana jest aktualizacja uprawnień dostępowych oraz upoważnień
e) kontroluje okresowo cykl życia danych osobowych, w tym dokonuje weryfikacji dalszej przydatności danych względem terminów i punktów kontrolnych wskazanych w Rejestrze. Dane, których zakres przydatności ulega ograniczeniu wraz z upływem czasu, są usuwane z systemu World Home, jak też z akt podręcznych i głównych. Dane takie mogą być archiwizowane oraz znajdować się na kopiach zapasowych systemów i informacji przetwarzanych przez World Home. Procedury archiwizacji i korzystania z archiwów, tworzenia i wykorzystania kopii zapasowych uwzględniają wymagania kontroli nad cyklem życia danych, a w tym wymogi usuwania danych.
5.2. Upoważnienia do przetwarzania danych osobowych nadaje Administrator Danych Osobowych w formie pisemnego dokumentu, po przeprowadzeniu szkolenia lub zaznajomieniu - w innej formie, osoby upoważnianej z zasadami ochrony danych osobowych. Upoważnienie nadawane jest indywidualnie, z wyraźnym wskazaniem, jakie kategorie danych obejmuje swoim zakresem. Wzór upoważnienia zawarty jest w Załączniku nr 5 do Polityki. Każda osoba, która uzyskała upoważnienie do przetwarzania danych, zobowiązana jest do ich ochrony w sposób zgodny z przepisami Ustawy, RODO oraz postanowieniami niniejszej Polityki.
5.3. Osoba upoważniona zobowiązana jest do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. Obowiązek ten istnieje także po ustaniu zatrudnienia. lub współpracy Stosowny zapis o przyjęciu zobowiązania do zachowania w tajemnicy przetwarzanych danych osobowych zawiera upoważnienie, którego wzór znajduje się w Załączniku nr 5.
5.4. Przyjęte przez World Home środki i zasady bezpieczeństwa, w tym zasady kontroli dostępu do danych zostały opisane w punkcie 6 poniżej.
6. Bezpieczeństwo.
6.1. World Home zapewnia odpowiedni poziom bezpieczeństwa danych, w tym:
a) przeprowadza analizy ryzyka dla czynności przetwarzania danych lub ich kategorii;
b) przeprowadza oceny skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw i wolności osób jest wysokie;
c) dostosowuje środki ochrony danych do ustalonego ryzyka;
d) posiada system zarządzania bezpieczeństwem informacji;
e) stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych – odpowiednia procedura stanowi załącznik nr 4 do niniejszej Polityki;
f) dba o odpowiedni stan wiedzy o bezpieczeństwie informacji oraz cyber bezpieczeństwie.
6.2. Przed wdrożeniem odpowiednich środków bezpieczeństwa World Home dokonał analizy ryzyka naruszenia praw lub wolności osób fizycznych dla czynności przetwarzania danych, w tym możliwe sytuacje i scenariusze naruszenia ochrony danych osobowych, uwzględniając charakter, zakres, kontekst i cele przetwarzania, ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.
6.3. W oparciu o powyższą analizę World Home przyjął następujące zasady i środki bezpieczeństwa:
6.3.1. Dostęp do danych osobowych ma Radosław Lesiak, oraz osoby upoważnione do ich przetwarzania.
6.3.2. Przebywanie osób nieuprawnionych do przetwarzania danych w pomieszczeniu, w którym przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby upoważnionej do ich przetwarzania, chyba, że dane te są w odpowiedni sposób zabezpieczone przed dostępem.
6.3.3. Za bezpieczeństwo przetwarzania danych osobowych w określonym zbiorze, indywidualną odpowiedzialność ponosi przede wszystkim każda osoba upoważniona do ich przetwarzania.
6.3.4. Pracownicy /współpracownicy mający dostęp do danych osobowych nie mogą ich ujawniać zarówno w miejscu pracy, jak i poza nim, w sposób wykraczający poza czynności związane z ich przetwarzaniem w zakresie obowiązków służbowych, w ramach udzielonego upoważnienia do przetwarzania danych.
6.3.5. Nikomu nie należy udostępniać indywidualnych haseł i identyfikatorów do systemów informatycznych.
6.3.6. Wysyłanie seryjnych wiadomości e-mail wymaga zastosowania opcji „kopia ukryta”.
6.3.7. Nie można udzielać informacji dotyczących danych osobowych innym podmiotom na podstawie prośby o takie dane skierowanej w formie zapytania telefonicznego.
6.3.8. W miejscu przetwarzania danych osobowych utrwalonych w formie papierowej pracownicy/współpracownicy zobowiązani są do stosowania zasady tzw. „czystego biurka”. Zasada ta oznacza nie pozostawianie materiałów zawierających dane osobowe w miejscu umożliwiającym fizyczny dostęp do nich osobom nieuprawnionym. Za realizację powyższej zasady odpowiedzialny jest na swym stanowisku każdy z Pracowników.
6.3.9. Niszczenie brudnopisów, błędnych lub zbędnych kopii materiałów zawierających dane osobowe musi odbywać się w sposób uniemożliwiający odczytanie zawartej w nich treści, np. z wykorzystaniem niszczarek.
6.3.10. Niedopuszczalne jest wynoszenie materiałów zawierających dane osobowe poza obszar ich przetwarzania bez związku z wykonywaniem czynności służbowych. Za bezpieczeństwo i zwrot materiałów zawierających dane osobowe odpowiada w tym przypadku osoba dokonująca ich wyniesienia.
6.3.11. Po zakończeniu pracy w systemie informatycznym, w którym przechowywane są dane osobowe, należy wylogować się z systemu.
6.3.12. Osoba użytkująca komputer przenośny zawierający dane osobowe zobowiązana jest do zachowania szczególnej ostrożności podczas jego transportu, przechowywania i użytkowania poza obszarem, w którym przetwarzane są dane osobowe.
6.3.13. Przebywanie osób nieuprawnionych w pomieszczeniu, w którym przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania danych osobowych, chyba że dane te są w odpowiedni sposób zabezpieczone przed dostępem.
6.3.14. Przekazywanie danych osobowych Klientów odbywa się za pomocą szyfrowanych połączeń. w przypadku przesyłania zestawień danych osobowych, pliki z zestawieniami zabezpieczone są hasłami, które wysyłane są bezpośrednio wiadomością sms do kontrahenta World Home.
6.4. W sytuacji, w której zgodnie z analizą ryzyka , ryzyko naruszenia praw i wolności osób jest wysokie, World Home dokonuje oceny skutków planowanych operacji przetwarzania danych osobowych dla ochrony danych osobowych.
6.5. W celu zapewnienia odpowiedniego poziomu bezpieczeństwa danych osobowych, World Home stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych osobowych Urzędowi Ochrony Danych w terminie 72 godzin od ustalenia naruszenia. W miarę możliwości technicznych, World Home niezwłocznie informuje osobę o możliwości naruszenia ochrony jej danych osobowych. Szczegółowa procedura w tym zakresie stanowi załącznik nr 4 do niniejszej Polityki.
7. Przetwarzający.
7.1. World Home dobiera przetwarzających dane na rzecz World Home, z zachowaniem wymogów co do warunków przetwarzania danych określonych w umowie powierzenia, w celu zapewnienia aby przetwarzający dane dawali wystarczające gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa danych, realizacji praw jednostki i innych obowiązków ochrony danych spoczywających na World Home.
7.2. Podmioty, którym World Home powierza przetwarzanie danych zobowiązane są do stosowania co najmniej takich wymogów, jakie stosuje World Home w zakresie ochrony danych osobowych oraz zapewnienia ich integralności i poufności i ponoszą odpowiedzialność za przetwarzanie danych osobowych zgodnie z przepisami prawa obowiązującego oraz przyjętymi przez World Home regulacjami.
7.3. World Home okresowo kontroluje i rozlicza przetwarzających w zakresie wymagań wynikających z zasad powierzenia danych osobowych.
8. Eksport danych.
8.1. World Home regularnie weryfikuje, czy nie przekazuje danych do państw trzecich (czyli poza UE, Norwegię, Liechtenstein, Islandię) lub do organizacji międzynarodowych, a jeśli będzie ono miało miejsce - zapewnieni zgodne z prawem warunki takiego przekazywania.
8.2. W Rejestrze zapisywane są przypadki eksportu danych poza EOG. Aby uniknąć sytuacji nieautoryzowanego eksportu danych, w szczególności w związku z wykorzystaniem publicznie dostępnych usług chmurowych, World Home okresowo weryfikuje zachowania użytkowników systemów (pracowników, współpracowników) oraz w miarę możliwości udostępnia zgodne z prawem rozwiązania równoważne.
9. Privacy by design.
9.1. World Home zarządza zmianami wpływającymi na prywatność. W tym celu procedury uruchamiania nowych projektów i inwestycji w World Home uwzględniają konieczność oceny wpływu danej zmiany na ochronę danych, analizę ryzyka, zapewnienie prywatności (a w tym zgodności celów przetwarzania, bezpieczeństwa danych i minimalizacji) już w fazie projektowania zmiany, inwestycji czy na początku nowego projektu.
9.2. W przypadku ustalenia, że planowany projekt niesie znaczne ryzyko naruszenia praw i wolności osób w zakresie ochrony danych, World Home dokona niezbędnej modyfikacji projektu lub zamierzenia w celu zapewnienia należytej ochrony danych albo odstąpi w całości od planów realizacji danego projektu lub zamierzenia.
10. Przetwarzanie transgraniczne.
10.1. Jedyną formą transgranicznego przetwarzania danych przez World Home może być przekazywanie danych osobowych klientów World Home do Partnerów, celem rejestracji klienta. W takim przypadku główną jednostką organizacyjną w rozumieniu RODO będzie biuro World Home na terenie Polski (administratora danych), a organem wiodącym w rozumieniu transgranicznego przetwarzania danych Prezes Urzędu Ochrony Danych Osobowych. Niezależnie od powyższego Partnerzy zobligowani są do przetwarzania danych osobowych Klientów World Home z poszanowaniem przepisów i zasad przetwarzania danych wprowadzonych przez RODO.
V. POSTANOWIENIA KOŃCOWE
1. Niniejsza Polityka wchodzi w życie z dniem 25 maja 2018 roku. Wszelkie zmiany do Polityki wymagają formy pisemnej pod rygorem nieważności.
2. Wszystkie załączniki stanowią integralną część niniejszej Polityki.
3. W sprawach nieuregulowanych zastosowanie maja odpowiednie procedury stanowiące złączniki do niniejszej Polityki oraz przepisy prawa powszechnie obowiązującego.
Przyjęto do stosowania dnia 25.05.2018 roku.
Załącznik nr.1
Rejestr czynności przetwarzania prowadzony przez ADO - Wzór.
|
|
DANE KONTAKTOWE |
||||||
|
NAZWA ADMINISTATORA |
|
|
|||||
|
NAZWY WSPÓŁADMINISTATORÓW |
|
|
|||||
|
NAZWA PRZEDSTAWICIELA |
|
|
|||||
|
IMIĘ I NAZWISKO INSPEKTORA |
|
|
|||||
|
|
|
||||||
|
Kategorie osób, których dane dotyczą |
Kategorie danych osobowych |
Kategorie odbiorców, którym dane ujawniono lub zostaną ujawnione |
Nazwa państwa trzeciego, do którego dane są przekazywane |
Planowane terminy usunięcia danych |
Cele przetwarzania danych |
Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 RODO Data, osoba przetwarzająca, rodzaj czynności |
|
|
Np. klienci |
Np. imię, nazwisko, adres zamieszkania, nr telefonu, |
Np. Oferenci, Partnerzy – imię nazwisko i adres
|
Np. nie dotyczy |
Np. 5 lat od rozwiązania umowy z uwagi na brzmienie art. 74 ust. 2 pkt 4 Ustawy o rachunkowości |
Np. świadczenie usług |
Np. Zastosowano szyfrowanie, wykonano kopię zapasową danych, odebrano oświadczenia o poufności |
|
|
Np. Oferenci |
Np. imię, nazwisko, , NIP, adres e-mail, itd
|
Np. klienci |
Np. Nie dotyczy |
Np. 5 lat od rozwiązania umowy z uwagi na brzmienie art. 74 ust. 2 pkt 4 Ustawy o rachunkowości |
Np. świadczenie usług |
Np. Zastosowano szyfrowanie, wykonano kopię zapasową danych, odebrano oświadczenia o poufności |
|
|
Np. kandydaci do pracy
|
Np. imię, nazwisko, nr PESEL, nr NIP, adres zamieszkania, itd. |
Np. dane nie są ujawniane odbiorcom,
|
j.w. |
Np. 1 miesiąc od zakończenia rekrutacji, gdy kandydat nie przejdzie jej pomyślnie |
Np. proces rekrutacyjny |
Np. Szafy zamykane na klucz, system informatyczny zabezpieczony firewallem, loginem i hasłem |
|
|
Np. Pracownicy |
Np. imię, nazwisko, nr PESEL, nr NIP, adres zamieszkania, nr rachunku bankowego |
Np. Zewnętrzna firma księgowa |
j.w. |
50 lat od dnia ustania stosunku pracy |
Np. realizacja umowy |
Np. Szafy zamykane na klucz, system informatyczny zabezpieczony firewallem, loginem i hasłem |
|
Załącznik nr 2 Klauzula informacyjna i Zgoda na przetwarzanie danych osobowych
KLAUZULA INFORMACYJNA Zgodnie z art. 13 ust. 1 i ust. 2 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (dalej RODO) informuję, iż:
1) administratorem Pani/Pana danych osobowych jest Radosław Lesiak prowadzący działalność gospodarczą pod firmą World Home Radosław Lesiak z siedzibą w Warszawie:02-670 Warszawa, ul. Puławska 228 lok. 29 – dalej World Home;
2) osobą odpowiedzialną w zakresie ochrony danych w World Home jest Pan/Pani Radosław Lesiak (e-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.)
3) Pani/Pana dane osobowe przetwarzane będą zgodnie z RODO w celu świadczenia usług oferowanych przez World Home na podstawie zgody na przetwarzanie danych osobowych;
4) odbiorcą Pani/Pana danych osobowych mogą być Partnerzy World Home, Oferenci lub Właściciele Nieruchomości – na podstawie odrębnie zawartej umowy o świadczenie usług przez World Home;
5) Pani/Pana dane osobowe nie będą przekazywane do państwa trzeciego/organizacji międzynarodowej;
6) Pani/Pana dane osobowe będą przechowywane przez okres świadczenia usług oraz okres przedawnienia ewentualnych roszczeń z tym związanych;
7) posiada Pani/Pan prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
8) ma Pan/Pani prawo wniesienia skargi do Prezesa UODO gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.;
9) podanie przez Pana/Panią danych osobowych jest warunkiem zawarcia umowy - jest Pan/Pani zobowiązana do ich podania a konsekwencją niepodania danych osobowych będzie brak możliwości świadczenia usług na Pana/Pani rzecz. World Home nie gromadzi danych szczególnych kategorii.
10) Pani/Pana dane nie będą przetwarzane w sposób zautomatyzowany w tym również w formie profilowania.
W związku z powyższym, proszę o udzielenie zgody na przetwarzanie Pana/Pani danych osobowych zgromadzonych w systemie World Home oraz podawanych w przyszłości w związku ze świadczeniem na Pana/Pani rzecz usług przez World Home. W tym celu należy zaznaczyć wybór poniżej:
Przeczytałem i akceptuję Politykę Ochrony Prywatności, zostałem poinformowany o warunkach przetwarzania moich danych osobowych przez World Home i prawach mi przysługujących, swoje dane podaję dobrowolnie i wyrażam zgodę na ich przetwarzanie na warunkach określonych przez World Home, w celu świadczenia usług przez World Home na moją rzecz. TAK NIE________________ _____________________ /Miejscowość, data/ /czytelny podpis/
Załącznik nr 3
Procedura w zakresie udzielania informacji i realizacji żądań
1. Przy pozyskiwaniu danych osobowych World Home informuje tę osobę za pomocą środków porozumiewania się na odległość lub poprzez wręczenie w formie papierowej informacji o przetwarzaniu danych osobowych oraz o prawach przysługujących tej osobie w związku z przetwarzaniem jej danych. Wzór klauzuli informacyjnej stanowi załącznik nr 2 do Polityki Ochrony Prywatności.
2. Klauzule informacyjne są przekazywane osobom fizycznym przy realizacji lub oferowaniu usług, podczas których World Home zbiera zgody tych osób na przetwarzanie ich danych osobowych.
3. Najpóźniej przy pierwszym kontakcie z osobą, której dane będą przetwarzane, World Home informuje osobę o prawie sprzeciwu względem przetwarzania danych.
4. Zgody na przetwarzanie danych osobowych zbierane są w formie elektronicznej przy kontakcie ze strony internetowej World Home z osobą lub zwykłej pisemnej przy kontakcie bezpośrednim.
5. W przypadku planowanej zmiany celu przetwarzania danych osobowych World Home poinformuje z wyprzedzeniem minimum 14 dniowym osobę o planowanej zmianie umożliwiając jej wyrażenie zgody na zmianę celu przetwarzania lub odmowę wyrażenia zgody na przetwarzanie danych osobowych w innym celu niż pierwotnie. Zarówno poinformowanie osoby jak i zebranie zgody na przetwarzanie danych w innym celu niż pierwotny będzie odbywało się za pomocą środków porozumiewania się na odległość. W przypadku braku reakcji osoby (braku odpowiedzi) World Home nie będzie przetwarzał danych tej osoby w innym celu niż pierwotny.
6. Wszelkie żądania osób, których dane są przetwarzane w zakresie danych osobowych (w tym cofnięcie zgody na przetwarzanie danych osobowych) należy składać za pomocą poczty elektronicznej na adres Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. lub w formie papierowej na adres World Home.
7. W przypadku realizacji żądań osób, których dane są przetwarzane, World Home każdorazowo będzie informować osobę za pomocą środków porozumiewania się na odległość o podjętych krokach w związku z realizacją prawa danej osoby. Informacje przekazywane będą w ciągu jednego miesiąca od dnia zgłoszenia żądania. W przypadku konieczności przedłużenia terminu na rozpatrzenie żądania, World Home niezwłocznie poinformuje osobę o konieczności przedłużenia tego terminu podając przyczyny zaistniałego stanu rzeczy. W przypadku niemożności zadośćuczynienia żądaniu osoby, World Home - w ciągu miesiąca od otrzymania żądania - udzieli wyjaśnień o odmowie rozpatrzenia żądania, przyczynach odmowy i o prawach osoby z tym związanych.
8. Realizując prawa osób, których dane dotyczą, World Home wprowadza proceduralne gwarancje ochrony praw i wolności osób trzecich. W szczególności w przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób (np. prawa związane z ochroną danych innych osób, prawa własności intelektualnej, tajemnicę handlową, dobra osobiste), World Home może się zwrócić do osoby w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia żądaniu. Komunikacja World Home z osobą, której dane dotyczą odbywać się będzie co do zasady za pomocą poczty elektronicznej.
9. World Home poinformuje za pomocą poczty elektronicznej lub w formie papierowej osobę o tym, że nie przetwarza danych jej dotyczących, jeśli osoba zgłosiła takie żądanie dotyczące jej praw.
10. Na żądanie osoby dotyczące dostępu do jej danych World Home informuje osobę, czy przetwarza jej dane, oraz informuje osobę o szczegółach przetwarzania, zgodnie z art..15 RODO (zakres odpowiada obowiązkowi informacyjnemu przy zbieraniu danych), a także udziela osobie dostępu do danych jej dotyczących. Dostęp do danych może być zrealizowany przez wydanie kopii danych w formacie wydruku papierowego lub pliku pdf.
11. Na żądanie, World Home wydaje osobie kopię danych jej dotyczących i odnotowuje fakt wydania pierwszej kopii danych. Wydanie kolejnych kopii danych następuje nieodpłatnie.
12. World Home, na żądanie osoby, której dane dotyczą zgłoszone w formie elektronicznej lub papierowej, dokonuje sprostowania nieprawidłowych danych. World Home ma prawo odmówić sprostowania danych, chyba że osoba w rozsądny sposób wykaże nieprawidłowości danych, których sprostowania się domaga. W przypadku sprostowania danych World Home , na żądanie osoby, informuje tę osobę o odbiorcach danych.
13. World Home uzupełnia i aktualizuje dane na żądanie osoby. World Home ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych. World Home może polegać na oświadczeniu osoby co do uzupełnianych danych, chyba że będzie to niewystarczające w świetle przyjętych procedur (np. co do pozyskiwania takich danych), prawa lub zaistnieją podstawy, aby uznać oświadczenie osoby za niewiarygodne.
14. Na żądanie osoby, World Home usuwa dane, gdy:
a. dane nie są niezbędne do celów, w których zostały zebrane, ani przetwarzane w innych zgodnych z prawem celach,
b. zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania,
c. osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych,
d. dane były przetwarzane niezgodnie z prawem,
e. konieczność usunięcia wynika z obowiązku prawnego,
f. żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku (np. profil dziecka na portalu społecznościowym, udział w konkursie na stronie internetowej).
World Home określa sposób obsługi prawa do usunięcia danych w taki sposób, aby zapewnić efektywną realizację tego prawa przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpieczeństwa, a także weryfikację, czy nie zachodzą wyjątki, o których mowa w art..17. ust..3 RODO. Jeżeli dane podlegające usunięciu zostały upublicznione przez World Home, World Home podejmuje rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe o potrzebie usunięcia danych i dostępu do nich. W przypadku usunięcia danych, World Home informuje osobę o odbiorcach danych, na żądanie tej osoby.
15. World Home dokonuje ograniczenia przetwarzania danych na żądanie osoby, gdy:
a. osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość,
b. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
c. World Home nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
d. osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie World Home zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu. W trakcie ograniczenia przetwarzania World Home przechowuje dane, natomiast nie przetwarza ich (nie wykorzystuje, nie przekazuje), bez zgody osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego.
16. W przypadku sprostowania, usunięcia lub ograniczenia przetwarzania danych osób, World Home poinformuje o tym fakcie odbiorców danych za pomocą środków porozumiewania się na odległość (chyba że będzie to wymagało niewspółmiernie dużego wysiłku lub będzie niemożliwe). Jeśli informowanie odbiorców będzie możliwe i nie będzie wymagało nadmiernego wysiłku, informacje do odbiorców danych będą wysyłane w formie raportów nie częściej niż 1 raz na kwartał.
17. W przypadku ograniczenia przetwarzania danych, przed uchyleniem ograniczenia przetwarzania, World Home poinformuje osobę o tym fakcie najpóźniej na 7 dni przed uchyleniem ograniczenia.
18. Na żądanie osoby World Home wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła ona Spółce, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z nią, zawartej w systemach informatycznych World Home.
19. Jeżeli osoba zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez World Home w oparciu o uzasadniony interes World Home lub o powierzone jej zadanie w interesie publicznym, World Home uwzględni sprzeciw, o ile nie zachodzą po jej stronie ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.
20. Jeżeli World Home prowadzi badania naukowe, historyczne lub przetwarza dane w celach statystycznych, osoba może wnieść umotywowany jej szczególną sytuacją sprzeciw względem takiego przetwarzania. World Home uwzględni taki sprzeciw, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.
21. Jeżeli osoba zgłosi sprzeciw względem przetwarzania jej danych przez World Home na potrzeby marketingu bezpośredniego (w tym ewentualnie profilowania), World Home uwzględni sprzeciw i zaprzestanie takiego przetwarzania.
22. .Jeżeli World Home przetwarza dane w sposób automatyczny, w tym w szczególności profiluje osoby, i w konsekwencji podejmuje względem osoby decyzje wywołujące skutki prawne lub inaczej istotnie wpływające na osobę, World Home zapewnia możliwość odwołania się do interwencji i decyzji człowieka po stronie World Home, chyba że taka automatyczna decyzja: a. jest niezbędna do zawarcia lub wykonania umowy między odwołującą się osobą a World Home, lub b. jest wprost dozwolona przepisami prawa, lub c. opiera się na wyraźnej zgodzie odwołującej osoby.
23. W przypadku wykrycia naruszenia ochrony danych osobowych, jeżeli naruszenie to może powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, World Home, niezwłocznie, jednak nie później niż w ciągu 72 godzin poinformuje tę osobę za pomocą środków porozumiewania się na odległość o wykryciu naruszenia oraz o podjętych działaniach w celu minimalizacji ryzyka naruszenia praw lub wolności tej osoby.
Załącznik nr 4
PROCEDURA POSTĘPOWANIA W RAZIE INCYDENTU BEZPIECZEŃSTWA(wykrywania i zawiadamiania o naruszeniach)
1. Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. W szczególności, lecz niewyłącznie:
a) włamanie do miejsca lub systemu, w którym przechowywane są dane osobowe (w tym fizyczne naruszenie zabezpieczeń lub ataki hakerskie, działanie szkodliwego oprogramowania),
b) zagubienie lub kradzież dokumentów lub nośników zawierających dane osobowe,
c) pożar, zalanie w miejscu przechowywania danych osobowych lub nośników danych,
d) nieautoryzowane kopiowanie danych, wysłanie danych do nieupoważnionej osoby lub wszelkie inne naruszenie obowiązków pracownika/współpracownika w zakresie przestrzegania procedur bezpieczeństwa danych osobowych.
2. Każda osoba, która poweźmie wiadomość w zakresie naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe bądź posiada informacje mogące mieć wpływ na bezpieczeństwo danych osobowych, jest zobowiązana fakt ten niezwłocznie zgłosić osobie wyznaczonej przez World Home.
3. Do czasu przybycia na miejsce naruszenia ochrony danych osobowych osoby upoważnionej, osoba powiadamiająca powinna:
- niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków, z wyłączeniem czynności, które mogą utrudnić udokumentowanie zdarzenia (w szczególności w przypadku włamania, należy pozostawić miejsce zdarzenia w stanie nienaruszonym do czasu przybycia policji i udokumentowania zdarzenia przez właściwe organy);
- ustalić przyczyny, lub sprawców zaistniałego zdarzenia, jeżeli jest to możliwe;
- zaniechać dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić jego udokumentowanie i analizę;
- udokumentować wstępnie zaistniałe naruszenie (wykonać fotografie, filmy);
- nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia osoby upoważnionej.
4. Osoba upoważniona przez Administratora po przybyciu na miejsce zdarzenia:
- sporządzi notatkę z przeprowadzonych oględzin miejsca zdarzenia,
- w przypadku stwierdzenia naruszenia bezpieczeństwa danych w systemie informatycznym – sporządzi kopię lub zdjęcie obrazu wyświetlonego na monitorze komputera związanego z naruszeniem oraz kopię zapisów rejestrów systemu informatycznego służącego do przetwarzania danych osobowych lub zapisów konfiguracji technicznych środków zabezpieczeń systemu;
- odbierze od osoby, która ujawniła naruszenie pisemne wyjaśnienia dotyczące okoliczności zdarzenia.
5. W przypadku braku możliwości przybycia osoby upoważnionej, osoba powiadamiająca we własnym zakresie:
- wykona fotografie z miejsca zdarzenia, a w miarę możliwości nagra film, podając na nim informację daty i godziny filmowania;
- sporządzi notatkę z przeprowadzonych oględzin miejsca zdarzenia oraz notatkę zawierającą szczegółowe wyjaśnienia dotyczące zdarzenia, w tym datę i godzinę zauważenia incydentu, szczegółowy opis zdarzenia;
- wskaże pisemnie kategorie osób oraz w przybliżeniu liczbę osób, których dane uległy incydentowi bezpieczeństwa a także kategorie danych oraz w przybliżeniu liczbę wpisów danych, które uległy naruszeniu;
- w przypadku stwierdzenia naruszenia bezpieczeństwa danych w systemie informatycznym – sporządzi kopię lub zdjęcie obrazu wyświetlonego na monitorze komputera związanego z naruszeniem oraz kopię zapisów rejestrów systemu informatycznego służącego do przetwarzania danych osobowych lub zapisów konfiguracji technicznych środków zabezpieczeń systemu. Niezwłocznie – nie później niż w ciągu 24 godzin od stwierdzenia incydentu przekaże tak wykonaną dokumentację World Home osobiście lub nada przesyłką kurierską.
6. Niezwłocznie po skompletowaniu dokumentacji (nie później jednak niż w ciągu 12 godzin od zgłoszenia naruszenia osobie upoważnionej), osoba upoważniona przedstawi World Home zebrane materiały, celem ostatecznej oceny czy zaistniałe zdarzenia podlega obowiązkowi zgłoszenia naruszenia organowi nadzorczego oraz powiadomieniu osoby, której dane dotyczą.
7. Wraz z przedstawieniem dokumentacji dotyczącej zdarzenia osoba upoważniona, przedstawi World Home zaistniałe lub możliwe do zaistnienia skutki naruszenia oraz wykaz środków i działań mających zaradzić naruszeniu, a także – jeśli to konieczne - zminimalizować negatywne skutki naruszenia.
8. Jeżeli po przeanalizowaniu dokumentacji dotyczącej zdarzenia, World Home uzna, że naruszenie podlega zgłoszeniu organowi nadzorczemu, niezwłocznie, nie później niż w ciągu 72 godzin (a w przypadku przekroczenia tego terminu wraz z wyjaśnieniem przyczyn opóźnienia) od wykrycia naruszenia, administrator danych zgłosi naruszenie organowi nadzorczemu oraz (z zastrzeżeniem punktu 8 poniżej) zawiadomi o zaistniałym naruszeniu osobę, której dane dotyczą, w formie przesłanej wiadomości email za potwierdzeniem odbioru, a w razie braku potwierdzenia otrzymania wiadomości - w formie pisemnej listem poleconym. W zawiadomieniu, zostanie wskazane zdarzenie naruszenia ochrony danych, opis jego charakteru i możliwych konsekwencji oraz poinformowanie osoby o krokach jakie zostały podjęte przez World Home oraz krokach, jakie powinna podjąć dana osoba, której dane dotyczą, by zabezpieczyć się przed negatywnymi skutkami. Wzór powiadomienia osoby stanowi załącznik do niniejszej procedury.
9. Zawiadomienie osoby, której dane dotyczą o zaistniałym naruszeniu nie jest wymagane, jeśli w World Home:
- zostały wdrożone środki ochrony takie jak szyfrowanie lub pseudonimizacja, które powodują bezużyteczność danych dla osoby trzeciej i uniemożliwiają ich przypisanie do konkretnej osoby;
- zastosowano środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą powiadomienie wymagałoby od Administratora niewspółmiernie dużego wysiłku – w takim jednak przypadku, World Home wyda publiczny komunikat na swojej stronie internetowej informujący osoby o zaistniałym naruszeniu.
10. Osoba upoważniona udokumentuje w formie papierowej jak również elektronicznej zaistniałe skutki naruszenia oraz podjęte środki mające zaradzić naruszeniu lub zminimalizować negatywne skutki naruszenia. Osoba upoważniona prowadzi rejestr naruszeń. Wzór rejestru stanowi załącznik do niniejszej procedury.
WZÓR POWIADOMIENIA ORGANU NADZORCZEGO
Warszawa, dnia ….
/Dane World Home/
/Dane Organu/
W dniu… nastąpił incydent bezpieczeństwa dotyczący danych osobowych, polegający na ….. .
Incydent dotyczy następujących:
1) kategorii osób: ….
oraz – w przybliżeniu – następującej liczby osób:….
2) kategorii danych: ….
Oraz w przybliżeniu – następującej liczby wpisów danych: …
Możliwe konsekwencje wyżej wymienionego naruszenia obejmują … oraz mogą obejmować …
Natychmiast zostały podjęte następujące środki w celu zapobieżenia negatywnym skutkom incydentu: …..
Osoby, których dane dotyczą zostały poinformowane o incydencie bezpieczeństwa w następujący sposób: ….
Dodatkowo osobom tym zaproponowano następujące środki w celu zminimalizowania skutków incydentu ….
Wszelkie dodatkowe informacje można uzyskać u Inspektora Danych Osobowych ….
Adres email: …….
/podpis/
WZÓR POWIADOMIENIA OSOBY, KTÓREJ DANE DOTYCZĄ
Warszawa, dnia …..
/Dane World Home/
/Dane Osoby/
Szanowna/y Pani/e
Z przykrością zawiadamiamy, iż w dniu… nastąpił incydent bezpieczeństwa dotyczący Pani/a danych osobowych, polegający na …. , który może powodować….
Uprzejmie informujemy, iż natychmiast zostały podjęte następujące środki w celu zapobieżenia negatywnym skutkom incydentu: ….
Jednocześnie, informujemy, że w celu większej minimalizacji ryzyka związanego z tym incydentem, Pan/i w miarę możliwości powinien/nna podjąć następujące działania: …..
Zapewniamy, iż dokładamy wszelkiej staranności, aby zapobiec takim sytuacjom w przyszłości. Wszelkie dodatkowe informacje można uzyskać u ……. Adres email: …….
Pozostajemy z poważaniem,
/podpis/
WZÓR KOMUNIKATU NA STRONĘ INTERNETOWĄ
Szanowni Państwo,
Z przykrością zawiadamiamy, iż w dniu… nastąpił incydent bezpieczeństwa dotyczący Państwa danych osobowych, polegający na …. , który może powodować….
Uprzejmie informujemy, iż natychmiast zostały podjęte następujące środki w celu zapobieżenia negatywnym skutkom incydentu: ….
Jednocześnie, informujemy, że w celu większej minimalizacji ryzyka związanego z tym incydentem, w miarę możliwości powinni Państwo podjąć następujące działania: …..
Zapewniamy, iż dokładamy wszelkiej staranności, aby zapobiec takim sytuacjom w przyszłości. Wszelkie dodatkowe informacje można uzyskać u …… …. Adres email: …….
Pozostajemy z poważaniem,
Zespół World Home
WZÓR REJESTRU NARUSZEŃ
|
Data |
Rodzaj incydentu |
Opis okoliczności |
Zaistniałe skutki |
Możliwe skutki |
Podjęte działania |
Forma powiadomienia osoby |
Podpis |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|