Polityka prywatności

 

Polityka Ochrony Prywatności

 

I.                    WSTĘP

1.       Niniejszy dokument zatytułowany „Polityka ochrony prywatności” (dalej: Polityka) stanowi zbiór wymogów, zasad i regulacji ochrony danych osobowych gromadzonych przez Michała Łojewskiego, prowadzącego działalność gospodarczą pod firmą Michał Łojewski Gynkar z siedzibą w Warszawie, ul. Dzielnicowa 37, 04-666 Warszawa (adres rejestrowy) (dalej: Gynkar).

2.       Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu  Rozporządzenia Parlamentu Europejskiego i Rady(UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119, s..1) – dalej RODO.

3.       Polityka zawiera:

a)       opis zasad ochrony danych obowiązujących w Gynkar,

b)      odwołania do załączników uszczegóławiających (wzorcowe procedury lub instrukcje dotyczące poszczególnych obszarów z zakresu ochrony danych osobowych wymagających doprecyzowania w odrębnych dokumentach).

4.       Za wdrożenie i utrzymanie niniejszej Polityki odpowiada Michał Łojewski, jako przedsiębiorca będący administratorem danych osobowych przetwarzanych przez Gynkar lub osoba przez niego wyznaczona do zapewnienia zgodności procesów przetwarzania danych osobowych klientów Gynkar z przepisami  obowiązującymi w zakresie ochrony danych osobowych.

5.       Za stosowanie niniejszej Polityki odpowiedzialni są:

a)       personel Gynkar, mający dostęp do danych osobowych

b)      osoby współpracujące z Gynkar, przetwarzający dane osobowe klientów Gynkar

c)       podmioty, którym Gynkar przekaże dane osobowe swoich klientów.

6.       Do obowiązków Gynkar w zakresie ochrony danych należą:

a)        ułatwianie osobie, której dane dotyczą wykonywania praw przysługującej jej na mocy RODO (prawa do informacji, dostępu, do sprostowania danych, do usunięcia danych - „bycia zapomnianym”, do ograniczenia przetwarzania, do przenoszenia danych, do sprzeciwu,);

b)      obowiązek informacyjny wypełniany przy zbieraniu danych osobowych;

c)       szczególna staranność przy przetwarzaniu danych osobowych w celu ochrony interesów i praw osób, których dane przetwarza;

d)      udzielanie informacji o zakresie przetwarzanych danych osobowych, umożliwienie osobie, której dane dotyczą monitorowania przetwarzania danych;

e)      obowiązek uzupełniania, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, gdy zażąda tego osoba, której dane są przetwarzane przez administratora;

f)        obowiązek wdrożenia i stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a także umożliwiających wykazanie przetwarzania danych osobowych zgodnie z RODO;

g)       kontrola jakie dane, kiedy i przez kogo zostały wprowadzone do zbioru i komu są ujawniane / przekazywane (odbiorcy danych), utworzenie i prowadzenie rejestru czynności przetwarzania danych osobowych przez  Administratora danych osobowych, obowiązek poinformowania odbiorcy danych o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych osobowych;

h)      prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych;

i)        umożliwienie przeniesienia danych osoby, której dotyczą do innego usługodawcy, wygenerowania pliku z przetwarzanymi danymi osobowymi;

j)        w przypadku powierzenia przetwarzania danych osobowych – weryfikacja możliwości wywiązania się przez podmiot przetwarzający z obowiązków i wymogów zakreślonych przez RODO;

k)       wdrożenie i stosowanie  Procedury wykrywania, analizy, zgłaszania naruszeń ochrony danych oraz - w miarę możliwości -  informowania osób, których dane dotyczą o naruszeniach ochrony danych (Procedura postępowania w razie incydentu bezpieczeństwa);

l)        zawarcie umów powierzenia przetwarzania danych z podmiotem przetwarzającym oraz kontrola ich wykonywania – jeśli następuje powierzenie przetwarzania danych podmiotowi zewnętrznemu;

m)    współpraca z Organem Nadzorczym przy wykonywaniu zadań w zakresie ochrony danych osobowych;

n)      wyznaczenie osoby Inspektora Ochrona Danych.

 

 

II.                   SKRÓTY I DEFINICJE:

Polityka - niniejsza Polityka ochrony prywatności, o ile co innego nie wynika wyraźnie z kontekstu.

RODO  - rozporządzenie Parlamentu Europejskiego i Rady(UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119, s..1).

Dane  - dane osobowe, o ile co innego nie wynika wyraźnie z kontekstu.

Dane szczególnych kategorii  - dane wymienione w art..9 ust..1 RODO, tj..dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Dane karne - dane wymienione w art..10 RODO, tj..dane dotyczące wyroków skazujących i naruszeń prawa.

Dane dzieci -  dane osób poniżej 16. roku życia.

Osoba - osoba, której dane dotyczą, o ile co innego nie wynika wyraźnie z kontekstu.

Klient Gynkar – osoba fizyczna lub prawna korzystająca z usług Gynkar

Podmiot przetwarzający -  organizacja lub osoba, której Gynkar powierzył przetwarzanie danych osobowych (np..usługodawca IT, zewnętrzna księgowość, specjaliści).

Profilowanie -  dowolna formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Eksport danych - przekazanie danych do państwa trzeciego lub organizacji międzynarodowej.

IOD / Inspektor -  Inspektor Ochrony Danych Osobowych

RCPD / Rejestr - Rejestr Czynności Przetwarzania Danych Osobowych.

 

III.                 OCHRONA DANYCH OSOBOWYCH W GYNKAR – ZASADY OGÓLNE

1.       Filarami przetwarzania danych osobowych przez Gynkar są:

a)       legalność – Gynkar dba o ochronę prywatności i przetwarza dane zgodnie z prawem;

b)      bezpieczeństwo – Gynkar zapewnia odpowiedni poziom bezpieczeństwa danych, podejmując stale działania w tym zakresie;

c)       prawa jednostki – Gynkar  umożliwia osobom, których dane przetwarza, wykonywanie swoich praw i prawa te realizuje;

d)      rozliczalność– Gynkar dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej chwili moc wykazać zgodność.

2.       Dane osobowe muszą być przetwarzane z poszanowaniem następujących zasad:

a)       zgodności z prawem (w oparciu o podstawę prawną i zgodnie z obowiązującymi przepisami w tym zakresie) oraz rzetelności i przejrzystości dla osoby, które te dane dotyczą;

b)      ograniczenia celu zbierania danych osobowych (do konkretnych wyraźnych i prawnie uzasadnionych celów);

c)       minimalizacji i adekwatności zebranych danych  - ich ograniczenia do niezbędnego minimum w ramach celu, dla którego dane są przetwarzane (nie więcej niż potrzeba i nie „na zapas”);

d)      prawidłowości – zapewnienia prawidłowości oraz - w miarę możliwości - aktualności przetwarzanych danych;

e)      ograniczenia przechowywania – do okresu, który jest niezbędny dla celów w jakich dane te są przetwarzane;

f)        integralności i poufności – w sposób zapewniający odpowiednie bezpieczeństwo przetwarzanych danych;

g)       zapewnienia bezpieczeństwa - odpowiedzialności Administratora za przestrzeganie zasad ochrony danych osobowych oraz rozliczalności ich przestrzegania (zdolności do wykazania przestrzegania zasad ochrony danych osobowych).

 

IV.                SYSTEM OCHRONY DANYCH

System ochrony danych osobowych w Gynkar składa się z następujących elementów:

1.       Inwentaryzacja danych.

1.1. Gynkar dokonuje identyfikacji zasobów danych osobowych, kategorii zbieranych i przetwarzanych danych, zależności między zasobami danych, identyfikacji sposobów wykorzystania danych.

1.2. Gynkar nie gromadzi i nie przetwarza danych szczególnych kategorii.

1.3. W przypadku gromadzenia danych niezidentyfikowanych  np. w przypadku zapisu monitoringu pomieszczeń, Gynkar wyraźnie informuje o tym swoich Klientów, pracowników lub współpracowników (w szczególności poprzez wyraźną informację o monitoringu i możliwości przetwarzania danych niezidentyfikowanych), zapewniając realizację praw osób, których dotyczą dane niezidentyfikowane.

 

2.       Rejestr.

2.1. Dla wszystkich kategorii danych przetwarzanych przez siebie lub podmioty współpracujące, Gynkar prowadzi Rejestr Czynności Danych Osobowych (Rejestr), który jest narzędziem rozliczania zgodności przetwarzania danych, w którym monitoruje sposób w jaki wykorzystuje dane osobowe poszczególnych kategorii.

2.2. W Rejestrze Gynkar odnotowuje co najmniej: (i) nazwę czynności, (ii) cel przetwarzania, (iii) opis kategorii osób, (iv) opis kategorii danych, (v) podstawę prawną przetwarzania, wraz z wyszczególnieniem kategorii uzasadnionego interesu Gynkar, jeśli podstawą jest uzasadniony interes, (vi) sposób zbierania danych, (vii) opis kategorii odbiorców danych (w tym przetwarzających), (viii) informację o przekazaniu poza EU/EOG; (ix) ogólny opis technicznych i organizacyjnych środków ochrony danych.

Wzór Rejestru stanowi Załącznik nr1  do Polityki – „Wzór Rejestru

3.       Podstawy prawne przetwarzania.

3.1. Gynkar zapewnia podstawy prawne przetwarzania danych i gromadzi je w Rejestrze dla poszczególnych czynności przetwarzania. W  tym celu:

a)       utrzymuje system zarządzania zgodami na przetwarzanie danych i komunikację na odległość , prowadząc stosowny rejestr udzielonych zgód na przetwarzanie danych, wskazując datę cofnięcia zgody lub zgłoszonych innych czynności przez osobę, której dane dotyczą (sprzeciw wobec przetwarzania danych, żądanie ograniczenia przetwarzania danych, itp.)

b)      gromadzi i przechowuje zgody na przetwarzanie danych osobowych,(wzór zgody na przetwarzanie danych osobowych stanowi załącznik nr 2 do niniejszej Polityki), zgoda udzielana jest na piśmie w dwóch egzemplarzach, spośród których jeden zostaje w Gynkar, drugi zaś otrzymuje osoba, której dane dotyczą;

c)       inwentaryzuje i uszczegóławia uzasadnienie przypadków, gdy przetwarzanie danych ma odbywać się na podstawie prawnie uzasadnionego interesu Gynkar, oraz zapewnia, by kierownik jednostki organizacyjnej lub współpracownik Gynkar znał szczegółowy i konkretny interes Gynkar realizowany przetwarzaniem tych danych osobowych,

d)       wskazując ogólną podstawę prawną przetwarzania danych, Gynkar doprecyzowuje w miarę możliwości szczegółowy zakres podstawy poprzez wskazanie konkretnego przepisu prawnego, dokumentu, zakresu udzielonej zgody, konkretnego celu, który jest uzasadniony dla przetwarzania danych;

 

4.       Obsługa praw jednostki.

4.1.  Gynkar spełnia obowiązki informacyjne względem osób, których dane przetwarza, oraz zapewnia obsługę ich praw, realizując otrzymane w tym zakresie żądania. W tym celu Gynkar:

a)       przy zbieraniu danych przekazuje osobom prawem wymagane informacje oraz organizuje i zapewnia udokumentowanie realizacji tych obowiązków poprzez zawarcie w formularzu zgody na przetwarzanie danych osobowych klauzul informacyjnych zgodnych z RODO;

b)      na każde żądanie udziela informacji w zakresie określonym odrębną Procedurą, która stanowi załącznik nr 3 do niniejszej Polityki

c)       weryfikuje i zapewnia możliwość efektywnego wykonania każdego typu żądania  w zakresie danych osobowych przez siebie i swoich przetwarzających, o ile spełnienie tych żądań nie jest powiązane z nadmiernymi kosztami dla Gynkar;

d)      stosuje procedury pozwalające na wykrywanie naruszeń w zakresie przetwarzania danych osobowych i ustalenie konieczności zawiadomienia osób dotkniętych zidentyfikowanym naruszeniem ochrony danych – Procedura postępowania w razie incydentu bezpieczeństwa stanowi załącznik nr 4 do niniejszej Polityki.

4.2. Żądania osób w zakresie danych osobowych, w tym do nieprzetwarzania danych osoby, dostępu do danych, uzyskania kopii danych, sprostowania, uzupełniania lub usunięcia danych, ograniczenia ich przetwarzania, przenoszenia danych, sprzeciwu wobec przetwarzania danych (w tym sprzeciwu w szczególnej sytuacji, przy badaniach naukowych, historycznych lub celach statystycznych, względem marketingu bezpośredniego oraz w zakresie automatycznego przetwarzania danych) realizowane są przez Gynkar na warunkach określonych w Procedurze Udzielania Informacji i Realizacji Żądań stanowiącej załącznik nr 3 do niniejszej Polityki.

 

5.       Minimalizacja.

5.1. Gynkar dba o minimalizację przetwarzania danych pod kątem adekwatności danych do celów (kategorii, ilości danych i zakresu ich przetwarzania), dostępu do danych i czasu ich przechowywania. W tym celu:

a)       zapewnia, by dane gromadzone w systemie informatycznym Gynkar były ograniczone wyłącznie do danych niezbędnych do prawidłowego świadczenia usług przez Gynkar

b)      dokonuje okresowych (nie rzadziej niż raz na rok) przeglądów ilości przetwarzanych danych i zakresu ich przetwarzania;

c)       stosuje ograniczenia dostępu do danych osobowych następujących kategorii:

-        prawne: upoważnienia do przetwarzania danych osobowych, zobowiązania do poufności, umowy o powierzenie przetwarzania danych osobowych, których wzory stanowią załącznik nr 5 do niniejszej Polityki;

-         fizyczne: zamykane pomieszczenia, w których gromadzone i przetwarzane są dane osobowe

-        logiczne: ograniczenia uprawnień do systemów, w których przetwarzane są dane osobowe i zasobów sieciowych, w których zgromadzone są dane osobowe;

d)      przy każdorazowej zmianie personelu lub podmiotów przetwarzających dokonywana jest aktualizacja uprawnień dostępowych oraz upoważnień

e)      kontroluje okresowo cykl życia danych osobowych, w tym dokonuje weryfikacji dalszej przydatności danych względem terminów i punktów kontrolnych wskazanych w Rejestrze. Dane, których zakres przydatności ulega ograniczeniu wraz z upływem czasu, są usuwane z systemu Gynkar, jak też z akt podręcznych i głównych. Dane takie mogą być archiwizowane oraz znajdować się na kopiach zapasowych systemów i informacji przetwarzanych przez Gynkar. Procedury archiwizacji i korzystania z archiwów, tworzenia i wykorzystania kopii zapasowych uwzględniają wymagania kontroli nad cyklem życia danych, a w tym wymogi usuwania danych.

5.2. Upoważnienia do przetwarzania danych osobowych nadaje Administrator Danych Osobowych w formie pisemnego dokumentu, po przeprowadzeniu szkolenia lub zaznajomieniu - w innej formie, osoby upoważnianej z zasadami ochrony danych osobowych. Upoważnienie nadawane jest indywidualnie, z wyraźnym wskazaniem, jakie kategorie danych obejmuje swoim zakresem. Wzór upoważnienia oraz szczegółowy tryb nadania, zmiany i utraty upoważnienia stanowi Załącznik nr 5 do Polityki. Każda osoba, która uzyskała upoważnienie do przetwarzania danych, zobowiązana jest do ich ochrony w sposób zgodny z przepisami Ustawy, RODO oraz postanowieniami niniejszej Polityki.

5.3. Osoba upoważniona zobowiązana jest do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. Obowiązek ten istnieje także po ustaniu zatrudnienia. Stosowny zapis o przyjęciu zobowiązania do zachowania w tajemnicy przetwarzanych danych osobowych zawiera upoważnienie, którego wzór znajduje się w Załączniku nr 5.

5.4. Przyjęte przez Gynkar środki i zasady bezpieczeństwa, w tym zasady kontroli dostępu do danych  zostały opisane w punkcie 6 poniżej. Opis środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych stanowi Załącznik nr 6 do niniejszej Polityki.

 

6.       Bezpieczeństwo.

6.1. Gynkar zapewnia odpowiedni poziom bezpieczeństwa danych, w tym:

a)       przeprowadza analizy ryzyka dla czynności przetwarzania danych lub ich kategorii;

b)      przeprowadza oceny skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw i wolności osób jest wysokie;

c)       dostosowuje środki ochrony danych do ustalonego ryzyka;

d)      posiada system zarządzania bezpieczeństwem informacji;

e)      stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych – odpowiednia procedura stanowi załącznik nr 4 do niniejszej Polityki;

f)        dba o odpowiedni stan wiedzy o bezpieczeństwie informacji oraz cyberbezpieczeństwie.

6.2. Przed wdrożeniem odpowiednich środków bezpieczeństwa Gynkar dokonał analizy ryzyka naruszenia praw lub wolności osób fizycznych dla czynności przetwarzania danych, w tym możliwe sytuacje i scenariusze naruszenia ochrony danych osobowych, uwzględniając charakter, zakres, kontekst i cele przetwarzania, ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

6.3.  W oparciu o powyższą analizę Gynkar przyjął następujące  zasady i środki bezpieczeństwa:

6.3.1.       Dostęp do danych osobowych ma Michał Łojewski, oraz osoby upoważnione do ich przetwarzania.

6.3.2.       Przebywanie osób nieuprawnionych do przetwarzania danych w pomieszczeniu, w którym przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby upoważnionej do ich przetwarzania, chyba, że dane te są w odpowiedni sposób zabezpieczone przed dostępem.

6.3.3.       Za bezpieczeństwo przetwarzania danych osobowych w określonym zbiorze, indywidualną odpowiedzialność ponosi przede wszystkim każda osoba upoważniona do ich przetwarzania.

6.3.4.       Pracownicy /współpracownicy mający dostęp do danych osobowych nie mogą ich ujawniać zarówno w miejscu pracy, jak i poza nim, w sposób wykraczający poza czynności związane z ich przetwarzaniem w zakresie obowiązków służbowych, w ramach udzielonego upoważnienia do przetwarzania danych.

6.3.5.       Nikomu nie należy udostępniać indywidualnych haseł i identyfikatorów do systemów informatycznych.

6.3.6.       Wysyłanie seryjnych wiadomości e-mail wymaga zastosowania opcji „kopia ukryta”.

6.3.7.       Nie można udzielać informacji dotyczących danych osobowych innym podmiotom na podstawie prośby o takie dane skierowanej w formie zapytania telefonicznego.

6.3.8.       W miejscu przetwarzania danych osobowych utrwalonych w formie papierowej pracownicy/współpracownicy zobowiązani są do stosowania zasady tzw. „czystego biurka”. Zasada ta oznacza nie pozostawianie materiałów zawierających dane osobowe w miejscu umożliwiającym fizyczny dostęp do nich osobom nieuprawnionym. Za realizację powyższej zasady odpowiedzialny jest na swym stanowisku każdy z Pracowników.

6.3.9.       Niszczenie brudnopisów, błędnych lub zbędnych kopii materiałów zawierających dane osobowe musi odbywać się w sposób uniemożliwiający odczytanie zawartej w nich treści, np. z wykorzystaniem niszczarek.

6.3.10.    Niedopuszczalne jest wynoszenie materiałów zawierających dane osobowe poza obszar ich przetwarzania bez związku z wykonywaniem czynności służbowych. Za bezpieczeństwo i zwrot materiałów zawierających dane osobowe odpowiada w tym przypadku osoba dokonująca ich wyniesienia.

6.3.11.    Po zakończeniu pracy w systemie informatycznym, w którym przechowywane są dane osobowe, należy wylogować się z systemu.

6.3.12.    Osoba użytkująca komputer przenośny zawierający dane osobowe zobowiązana jest do zachowania szczególnej ostrożności podczas jego transportu, przechowywania i użytkowania poza obszarem, w którym przetwarzane są dane osobowe.

6.3.13.    Przebywanie osób nieuprawnionych w pomieszczeniu, w którym przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania danych osobowych, chyba że dane te są w odpowiedni sposób zabezpieczone przed dostępem.

6.4. W sytuacji, w której zgodnie z analizą ryzyka , ryzyko naruszenia praw i wolności osób jest wysokie, Gynkar dokonuje oceny skutków planowanych operacji przetwarzania danych osobowych dla ochrony danych osobowych.

6.5. W celu zapewnienia odpowiedniego poziomu bezpieczeństwa danych osobowych, Gynkar stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych osobowych Urzędowi Ochrony Danych w terminie 72 godzin od ustalenia naruszenia. W miarę możliwości technicznych, Gynkar niezwłocznie informuje osobę o możliwości naruszenia ochrony jej danych osobowych. Szczegółowa procedura w tym zakresie stanowi załącznik nr 4 do niniejszej Polityki.

 

7.       Przetwarzający.

7.1.  Gynkar dobiera przetwarzających dane na rzecz Gynkar, z zachowaniem  wymogów co do warunków przetwarzania danych określonych w umowie powierzenia, w celu zapewnienia aby przetwarzający dane dawali wystarczające gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa danych, realizacji praw jednostki i innych obowiązków ochrony danych spoczywających na Gynkar.

7.2. Podmioty, którym Gynkar powierza przetwarzanie danych zobowiązane są do stosowania co najmniej takich wymogów, jakie stosuje Gynkar w zakresie ochrony danych osobowych oraz zapewnienia ich integralności i poufności i ponoszą odpowiedzialność za przetwarzanie danych osobowych zgodnie z przepisami prawa obowiązującego w zakresie ochrony danych osobowych.

7.3. Gynkar okresowo kontroluje i  rozlicza przetwarzających w zakresie  wymagań wynikających z zasad powierzenia danych osobowych.

 

8.        Eksport danych.

8.1. Gynkar posiada zasady weryfikacji, czy nie przekazuje danych do państw trzecich (t.j. poza UE, Norwegię, Liechtenstein, Islandię) lub do organizacji międzynarodowych oraz zapewnienia zgodnych z prawem warunków takiego przekazywania, jeśli ma ono miejsce.

8.2. W Rejestrze zapisywane są przypadki eksportu danych poza EOG. Aby uniknąć sytuacji nieautoryzowanego eksportu danych, w szczególności w związku z wykorzystaniem publicznie dostępnych usług chmurowych, Gynkar okresowo weryfikuje zachowania użytkowników systemów (pracowników, współpracowników) oraz w miarę możliwości udostępnia zgodne z prawem rozwiązania równoważne.

 

9.       Privacy by design.

9.1. Gynkar zarządza zmianami wpływającymi na prywatność. W tym celu procedury uruchamiania nowych projektów i inwestycji w Gynkar uwzględniają konieczność oceny wpływu danej zmiany na ochronę danych, analizę ryzyka, zapewnienie prywatności (a w tym zgodności celów przetwarzania, bezpieczeństwa danych i minimalizacji) już w fazie projektowania zmiany, inwestycji czy na początku nowego projektu.

9.2. W przypadku ustalenia, że planowany projekt niesie znaczne ryzyko naruszenia praw i wolności osób w zakresie ochrony danych, Gynkar dokona niezbędnej modyfikacji projektu lub zamierzenia w celu zapewnienia należytej ochrony danych albo odstąpi w całości od planów realizacji danego projektu lub zamierzenia.

 

10.   Przetwarzanie transgraniczne.

10.1.                    Gynkar nie przetwarza danych w kontekście trans granicznym. W sytuacji, w której dojdzie do takiego przetwarzania, wdroży zasady weryfikacji, kiedy zachodzą przypadki przetwarzania transgranicznego oraz zasady ustalania wiodącego organu nadzorczego i głównej jednostki organizacyjnej w rozumieniu RODO.

 

V.                  POSTANOWIENIA KOŃCOWE

1.       Niniejsza Polityka wchodzi w życie z dniem 25 maja 2018 roku. Wszelkie zmiany do Polityki wymagają formy pisemnej pod rygorem nieważności.

2.       Wszystkie załączniki stanowią integralną część niniejszej Polityki.

3.       W sprawach nieuregulowanych zastosowanie mają odpowiednie procedury stanowiące załączniki do niniejszej Polityki oraz przepisy prawa powszechnie obowiązującego.