Polityka ochrony danych osobowych

  1. Definicje i skróty
    1. Wymienionym poniżej pojęciom użytym w Polityce nadaje się następujące znaczenia:
      1. Kancelaria – Kancelaria SWB, Swaton, Wasilewski, Bakalarczyk, Bednarski, Adwokat i Radcowie Prawni Spółka Partnerska z siedzibą w Łodzi (90-451), przy ul. Piotrkowskiej 211 lok. 6/6a;
      2. Podmiot Danych – osoba fizyczna, której dane osobowe dotyczą;
      3. Kierownictwo Kancelarii – Partnerzy Kancelarii w rozumieniu art. 86 § 1 ustawy z dnia 15 września 2000 r. Kodeks spółek handlowych (Dz.U. z 2022 r., poz. 1467 ze zm.);
      4. Administrator Systemu Informatycznego – Podmiot współpracujący z Kancelarią odpowiedzialny za bezpieczeństwo systemów informatycznych Kancelarii, w tym za wdrożenie o stosowanie w nich zasad bezpieczeństwa lub odpowiednia osoba wybrana do tego celu ze struktur kadrowych Kancelarii;
      5. Osoba Upoważniona – osoba, która została upoważniona przez Kancelarię do przetwarzania danych osobowych (każdy Pracownik lub Współpracownik);
      6. Pracownik – osoba wykonująca pracę dla Kancelarii na podstawie umowy o pracę;
      7. Współpracownik – osoba fizyczna, w tym osoba fizyczna prowadząca działalność gospodarczą, współpracująca z Kancelarią na podstawie umowy cywilnoprawnej;
      8. Użytkownik – osoba fizyczna korzystająca z Systemów Informatycznych;
      9. Dane Służbowe – dane osobowe ściśle związane jedynie z życiem zawodowym Pracownika/Współpracownika oraz z wykonywaniem przez niego obowiązków służbowych, należą do nich: imię, nazwisko, stanowisko, miejsce pracy, służbowy telefon, służbowy adres e-mail, Identyfikator Użytkownika (login), numer IP użytkowanej Stacji Roboczej;
      10. Dane Szczególnej Kategorii – dane osobowe o których mowa w art. 9 ust. 1 RODO, tj. informacje określające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby;
      11. Dane Osobowe Dotyczące Karalności – dane dotyczące wyroków skazujących i czynów zabronionych lub powiązanych środków bezpieczeństwa;
      12. Integralność Danych – właściwość danych zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
      13. Poufności Danych – właściwość danych zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom;
      14. Rozporządzenie – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, s. 2);
      15. Ustawa – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781);
      16. Polityka – niniejszy dokument;
      17. Rejestr Czynności Przetwarzania Danych Osobowych – rejestr, o którym mowa w art. 30 ust. 1 Rozporządzenia;
      18. Rejestr Kategorii Czynności Przetwarzania – rejestr, o którym mowa w art. 30 ust. 2 Rozporządzenia;
      19. Identyfikator Użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę korzystającą z Systemu Informatycznego;
      20. Oprogramowanie Systemowe (system operacyjny) – oprogramowanie zarządzające systemem komputerowym, tworzące środowisko do uruchamiania i kontroli zadań, w tym Aplikacji Komputerowych;
      21. Aplikacja Komputerowa, Aplikacja – każdy samodzielny program lub element pakietu oprogramowania, który nie jest zaliczany do Oprogramowania Systemowego lub Oprogramowania Narzędziowego, do aplikacji należą np. różnego typu edytory, w tym graficzne i dźwiękowe; programy do zarządzania przedsiębiorstwem, w tym finansowo-księgowe, kadrowo-płacowe, gospodarki materiałowej, zarządzania zasobami ludzkimi oraz programy do obsługi multimediów;
      22. Oprogramowanie Narzędziowe – rodzaj oprogramowania, które wspomaga zarządzanie zasobami sprzętowymi poprzez dogodne interfejsy użytkowe oraz usprawnia i modyfikuje Oprogramowanie Systemowe w celu wykonywania programów w bardziej wygodny, i wydajny sposób, a przy tym pozbawiony błędów (np. defragmentator dysków lub oprogramowanie przeznaczone do zdalnego kontrolowania systemu operacyjnego poprzez Internet bez konieczności instalacji serwera lub klienta w pamięci masowej komputera);
      23. Oprogramowanie Złośliwe – rodzaj oprogramowania, którego celem jest uzyskanie dla jego Użytkownika nieuprawnionego dostępu do Środowiska Teleinformatycznego, w tym do przetwarzanych w tym środowisku danych osobowych;
      24. Oprogramowanie Antywirusowe – rodzaj Oprogramowania narzędziowego służącego do ochrony Infrastruktury Teleinformatycznej przed skutkami działania Oprogramowania Złośliwego;
      25. Infrastruktura Teleinformatyczna (sieć) – zespół urządzeń i łączy transmisyjnych obejmujący w szczególności platformy sprzętowe (w tym: serwery, macierze, stacje robocze), sieć teleinformatyczną (w tym: routery, przełączniki, zapory sieciowe oraz inne urządzenia sieciowe), Oprogramowanie Systemowe oraz inne elementy umożliwiające bezawaryjną i bezpieczną pracę ww. zasobów (w tym zasilacze UPS, generatory prądotwórcze, urządzenia klimatyzacyjne), także te wykorzystywane w ośrodkach zapasowych danego podmiotu;
      26. Środowisko Teleinformatyczne – Infrastruktura Teleinformatyczna danego podmiotu lub podmiotu zewnętrznego z którego dany podmiot korzysta dla swoich celów (np. podmioty oferujące dostęp do serwerów poczty elektronicznej) wraz z wykorzystującymi ją Systemami Informatycznymi;
      27. System Informatyczny – Aplikacja Komputerowa lub zbiór powiązanych Aplikacji Komputerowych, którego celem jest przetwarzanie danych;
      28. Sieć Publiczna – sieć telekomunikacyjna wykorzystywana głównie do świadczenia publicznie dostępnych usług telekomunikacyjnych, np. Internet;
      29. Stacja Robocza – komputer stacjonarny lub komputer przenośny;
      30. Nośnik Danych – przedmiot fizyczny, na którym możliwe jest utrwalenie i późniejsze odczytanie informacji. Fizycznym nośnikiem danych może być wydrukowana umowa, pendrive, notatnik, czy samoprzylepna kartka;
      31. Informatyczny Nośnik Danych – materiał lub urządzenie służące do zapisywania, przechowywania i odczytywania danych w postaci cyfrowej;
      32. Sprzęt Elektroniczny – Stacja Robocza, telefon komórkowy (w tym smartphone), tablet, itp.;
      33. Obszar Przetwarzania Danych – budynek, pomieszczenie lub część pomieszczenia, w którym przetwarzane są dane osobowe;
      34. Kopia Zapasowa – zbiór powielonych danych mający służyć odtworzeniu oryginalnych danych w przypadku ich utraty, zniszczenia lub modyfikacji.
      35. Środki Techniczne, Organizacyjne i Fizyczne – metoda lub sposób, które zastosowane w procesie przetwarzania danych osobowych powinny w sposób efektywny uwzględniać stosowanie zasad ochrony danych osobowych wynikających z art. 5 RODO, redukując przy okazji ryzyka naruszenia praw i wolności osób, których dane dotyczą, np. przekazywanie klauzul informujących o przetwarzaniu danych osobowych na etapie zbierania danych osobowych;
      36. Zabezpieczenia – rodzaj Środków Technicznych, Organizacyjnych i Fizycznych, które służą zapewnieniu realizacji zasady integralności oraz poufności danych, o której mowa w art. 5 ust. 1 lit. f) RODO;
      37. Zagrożenia Bezpieczeństwa Danych Osobowych – potencjalna przyczyna niepożądanego zdarzenia, które może wywołać szkodę w zasobach służących do przetwarzania danych osobowych;
      38. Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;
      39. Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie Użytkownikowi lub Kierownictwu Kancelarii;
      40. Usuwanie Danych – działanie na danych osobowych polegające na niszczeniu nośnika danych osobowych lub takiej modyfikacji danych, aby utraciły nieodwracalnie cechy danych osobowych;
      41. Anonimizacja Danych – czynność przetwarzania danych osobowych polegająca na przekształceniu tych danych w sposób uniemożliwiający przyporządkowanie poszczególnych informacji do określonej lub możliwej do zidentyfikowania osoby fizycznej albo jeżeli przyporządkowanie takie wymagałoby niewspółmiernych kosztów, czasu lub działań;
      42. Szyfrowanie Danych – przekształcenie danych jawnych w dane niejawne według zdefiniowanego klucza lub kluczy, umożliwiających jednocześnie ujawnienie danych po ich utajnieniu;
      43. Polityka Retencji – zasady i sposoby przetwarzania danych osobowych w Kancelarii służące zapewnieniu, że Przechowywanie Danych będzie trwało, przez okres nie dłuższy niż jest to niezbędne dla celów, w których dane były zebrane lub pozyskane lub w okresie dłuższym wyłącznie, jeśli będzie to służyć Celom Archiwalnym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy odpowiednich przepisów;
      44. Przechowywanie Danych – jedna z czynności przetwarzania; forma utrzymywania danych osobowych na Nośnikach Danych, której skutkiem jest możliwość odczytu lub uzyskania dostępu do danych osobowych w postaci niezanonimizowanej w przyszłości;
      45. Proces Przetwarzania – zestaw czynności dokonywanych na danych osobowych służących osiągnięciu określonego celu lub zbioru celów powiązanych ze sobą operacyjnie;
      46. Cele Archiwalne – czynności podejmowane w interesie publicznym na podstawie przepisów regulujących materię archiwizacji dokumentów, tj. m.in. o działalności gospodarczej w zakresie przechowywania dokumentacji płacowej pracodawców;
    2. Użyte w Polityce pojęcia, których poszczególne wyrazy rozpoczynają się małą literą i nie są w nim zdefiniowane, takie jak: „administrator”, „podmiot przetwarzający”, „strona trzecia”, „dane osobowe”, „przetwarzanie” „naruszenie ochrony danych osobowych”, „organ nadzorczy”, „zbiór danych”, „pseudonimizacja”, „zgoda” mają takie samo znaczenie jak w art. 4 Rozporządzenia.
    3. Użyte w Polityce skróty mają następujące rozwinięcie:
      1. ASI – Administrator Systemu Informatycznego;
      2. PUODO – Prezes UODO;
      3. RODO – Rozporządzenie;
      4. 1.3.4.STOF – Środki Techniczne, Organizacyjne i Fizyczne;
      5. UPS – z ang. Uninterruptible Power Supply
      6. VPN – z ang. Virtual Private Network
      7. 1.3.7.ZBDO – Zagrożenia Bezpieczeństwa Danych Osobowych;
  1. Cele i zakres Polityki
    1. 2.1.Polityka stanowi zbiór zasad, wytycznych, procedur oraz praktycznych wskazówek, zgodnie z którymi powinny być przetwarzane dane osobowe w Kancelarii. 
    2. 2.2.Wszelkie inne dokumenty, w tym zarządzania, procedury lub instrukcje przyjmowane przez Kancelarię i dotyczące przetwarzania danych osobowych powinny być spójne z Polityką.
    3. 2.3.Celem wdrożenia Polityki jest określenie jednolitych sposobów przetwarzania danych z zachowaniem następujących zasad wskazanych w art. 5 RODO:
      1. 2.3.1.zgodność z prawem;
      2. 2.3.2.rzetelność;
      3. 2.3.3.przejrzystość;
      4. 2.3.4.ograniczenia celu;
      5. 2.3.5.minimalizacja danych;
      6. 2.3.6.prawidłowości;
      7. 2.3.7.ograniczenia przechowywania;
      8. 2.3.8.integralności i poufności.
    4. 2.4.Polityka dotyczy zarówno przetwarzania danych, których administratorem jest Kancelaria oraz tych, które Kancelaria przetwarza jako podmiot przetwarzający lub dalszy podmiot przetwarzający.
  2. Rola i odpowiedzialność związane z ochroną danych
    1. 3.1.W związku z realizacją Polityki na Kierownictwie Kancelarii spoczywa obowiązek:
      1. zapewnienia wdrożenia STOF niezbędnych do osiągnięcia celów Polityki;
      2. zapewnienia przestrzegania przez Pracowników oraz Współpracowników przetwarzających dane osobowe zasad określonych w Polityce;
      3. korzystania z podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich STOF w swoich przedsiębiorstwach; 
      4. zapewniania realizacji obowiązku informacyjnego wynikającego z art. 13 lub 14 RODO;
      5. spełniania zasady domyślnej ochrony danych osobowych oraz ochrony danych osobowych na etapie ich projektowania, w tym, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania;
      6. określenia zasad i procedur dopuszczania do przetwarzania danych osobowych;
      7. udzielania Podmiotowi Danych informacji na temat przetwarzanych danych osobowych zgodnie z art. 12, art. 15 oraz art. 34 RODO;
      8. sprawnej i skutecznej realizacji praw Podmiotu Danych wyrażonych w Rozdziale III RODO, a w szczególności prawo do sprostowania danych osobowych, prawo do usunięcia danych osobowych, prawo do ograniczenia przetwarzania, prawo do sprzeciwu, prawo do przenoszenia danych;
      9. zgłaszania PUODO naruszeń ochrony danych osobowych zgodnie z art. 33 RODO;
      10. zapewnienia dla osób dopuszczonych do przetwarzania danych osobowych cyklicznych szkoleń w zakresie ochrony danych osobowych;
      11. zapewnia prowadzenie kampanii informacyjnych w Kancelarii przypominających o zasadach ochrony danych osobowych.
    2. 3.2.W związku z realizacją Polityki na Osobie Upoważnionej spoczywa obowiązek:
      1. zapewnienia przestrzegania Polityki;
      2. informowania Kierownictwa Kancelarii o naruszeniach ochrony danych osobowych;
      3. dochowania szczególnej staranności przy przetwarzaniu danych osobowych w celu ochrony interesów Podmiotów Danych;
      4. przetwarzania danych osobowych, w zakresie wynikającym z otrzymanego upoważnienia do przetwarzania danych osobowych;
      5. zachowania w tajemnicy danych osobowych oraz informacji o stosowanych przez Kancelarię STOF, jak również treści Polityki.
    3. 3.3.Nadzór nad przestrzeganiem procedury nadawania, weryfikowania i cofania uprawnień do przetwarzania danych osobowych i rejestrowania tych uprawnień w Systemie Informatycznym sprawuje wyznaczony przez Kierownictwo Kancelarii do realizacji tego zadania Pracownik lub Współpracownik Kancelarii.
    4. 3.4.Nadzór, o którym mowa w ustępie poprzedzającym, polega w szczególności na tym, że w razie wystąpienia okoliczności uzasadniających fakt niewypełnienia obowiązków nałożonych procedurą nadawania, weryfikowania i cofania uprawnień do przetwarzania danych osobowych i rejestrowania tych uprawnień w Systemie Informatycznym na Użytkowników lub bezpośrednich przełożonych, wyznaczony przez Kierownictwo Kancelarii do realizacji tego zadania Pracownik lub Współpracownik Kancelarii może wszcząć realizację procedury oraz wnioskować o zastosowanie adekwatnych do wagi naruszenia środków, o których mowa w rozdziale 6 Polityki.
  1. Sposoby realizacja zasady integralności i poufności
    1. 4.1.Dla osiągnięcia realizacji zasady integralności i poufności wdrożono i stosuje się następujące Zabezpieczenia o charakterze organizacyjnym:
      1. 4.1.1.każdy z Pracowników lub Współpracowników dopuszczonych do przetwarzania danych osobowych powinien zostać upoważniony do przetwarzania danych. Standardowy wzór upoważnienia stanowi Załącznik nr 1 do Polityki;
      2. każdy Użytkownik powinien posiadać Identyfikator Użytkownika i Hasło, składające się co z najmniej 10 znaków, w tym kombinacji małych i wielkich liter (z czego m.in. jednej cyfry i jednego znaku specjalnego);
      3. odebranie uprawnień Użytkownikowi w Systemie Informatycznym powinno nastąpić niezwłocznie na zasadach określonych w rozdziale 16 Polityki,
      4. z podmiotami przetwarzającymi Kancelaria zawiera umowy powierzenia lub stosuje inne instrumenty prawne w rozumieniu art. 28 ust. 3 RODO. . Do podmiotów przetwarzających dane osobowe na rzecz Kancelarii należą dostawcy usług, którzy nie posiadają oddzielnego interesu prawnego do przetwarzania danych (np. dostawcy usług księgowo-finansowych, kadrowo-płacowych, informatycznych, itp). Z takimi podmiotami należy podpisać umowę o powierzenie przetwarzanie danych osobowych (załącznik nr 4). Nie będą nimi natomiast np. inne kancelarie prawne, gdyż posiadają one osobny interes prawny (np. w zakresie odpowiedzialności dyscyplinarnej) do przetwarzania danych. W pewnych okolicznościach Kancelaria również może być podmiotem przetwarzającym dane osobowe na rzecz innych podmiotów. Dzieje się to w przypadku świadczenia przez Kancelarię usług nie będących typowymi usługami prawnymi (np. zastępstwa procesowego). Przykładem takich usług może być prowadzenie szkoleń wewnętrznych na rzecz innej spółki. W takim przypadku zawrzeć należy umowę stanowiącą załącznik nr 5;
      5. strony trzecie (np. serwisanci, goście, audytorzy) przebywają w Obszarze Przetwarzania Danych, wyłącznie w obecności Osoby Upoważnionej;
      6. strony trzecie mogą w wyjątkowych okolicznościach przebywać w Obszarze Przetwarzania Danych, po uprzednim wydaniu na to zgody przez Kancelarię;
      7. nie należy pozostawiać Nośników Danych zawierających dane osobowe w miejscach publicznie dostępnych;
      8. po zakończeniu pracy, a także przed opuszczeniem stanowiska pracy na dłuższy czas, dokumenty papierowe powinny być zabierane z biurka i chowane do szuflad/szaf i zamykane na klucz; 
      9. klucze po zamknięciu szaf/szuflad są zabierane i przechowywane w bezpiecznym miejscu; 
      10. klucz nie może być pozostawiony na biurku (np. pod klawiaturą);
      11. od osób przetwarzających dane osobowe, w tym Osób Upoważnionych są odbierane oświadczenia o zachowaniu w tajemnicy danych osobowych i sposobów ich zabezpieczenia; wzór oświadczenia składanego przez Pracowników/Współpracowników stanowi załącznik nr 2; 
      12. w celu uniknięcia pomyłkowego skierowania przesyłek, listów lub paczek do osób posiadających podobne lub tożsame imiona i nazwiska, należy dwukrotnie sprawdzać, czy przekazywane im przesyłki, listy lub przedmioty są prawidłowo przypisane do ich adresatów wskazanych na kopertach lub naklejkach adresowych;
      13. jeśli przesyłki, listy oraz paczki nadawane są za pośrednictwem operatora pocztowego, odbiór przez niego tych materiałów od nadawcy powinien być przez niego potwierdzony;
      14. jeżeli System Operacyjny lub System Informatycznych nie wymusza zmiany Hasła, Użytkownik jest zobowiązany okresowo dokonywać ich zmiany.
      15. Osoby Upoważnione powinny zostać:
        1. przeszkolone w niezbędnym na ich stanowisku zakresie ze stosowanych Zabezpieczeń;
        2. zobowiązane do ustawienia monitorów Stacji Roboczych w sposób, który uniemożliwi innym osobom zobaczenie wyświetlanych na monitorze informacji;
        3. zobowiązane do blokowania ekranów Stacji Roboczych w przypadku opuszczenia swojego stanowiska pracy;
        4. zobowiązane do wyłączania Stacji Roboczej na koniec dnia pracy (nie zostawiać go w trybie uśpienia).
    2. 4.2.Dla osiągnięcia celu, o którym mowa w pkt. 4.1. wdrożono i stosuje się następujące Zabezpieczenia o charakterze technicznym:
      1. wejście do pomieszczeń wchodzących w skład Obszaru Przetwarzania Danych jest zabezpieczony przed dostępem osób nieuprawnionych poprzez zastosowanie zamków patentowych;
      2. wgląd do ekranów monitorów Stacji Roboczych znajdujących się w miejscach, w których strony trzecie mogłyby łatwo uzyskać jest ograniczony;
      3. dostęp do dokumentów papierowych jest ograniczony poprzez przechowywanie ich w zamykanych szafkach, szafach lub szufladach;
      4. dostęp do danych w Systemie Informatycznym jest możliwy wyłącznie po udanym Uwierzytelnieniu;
      5. dostęp do danych przesyłanych Siecią Publiczną zabezpiecza się poprzez Szyfrowanie Danych (np. poprzez nakładanie haseł na przesyłane pliki skutkujące jego szyfrowaniem, a hasła do plików przesyłane są adresatowi odrębnym kanałem komunikacyjnym);
      6. dostęp do konta Użytkownika w Systemie Operacyjnym lub Systemie informatycznym jest zabezpieczany hasłem składającym się przynajmniej z 10 znaków, w którym muszą zostać użyte kombinacje małych i wielkich liter, co najmniej jedna cyfra oraz co najmniej jeden znak specjalny;
      7. Osoba Upoważniona nie może przechowywać hasła w żadnym miejscu umożliwiającym jego zdobycie przez osoby trzecie (np. poprzez przyklejenie karteczki samoprzylepnej do laptopa lub monitora);
      8. zainfekowanie Oprogramowaniem Złośliwym Stacji Roboczych ograniczono poprzez:
        1. zainstalowanie Oprogramowania Antywirusowego pobierającego najnowsze sygnatury wirusów udostępnione przez autora oprogramowania antywirusowego, które skanuje na bieżąco wiadomości poczty elektronicznej oraz zapisywane pliki pod kątem występowania w nich Oprogramowania Złośliwego,
        2. umożliwienie Osobie Upoważnionej samodzielne wywołanie Oprogramowania Antywirusowego;
      9. przesyłki, listy oraz paczki zawierające dane osobowe zabezpiecza się przez opakowanie ich w mocne koperty, pudełka lub folie, które gwarantują, że nie ulegną rozerwaniu w trakcie ich przesyłania za pośrednictwem listonosza lub kuriera;
      10. przesyłki oraz listy zawierają Dane Szczególnej Kategorii lub Dane Osobowe Dotyczące Karalności powinny być nadawane w tzw. „bezpiecznych kopertach”, czyli w kopertach, które uniemożliwiają ich prześwietlenie oraz niezauważone otwarcie przez osobę nieuprawnioną;
      11. logiczny dostęp osób nieuprawnionych z Sieci Publicznej do danych osobowych przetwarzanych w Systemach Informatycznych zabezpieczony jest poprzez zastosowanie sprzętowej zapory ogniowej (firewall); 
      12. utratę Poufności Danych na wypadek kradzieży Stacji Roboczej podczas jej transportu poza Obszar Przetwarzania Danych ogranicza się poprzez Szyfrowanie Danych na niej zapisanych na czas transportu; 
      13. utratę danych na wypadek zaniku zasilania lub zakłóceń w sieci zasilającej występujących w Infrastrukturze Teleinformatycznej ogranicza się poprzez uruchomienie awaryjnego podtrzymywanie zasilania serwerów za pomocą UPS lub wydzielonej sieci zasilania;
      14. zapewnienie dostępności danych na wypadek awarii Informatycznych Nośników Danych, na których zapisane są dane osobowe przetwarzanych produkcyjnie realizuje się poprzez cykliczne odtwarzanie takich danych zapisanych wcześniej na Kopiach Zapasowych zgodnie z wytycznymi dla poszczególnych Aplikacji;
      15. dopuszczalne jest przetwarzanie danych osobowych przez Użytkowników poza Obszarem Przetwarzania Danych (praca na odległość), wyłącznie po spełnieniu poniższych przesłanek:
        1. Stacje robocze lub Informatyczne Nośnikach Danych powinny posiadać zaszyfrowane dyski i być zabezpieczone Hasłem;
        2. nie należy pozostawiać bez nadzoru Stacji Roboczych oraz Informatycznych Nośników Danych w miejscach publicznie dostępnych;
        3. Stacje Robocze oraz Informatyczne Nośniki Danych przydzielone Pracownikom lub Współpracownikom do wykonywania zadań związanych z pracą lub współpracą mogą być wykorzystywane wyłącznie do celów służbowych;
        4. prywatne Stacje Robocze oraz Informatyczne Nośniki Danych nie mogą być wykorzystywane przez Pracowników lub Współpracowników w celach służbowych;
        5. w przypadku gdy Użytkownik wykonuje pracę wymagającą komunikacji przez Sieć Publiczną transmisja danych podlega odpowiedniemu zabezpieczeniu, np. przy użyciu VPN.
      16. Urządzenia, dyski lub inne Informatyczne Nośniki Danych, zawierające dane osobowe, przeznaczone do:
        1. likwidacji — należy wcześniej pozbawić zapisu danych osobowych, a w przypadku gdy nie jest to możliwe, należy uszkodzić dane w sposób uniemożliwiający ich odczytanie; 
        2. przekazania Stronie Trzeciej — należy wcześniej pozbawić zapisu danych osobowych, w sposób uniemożliwiający ich odczytanie;
        3. naprawy — należy wcześniej pozbawić zapisu danych osobowych w sposób uniemożliwiający ich odczytanie albo przeprowadzać naprawę pod nadzorem Osoby Upoważnionej.
  2. Sposoby zapewnienia realizacji zasady przejrzystości
    1. 5.1.Niniejszy rozdział dotyczy przetwarzania danych, dla których Kancelaria jest administratorem. W przypadkach, w których Kancelaria jest podmiotem przetwarzających, tryb realizacji obowiązku informowania powinien określić klient, który powierzył jej przetwarzanie danych osobowych.
    2. 5.2.Podmiot Danych powinien rozumieć charakter, zakres, kontekst i cele przetwarzania dotyczących go danych osobowych.
    3. 5.3.Kancelaria zapewnia, że informacje przewidziane w art. 13 i art. 14 RODO będą się dostatecznie odróżniać od pozostałych komunikowanych Podmiotowi Danych treści. 
    4. 5.4.Kancelaria zapewnia dostosowanie sposobu przedstawienia ww. informacji do kategorii Podmiotów danych, w tym informacji kierowanych do dzieci. 
    5. 5.5.Kancelaria zapewnia, że informacje podawane w ramach obowiązku informacyjnego przewidzianego w art. 13 i art. 14 RODO będą aktualne.
    6. 5.6.
    7. 5.7.Kancelaria spełnia obowiązki informacyjne w stosunku do zidentyfikowanych procesów przetwarzania danych osobowych Z(wyszczególnione w Rejestrze stanowiącym załącznik nr 3) w następujących momentach pozyskiwania danych:
      1. 5.7.1.Zbieranie danych na potrzeby promocyjne – przedstawienie Pracownikom/Współpracownikom zgody na publikację wizerunku, zgody na przetwarzanie danych osobowych w celach promocyjnych oraz klauzuli informacyjnej dot. celów promocyjnych Kancelarii (łącznie załącznik nr 6) przed zebraniem od Pracowników/Współpracowników kopii fotografii ich wizerunku;
      2. 5.7.2.Zawieranie umów z Pracownikami/Współpracownikami – dołączanie klauzuli informacyjnej dla zatrudnionych i współpracowników (załącznik nr 7) do umowy o pracę lub umowy cywilnoprawnej;
      3. 5.7.3.Strona internetowa Kancelarii – umieszczenie pod zakładką „Kontakt” (https://www.kancelariaswb.pl/kontakt/) skróconej wersji Polityki prywatności (pierwszy nagłówek załącznika nr 8). Umieszczenie w widocznym miejscu na stronie WWW Polityki prywatności (np. zamiast zakładki „zastrzeżenia prawne”) Polityki prywatności (drugi nagłówek załącznika nr 8). Uwaga – Polityka prywatności musi zawierać linki do trzech innych klauzul (załączniki 9-11). Klauzule te również muszą znajdować się na serwerze, ale linki do nich nie muszą znajdować się w żadnym miejscu na stronie WWW oprócz tych w treści Polityki prywatności;
      4. 5.7.4.Rekrutacja – dołączanie klauzuli informacyjnej dla kandydatów do współpracy (załącznik nr 9) do umieszczanych w Internecie ogłoszeń o pracę;
      5. 5.7.5.Pierwszy kontakt z pracownikami/ współpracownikami/ przedstawicielami/pełnomocnikami kontrahentów (m.in. dostawców usług, partnerów biznesowych, klientów, ośrodków akademickich, stowarzyszeń zawodowych, itp), w tym potencjalnych kontrahentów – dołączenie skróconej wersji klauzuli informacyjnej dla przedstawicieli https://www.kancelariaswb.pl/kontakt/dzikontrahentów (pierwszy nagłówek załącznika nr 10) do stopki e-maila każdego Pracownika/Współpracownika Kancelarii z linkiem prowadzącym do pełnej wersji. Zamieszczenie pełnej wersji powyższej klauzuli w przestrzeni elektronicznej (drugi nagłówek załącznika nr 10). Dołączenie powyższej klauzuli do umów zawieranych z klientem będącym osobą prawną
      6. 5.7.6.Pozyskiwanie danych klientów – wywieszenie lub umiejscowienie klauzuli informacyjnej dla klientów (załącznik nr 11) w widocznym miejscu przy sekretariacie w biurze Kancelarii. Dołączenie powyższej klauzuli do umów zawieranych z klientem będącym osobą fizyczną.
  3. Sankcje za naruszenie Polityki 
    1. 6.1.Wobec Pracownika Kancelarii, który w przypadku wykrycia naruszenia ochrony danych lub uzasadnionego domniemania powstania takiego naruszenia nie podjął działania określonego w Polityce, może zostać wszczęte postępowanie dyscyplinarne, na zasadach określonych w przepisach prawa pracy.
    2. 6.2.Kancelaria, w przypadku Współpracowników, którzy zaniechają poinformowania o podejrzeniu naruszenia ochrony danych osobowych, za których ochronę Kancelaria odpowiada, Kancelaria może rozwiązać umowę współpracy w trybie natychmiastowym oraz zażądać naprawienia szkody spowodowanej niewłaściwym wykonaniem zobowiązania na zasadach ogólnych.
  4. Procedura udzielania dostępu do przetwarzania danych osobowych
    1. 7.1.Każda osoba, która ma uzyskać dostęp do danych osobowych przetwarzanych przez Kancelarię powinna zostać do tego formalnie dopuszczona, w szczególności upoważniona przez Kancelarię do przetwarzania danych.
    2. 7.2.Przed uzyskaniem dostępu do danych osobowych każda osoba musi spełnić przesłanki potwierdzające, że uzyskanie dostępu będzie uzasadnione.
    3. 7.3.Dostęp do danych osobowych może mieć osoba, która z racji zajmowanego stanowiska, pełnionej funkcji lub wykonywanych czynności potrzebuje dostępu do danych osobowych przetwarzanych przez Kancelarię jako administratora albo podmiotu przetwarzającego.
    4. 7.4.Upoważnienie do przetwarzania danych osobowych, jego zmiana lub cofnięcie jest wydawane przez członka Kierownictwa Kancelarii lub osobę upoważnioną do tego przez Kancelarię. Jeśli inaczej tego nie zastrzeżono, upoważnienie do przetwarzania danych osobowych może oznaczać, w zależności od kontekstu, w którym zwrot ten się pojawia, również cofnięcie upoważnienia do przetwarzania danych osobowych.
    5. 7.5.Kancelaria może udzielić pełnomocnictwa do wydawania upoważnień do przetwarzania danych osobowych.
    6. Udzielenie upoważnienia Pracownikowi lub Współpracownikowi, któremu wcześniej takie upoważnienie udzielono w Kancelarii, powoduje, że wcześniejsze upoważnienia, których nie cofnięto, tracą moc z dniem nadania nowego upoważnienia. 
  5. Procedura zgłaszania naruszeń ochrony danych osobowych
    1. 8.1.Procedura definiuje katalog okoliczności mogących prowadzić do naruszenia ochrony danych osobowych przetwarzanych przez Kancelarię jako administratora oraz sposób reagowania na ww. okoliczności, w tym ograniczenie skutków wystąpienia naruszeń ochrony danych osobowych oraz zmniejszenie ryzyka ich powstania w przyszłości. 
    2. 8.2.Celem opracowania procedury jest zapewnienie skutecznej oceny zaistniałych zdarzeń w kontekście zakwalifikowania ich jako:
      1. 8.2.1. naruszenia ochrony danych osobowych,
      2. 8.2.2.naruszenia ochrony danych osobowych pociągającego za sobą konieczności zgłoszenia naruszenia ochrony danych osobowych do PUODO, 
      3. 8.2.3.naruszenia ochrony danych osobowych pociągającego za sobą konieczności zawiadomienia o naruszeniu Podmiotu Danych, którego dotyczyło naruszenie.
    3. 8.3.Za okoliczności zwiększające ryzyko naruszenia ochrony danych osobowych uznaje się następujące zdarzenia:
      1. niewłaściwe zabezpieczenie Stacji Roboczych, tabletów, telefonów, smartphone’ów, Informatycznych Nośników Danych przed kradzieżą, zniszczeniem lub utratą danych osobowych;
      2. przesłanie wiadomości pocztą elektroniczną zwierającą niezaszyfrowane pliki z danymi osobowymi, w szczególności pliki programu Microsoft Excel i Word do nieuprawnionych osób;
      3. niewłaściwe zabezpieczenie fizyczne Obszarów Przetwarzania Danych, szafek lub mebli biurowych, w których przechowywane są Nośniki Danych;
    4. 8.4.Za okoliczności stanowiące przykładowe zdarzenia stanowiące podejrzenie naruszenia ochrony danych osobowych:
      1. 8.4.1.w obrębie Obszaru Przetwarzania Danych:
        1. 8.4.1.1.ślady włamania lub prób włamania do pomieszczeń,
        2. 8.4.1.2.ślady włamania lub prób włamania do szuflad, szafek lub szaf, w których przechowywane są Nośniki Danych,
        3. 8.4.1.3.kradzież Nośników Danych
      2. 8.4.2.w obrębie sprzętu komputerowego:
        1. 8.4.2.1.kradzież lub zagubienie Stacji Roboczej,
        2. 8.4.2.2.rozkręcona obudowa Stacji Roboczej,
        3. 8.4.2.3.fizyczne zniszczenie Stacji Roboczej,
      3. 8.4.3.w obrębie Infrastruktury Teleinformatycznej:
        1. 8.4.3.1.brak możliwości uruchomienia Systemu Operacyjnego lub Aplikacji,
        2. 8.4.3.2.brak możliwości zalogowania się do Systemu Operacyjnego,
        3. 8.4.3.3.zmiana zakresu uprawnień Użytkownika w Systemie Informatycznym lub Aplikacji (brak możliwości wykonania operacji, których realizacja była wcześniej możliwa lud dostęp do wcześniej zablokowanego oprogramowania),
        4. 8.4.3.4.inny niż zwykle układ graficzny Systemu Operacyjnego lub Aplikacji,
        5. 8.4.3.5.niestandardowe komunikaty lub komunikaty błędu wyświetlane przez System Operacyjny lub Aplikację,
        6. 8.4.3.6.nieuzasadnione, znaczne spowolnienie działania Systemu Operacyjnego lub Aplikacji,
    5. 8.5.Każdy Pracownik lub Współpracownik Kancelarii, w przypadku stwierdzenia okoliczności wskazujących co najmniej na podejrzenie naruszenia ochrony danych osobowych, jest zobowiązany do niezwłocznego poinformowania o ww. okolicznościach Kierownictwo Kancelarii.
    6. 8.6.W przypadku podejrzenia wystąpienia naruszenia ochrony danych osobowych Kierownictwo Kancelarii wprowadza naruszenie do rejestru naruszeń, prowadzi postępowanie wyjaśniające, w toku, którego ustala zakres i przyczyny okoliczności wskazujących na naruszenie ochrony danych osobowych oraz jego ewentualne skutki, a następnie podejmuje analizę ryzyka naruszenia zmierzającego do oceny, czy należy zawiadomić PUODO o jego wystąpieniu;
  6. Procedura udzielania odpowiedzi na wnioski osób, których dane dotyczą
    1. W przypadku wniosku Podmiotu Danych o: dostęp do danych, sprostowanie danych, usunięcie danych, skorzystanie z prawa do przenoszenia danych, ograniczenie przetwarzania, skorzystanie ze sprzeciwu wobec przetwarzania danych, każdy Pracownik lub Współpracownik, do którego wpłynie taki wniosek jest zobowiązany przekazać go niezwłocznie Kierownictwu Kancelarii.
    2. Kierownictwo Kancelarii rozpatruje przekazany wniosek oraz ustala czy:
      1. wniosek wystarczająco identyfikuje osobę występującą z żądaniem;
      2. występują przewidziane prawem okoliczności zobowiązujące Kancelarię do podjęcia działania zgodnego z żądaniem osoby, w szczególności, czy przetwarza dane osobowe jako ich administrator,
      3. zachodzą okoliczności zobowiązujące do podjęcia działania zgodnego z żądaniem osoby.
    3. Kierownictwo Kancelarii bez zbędnej zwłoki – a w każdym razie w terminie 30 dni od otrzymania żądania – przesyła uprawnionej osobie odpowiedź na wniosek.
    4. Termin udzielenia informacji może zostać przedłużony o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania Kierownictwo Kancelarii informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.
    5. Jeśli administratorem danych, których dotyczy wniosek jest podmiot, który powierzył Kancelarii ich przetwarzanie, wniosek jest przekazywany do tego podmiotu.
    6. W razie wystąpienia uzasadnionej wątpliwość co do tożsamości osoby fizycznej składającej żądanie, Kierownictwo Kancelarii zwraca się do wnioskodawcy z żądaniem przekazania dodatkowych informacji niezbędnych do potwierdzenie tożsamości osoby;
    7. Kierownictwo Kancelarii dokłada starań, aby informacje udzielane osobie, której dane dotyczą były przekazywane w zwięzłej, przejrzystej, zrozumiałej, łatwo dostępnej formie, a także jasnym i prostym językiem;
    8. Kierownictwo Kancelarii negatywnie opiniuje wniosek osoby, której dane dotyczą, jeżeli Kancelaria:
      1. nie jest w stanie zidentyfikować Podmiotu Danych; 
      2. nie występują przewidziane prawem okoliczności zobowiązujące Kancelarię do podjęcia działania zgodnego z żądaniem wnioskodawcy.
    9. Jeżeli Kierownictwo Kancelarii w imieniu Kancelarii nie podejmuje działań zgodnych z żądaniem wnioskodawcy, informuje go o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do PUODO oraz skorzystania ze środków ochrony prawnej przed sądem;
    10. Gdy żądanie Podmiotu Danych jest ewidentnie nieuzasadnione lub nadmierne, Kancelaria ma prawo pobrać opłatę za udostępnienie informacji w wysokości odpowiadającej administracyjnym kosztom udzielenia informacji lub odmówić podjęcia działań;
    11. Kancelaria odnotowuje w rejestrze realizacji praw osób, których dane dotyczą informacje podjęte w związku z żądaniem na podstawie art. 15-22 RODO. Wzór rejestru realizacji praw osób, których dane dotyczą stanowi Załącznik nr 10.
  7. 10.Procedura usuwania danych osobowych
    1. Niniejsza procedura dotyczy Usuwania Danych, gdy jest to konieczne:
      1. 10.1.1.w związku z bieżąca pracą Pracownika lub Współpracownika.
      2. 10.1.2.ze względu na brak podstaw do ich przetwarzania w szczególności w przypadkach wskazanych w art. 17 ust. 1 RODO
    2. W szczególności za adekwatne środki służące Usuwaniu Danych uważa się:
      1. 10.2.1.umieszczenie nośników w zaplombowanych pojemnikach na dokumenty przeznczone do zniszczenia,
      2. 10.2.2.pocięcie nośników w niszczarce – uszkodzone wówczas nośniki w zaplombowanych workach powinny zostać przekazane dalej w celu całkowitego usunięcia,
      3. 10.2.3.zaczernienie fragmentów dokumentów w sposób uniemożliwiający odczytanie nadpisanych w ten sposób danych;
      4. wielokrotne nadpisanie danych,
      5. zahaszowanie danych (nie ma możliwości ich odszyfrowania).
    3. 10.3.Zabronione jest wyrzucanie:
      1. Informatycznych Nośników Danych (nawet tych, które są uszkodzone), na których mogły zostać zapisane dane osobowe do pojemników na odpady (koszy, kubłów), nawet jeśli pojemniki te są dedykowane do wyrzucania sprzętu elektrycznego i elektronicznego (w ramach segregacji odpadów);
      2. papierowych Nośników Danych do pojemników na odpady (koszy, kubły), nawet jeśli pojemniki te są dedykowane do wyrzucania papieru (w ramach segregacji odpadów).
  8. Procedura dostępu do Obszaru Przetwarzania Danych
    1. W przypadku konieczności uzyskania przez pracownika lub współpracownika kontrahenta Kancelarii dostępu do Obszaru Przetwarzania Danych bez nadzoru Osoby Upoważnionej konieczne jest wcześniejsze uzyskanie zgody osoby wyznaczonej przez Kancelarię.
    2. Zgodę uważa się za udzieloną w przypadku akceptacji przez osoby wskazane do tego przez Kancelarię planowanej obecności pracownika lub współpracownika kontrahenta. 
    3. Należy dążyć do tego, aby pracownicy lub współpracownicy kontrahenta byli nadzorowani przez wyznaczonego Pracownika lub Współpracownika, podczas przebywania w Obszarze Przetwarzania Danych.
  9. Procedura nadawania, cofania oraz zmiany uprawnień do przetwarzania danych osobowych i rejestrowania tych uprawnień w Systemie Informatycznym 
    1. Kierownictwo Kancelarii zwraca się z wnioskiem do ASIo nadanie Pracownikowi lub Współpracownikowi uprawnień w Systemie lub Systemach Informatycznych.
    2. Przed nadaniem uprawnień w Systemach Informatycznych, Pracownik lub Współpracownik powinien uzyskać dostęp do przetwarzania danych osobowych, w sposób określony w rozdziale 7.
    3. Rejestracja przez ASI uprawnień Pracownikowi lub Współpracownika w Systemie Informatycznym polega na:
      1. nadaniu Identyfikatora Użytkownika i przydzieleniu jednorazowego Hasła 
      2. wprowadzeniu do bazy Użytkowników danych dotyczących Identyfikatora Użytkownika i jednorazowego Hasła do bazy Użytkowników. 
      3. przydzielaniu Użytkownikowi wnioskowanych uprawnień w Systemie Informatycznym
    4. Zaleca się, aby pierwsze przydzielone Hasło miało charakter tymczasowy, a po jego pierwszym wprowadzeniu Użytkownik zobowiązany był do wprowadzenia nowego Hasła, znanego tylko Użytkownikowi.
    5. Wyrejestrowania Użytkownika z Systemu Informatycznego dokonuje ASI.
    6. Identyfikator Użytkownika, który utracił uprawnienia dostępu do danych osobowych należy niezwłocznie wyrejestrować z Systemu Informatycznego, w którym są one przetwarzane oraz unieważnić jej Hasło.
    7. Wyrejestrowanie może mieć charakter czasowy lub trwały.
    8. Wyrejestrowanie następuje przez:
      1. zablokowanie przez ASI konta Użytkownika do czasu ustania przyczyny uzasadniającej blokadę (wyrejestrowanie czasowe), albo
      2. usunięcie danych Użytkownika przez ASI z bazy Użytkowników systemu (wyrejestrowanie trwałe).
    9. 12.9.W przypadku powzięcia informacji przez Kierownictwo Kancelarii o okolicznościach skutkujących koniecznością zmiany uprawnień w Systemach Informatycznych temu Użytkownikowi, Kierownictwo Kancelarii informuje ASI w formie elektronicznej o konieczności zmiany uprawnień do Systemów Informatycznych;
    10. 12.10.ASI niezwłocznie dokonuje zmiany uprawnień w Systemach Informatycznych;
  10. Procedura zabezpieczenia Infrastruktury Teleinformatycznej przed działalnością Oprogramowania Złośliwego.
    1. 13.1.Na każdej Stacji Roboczej musi być zainstalowane oprogramowanie antywirusowe, które sprawuje ciągły nadzór (ciągła praca w tle) nad pracą tej stacji i jego zasobami.
    2. 13.2.Każdy e-mail oraz jego załączniki muszą być sprawdzone przez Oprogramowanie Antywirusowe pod kątem obecności wirusów.
    3. 13.3.Definicje sygnatur wirusów aktualizowane są nie rzadziej niż raz w miesiącu.
    4. 13.4.Jeżeli Oprogramowanie Antywirusowe na to pozwala, należy ustawić harmonogram zadań tak, aby przynajmniej raz w tygodniu sprawdzana była Stacja Robocza pod kątem obecności wirusów.
    5. 13.5.ASI przeprowadza cyklicznie kontrole antywirusowe na wszystkich Stacjach Roboczych co najmniej raz na trzy miesiące.
    6. 13.6.Kontrola antywirusowa przeprowadzana jest również na wybranej Stacji Roboczej w przypadku stwierdzenia nieprawidłowości zgłoszonych przez Użytkownika w funkcjonowaniu Stacji Roboczej lub Systemu Informatycznego.
    7. 13.7.W przypadku wykrycia Złośliwego Oprogramowania sprawdzane jest Stanowisko Robocze, na którym wykryto wirusa oraz wszystkie wykorzystywane przez Użytkownika Informatyczne Nośniki Danych. 
    8. 13.8.Użytkownik jest obowiązany zawiadomić ASI o pojawiających się komunikatach wskazujących na wystąpienie ZBDO wywołanego Oprogramowaniem Złośliwym.
    9. 13.9.Użytkownicy mogą korzystać z Informatycznych Nośników Danych tylko po uprzednim sprawdzeniu zawartości nośnika Oprogramowaniem Antywirusowym.
    10. 13.10.Użytkownik powinien zachować szczególną ostrożność podczas korzystania z Internetu w miejscach publicznie dostępnych lub za pomocą łączy radiowych (np. za pomocą hot spotów w pociągu, będąc w podróży służbowej na rozprawę poza miejscem siedziby Kancelarii). Należy ograniczyć w takim przypadku do minimum zakres wykonywanych operacji w sieci.
    11. 13.11.Infrastruktura Teleinformatyczna jest chroniona centralnym urządzeniem sprzętowym z wbudowanym oprogramowaniem blokującym nieuprawniony lub niepowołany dostęp do niej z Internetu (firewall).
    12. 13.12.Użytkownik nie powinien:
      1. 13.12.1.samodzielnie otwierać, uruchamiać lub instalować żadnych Aplikacji (w szczególności z rozszerzeniem „exe”, „com”, „bat”, „reg”, „scr”, „cpl”, „vbs”, „js”, „pif”, „jar”)
      2. 13.12.2.posługiwać się kontem z uprawnieniami ASI korzystając z Internetu.
  1. Procedura weryfikacji okresów Przechowywania Danych
    1. Niniejsza procedura określa środki realizacji Polityki Retencji przez Kancelarię.
    2. Dla każdego Procesu przetwarzania należy zidentyfikować okres przechowywania danych. 
    3. Okres przechowywania danych osobowych, których przetwarzanie zostało powierzone Kancelarii ustalany jest przez administratora, który dane te powierzył.
    4. Okres przechowywania danych powinien zostać zidentyfikowany przed zainicjowaniem Procesu przetwarzania.
    5. Okres przechowywania danych ustalany jest przez Kierownictwo Kancelarii, a następnie wprowadzany jest do Rejestru Czynności Przetwarzania Danych Osobowych.
    6. Okres przechowywania danych ustalany jest na podstawie kryterium występowania ważnej podstawy prawnej dla uzasadnionego celu, w ramach którego dane są przetwarzane. 
    7. Ważna podstawa prawna rozumiana jest jako możliwość legalizacji Procesu Przetwarzania w oparciu o jedną z przesłanek, o których mowa w art. 6 ust. 1 RODO lub art. 9 ust. 2 RODO (np. wyrażoną i nieodwołaną zgodę).
    8. Dane osobowe nie powinny być przechowywane dłużej niż jest to niezbędne dla realizacji celu, w którym zostały zebrane, ani dłużej niż pozwala na to podstawa prawna legalizująca przetwarzanie danych w ramach Procesu Przetwarzania. 
    9. Dane osobowe mogą być dalej przetwarzane pomimo wygaśnięcia celu, w którym zostały zebrane, jeżeli będzie to służyć celom archiwalnym. 
    10. W sytuacji, w której dalsze Przechowywanie Danych byłoby dopuszczone prawem, lecz nie wynikałoby z obowiązku prawnego, a Kancelaria nie posiadałaby już podstawy faktycznej do dalszego Przechowywania Danych, to przechowywanie takie powinno zostać zaniechane (np. w przypadku utraty aktualności danych zapisanych w CV kandydata do pracy).
    11. Kancelaria wdraża odpowiednie środki zapewnienia prawidłowości Przechowywania Danych; charakter takich środków jest uzależniony od rodzaju Nośnika Danych.
    12. W celu ustalenia czy dane osobowe powinny być dalej Przechowywane Kancelaria dokonuje cyklicznie, nie rzadziej niż raz na 12 miesięcy, przeglądów Nośników Danych, na których je zapisano. 
    13. W ramach powyższych przeglądów Kancelaria weryfikuje czy dalsze Przechowywanie Danych jest niezbędne i zgodne z prawem. 
    14. Nośniki Danych przechowywane w Obszarze Przetwarzania Danych przeznaczonym na archiwum podlegają jedynie sprawdzeniu czy okres ich przechowywania już nie upłynął.
    15. Wynik przeglądu, o którym mowa powyżej, powinien prowadzić do zaklasyfikowania Nośnika Danych jako:
      1. 14.15.1.do dalszego wykorzystania,
      2. 14.15.2.do wykorzystania w celach archiwalnych,
      3. 14.15.3.do usunięcia;
    16. 14.16.W przypadku klasyfikacji danych do dalszego wykorzystania Kancelaria dokonuje najpóźniej po 12 miesiącach ponownego przeglądu.
    17. 14.17.W przypadku klasyfikacji danych do wykorzystania w Celach Archiwalnych Nośnik Danych jest przenoszony do Obszaru Przetwarzania Danych przeznaczonego na archiwum. 
    18. 14.18.W przypadku klasyfikacji danych do usunięcia trwale niszczy się Nośnik Danych lub utrwalone na nim dane osobowe w sposób uniemożliwiający ich odtworzenie.
    19. 14.19.Dane osobowe zapisane na informatycznych Nośnikach Danych, które służą do przenoszenia danych pomiędzy Systemami Informatycznymi powinny być usuwane po dokonaniu tej czynności.

W przypadku przechowywania danych za pomocą Informatycznych Nośników Danych stanowiących cześć Infrastruktury Teleinformatycznej (tj. m.in. dyski lokalne, dyski sieciowe, chmury danych, itp.) Kancelaria stosuje automatyczne metody usuwania danych osobowych po upłynięciu okresu ich przechowywania. Do rozwiązań, o którym mowa w niniejszym podpunkcie należą m.in. zasady przechowywania plików poczty elektronicznej, które można ustawić w programie MS Outlook;

  1. 14.20.Kancelaria dokonuje nie rzadziej niż raz na 12 miesięcy cyklicznych przeglądów danych odczytywanych za pośrednictwem Systemów Informatycznych (w tym w szczególności dysków lokalnych, które obsługują Użytkownicy oraz pamięci telefonów komórkowych, tabletów i innych mobilnych urządzeń elektronicznych), których celem jest weryfikacja czy dane osobowe dalej powinny być przechowywane;
  2. 14.21.Wynik przeglądu, o którym mowa powyżej, powinien prowadzić do zaklasyfikowania danych jako przechowywanych:
    1. do wykorzystania w kolejnym roku, 
    2. do archiwizacji (w przypadku, gdy dane mogą okazać się jeszcze przydatne w celach wskazanych prawem lub w związku z dochodzeniem, ustaleniem lub obroną roszczeń),
    3. do usunięcia;
  3. 14.22.W przypadku klasyfikacji danych jako do archiwizacji Kancelaria przenosi dane osobowe na wydzieloną część Infrastruktury Teleinformatycznej, która została przeznaczona na wirtualne archiwum i spełnia następujące kryteria:
    1. 14.22.1.Dane znajdujące się w przestrzeni przeznaczonej na wirtualne archiwum są zaszyfrowane lub w inny sposób spseudonimizowanie (np. za pośrednictwem aplikacji takich jak BitLocker, Cryptomator, VeraCrypt lub innych aplikacji korzystających z najnowszych algorytmów kryptograficznych),
    2. 14.22.2.Do poszczególnych części (katalogów) wirtualnego archiwum mają dostęp wyłącznie użytkownicy, dla których dostęp ten jest niezbędny dla prawidłowego wykonywania zadań,
    3. 14.22.3.Dane zapisane w wirtualnym archiwum są zabezpieczone przed przypadkową lub bezprawną utratą dostępności,
  4. 14.23.W przypadku klasyfikacji danych jako do usunięcia Kancelaria Usuwa Dane ze wszystkich Nośników Danych.
  5. 14.24.Dla poszczególnych procesów przetwarzania danych, w których okresy przechowywania mogą być zróżnicowane z racji na cele składające się na dany proces, w razie wątpliwości Kancelaria przyjmuje najdłuższy okres przechowywania.
  6. Wytyczne dot. bezpieczeństwa transportu Sprzętu Elektronicznego
    1. 15.1.Kancelaria zapewnia bezpieczeństwo Sprzętu Elektronicznego w transporcie.
    2. 15.2.Ilekroć w niniejszych wytycznych mowa o transporcie – rozumie się przez to wszelkie sytuacje, w których zachodzi potrzeba fizycznego przemieszczenia Sprzętu Elektronicznego, w tym w sytuacjach związanych z podróżami służbowymi (np. na rozprawę lub inną czynność procesową poza siedzibą Kancelarii).
    3. 15.3.Komputery przenośne są transportowane wyłącznie w torbach lub plecakach specjalnie przeznaczonych do bezpiecznego transportu urządzeń tego typu. Kancelaria powinna zwrócić szczególną uwagę na materiały, jakość wykonania oraz specyfikację techniczną torby lub plecaka dopuszczonego do transportu komputerów przenośnych.
    4. 15.4.Komputer przenośny w trakcie transportu powinien być ułożony pionowo w torbie lub plecaku w sposób bezpieczny, tak aby był poddawany jak najmniejszej ilości drgań. 
    5. 15.5.Sprzęt Elektroniczny nie może w żadnej sytuacji zostać pozostawiony bez uwagi Pracownika lub Współpracownika Kancelarii. 
    6. 15.6.W trakcie transportu Pracownik lub Współpracownik przechowuje Sprzęt Elektroniczny w bliskiej odległości w sposób zmniejszający ryzyko jego kradzież lub zniszczenie przez osoby trzecie.
    7. 15.7.Służbowy telefon komórkowy powinien zawsze być zabezpieczony pinem oraz zaszyfrowany.
    8. 15.8.Kancelaria zapewnia sobie możliwość zdalnego zablokowania dostępu lub usunięcia danych ze służbowego Sprzętu Elektronicznego.
    9. 15.9.Użytkownik Sprzętu Elektronicznego nie może w szczególności:
      1. 15.9.1.korzystać ze służbowych telefonów komórkowych oraz komputerów przenośnych w celach prywatnych lub innych niezwiązanych z wykonywaniem pracy lub świadczeniem usług na rzecz Kancelarii,
      2. 15.9.2.pobierać Aplikacji lub plików z nieznanych lub nieautoryzowanych przez Kierownictwo Kancelarii źródeł, przykładowo stron internetowych nieznanego autorstwa i pochodzenia,
      3. 15.9.3.otwierać linków lub nawiązywanie połączeń sieciowych pochodzących z nieznanego źródła lub nieautoryzowanego źródeł,
      4. 15.9.4.powierzać Sprzętu Elektronicznego stronom trzecim lub dopuszczanie osób nieupoważnionych do użytkowania sprzętu.
  7. Postanowienia końcowe
    1. Polityka jest dokumentem wewnętrznym i osoby, które uzyskały wgląd w jej treść, zobowiązane są do zachowania jej w poufności.
    2. Po wprowadzeniu niniejszej Polityki w życie, wszystkie dotychczas wydane oświadczenia o zachowaniu poufności oraz upoważnienia zachowują ważność.
    3. Wprowadzenie Polityki w życie nie będzie miało wpływu na realizację nierozpatrzonych Wniosków o Nadanie Upoważnienia oraz niezakończonych postępowań dotyczących wyjaśnień zaistniałych naruszeń ochrony danych osobowych.

© 2022 Kancelaria Swaton Wasilewski Bakalarczyk Bednarski Adwokat i Radcowie Prawni Spółka Partnerska.

Designed and powered by: Coolbrand