Polityka ochrony danych osobowych

.

ENERGOTECH

.

.

.

I. POSTANOWIENIA OGÓLNE

1. Niniejszy dokument zatytułowany „Polityka ochrony danych osobowych” jest polityką zasad ochrony danych osobowych w rozumieniu art. 24 ust. 2 RODO. Wdrożenie jej ma na celu zapewnienie odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania danych osobowych.

2. Użyte w niniejszej umowie określenia posiadają następujące znaczenie:

1)  Administrator – Marcin Kras prowadzący działalność gospodarczą pod firmą ENERGOTECH Marcin Kras, ul. Sowińskiego 22A lok 2, 01-251 Warszawa, Numer NIP 5261766057, REGON 142725032;

2)  Dane Osobowe – oznacza informacje identyfikujące Podmiot Danych;

3)  Incydent – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych Osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

4)  Kandydat – osoba fizyczna biorącą udział w procesach rekrutacyjnych Administratora;

5)  Klient – osoba fizyczna korzystającą z usług Administratora w ramach prowadzonej przez niego działalności gospodarczej, lub będącą nabywcą oferowanych przez niego produktów;

6)  Podmiot Danych – oznacza Klienta, Pracownika, Kandydata, Prospekta lub inną osobę fizyczną, której Dane Osobowe przetwarzane są w rozumieniu RODO przez Administratora;

7)  Polityka – oznacza niniejszy dokument;

8)  Pracownik –osoba fizyczna współpracującą z Administratorem na podstawie umowy o pracę, zlecenia, umowy o dzieło lub świadcząca usługi na jego rzecz w ramach samozatrudnienia;

9)  Prospekt –osoba fizyczna wobec której Administrator czyni starania, aby została jego Klientem;

10) Rejestr – oznacza rejestr czynności przetwarzania danych osobowych w rozumieniu art. 30 RODO;

11) RODO – oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1);

12) Specjalista – oznacza osobę odpowiadającą u Administratora za należyte przestrzeganie przepisów prawa powszechnie obowiązującego o danych osobowych oraz Polityki. W przypadku nie wyznaczenia takiej osoby zadania Specjalisty wypełnia Administrator;

13) System Teleinformatyczny – oznacza środki techniczne i organizacyjne, za pomocą których Administrator przetwarza Dane Osobowe w sposób zautomatyzowany, w szczególności takie jak oprogramowanie, aplikacje, serwery, sprzęt komputerowy;

14) Wewnętrzna Infrastruktura Teleinformatyczna – oznacza środki techniczne i organizacyjne służące do zautomatyzowanego przetwarzania informacji spełniające następujące warunki:

a) sprzęt komputerowy i serwery znajdują się w pomieszczeniach biurowych, w których prowadzone jest przedsiębiorstwo Administratora,

b) przestrzeń dyskowa wykorzystywana do gromadzenia i przetwarzania informacji nie jest współdzielona z osobami trzecimi,

c) korzystanie z oprogramowania, w tym aplikacji, łączy się z wykorzystaniem praw autorskich i nie polega na udzieleniu dostępu w infrastrukturze chmury obliczeniowej bez zwielokrotniania kodu źródłowego.

3. Administrator przetwarza dane osobowe z poszanowaniem następujących zasad:

1) w oparciu o podstawę prawną i zgodnie z prawem (legalizm);

2) rzetelnie i uczciwie (rzetelność);

3) w sposób przejrzysty dla osoby, której dane dotyczą (transparentność);

4) w konkretnych celach i nie „na zapas” (minimalizacja);

5) nie więcej niż potrzeba (adekwatność);

6) z dbałością o prawidłowość danych (prawidłowość);

7) nie dłużej niż potrzeba (czasowość);

8) zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo).

4. Celem wdrożenia Polityki jest w szczególności:

1) dopełnienie wymogów wynikających z obowiązujących przepisów w zakresie ochrony danych osobowych;

2) zabezpieczenie Systemu Teleinformatycznego oraz Wewnętrznej Infrastruktury Teleinformatycznej oraz uniemożliwienie dostępu do informacji stanowiących Dane Osobowe, zawartych w tych systemach osobom do tego nieupoważnionym;

3) uniemożliwienie zniszczenia lub nieuprawnionej zmiany Danych Osobowych przetwarzanych w sposób tradycyjny (papierowy) oraz elektroniczny;

4) zabezpieczenie dokumentacji papierowej zawierającej Dane Osobowe przed ich kradzieżą lub kopiowaniem;

5) ochrona wizerunku Administratora;

6) zapewnienie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

7) zapewnienie zdolności do szybkiego przywrócenia dostępności Danych Osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.

.

II. ZARZĄDZANIE DANYMI OSOBOWYMI

II. 1. Okres retencji

1. Administrator przetwarza Dane Osobowe przez czas niezbędny do momentu, w którym odpadł cel ich przetwarzania. Okresy retencji Danych Osobowych zostały wskazane w Załączniku nr 1 do Procedury. W przypadku przetwarzania Danych Osobowych nie wskazanych w Załączniku nr 1 do Procedury, będą one przetwarzane w zależności od celu przetwarzania przez czas niezbędny do jego realizacji, z uwzględnieniem przepisów prawa, jeśli stanowią one podstawę przetwarzania.

2. Po upływie okresu retencji Dane Osobowe podlegają usunięciu ze wszystkich nośników Administratora, a także podmiotu przetwarzającego Dane Osobowe na zlecenie Administratora.

3. Co najmniej raz w roku Dane Osobowe przetwarzane w formie papierowej w archiwach zewnętrznych lub wewnętrznych podlegają okresowemu przeglądowi pod kątem upływu okresu retencji.

4. Dane Osobowe przetwarzane w Systemie Teleinformatycznym jak i papierowe podlegają usuwaniu niezwłocznie po ustaniu potrzeby ich przetwarzania, jednakże Pracownicy są obowiązani dokonywać okresowych przeglądów nie rzadziej niż raz na kwartał.

5. Usunięcie Danych Osobowych wskutek wniosku Podmiotu Danych jest dokonywane niezwłocznie, nie później jednak niż w ciągu 3 dni roboczych od podjęcia decyzji o uwzględnieniu wniosku.

6. Administrator może podjąć decyzję o anonimizacji określonych Danych Osobowych w miejsce ich usunięcia, jeżeli uzna, że istnieje uzasadniona potrzeba biznesowa przetwarzania Danych Osobowych zanonimizowanych, a nie spowoduje to ryzyka naruszenia praw i wolności Podmiotów Danych.

7. Dane osobowe podlegają usunięciu przed upływem okresu retencji, gdy:

1) Podmiot Danych zażądał usunięcia Danych Osobowych lub złożył sprzeciw wobec przetwarzania jego Danych Osobowych przez Administratora, a jego żądanie zostało uznane za uzasadnione;

2) Podmiot Danych cofnął zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania;

3) Organ nadzorczy, w wykonaniu uprawnień naprawczych przewidzianych w art. 58 ust. 2 lit. g RODO, nakaże Administratorowi usunięcie Danych Osobowych;

4) Dane Osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

5) Dane Osobowe były przetwarzane niezgodnie z prawem.

8. Dane Osobowe nie podlegają usunięciu, pomimo, że nie są już niezbędne do celów, w których zostały zebrane lub są przetwarzane niezgodnie z prawem jeżeli Podmiot Danych zażądał ograniczenia przetwarzania Danych Osobowych zamiast ich usunięcia na podstawie art. 18 RODO.

9. O każdym przypadku usunięcia Danych Osobowych na żądanie Podmiotu Danych należy powiadomić odbiorców (innych administratorów, którym te dane udostępniono, podmioty przetwarzające Dane Osobowe na zlecenie Administratora) oraz inne osoby fizyczne i prawne, którym te dane osobowe ujawniono. Administrator może, odstąpić od obowiązku powiadomienia, jeżeli powiadomienie odbiorców okaże się niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku oraz po uprzednim uzyskaniu opinii Specjalisty.

10. Wraz z upływem okresu retencji oraz w każdym przypadku uzasadniającym usunięcie Danych Osobowych przed upływem okresu retencji Administrator niezwłocznie wydaje polecenie podmiotowi przetwarzającemu Dane Osobowe, aby usunął Dane Osobowe przetwarzane na jego zlecenie.

II. 2. Zarządzanie zgodami

1. W zależności od formy udzielonej zgody (pisemna, elektroniczna) oraz kanału, za pomocą którego jest zbierana (Internet, formularze pisemne) Administrator informuje Podmiot Danych o prawie do wycofania zgody w dowolnym momencie oraz, że nie wpływa to na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.

2. Administrator stwarza takie warunki, aby wycofanie zgody było równie łatwe jak jej wyrażenie. Warunki te są każdorazowo dostosowane do formy udzielonej zgody oraz kanału, za pomocą którego została zebrana. W szczególności Administrator zapewnia obsługę skrzynki poczty elektronicznej w celu wykonania praw Podmiotu Danych związanych z wycofaniem zgody, a adres poczty elektronicznej do tej skrzynki jest łatwo dostępny.

3. Każda zgoda będzie spełniała warunki dobrowolnego, świadomego i jednoznacznego przyzwolenia Podmiotu Danych na przetwarzanie dotyczących jej Danych Osobowych przez Administratora.

4. Administrator nie stosuje okienek domyślnie zaznaczonych, ani nie traktuje milczenia lub niepodjęcia działania jako wyrażenia zgody.

5. Zgoda każdorazowo będzie dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, zgoda obejmie je wszystkie.

6. Zgoda zostanie udzielona z osobna na różne operacje przetwarzania Danych Osobowych, chyba że operacje te będą ze sobą powiązane. Uzależnienie zgody od wykonania umowy – w tym świadczenia usługi – będzie miało miejsce wyłącznie w przypadkach, w których jest to niezbędne i osiągnięcie tego celu nie będzie możliwe bez pozyskania zgody od Podmiotu Danych.

7. Dla celów dowodowych, związanych ze spoczywającym na Administratorze w myśl art. 7 ust. 1 RODO ciężarem dowodu, Administrator wdraża metody zarządzania zgodami umożliwiające rejestrację i weryfikację:

1) kto udzielił zgody;

2) kiedy została ona udzielona;

3) jakie Dane Osobowe są objęte zgodą na przetwarzanie;

4) na jaki cel przetwarzania danych zgoda została udzielona;

5) na jakie operacje przetwarzania danych zgoda została udzielona;

6) jakie informacje otrzymał Podmiot Danych przy składaniu oświadczenia o wyrażeniu zgody;

7) jakie informacje zostały udzielone o sposobie wyrażenia zgody;

8) czy zgoda została wycofana i jeśli tak, to kiedy;

9) odmowy udzielenia zgody, cofnięcia zgody i podobnych czynności (sprzeciw, ograniczenie itp.).

8. W przypadku wycofania przez Podmiot Danych zgody na przetwarzanie Specjalista odpowiedzialny za zarządzanie zgodami weryfikuje czy Dane Osobowe mogą być przetwarzane na innej podstawie prawnej uregulowanej w RODO. W braku takiej podstawy należy usunąć Dane Osobowe ze wszystkich zbiorów prowadzonych przez Administratora lub przeprowadzić ich anonimizację.

II. 3. Klauzula informacyjna

1. Podczas pozyskiwania Danych Osobowych Podmiot Danych zostaje każdorazowo poinformowany o:

1) danych identyfikujących Administratora (jego tożsamości i danych kontaktowych);

2) celu przetwarzania danych;

3) podstawie prawnej przetwarzania;

4) czasie przetwarzania danych (tj. okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – o kryteriach ustalania tego okresu);

5) przysługujących mu prawach (tj. o prawie do żądania od Administratora dostępu do treści swoich danych, ich sprostowania, usunięcia, ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, przenoszenia danych, wniesienia skargi do organu nadzorczego);

6) istnieniu obowiązku podania danych bądź jego braku (tj. czy jest ono dobrowolne, czy jest wymogiem ustawowym, umownym, ewentualnie warunkiem zawarcia umowy, a także jakie są ewentualne konsekwencje niepodania danych).

2. Jeżeli ma to zastosowanie to Administrator przekazuje Podmiotowi Danych informację o:

1) danych inspektora ochrony danych osobowych;

2) odbiorcach Danych Osobowych lub o kategoriach odbiorców;

3) zamiarze przekazania Danych Osobowych do państwa trzeciego lub organizacji międzynarodowej;

4) zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO;

5) czy Administrator planuje dalej przetwarzać Dane Osobowe w celu innym niż cel, w którym Dane Osobowe zostały zebrane;

6) podstawach przetwarzania Danych Osobowych, tzn. czy podstawą przetwarzanie jest:

a) niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią,

b) zgoda Podmiotu Danych;

7) kategoriach odnośnych danych osobowych oraz źródle pochodzenia danych osobowych – jeżeli Danych Osobowych nie pozyskano od Podmiotu Danych.

3. Administrator podaje informacje o okresie, przez który Dane Osobowe będą przechowywane, w możliwie precyzyjny sposób – za pomocą odpowiednich jednostek czasu, takich jak dni, miesiące czy lata. Jeżeli jednak ustalenie okresu czasu, przez który będą przechowywane Dane Osobowe, nie jest możliwe, wówczas Administrator wskaże kryteria ustalania tego okresu – w szczególności wtedy, gdy będą one przetwarzane do momentu ewentualnego odwołania zgody przez Podmiot Danych.

4. Przekazanie informacji nastąpi każdorazowo przed zakończeniem zbierania Danych Osobowych, najpóźniej w chwili ich zebrania. Jeżeli Danych Osobowych nie pozyskano od osoby, której dane te dotyczą, Administrator podaje informacje:

1) w rozsądnym terminie po pozyskaniu Danych Osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania Danych Osobowych; lub

2) jeżeli Dane Osobowe mają być stosowane do komunikacji z Podmiotem Danych – najpóźniej przy pierwszej takiej komunikacji; lub

3) jeżeli planuje się ujawnić Dane Osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

5. Obowiązki powyższe stosuje się odpowiednio do wszelkich sytuacji, w których Administrator pozyskuje nowe, ze swojej perspektywy, Dane Osobowe dotyczące Podmiotów Danych, których inne Dane Osobowe są już przez Administratora przetwarzane.

.

III. REALIZACJA PRAW PRZYSŁUGUJĄCYCH PODMIOTOM DANYCH

III. 1. Postanowienia ogólne.

1. Administrator udziela Podmiotowi Danych informacji o działaniach podjętych w związku z następującymi żądaniami:

1) prawo dostępu;

2) prawo do sprostowania;

3) prawo do usunięcia danych („prawo do bycia zapomnianym”);

4) prawo do ograniczenia przetwarzania;

5) prawo do przenoszenia danych;

6) prawo do sprzeciwu.

2. Administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela Podmiotowi Danych informacji o działaniach podjętych w związku ze zgłoszonym żądaniem. W razie potrzeby termin ten zostanie przedłużony o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania Administrator poinformuje Podmiot Danych o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.

3. Jeśli Podmiot Danych przekazał swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że Podmiot Danych zażąda innej formy.

4. Poszczególne żądania mogą być złożone przez Podmiot Danych drogę pisemną, drogę elektroniczną oraz drogę ustną. Przekazanie informacji drogą ustną może nastąpić wyłącznie, gdy Podmiot Danych tego zażąda oraz pod warunkiem, że innymi sposobami potwierdzi się tożsamość Podmiotu Danych.

5. Administrator ułatwia Podmiotowi Danych wykonywanie jego praw poprzez dedykowany ku temu adres poczty elektronicznej.

III. 2. Prawo dostępu.

1. Na żądanie osoby dotyczące dostępu do jej danych Administrator informuje osobę, czy przetwarza jej dane, oraz informuje ją o szczegółach przetwarzania zgodnie z art. 15 RODO. Jeżeli osoba składająca żądanie jest Podmiotem Danych, Administrator udziela jej dostępu do Danych Osobowych jej dotyczących. Dostęp do danych może być zrealizowany przez wydanie kopii danych.

2. Specjalista potwierdza tożsamość wnioskodawcy w sposób niebudzący wątpliwości i udziela informacji w takim zakresie, który pozwoli na uniknięcie ujawnienia informacji, których udostępnienie mogłoby naruszyć prawa Podmiotów Danych, wprowadzenia innego ryzyka dla bezpieczeństwa danych, a także ujawnienia tajemnicy przedsiębiorstwa, własności intelektualnej czy praw autorskich.

3. Na żądanie Administrator wydaje Podmiotowi Danych kopię danych jego dotyczących i odnotowuje fakt wydania pierwszej kopii danych. Nie uchybia to prawu Podmiotu Danych do przenoszenia danych osobowych uregulowanego w art. 20 RODO.

4. W miarę możliwości Dane Osobowe zostaną przesłane przy użyciu tego samego środka porozumiewania się, przy użyciu którego Podmiot Danych skierował swoje żądanie.

5. W przypadku gdy Administrator nie jest w stanie zidentyfikować osoby występującej z żądaniem, odmawia podjęcia działań.

6. Jeżeli zadośćuczynienie żądaniu mogłoby doprowadzić do skutków, o których mowa w ust. 2 powyżej, Administrator wykonuje, na ile to możliwe, prawa osoby, której dane dotyczą w zakresie, który pozwoli na uniknięcie tych skutków.

7. Administrator wdraża odpowiednie środki umożliwiające udokumentowanie wpływających wniosków i prowadzonej w związku z tym korespondencji, w szczególności dla celów dowodowych w związku z ewentualnymi sporami prowadzonymi z Podmiotami Danych lub stronami trzecimi.

III. 3. Prawo do usunięcia danych („prawo do bycia zapomnianym”).

1. Na żądanie Podmiotu Danych Administrator usuwa Dane Osobowe, gdy:

1) nie są one niezbędne do celów, w których zostały zebrane, ani przetwarzane w innych zgodnych z prawem celach;

2) zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania,

3) Podmiot Danych wniósł zasadny sprzeciw względem przetwarzania Danych Osobowych;

4) Dane Osobowe były przetwarzane niezgodnie z prawem;

5) konieczność usunięcia wynika z obowiązku prawnego;

6) żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku (np. profil dziecka na portalu społecznościowym, udział w konkursie na stronie internetowej).

2. Specjalista usuwa Dane Osobowe ze wszystkich prowadzonych przez Administratora zbiorów.

3. W przypadku, gdy Dane Osobowe są niezbędne do ustalenia, dochodzenia lub obrony roszczeń przysługujących Administratorowi, podejmowane są następujące działania:

1) w terminie uregulowanym w III.1.2. Podmiot Danych zostaje poinformowany o Danych Osobowych, co do których Administrator odmawia usunięcia, z podaniem przyczyn odmowy;

2) usuwane lub anonimizowane są Dane Osobowe, które nie są niezbędne dla wyżej wskazanego celu,

3) Dane Osobowe zostają wyodrębnione z dotychczasowego zbioru danych i przetwarzane są jedynie w zakresie niezbędnym do wyżej wskazanego celu;

4) Administrator podejmuje działania w celu ugodowego zakończenia sporu z Podmiotem Danych – jeżeli Dane Osobowe są niezbędne do dochodzenia lub obrony roszczeń;

5) Po odpadnięciu wyżej wskazanego celu, w szczególności po prawomocnym zakończeniu sporu, zawarciu ugody lub polubownym zażegnaniu sporu, usuwane lub anonimizowane są pozostałe Dane Osobowe, chyba że Administrator może je przetwarzać na innej podstawie prawnej.

III. 4. Prawo do ograniczenia przetwarzania.

1. Administrator ogranicza przetwarzania Danych Osobowych na żądanie Podmiotu Danych, gdy:

1) Podmiot Danych kwestionuje prawidłowość Danych Osobowych – na okres pozwalający sprawdzić ich prawidłowość;

2) przetwarzanie jest niezgodne z prawem, a Podmiot Danych sprzeciwia się usunięciu Danych Osobowych, żądając w zamian ograniczenia ich wykorzystywania;

3) Administrator nie potrzebuje już Danych Osobowych, ale są one potrzebne Podmiotowi Danych do ustalenia, dochodzenia lub obrony roszczeń;

4) Podmiot Danych wniósł sprzeciw względem przetwarzania z przyczyn związanych z jego szczególną sytuacją – do czasu stwierdzenia, czy po stronie Administratora zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.

2. W trakcie ograniczenia przetwarzania Administrator czasowo przenosi Dane Osobowe objęte żądaniem do innego zbioru, o ile to możliwe.

3. Administrator nie wykonuje na Danych Osobowych żadnych operacji za wyjątkiem przechowywania w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego. Jednakże Dane Osobowe można przetwarzać za zgodą osoby, której dane dotyczą, w celu ustalenia, dochodzenia lub obrony roszczeń, w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.

4. Przed uchyleniem ograniczenia przetwarzania Administrator informuje o tym Podmiot Danych.

5. Administrator informuje o ograniczeniu przetwarzania każdego odbiorcę, któremu ujawniono Dane Osobowe. Administrator może, odstąpić od obowiązku powiadomienia, jeżeli powiadomienie odbiorców okaże się niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.

III. 5. Prawo do sprostowania.

1. Administrator dokonuje sprostowania nieprawidłowych Danych Osobowych na żądanie Podmiotu Danych.

2. Administrator ma prawo odmówić sprostowania Danych Osobowych, chyba że Podmiot Danych w rozsądny sposób wykaże nieprawidłowości, których sprostowania się domaga.

3. Administrator uzupełnia i aktualizuje Dane Osobowe na żądanie Podmiotu Danych.

4. Administrator ma prawo odmówić uzupełnienia Danych Osobowych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania Danych Osobowych.

5. Administrator informuje o sprostowaniu każdego odbiorcę, któremu ujawniono Dane Osobowe. Administrator może, odstąpić od obowiązku powiadomienia, jeżeli powiadomienie odbiorców okaże się niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku oraz po uprzednim uzyskaniu opinii Specjalisty. Na żądanie Podmiotu Danych Administrator poinformuje go o odbiorcach, których poinformowano o sprostowaniu Danych Osobowych.

III. 6. Prawo do przenoszenia danych.

1. Na żądanie Podmiotu Danych Administrator wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, Dane Osobowe dotyczące Podmiotu Danych. Obowiązek ten dotyczy wyłącznie Danych Osobowych, które Podmiot Danych dostarczył Administratorowi i jednocześnie przetwarzanie tych danych odbywa się na podstawie zgody lub w celu zawarcia lub wykonania umowy z nim zawartej.

2. Administrator ma prawo odmówić spełnienia żądania Podmiotu Danych w przypadku gdy:

1) wydanie Danych Osobowych mogłoby skutkować naruszeniem praw innych podmiotów danych, wprowadzenia innego ryzyka dla bezpieczeństwa danych, a także ujawnienia tajemnicy przedsiębiorstwa, własności intelektualnej lub praw autorskich;

2) brak jest interoperacyjności pomiędzy systemami administratorów, a Podmiot Danych zażądał przesłania danych bezpośrednio do innego administratora.

3. Na żądanie Podmiotu Danych Administrator wyda także Dane Osobowe wynikające z obserwacji działań użytkowników, takie jak dane surowe przetwarzane przez inteligentne liczniki lub inne rodzaje przedmiotów połączonych, logi (dzienniki) działań, historia korzystania ze strony lub czynności wyszukiwania, o ile takie dane były przetwarzane.

III. 7. Sprzeciw w szczególnej sytuacji.

1. Jeżeli Podmiot Danych zgłosi umotywowany jego szczególną sytuacją sprzeciw względem przetwarzania jego Danych Osobowych, a są one przetwarzane przez Administratora w oparciu o jego uzasadniony interes lub o powierzone mu zadanie w interesie publicznym, Administrator uwzględni sprzeciw, o ile nie zachodzą po jego stronie ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności Podmiotu Danych składającego sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń. Postanowienie III.3.3. stosuje się odpowiednio.

2. Jeżeli Podmiot Danych zażąda ograniczenia przetwarzania jego Danych Osobowych do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie Administratora są nadrzędne wobec podstaw sprzeciwu, Administrator uwzględni żądanie Podmiotu Danych w przypadku zamiaru odmowy uwzględnienia sprzeciwu bądź uwzględnienia go po upływie czasu niezwłocznego.

3. Jeżeli Podmiot Danych zgłosi sprzeciw względem przetwarzania jego Danych Osobowych przez Administratora na potrzeby marketingu bezpośredniego, Administrator uwzględni sprzeciw i zaprzestanie takiego przetwarzania.

.

IV. ŚRODKI TECHNICZNE I ORGANIZACYJNE

1. Administrator, o ile to niezbędne, powoła Specjalistę, który jest odpowiedzialny za nadzór nad wdrożeniem, poddawaniem przeglądom i uaktualnianiem odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z RODO.

2. Administrator korzysta wyłącznie z takich aplikacji, usług i produktów, które zapewniają możliwość wywiązania się z obowiązków ochrony danych osobowych wynikających z RODO.

3. Administrator weryfikuje nie rzadziej niż raz w roku wdrożone środki techniczne i organizacyjne poprzez audyt zgodności danych osobowych, testy Systemu Teleinformatycznego oraz wizje lokalne.

4. Obecny charakter, zakres, kontekst i cele przetwarzania Danych Osobowych nie powodują wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.

5. Każdy Pracownik otrzymuje na piśmie swoje obowiązki związane z przetwarzaniem danych osobowych oraz jest zaznajamiany z zasadami odpowiedzialności za ich nieprzestrzeganie.

6. Administrator przetwarza Dane Osobowe w zbiorach w sposób zautomatyzowany na podstawie art. 6 ust. 1 lit. a)-c) oraz f) RODO.

7. Środki techniczne i organizacyjne dotyczące przetwarzania Danych Osobowych w Wewnętrznej Infrastrukturze Teleinformatycznej obejmują co najmniej środki określone w Załączniku nr 2 do Polityki.

8. W przypadku przetwarzania Danych Osobowych poza Wewnętrzną Infrastrukturą Teleinformatyczną, w szczególności z wykorzystaniem technologii publicznej chmury obliczeniowej, odpowiednie środki techniczne i organizacyjne dotyczące przetwarzania Danych Osobowych obejmują co najmniej środki określone w Załączniku nr 3 do Polityki.

IV. 1. Postępowanie przy wdrażaniu nowych środków technicznych i organizacyjnych

1. Każda aplikacja, usługa lub produkt powinny przed pierwszym skorzystaniem zostać zatwierdzone przez Specjalistę jako spełniające wymogi RODO oraz Polityki.

2. Uwzględniając kontekst przetwarzania Administrator oceni wszelkie okoliczności prawne i faktyczne przetwarzania.

3. Uwzględniając charakter przetwarzania Administrator oceni planowane operacje przetwarzania oraz rodzaje danych osobowych, które mają być przetwarzane.

4. Uwzględniając zakres przetwarzania danych osobowych Administrator zbada skalę przetwarzania, tj.: ilość przetwarzanych danych oraz liczbę osób, których dane dotyczą.

5. Dobór adekwatnych środków każdorazowo nastąpi z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania, a także ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i różnej wadze zagrożenia.

6. W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z RODO Administrator oszacuje ryzyko właściwe dla przetwarzania oraz wdroży środki minimalizujące to ryzyko. Środki takie zapewnią odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględnią stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie.

IV. 2. Privacy by design.

1. Administrator zarządza zmianami wpływającymi na prywatność. W tym celu procedury uruchamiania nowych projektów i inwestycji u Administratora uwzględniają konieczność oceny wpływu zmiany na ochronę danych, analizę ryzyka, zapewnienie prywatności (a w tym zgodności celów przetwarzania, bezpieczeństwa danych i minimalizacji) już w fazie projektowania zmiany, inwestycji czy na początku nowego projektu.

2. Każdy nowy projekt podejmowany przez Administratora wymaga weryfikacji przez Specjalistę pod kątem powiązań z przetwarzaniem danych osobowych.

3. Informacje o obowiązujących u Administratora praktykach i politykach bezpieczeństwa, w tym treść Polityki, są łatwo dostępne dla pracowników.

4. Administrator prowadzi rejestr Podmiotów Przetwarzających, którego wzór stanowi Załącznik nr 4.

5. Oferty, formularze umów, a także praktyki negocjacyjne przewidują zbieranie danych osobowych w minimalnej ilości niezbędnej do należytego wykonania umowy z Klientem.

IV. 3. Rejestr czynności przetwarzania danych osobowych

1. Rejestr stanowi formę dokumentowania czynności przetwarzania danych, pełni rolę mapy przetwarzania danych i jest jednym z kluczowych elementów umożliwiających realizację zasady rozliczalności.

2. Wzór Rejestru stanowi Załącznik nr 5 do Polityki.

IV. 4. Dostęp Pracowników do Danych Osobowych

1. Każdy Pracownik otrzymuje dostęp do Danych Osobowych wyłącznie:

1) na podstawie pisemnego upoważnienia Administratora;

2) po uprzednim odbyciu przeszkolenia z zasad przetwarzania danych osobowych i ich ochrony;

3) po uprzednim zobowiązaniu się na piśmie do zachowania poufności danych osobowych; wzór oświadczenia o zachowaniu poufności stanowi Załącznik nr 6.

2. Upoważnienie stanowi każdorazowo odrębne oświadczenie Administratora i jest nadawane indywidualnie każdemu Pracownikowi.

3. Pracownicy otrzymują dostęp do Danych Osobowych w zakresie niezbędnym do należytego wykonywania ich obowiązków.

4. Wszystkie istotne polecenia dotyczące przetwarzania Danych Osobowych przez Pracowników są wykonywane na piśmie ze szczególnym uwzględnieniem zakresu polecenia.

5. Z chwilą rozwiązania stosunku prawnego łączącego Pracownika z Administratorem lub zaistnienia innej okoliczności uchylającej prawo dostępu do Danych Osobowych upoważnienie udzielone Pracownikowi jest odwoływane. W przypadku odpadnięcia potrzeby dalszego utrzymywania Pracownikowi dostępu do Danych Osobowych w całości lub w części (np. modyfikacji zakresu obowiązków) upoważnienie jest odpowiednio odwoływane lub modyfikowane.

6. Specjalista jest odpowiedzialny za zdefiniowanie obowiązków pracowniczych wymagających dostępu do Danych Osobowych oraz za wyznaczenie adekwatnego zakresu dostępu.

7. Wzór upoważnienia stanowi Załącznik nr 7 do Polityki.

.

V. WSPÓŁPRACA Z ORGANEM NADZORCZYM

1. W przypadku wszczęcia postępowania, udzielenia pisemnych zaleceń, skierowania określonego żądania zachowania lub wykonywania innych uprawnień uregulowanych w art. 58 RODO przez organ nadzorczy, Administrator wyznacza osobę odpowiedzialną za współpracę z organem nadzorczym.

2. Na żądanie Specjalisty Administrator angażuje innych Pracowników bądź członków organu zarządzającego.

.

VI. ZASADY POWIERZANIA PRZETWARZANIA DANYCH OSOBOWYCH

1. Administrator korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa Podmiotów Danych.

2. Administrator dąży do współpracy z podmiotami przetwarzającymi na podstawie umowy powierzenia przetwarzania danych osobowych. Wzór umowy stanowi Załącznik nr 8 do Polityki.

3. W przypadku braku możliwości zawarcia umowy powierzenia przetwarzania danych osobowych na wzorze, każda umowa powinna zobowiązywać podmiot przetwarzający, aby ten:

1) przetwarzał Dane Osobowe wyłącznie na udokumentowane polecenie Administratora – co dotyczy też przekazywania Danych Osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający;

2) zapewniał, by osoby upoważnione do przetwarzania Danych Osobowych zobowiązały się do zachowania tajemnicy lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

3) podejmował wszelkie środki zabezpieczenia Danych Osobowych wymagane na mocy art. 32 RODO;

4) przestrzegał warunków korzystania z usług innego podmiotu przetwarzającego – skorzystanie przez podmiot przetwarzający z usług kolejnego podwykonawcy (podpowierzenie przetwarzania danych) wymaga zawsze zgody Administratora;

5) pomagał Administratorowi za pomocą odpowiednich środków technicznych i organizacyjnych wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO;

6) pomagał Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO, w tym stosował środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa co najmniej takie jak Administrator;

7) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji Administratora usuwał lub zwracał mu wszelkie Dane Osobowe oraz usuwał wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie Danych Osobowych;

8) udostępniał Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków związanych z powierzeniem;

9) zgłaszał Administratorowi naruszenie ochrony Danych Osobowych bez zbędnej zwłoki, ale nie później niż w terminie 24 godzin po stwierdzeniu naruszenia;

10) prowadził dokumentację naruszeń ochrony Danych Osobowych w tym okoliczności naruszenia ochrony Danych Osobowych, jego skutki oraz podjęte działania zaradcze;

11) dokonywał niezwłocznego sprostowania lub usunięcia Danych Osobowych oraz ograniczenia przetwarzania na każde żądanie Administratora;

12) współdziałał z Administratorem w przypadku zgłoszenia żądania przeniesienia Danych Osobowych lub dostarczenia kopii;

13) umieszczał w umowach podpowierzenia odpowiednie klauzule nakładające na podprocesora te same obowiązki ochrony danych jak w umowie powierzenia oraz zapewniające Administratorowi efektywne prawo egzekwowania tych obowiązków.

4. Odstępstwa od zasad zawierania umów uregulowanych powyżej, w szczególności w zakresie elementów umowy powierzenia, wymagają opinii Specjalisty.

5. W przypadku powierzenia przetwarzania Danych Osobowych dostawcy rozwiązań chmurowych, umowa będzie każdorazowo zawierała postanowienia zabezpieczające Administratora przed:

1) brakiem dostępności i przenoszalności danych ze względu na brak interoperacyjności;

2) brakiem integralności spowodowanym przez dzielenie się zasobami;

3) brakiem odseparowania od danych powierzonych dostawcy przez innych administratorów;

4) przekazywaniem poza Europejski Obszar Gospodarczy, do państw niemogących zapewniać odpowiedniego poziomu ochrony danych;

5) niekompatybilnością planów ciągłości działania i procedur awaryjnych lub niskim ich poziomem;

6) niemożliwością szybkiego odzyskania Danych Osobowych lub niemożnością odzyskania;

7) przetwarzaniem Danych Osobowych, pomimo polecenia przez administratora ich usunięcia;

8) brakiem wsparcia technicznego przez dostawcę.

.

VII. ZARZĄDZANIE INCYDENTAMI

1. Administrator podejmuje działania, które w przypadku zaistnienia Incydentu mają na celu szybkie podjęcie działań korygujących i zaradczych.

2. Administrator wyznacza Specjalistę, który jest odpowiedzialny za:

1) niezwłoczne reagowanie na Incydenty w sposób adekwatny do jego rodzaju;

2) ocenę istniejących i potencjalnych zagrożeń;

3) ocenę przyczyn i skutków Incydentów, w tym gromadzenie materiału dowodowego;

4) przygotowywanie propozycji działań korygujących i naprawczych oraz nadzór nad ich wprowadzaniem;

5) ograniczanie ryzyka powstania zagrożeń wystąpienia Incydentów oraz minimalizację skutków wystąpienia zagrożeń.

3. Incydent może zostać stwierdzony na podstawie oceny stanu urządzeń technicznych, zawartości zbiorów Danych Osobowych, sposobu działania programu lub jakości komunikacji w Systemie Teleinformatycznym, metod pracy (w tym obiegu dokumentów).

4. Każdy Pracownik w przypadku stwierdzenia zagrożenia lub naruszenia ochrony Danych Osobowych, zobowiązany jest bezzwłocznie powiadomić Specjalistę. Administrator prowadzi także dedykowaną skrzynkę poczty elektronicznej, za pomocą której Pracownicy mogą zgłaszać Incydenty.

5. Do typowych zagrożeń wystąpienia Incydentu należą:

1) niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów;

2) niewłaściwe zabezpieczenie sprzętu i Systemu Teleinformatycznego przed kradzieżą, nieuprawnione ujawnienie Danych Osobowych, niekontrolowana utrata Danych Osobowych;

3) nieprzestrzeganie zasad ochrony danych osobowych przez Pracowników.

6. Do typowych Incydentów należą:

1) zdarzenia losowe zewnętrzne (pożar biura, zalanie wodą, utrata zasilania, utrata łączności);

2) zdarzenia losowe wewnętrzne (awarie sprzętu, awarie Systemu Teleinformatycznego, pomyłki Pracowników, utrata Danych Osobowych, w tym ich nośników);

3) umyślne incydenty (włamanie do Systemu Teleinformatycznego lub biura, kradzież Danych Osobowych lub sprzętu, nieuprawnione ujawnienie Danych Osobowych, świadome zniszczenie zbiorów Danych Osobowych lub ich nośników, działanie wirusów).

7. W przypadku stwierdzenia Incydentu, Specjalista prowadzi postępowanie wyjaśniające, w ramach którego:

1) ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki;

2) w razie potrzeby inicjuje działania dyscyplinarne;

3) rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości;

4) bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza Incydent właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych; zgłoszenie zawiera co najmniej:

a) opis charakteru naruszenia bezpieczeństwa ochrony Danych Osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których Dane Osobowe dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

b) imię i nazwisko oraz dane kontaktowe Specjalisty;

c) opis możliwych konsekwencji naruszenia bezpieczeństwa ochrony Danych Osobowych;

d) opis środków zastosowanych lub proponowanych przez Administratora w celu zaradzenia naruszeniu bezpieczeństwa ochrony Danych Osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

5) dokumentuje naruszenie ochrony Danych Osobowych, w tym okoliczności naruszenia ochrony Danych Osobowych, jego skutki oraz podjęte działania zaradcze; wzór rejestru naruszeń ochrony Danych Osobowych stanowi Załącznik nr 9 do Polityki.

6) bez zbędnej zwłoki zawiadamia Podmiot Danych, jeżeli naruszenie ochrony Danych Osobowych może powodować wysokie ryzyko naruszenia jego praw lub wolności; wzór zawiadomienia stanowi Załącznik nr 10 do Polityki.

.

VIII. ZADANIA SPECJALISTY

1. Administrator powierza obowiązki Specjalisty osobie lub osobom, które posiadają odpowiednie umiejętności obejmujące:

1) wiedzę na temat krajowych i europejskich przepisów i praktyk w zakresie ochrony danych, w tym dogłębnego zrozumienia RODO;

2) zrozumienie przeprowadzanych procesów przetwarzania;

3) zrozumienie technologii informacyjnych i bezpieczeństwa danych;

4) znajomość sektora prawnego i organizacji Administratora.

2. Specjalista zapewnia przestrzeganie przepisów prawa powszechnie obowiązującego o ochronie danych osobowych oraz Polityki.

3. W razie potrzeby Specjalista kieruje się instrukcjami innych osób, których wiedza może być pomocna w podejmowaniu przez niego rekomendacji dotyczących Danych Osobowych. W szczególności Specjalista pozyskuje opinie prawne, informatyczne, techniczne, organizacyjne, biznesowe.

4. Do zadań Specjalisty należy przede wszystkim:

1) wsparcie Administratora w zakresie stosowania przepisów prawa powszechnie obowiązującego o ochronie danych osobowych oraz Polityki;

2) dokonywanie przeglądów i aktualizacji Polityki, a także nadzorowanie przestrzegania określonych w niej zasad i procedur;

3) zapewnienie zapoznawania się przez Pracowników z przepisami o ochronie danych osobowych oraz Polityką;

4) wsparcie Administratora przy podejmowaniu decyzji związanych z udostępnianiem Danych Osobowych;

5) opracowywanie treści klauzul informacyjnych oraz zgód na przetwarzanie danych osobowych;

6) opiniowanie umów, których przedmiotem – bezpośrednio lub pośrednio – są Dane Osobowe, w tym sporządzanie umów powierzenia przetwarzania danych osobowych;

7) analizowanie sytuacji oraz przyczyn, które doprowadziły do wystąpienia Incydentów oraz przedstawianie Administratorowi raportów z ww. analiz wraz z zaleceniami dotyczącymi przeciwdziałania wystąpieniu podobnych zdarzeń w przyszłości;

8) inne obowiązki wskazane w pozostałych postanowieniach Polityki.

.

IX. MARKETING BEZPOŚREDNI

1. Administrator przetwarza w celu marketingu bezpośredniego Dane Osobowe, które zostały mu udostępnione przez innego administratora, wyłącznie po spełnieniu następujących warunków:

1) udostępnianie nastąpiło na rzecz Administratora po uprzednim zakomunikowaniu Podmiotowi Danych o takim udostępnieniu, a jeżeli zgoda ma stanowić podstawę prawną do udostępniania Danych Osobowych – w chwili zbierania danych osobowych przed udzieleniem stosownej zgody;

2) Dane Osobowe zostały zebrane w celu marketingu bezpośredniego towarów lub usług Administratora bądź podobnych towarów i usług innego administratora;

3) Administrator wziął pod uwagę między innymi:

a) wszelkie związki między celami, w których zebrano Dane Osobowe, a celem marketingu bezpośredniego;

b) informacje o kontekście, w którym zebrano Dane Osobowe, w szczególności relację między Podmiotem Danych, a Administratorem;

c) charakter Danych Osobowych;

d) ewentualne skutki zamierzonego dalszego przetwarzania dla prywatności Podmiotów Danych;

e) konieczność ujawnienia dodatkowym podmiotom w związku z realizacją celu marketingu bezpośredniego.

2. Jeżeli Administrator zamierza zmienić cel przetwarzania Danych Osobowych zebranych od Podmiotów Danych na marketing bezpośredni, bada czy Podmiot Danych ma rozsądne przesłanki, by spodziewać się, że może nastąpić przetwarzanie jego Danych Osobowych w celu marketingu bezpośredniego.

3. W przypadku przetwarzania Danych Osobowych w celu marketingu bezpośredniego pozyskanych z innych źródeł, niż Podmiot Danych, Administrator podaje Podmiotowi Danych informacje wskazane w II.3.:

1) w rozsądnym terminie po pozyskaniu Danych Osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych; lub

2) jeżeli Dane Osobowe mają być stosowane do komunikacji z Podmiotem danych – najpóźniej przy pierwszej takiej komunikacji; lub

3) jeżeli planuje się ujawnić Dane Osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

4. W przypadku zmiany celu przetwarzania Danych Osobowych zebranych od Podmiotu Danych na marketing bezpośredni Administrator przekaże Podmiotowi Danych informacje o okresie, przez który Dane Osobowe będą przechowywane oraz o prawie cofnięcia zgody, jeżeli przetwarzanie odbywa się na podstawie zgody.

5. Jeżeli Podmiot Danych zgłosi sprzeciw względem przetwarzania jego Danych Osobowych przez Administratora na potrzeby marketingu bezpośredniego, Administrator uwzględni sprzeciw i zaprzestanie takiego przetwarzania.

.

X. POSTANOWIENIA KOŃCOWE

1. Polityka wchodzi w życie z dniem 25 maja 2018 r.

2. Odpowiedzialny za wdrożenie i utrzymanie Polityki jest Administrator.

3. Za nadzór i monitorowanie przestrzegania Polityki odpowiada Specjalista.