POLITYKA BEZPIECZEŃSTWA INFORMACJI

§1
[Postanowienia ogólne]
1. Niniejszy dokument stanowi Politykę Bezpieczeństwa Informacji określającą cele, zasady i tryb postępowania oraz środki techniczne i organizacyjne podejmowane w celu zapewnienia bezpieczeństwa procesu przetwarzania danych osobowych i innych informacji przez Clip Spółka z Ograniczoną Odpowiedzialnością z siedzibą w Warszawie (02-133) zarejestrowaną przy al. Krakowska 285, KRS 0000168235, NIP 946-23-88-457, REGON 432664777.
2. Stosowanie zasad oraz wdrożenie procedur, określonych w niniejszej Polityce Bezpieczeństwa ma na celu zapewnienie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania informacji zawierających dane osobowe oraz utrzymania bezpieczeństwa ich przetwarzania. 
3. Niniejsza Polityka Bezpieczeństwa została opracowana w oparciu o powszechnie obowiązujące przepisy prawa z zakresu ochrony danych osobowych i jej treść odpowiada wymaganiom stawianym w szczególności przez Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/we (Dz. Urz.UE.L Nr 119, str. 1), zwanego dalej RODO. 
4. Bez względu na zajmowane stanowisko, miejsce wykonywanej pracy oraz charakter stosunku pracy, zasady określone w Polityce Bezpieczeństwa Informacji oraz dokumentach powiązanych

§2
[Definicje]
Terminy użyte w niniejszej Polityce Bezpieczeństwa oznaczają:
a) Administrator - Clip Spółka z Ograniczoną Odpowiedzialnością z siedzibą w Warszawie (02-133) zarejestrowaną przy al. Krakowska 285, KRS 0000168235, NIP 946-23-88-457, REGON 432664777. Jest to podmiot, który decyduje o środkach i celach przetwarzania danych osobowych, w rozumieniu art. 4 pkt 7 RODO;
b) Osoba upoważniona – osoba posiadająca upoważnienie do przetwarzania danych osobowych wydane przez Administratora lub inny podmiot do tego umocowany;
c) dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
d) przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych, w tym zbieranie, przechowywanie, usuwanie, opracowywanie, zmienianie, udostępnianie, usuwanie;
e) System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych w Systemie;
f) Polityka Bezpieczeństwa – niniejszy dokument wraz ze wszystkimi załącznikami.

§3
[Podstawowe założenia Polityki Bezpieczeństwa]
1. Podstawy opracowania i wprowadzenia procedur i systemów ochrony danych osobowych zakładają wysoki poziom bezpieczeństwa przetwarzania danych osobowych ze względu na fakt, iż przynajmniej jedno z urządzeń Systemu informatycznego podłączone będzie do sieci publicznej.
2. Administrator podejmuje wszystkie niezbędne kroki mające na celu zapewnienie pełnej i prawidłowej ochrony przetwarzanych danych osobowych. W szczególności zobowiązuje się, że dane osobowe będą:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;
b) zbierane dla oznaczonych, prawnie uzasadnionych celów i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
d) merytorycznie poprawne i w razie potrzeby uaktualniane;
e) przechowywane nie dłużej, niż jest to niezbędne do celów, w których dane są przetwarzane;
f) zabezpieczone środkami technicznymi i organizacyjnymi, które zapewniają pełną ich ochronę.
3. Podstawowymi założeniami ochrony informacji jest zagwarantowanie:
a) poufności danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom,
b) integralności danych - rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
c) rozliczalności - rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,
d) integralności systemu - rozumie się przez to nienaruszalność systemu, niemożność jakiejkolwiek manipulacji,
e) uwierzytelniania - rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu,
4. Administrator opiera ochronę danych osobowych o następujące filary:
a. legalność – priorytetem jest ochrona prywatności, a także przetwarzanie danych zgodnie z prawem, 
b. bezpieczeństwo – Administrator zapewnia odpowiedni poziom bezpieczeństwa danych oraz stale podejmuje działania w tym zakresie, 
c. prawa osób – Administrator umożliwia osobom, których dane przetwarza wykonywanie swoich praw i prawa te realizuje, 
d. rozliczalność – Administrator dokumentuje spełnianie obowiązków by móc wykazać w każdej chwili zgodność postępowania z prawem.
5. Do wypełnienia założeń ochrony określonych w §3 pkt 1 w stopniu najbardziej efektywnym służy połączenie różnych zabezpieczeń w celu stworzenia kilku poziomów ochrony danych. Ochrona danych osobowych jest realizowana przez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe oraz przez Osoby uprawnione i Użytkowników. Stosowane środki bezpieczeństwa są wynikiem ustalonych analiz ryzyka oraz adekwatności środków bezpieczeństwa.
6. Realizacji założeń określonych w §3 pkt 1 i 2 służy przede wszystkim: 
1) Dokonanie inwentaryzacji i identyfikacji zbiorów danych osobowych przez Administratora, w tym ich zakresu, a także sposobów wykorzystania.
2) Opracowanie i wdrożenie Instrukcji zarządzania systemem informatycznym, precyzującej procedury ochronne podejmowane przez Osoby uprawnione w toku pracy z Systemem informatycznym.
3) Opracowanie i wdrożenie procedur postępowania w razie wystąpienia naruszeń lub zagrożenia naruszeniem bezpieczeństwa danych osobowych w Systemie informatycznym.
4) Opracowanie oraz prowadzenie rejestru czynności przetwarzania danych osobowych. 
5) Opracowanie i wdrożenie procedur szacowania ryzyka naruszenia praw lub wolności osób fizycznych.
6) Dokonywanie na bieżąco weryfikacji podstaw prawnych przetwarzania danych osobowych, w tym zarządzanie zgodami na przetwarzanie danych osobowych, a także analiza przypadków przetwarzania danych na podstawie prawnie uzasadnionego interesu Administratora. 
7) Odpowiedniego przeszkolenia pracowników, a w szczególności Osób uprawnionych, w zakresie bezpieczeństwa i ochrony danych osobowych.
8) Zapewnienie Osobom uprawnionym dostępu do Systemu informatycznego stosownie do zakresu upoważnienia oraz stworzenie procedur identyfikacji i uwierzytelniania Osób uprawnionych w Systemie informatycznym.
9) Przeprowadzania kontroli skuteczności ochrony i bezpieczeństwa danych osobowych w Systemie informatycznym, celem wyeliminowania zagrożenia naruszeniami.
10) Opracowanie procedur postępowania w przypadku utraty danych i informacji.
11) Doskonalenie przyjętych rozwiązań zgodnie z rozwojem techniki informatycznej i możliwości organizacyjnych.
12) Opracowanie zasad i metod zarządzania minimalizacją danych, w tym zasad zarządzania adekwatnością danych, dostępem do nich, a także zarządzania okresem ich przechowywania oraz weryfikacji dalszej przydatności.
13) Stworzenie mechanizmów ułatwiających wypełnienie obowiązku notyfikacji organowi nadzorczemu wystąpienia incydentu w zakresie przetwarzania danych osobowych. 
14) Stworzenie mechanizmów ułatwiających wypełnienie obowiązku notyfikacji osobie, której dane dotyczą incydentu dotyczącego naruszenia lub wycieku danych jej dotyczących.
15) Wdrożenie rozwiązań umożliwiających terminowe oraz udokumentowane wykonywanie praw osób, których dane dotyczą, w tym między innymi prawa do bycia zapomnianym, przenoszenia danych lub prawa do sprzeciwu. 
16) Opracowanie i wdrożenie zasad wypełniania obowiązków informacyjnych względem osób, których dane są przetwarzane. 
17) Stworzenie zasad doboru podmiotów trzecich przetwarzających na rzecz i w imieniu Administratora, a także opracowanie wymogów co do warunków przetwarzania oraz prowadzenie rejestru umów powierzenia. 
18) Opracowanie i wprowadzenie procedur uruchamiania nowych przedsięwzięć Administratora w taki sposób, by każdorazowo w fazie projektowania zmiany, inwestycji lub nowego projektu oceniać ich wpływ na ochronę danych, zapewnienie prywatności oraz możliwość wystąpienia ewentualnych zagrożeń

§4
[Odpowiedzialność Administratora]
1. Administrator jest odpowiedzialny za przetwarzanie i ochronę danych osobowych zgodnie z przepisami prawa, w tym w szczególności wdrożenie odpowiednich i skutecznych środków technicznych i organizacyjnych mając na względzie charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych. Ponadto, Administrator dba o wprowadzenie procedur postępowania zapewniających prawidłowe przetwarzanie danych osobowych, rozumiane jako ochrona danych przed ich przypadkowym lub niezgodnym z prawem zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnieniem, udostępnieniem osobom nieupoważnionym, zmianą lub zabraniem przez osobę nieuprawnioną. 
2. Do obowiązków Administratora Danych Osobowych należy w szczególności:
1) Wykazanie zgodności przetwarzania danych z prawem.
2) Prowadzenie rejestru czynności przetwarzania danych.
3) Dokonanie oceny skutków planowanych operacji przetwarzania danych.
4) Notyfikacja organowi nadzorczemu wystąpienia incydentu w zakresie przetwarzania danych osobowych.
5) Notyfikacja osobie, której dane dotyczą incydentu dotyczącego naruszenia lub wycieku danych jej dotyczących.
6) Współpraca z organem nadzorczym.
7) Określenie celów i strategii ochrony danych osobowych.
8) Podział zadań i obowiązków związanych z organizacją ochrony danych osobowych.
9) Sporządzanie lub zatwierdzanie, a także wdrażanie wymaganych przez przepisy prawa dokumentów regulujących ochronę danych osobowych, w tym odpowiednich polityk ochrony danych oraz zapewnienie ich ogólnodostępności dla wszystkich osób, które przetwarzają dane osobowe.
10) Dokonywanie bieżących zmian Polityki bezpieczeństwa informacji oraz dokumentów powiązanych.
11) Wdrożenie odpowiednich środków technicznych i organizacyjnych celem skutecznej realizacji zasad ochrony danych, między innymi takich jak minimalizacja danych.
12) Wdrożenie odpowiednich środków technicznych i organizacyjnych, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. 
13) Reagowanie na zgłaszane incydenty związane z naruszeniem ochrony danych osobowych oraz analizowanie ich przyczyn i kierowanie wniosków dotyczących ukarania winnych naruszeń.
14) Bieżący nadzór oraz zapewnianie optymalnej ciągłości działania systemu informatycznego.
15) Nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych, na których zapisane są dane osobowe.
16) Podejmowanie niezwłocznych działań, w przypadku naruszenia bądź powstania zagrożenia naruszeniem bezpieczeństwa danych osobowych.
17) Zapewnienie zgodności wszystkich wdrażanych systemów przetwarzania danych osobowych z RODO, a także innymi obowiązującymi przepisami o ochronie danych osobowych, Polityką bezpieczeństwa informacji i Instrukcją zarządzania systemem informatycznym.

§5
[Osoby uprawnione i inni pracownicy Administratora]
1. Administrator powołuje i rejestruje Osoby uprawnione do przetwarzania danych osobowych oraz prowadzi Ewidencję Osób uprawnionych do przetwarzania danych osobowych, o której mowa w §4 pkt 2 Instrukcji. Wzór powołania Osoby uprawnionej stanowi Załącznik numer 10 do Polityki Bezpieczeństwa.
2. Przetwarzania danych osobowych mogą dokonywać wyłącznie osoby określone w §5 pkt 1.
3. Zakres upoważnienia związany jest z zajmowanym stanowiskiem lub pełnioną funkcją oraz zakresem obowiązków służbowych ciążących na osobie upoważnionej.
4. Osoby określone w §5 pkt 1 są zobowiązane do złożenia oświadczenia o zachowaniu danych osobowych i sposobów ich zabezpieczania w tajemnicy, przetwarzania danych osobowych zgodnie z przepisami oraz oświadczenia o znajomości niniejszego dokumentu, a także o znajomości Polityki bezpieczeństwa informacji. Wzór oświadczenia stanowi Załącznik nr 12.
5. W celu osiągnięcia i utrzymania wysokiego poziomu bezpieczeństwa przetwarzania danych osobowych konieczne jest zaangażowanie ze strony każdego pracownika Administratora w zakresie ochrony danych osobowych.
6. Każdy pracownik, który zostanie upoważniony przez Administratora do przetwarzania danych osobowych oraz każdy pracownik, który będzie miał dostęp do pomieszczenia, w którym przetwarzane są dane osobowe, powinien zostać uprzednio przeszkolony w zakresie przepisów prawnych dotyczących ochrony danych osobowych, procedur ochrony przyjętych przez Administratora oraz zadań i obowiązków z nich wynikających.
7. Szkolenie powinno obejmować następujące zagadnienia:
a) przepisy o ochronie danych osobowych;
b) zasady przetwarzania danych osobowych;
c) procedury dotyczące bezpiecznego przetwarzania danych osobowych w Systemie informatycznym;
d) zasady użytkowania urządzeń i Systemu informatycznego służących do przetwarzania danych osobowych;
e) zagrożenia na jakie może być narażone przetwarzanie danych osobowych, a w szczególności te związane z przetwarzaniem danych osobowych w systemach informatycznych;
f) sposób postępowania w przypadku naruszenia ochrony danych osobowych lub systemu informatycznego, w tym konieczność powiadomienia organu nadzorczego oraz osoby, której dane dotyczą;
g) odpowiedzialność z tytułu naruszenia ochrony danych osobowych.
8. Wszystkie Osoby uprawnione podlegają okresowym szkoleniom, w szczególności w razie modernizacji procedur ochrony lub Systemu informatycznego, zmiany przepisów prawa lub Polityki Bezpieczeństwa Informacji.
9. Wszystkie Osoby uprawnione są zobowiązane do ścisłego współpracowania z Administratorem oraz wyznaczonymi przez niego osobami celem zapewnienia pełnej ochrony bezpieczeństwa danych osobowych.
10. Osoba uprawniona powinna w szczególności:
a) postępować zgodnie z Polityką bezpieczeństwa informacji i Instrukcją zarządzania systemem informatycznym;
b) chronić dane osobowe przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub zniekształceniem.
c) zwracać szczególną uwagę podczas wchodzenia i wychodzenia do budynku oraz znajdujących się w nim do pomieszczeń, mając na względzie możliwość dostania się do nich osób nieuprawnionych;
d) informować Administratora o wszystkich podejrzeniach naruszenia lub zagrożenia naruszenia bezpieczeństwa danych osobowych;
e) przestrzegać procedur związanych z pracą w Systemie informatycznym (a w szczególności w związku z rozpoczęciem i zakończeniem pracy);
f) informować Administratora o osobach nieupoważnionych znajdujących się w obiekcie;
g) przekazywać Administratorowi wskazania dotyczące słabych ogniw procedur ochrony danych osobowych oraz projekty i propozycje ich ewentualnych ulepszeń;
h) zachowywać w tajemnicy dane osobowe oraz informacje o sposobach ich zabezpieczenia;
i) wykonywać wszelkie działania w celu zapewnienia ochrony danych osobowych.
11. Za bieżącą ochronę danych osobowych odpowiada każda osoba przetwarzająca dane w zakresie zgodnym z zakresem upoważnienia, kompetencjami lub rolą sprawowaną w procesie przetwarzania danych.

§6
[Rejestr czynności przetwarzania danych osobowych]
1. Odrębnie dla każdego procesu przetwarzania danych osobowych Administrator oraz podmiot przetwarzający dane prowadzi Rejestr czynności przetwarzania danych osobowych, w którym inwentaryzuje oraz monitoruje sposób, w jaki wykorzystuje dane osobowe. 
2. Wzór Rejestru stanowi Załącznik numer 13.
3. Rejestr zawiera w szczególności:
a) nazwę oraz adres Administratora;
b) cele przetwarzania danych;
c) opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych;
d) podstawę prawną przetwarzania danych;
e) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione;
f) informację o przekazaniu danych osobowych do państwa trzeciego;
g) informację o planowanych terminach usunięcia poszczególnych kategorii danych;
h) opis technicznych i organizacyjnych środków bezpieczeństwa danych. 
4. Rejestr jest prowadzony w postaci elektronicznej.

§7
[Ochrona danych osobowych: zabezpieczenia fizyczne]
1. Dane osobowe mogą być przetwarzane wyłącznie w pomieszczeniach przetwarzania danych osobowych. Ewidencja wszystkich budynków i pomieszczeń, w których przetwarzane są dane osobowe stanowi Załącznik numer 2.
2. Do podstawowych zabezpieczeń fizycznych danych osobowych oraz budynków i pomieszczeń, w których dane są przetwarzane należy:
a) wydzielanie pomieszczeń, w których dozwolone jest podejmowanie czynności związanych z przetwarzaniem danych osobowych;
b) zabezpieczenie wejść do pomieszczeń poprzez zamykanie klasycznych zamków;
c) alarm
d) całodobowa ochrona przez wszystkie dni w roku.
3. Klucze do pomieszczeń posiadają wyłącznie osoby do tego uprawnione. Klucze zapasowe do pomieszczeń są w posiadaniu Administratora i mogą być wydawane wyłącznie w przypadkach awaryjnych, za jego zgodą.
4. Stały dostęp do pomieszczeń, w których przetwarzane są dane osobowe mają wyłącznie Osoby uprawnione.

§8
[Ochrona danych osobowych: procedury organizacyjne]
1. Szczegółowe opisy procedur organizacyjnych dotyczących pracy w Systemie informatycznym znajdują się w Instrukcji zarządzania systemem informatycznym, który stanowi Załącznik numer 1.
2. Przetwarzanie danych osobowych z użyciem stacjonarnego sprzętu komputerowego odbywa się wyłącznie w obszarze wyznaczonym przez Administratora.
3. Przetwarzanie danych osobowych na urządzeniach przenośnych może być dokonywane wyłącznie przy zachowaniu szczególnej ostrożności podczas transportowania i przechowywania urządzenia przenośnego.
4. Zabronione jest przetwarzanie danych osobowych w czasie, gdy w pomieszczeniu znajdują się osoby nieupoważnione lub gdy zachodzi uzasadnione podejrzenie naruszenia ochrony danych osobowych.
5. Osoby nieupoważnione mogą przebywać w pomieszczeniach, w których przetwarzane są dane osobowe wyłącznie w obecności Osób uprawnionych lub za zgodą Administratora.
6. Administrator oraz osoby przez niego wyznaczone są odpowiedzialni za całość zagadnień dotyczących ochrony i bezpieczeństwa danych osobowych.
7. Osoby uprawnione są zobowiązane do przestrzegania zasad określających dopuszczanie osób nieupoważnionych do pomieszczeń, w których przetwarzane są dane osobowe.

§ 9
[Minimalizacja czasu przetwarzania danych]
Administrator, z uwzględnieniem danych zawartych w rejestrze czynności przetwarzania danych weryfikuje przydatność przetwarzanych danych osobowych.
1. Po ustaniu okresu użyteczności danych osobowych, Administrator usuwa ww. dane z systemu informatycznego, a także przekazuje dokumentację papierową do zniszczenia. 

§10
[Polityka niszczenia dokumentów oraz elektronicznych nośników zawierających dane]
1. Zasady dotyczące niszczenia dokumentów należy stosować względem wszelkiego rodzaju dokumentów zawierających dane osobowe. Usuwanie danych osobowych jest jedną z operacji przetwarzania danych, dlatego winno odbywać się z poszanowaniem zasad wskazanych w przepisach prawa.
2. Osoby upoważnione do przetwarzania danych osobowych niszczą dokumenty oraz inne nośniki zawierające dane osobowe w przeznaczonych do tego urządzeniach niszczących lub poprzez przekazanie wyspecjalizowanemu podmiotowi zewnętrznemu na podstawie umowy powierzenia danych osobowych. 

§ 11
[Przechowywanie dokumentów oraz elektronicznych nośników zawierających dane osobowe]
1. Przetwarzanie danych osobowych, w tym ich przechowywanie odbywa się w obszarze określonym załącznikiem numer 2 do niniejszej polityki. 
2. Dokumenty oraz nośniki zawierające dane osobowe przechowywane są po godzinach pracy w zamykanych na klucz szafach lub pomieszczeniach. Ww. pomieszczenia i budynki wchodzące w skład obszaru, o którym mowa w ust. 2 § 7 zamykane są po godzinach pracy na klucz.
3. Osoby upoważnione obowiązane są do przechowywania kluczy do szaf służących przechowywaniu nośników danych osobowych w sposób uniemożliwiający dostęp do ww. kluczy przez osoby nieupoważnione do przetwarzania danych osobowych.

§ 12
[Polityka kluczy]
1. Klucze do pomieszczeń i budynków tworzących obszar przetwarzania danych osobowych przechowywane są po godzinach pracy u pracownika zajmującego się działem obsługi klienta, natomiast drugi zestaw kluczy jest w pomieszczeniu ochrony obiektu, przy ul. Wolskiej 11.
2. Odbiór klucza kwitowany jest podpisem osoby pobierającej klucz oraz osoby prowadzącej księgę kluczy.
3. Zabronione jest dorabianie kluczy do pomieszczeń tworzących obszar przetwarzania danych bez zgody Administratora. 

§ 13
[Zasada czystego biurka, zasada czystej drukarki]
1. Celem zminimalizowania zagrożenia uzyskania dostępu do danych osobowych przez osoby nieupoważnione wprowadza się tzw. „zasadę czystego biurka” oraz „zasadę czystej drukarki”. 
2. Osoby upoważnione obowiązane są do pracy z dokumentami stanowiącymi nośnik danych osobowych w taki sposób, by na stanowisku pracy znajdowały się w danym momencie wyłącznie te dokumenty, które są wykorzystywane w realizacji bieżącego zadania. Po zakończeniu realizacji zadania oraz po godzinach pracy, dokumenty zawierające dane osobowe umieszcza się w zamykanych na klucz szafach lub pomieszczeniach.
3. Osoby upoważnione korzystające ze wspólnych urządzeń drukujących, drukując dokumenty stanowiące nośniki danych osobowych, obowiązane są do drukowania tych dokumentów w mniejszych partiach oraz niepozostawiania tych dokumentów po wydruku na podajniku urządzenia drukującego.

§ 14
[Prawa osób, których dane dotyczą. Obowiązek informacyjny]
1. Administrator realizuje obowiązki informacyjne względem osób, których dane przetwarza, a także zapewnia obsługę ich praw spełniając żądania ww. osób poprzez następujące działania: 
a. przed zebraniem danych każda osoba otrzymuje wymagane prawem informacje, a fakt ten jest przez Administratora udokumentowany, 
b. każde żądanie osoby, której dane są przetwarzane jest weryfikowane i wykonywane zarówno przez Administratora, jak i podmiot przetwarzający dane, 
c. pracownicy Administratora są odpowiednio przeszkoleni i mają środki do tego, by żądania osób, których dane są przetwarzane były realizowane należycie i w stosownych terminach, a cały proces jest odpowiednio udokumentowany. 
2. Administrator podejmuje wszelkie starania, aby komunikacja z osobami, których dane dotyczą, a także przekazywane informacje były czytelne, jasne i zrozumiałe. 
3. Administrator dba o to, by w komunikacji z osobami używać prostego języka i jak najmniej cytować przepisy. 
4. Komunikacja odbywa się zasadniczo na piśmie lub elektronicznie, co czyni zadość spełnieniu zasady rozliczalności. Wyjątkowo, na wniosek osoby komunikacja odbywa się ustnie, jednakże taka forma komunikacji nie uchybia konieczności potwierdzenia tożsamości w inny sposób niż ustnie. 
5. Schemat obsługi żądań osób, których dane dotyczą stanowi załącznik numer 14. 
6. Administrator podaje na należącej do niego stronie internetowej lub przez niego zarządzanej niezbędne informacje w zakresie jego danych, możliwych sposobach kontaktu, a także prawach osób, których dane dotyczą. 
7. Metody identyfikacji i uwierzytelniania tożsamości na potrzeby realizacji praw oraz spełnienia obowiązków informacyjnych opisano w Instrukcji zarządzania systemem informacyjnym. 
8. Celem realizacji praw osób, których dane dotyczą, Administrator zapewnia odpowiednie mechanizmy pozwalające na identyfikację danych konkretnych osób, a także możliwość ich modyfikacji oraz usuwania. Opis zastosowanych środków znajduje się w Instrukcji zarządzania systemem informatycznym. 
9. Administrator dokumentuje realizację obowiązków informacyjnych, a także żądań osób, których dane dotyczą. 
10. Administrator przestrzega terminów udzielenia informacji o działaniach podjętych w związku z wystosowanym żądaniem. Jeśli miesięczny termin odpowiedzi nie może być zachowany, Administrator informuje osobę o jego przedłużeniu.
11. Administrator informuje osobę o przetwarzaniu jej danych przy pozyskiwaniu danych od tej osoby, a także w przypadku pozyskania danych od osoby trzeciej.
12. W przypadku przetwarzania danych niezidentyfikowanych, Administrator informuje o tym poprzez publiczne wywieszenie informacji, np. zamieszcza tablicę informacyjną o objęciu obszaru monitoringiem. 
13. Administrator informuje odbiorców danych o:
a. sprostowaniu danych, ich usunięciu lub ograniczeniu przetwarzania,
b. planowanej zmianie celu przetwarzania danych, 
c. uchyleniu ograniczenia przetwarzania, 
d. prawie sprzeciwu.
14. W przypadku wystąpienia ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, Administrator bez zbędnej zwłoki zawiadamia tę osobę o naruszeniu ochrony danych osobowych. 
15. W przypadku, gdy żądanie zgłosiła osoba, której dane nie są przetwarzane, Administrator informuje osobę o tym, że nie przetwarza danych jej dotyczących.
16. O odmowie rozpatrzenia żądania Administrator informuje do miesiąca osobę, która takie żądanie zgłosiła o odmowie rozpatrzenia jej żądania i jej prawach z tym związanych. 
17. Realizując żądanie dostępu do danych, Administrator informuje osobę, czy przetwarza jej dane, podaje szczegóły przetwarzania zgodnie z art. 15 RODO, a także udziela osobie dostępu do danych jej dotyczących. 
18. Dostęp do danych może być zrealizowany w szczególności poprzez wydanie kopii danych. Pierwsza wydana kopia danych jest bezpłatna. Cennik wydawanych kolejnych kopii danych stanowi załącznik numer 15.
19. Administrator dokonuje sprostowania danych, ich uzupełniania oraz aktualizacji na żądanie osoby, której dane dotyczą. 
20. Administrator usuwa dane na żądanie osoby, której dane dotyczą w następujących przypadkach:
a. dane nie są niezbędne do celów, w których zostały zebrane, ani przetwarzane w innych zgodnych z prawem celach, 
b. zgoda na przetwarzanie została cofnięta i nie występuje inna podstawa przetwarzania, 
c. osoba wniosła skuteczny sprzeciw względem przetwarzania danych, 
d. dane były przetwarzane niezgodnie z prawem, 
e. konieczność usunięcia wynika z obowiązku prawnego, 
f. żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego.
21. Procedura obsługi prawa usunięcia danych została opisana w Instrukcji Zarządzania Systemem Informatycznym, czyniąc jednocześnie zadość efektywnej realizacji ww. prawa przy poszanowaniu zasad ochrony danych, w tym bezpieczeństwa. 
22. Wykonując prawo do usunięcia danych Administrator informuje również inne podmioty, którym przekazał dane o konieczności ich usunięcia. 
23. Administrator podejmuje działania mające na celu sprawną realizację prawa do ograniczenia przetwarzania. 
24. W przypadku żądania przeniesienia danych, Administrator wydaje w formacie nadającym się do odczytu maszynowego dane dotyczące tej osoby, które dostarczyła Administratorowi. 
25. Realizacja prawa sprzeciwu wobec przetwarzania danych następuje po uprzedniej weryfikacji uzasadnienia zgłoszenia oraz podstawy prawnej realizacji żądania. Administrator uwzględni sprzeciw, o ile nie zachodzą po jego stronie ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw lub podstawy do ustalenia, dochodzenia lub obrony roszczeń. 
26. Administrator uwzględnia sprzeciw względem przetwarzania danych na potrzeby marketingu bezpośredniego, a także zaprzestaje przetwarzania danych w ww. celu.

§ 15
[Powierzanie przetwarzania danych osobowych]
1. Powierzenie przetwarzania danych osobowych polega na przekazaniu danych podmiotowi trzeciemu, który przetwarza dane w imieniu i na rzecz Administratora.
2. Administrator przy wyborze podmiotu trzeciego, o którym mowa w ust. 1, kieruje się przede wszystkim kryterium bezpieczeństwa danych – czy ww. podmiot daje wystarczające gwarancje wdrożenia odpowiednich środków adekwatnych do ryzyka naruszenia danych osobowych, a także realizacji praw jednostki oraz innych obowiązków ochrony spoczywających na Administratorze. 
3. Wskazane w ust. 1 powierzenie przetwarzania danych osobowych może się odbywać wyłącznie w trybie przewidzianym w art. 28 RODO poprzez zawarcie na piśmie lub w formie elektronicznej umowy powierzenia przetwarzania danych osobowych.
4. W sytuacji powierzenia przetwarzania danych osobowych podmiotowi zewnętrznemu, w umowie powierzenia przetwarzania danych osobowych określa się przede wszystkim zobowiązania podmiotu przetwarzającego do:
a) przetwarzania danych wyłącznie na udokumentowane polecenie administratora;
b) zapewnienia, by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
c) podejmowania środków zabezpieczenia danych wymaganych przez RODO i pomagania administratorowi wywiązać się z tych obowiązków;
d) przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego, w tym między innymi za zgodą Administratora;
e) pomagania Administratorowi wywiązać się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania jej praw określonych w RODO;
f) usunięcia danych lub do zwrotu danych Administratorowi danych po zakończeniu przetwarzania, zgodnie z decyzją administratora;
g) udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia jego obowiązków oraz do umożliwiania Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzania audytów.
5. Projekt umowy powierzenia przetwarzania danych osobowych innemu podmiotowi przygotowuje zespół powołany przez Administratora.
6. Powierzenie przetwarzania danych osobowych poza granice Rzeczypospolitej Polskiej wymaga zgody Administratora i odbywa się po sprawdzeniu wymagań prawnych obowiązujących w tym zakresie.
7. Administrator prowadzi Ewidencję umów powierzania przetwarzania danych osobowych, która stanowi Załącznik nr 6.

§16
[Kontrola przestrzegania zasad ochrony danych osobowych]
1. Administrator poprzez wyznaczone osoby sprawuje nadzór nad przestrzeganiem zasad ochrony danych osobowych, w tym w szczególności dokonuje okresowej kontroli i oceny funkcjonowania mechanizmów zabezpieczeń oraz przestrzegania zasad postępowania w przypadku naruszenia zabezpieczeń.
2. Przedmiotem kontroli powinny być w szczególności:
a) funkcjonowanie zabezpieczeń fizycznych i organizacyjnych;
b) funkcjonowanie zabezpieczeń systemowych (oprogramowanie);
c) funkcjonowanie systemów uwierzytelniania;
d) realizacja wdrożonych procedur.
3. Z przeprowadzonych kontroli sporządza się protokoły, które szczegółowo opisują stan przestrzegania i skuteczności ochrony danych osobowych. Protokoły są przechowywane przez Administratora.

§17
[Naruszenie ochrony danych osobowych]
1. Naruszeniem ochrony danych osobowych jest w szczególności:
a) udostępnienie danych osobowych lub próba uzyskania do nich dostępu przez osoby nieupoważnione;
b) nieuprawniony dostęp lub próba dostępu do Systemu informatycznego lub do pomieszczeń, w których przetwarzane są dane osobowe;
c) zabranie i modyfikacja danych osobowych lub ich próby przez osobę nieuprawnioną;
d) naruszenie integralności Systemu informatycznego;
e) przetwarzanie danych osobowych z naruszeniem przepisów RODO;
f) zmodyfikowanie lub utrata danych osobowych;
g) uszkodzenie lub zniszczenie danych osobowych;
h) włamanie do budynku lub pomieszczeń, w których przetwarzane są dane osobowe;
i) każdy stan uzasadniający podejrzenie naruszenia lub próby naruszenia procedur ochronnych przez osobę nieuprawnioną.
2. Wszystkie incydenty naruszenia ochrony danych osobowych podlegają wpisowi do Ewidencji, stanowiącej Załącznik numer 3. Z każdego naruszenia Administrator sporządza ponadto protokół, wzór protokołu stanowi Załącznik numer 4.

§18
[Postępowanie w przypadku naruszeń ochrony danych osobowych]
1. Przed przystąpieniem do pracy Osoba uprawniona jest obowiązana sprawdzić stan urządzeń komputerowych oraz całego stanowiska pracy, w tym zwrócić szczególną uwagę czy nie zaszły okoliczności wskazujące na naruszenie lub próby naruszenia ochrony danych osobowych.
2. W przypadku stwierdzenia przez Osobę uprawnioną naruszenia zabezpieczenia Systemu informatycznego lub podejrzenia, że zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu mogą wskazywać na naruszenie bezpieczeństwa danych osobowych, osoba uprawniona jest zobowiązana niezwłocznie poinformować o tym Administratora oraz podjąć niezbędne kroki mające na celu zapobieżenie dalszym skutkom naruszenia, a w szczególności:
a) powstrzymać się od rozpoczęcia lub kontynuowania pracy, jak również podjęcia wszelkich innych czynności, które skutkować mogą zniekształceniem dokonanego naruszenia lub dopuszczeniem do zwiększenia jego skali;
b) zabezpieczyć System informatyczny przed dostępem do niego osób nieupoważnionych;
c) wykonywać wszystkie polecenia Administratora lub osoby przez nich wyznaczonej.
3. Każdy pracownik Administratora jest zobowiązany poinformować go niezwłocznie o zajściu lub podejrzeniu zajścia okoliczności określonych w § 18 pkt 2.
4. W przypadku naruszenia ochrony danych osobowych, Administrator bez zbędnej zwłoki - nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia - zgłasza wystąpienie incydentu Organowi Nadzorczemu, zgodnie z wymogami art. 33 RODO. 
5. W przypadku wystąpienia incydentu bezpieczeństwa dotyczącego danych osobowych powodującego wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zawiadamia również o incydencie osobę, której dane dotyczą, na zasadach określonych w art. 34 RODO. 
6. Ponadto, w przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na zagrożenie jego wystąpieniem, Administrator podejmuje następujące czynności:
a) ocenia sytuację, biorąc pod uwagę stan pomieszczeń, urządzeń i Systemu informatycznego, identyfikując rodzaj i skalę naruszenia;
b) wysłuchuje relacji osoby, która powiadomiła o naruszeniu;
c) niezwłocznie podejmuje niezbędne decyzje i działania, mające na celu zapobieżenie dalszym skutkom naruszenia, stosownie do rodzaju i skali naruszenia;
d) sporządza protokół z naruszenia, zgodnie z załącznikiem nr 4 do Polityki Bezpieczeństwa.
7. Administrator lub osoba przez niego upoważniona, podejmuje działania mające na celu likwidację skutków naruszenia oraz zapobieżenie ich występowania w przyszłości. Jeżeli zachodzi taka potrzeba, wdraża niezbędne dla zachowania poziomu bezpieczeństwa dodatkowe formy ochrony danych osobowych.
8. W przypadku zaistnienia naruszenia Osoba uprawniona może rozpocząć lub kontynuować pracę z Systemem informacji dopiero po otrzymaniu pozwolenia Administratora lub osoby przez niego upoważnionej.
9. W przypadku kradzieży urządzeń komputerowych, każdy pracownik Administratora ma obowiązek niezwłocznie poinformować o zaistniałym fakcie Administratora oraz jednostkę policji, a także dążyć do szybkiego i pełnego wyjaśnienia wszystkich okoliczności sprawy.
10. W przypadku, gdy naruszenie ochrony danych osobowych stanowiło naruszenie obowiązującej u Administratora dyscypliny pracy, przepisów prawa lub przepisów wewnętrznych, Administrator może przeprowadzić postępowanie wyjaśniające mające na celu ustalenie zakresu odpowiedzialności pracowników oraz podjęcia stosownych działań wobec tych osób.
11. Osoba uprawniona oraz wszyscy inni pracownicy Administratora za naruszenie obowiązków wynikających z przepisów Polityki Bezpieczeństwa Informacji i przepisów o ochronie danych osobowych ponoszą odpowiedzialność określoną w wewnętrznych regulaminach Administratora, Kodeksie Pracy oraz przepisach powszechnie obowiązujących z zakresu ochrony danych osobowych.

§19
[Postępowanie w przypadku nastąpienia klęski żywiołowej]
1. Klęską żywiołową jest wydarzenie wywołane działaniem sił przyrody, takich jak ogień, woda i wiatr.
2. Każdy pracownik ma obowiązek poinformować niezwłocznie Administratora lub Osobę uprawnioną o zajściu prawdopodobieństwa wystąpienia sytuacji określonej w §19 pkt 1.
3. Osoby przeprowadzające akcję ratunkową nie są zobowiązane do przestrzegania wymogów określonych w Polityce Bezpieczeństwa Informacji w zakresie, który jest niezbędny w danej sytuacji.
4. W przypadku ogłoszenia alarmu ewakuacyjnego pracownicy Administratora są zobowiązani, w miarę możliwości do:
a) zakończenia pracy z Systemem informatycznym;
b) zabezpieczenia danych osobowych.
5. W czasie trwania akcji ratunkowej i po jej zakończeniu Administrator oraz wszyscy pracownicy mają obowiązek, w miarę możliwości, zabezpieczyć dane przed dostępem do nich osób nieuprawnionych.
6. Niniejsza Polityka oraz dokumenty z nią powiązane powinny być aktualizowane wraz ze zmieniającymi się przepisami prawnymi o ochronie danych osobowych oraz zmianami faktycznymi, które mogą powodować, że zasady ochrony danych osobowych określone w obowiązujących dokumentach będą nieaktualne lub nieadekwatne.

§20
[Postanowienia końcowe]
1. Polityka Bezpieczeństwa Informacji wraz ze wszystkimi załącznikami zawiera dane, których ujawnienie osobom nieupoważnionym mogłoby spowodować zagrożenie utratą skuteczności ochrony danych osobowych. W związku z tym stanowi przedmiot tajemnicy przedsiębiorstwa i nie może być udostępniana osobom nieupoważnionym w żadnej formie.
2. Administrator jest zobowiązany do zapoznania każdego nowego pracownika z treścią Polityki Bezpieczeństwa Informacji oraz wszystkimi jej załącznikami.
3. Osoba uprawniona zobowiązana jest złożyć oświadczenie o tym, że została zaznajomiona z przepisami RODO, obowiązującą Polityką Bezpieczeństwa Informacji oraz Instrukcją zarządzania systemem informatycznym.
4. W sprawach nieuregulowanych w Polityce mają zastosowanie przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/we (Dz. Urz.UE.L Nr 119, str. 1).
5. Niniejsza Polityka Bezpieczeństwa wchodzi w życie z dniem 25.05.2018.

©2017 PARTNER TECHNOLOGICZNY MONOGO SP. Z O.O.