1.
- Polityka ochrony danych (dalej: „Polityka”) określa zasady dotyczące przetwarzania zabezpieczenia danych osobowych w spółce Grimbud Barska Spółka z ograniczoną odpowiedzialnością z siedzibą w Krakowie (30-519) przy ulicy Zamoyskiego 81 lok. 12 , zarejestrowana w Sądzie Rejonowym dla Krakowa Śródmieścia w Krakowie – XI Wydziale Gospodarczym Krajowego Rejestru Sądowego pod numerem 0001018700, NIP: 6793259806 (dalej: GRIMBUD BARSKA) zgodnie z wymaganiami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – zwanego dalej RODO).
- Niniejszy dokument stanowi wykonanie obowiązku, o którym mowa w art. 24 ust. 2 RODO.
- Polityka ma zastosowanie do wszystkich danych osobowych przetwarzanych w Grimbud Barska w ramach procesów przetwarzania danych osobowych.
- Obowiązek ochrony danych osobowych przetwarzanych w Grimbud Barska dotyczy wszystkich osób, które mają do nich dostęp bez względu na zajmowane stanowisko oraz miejsce wykonywania pracy, jak również charakter stosunku pracy, w tym w szczególności wszelkie podmioty i ich pracownicy świadczący na rzecz Spółki usługi wymagające dostępu do danych – w tym: budowlane, architektoniczne, prawne, finansowe, księgowe i informatyczne, a także firmy ubezpieczeniowe, czy kontrahenci administratora.
- Możliwość przetwarzania danych osobowych przysługuje jedynie w drodze otrzymanego upoważnienia przekazanego osobom, które mają do nich dostęp lub na podstawie zawartej umowy powierzenia przetwarzania danych.
- Osoby mające dostęp do danych osobowych są zobowiązane do zapoznania się z Polityką i innymi powiązanymi z nią dokumentami oraz stosowanie zawartych w nich regulacji.
- Polityka zachowuje zgodność ze wszelkimi wewnętrznymi regulacjami z obszaru bezpieczeństwa informacji i systemów informatycznych obowiązującymi w Grimbud Barska Sp. z o.o. z siedzibą w Krakowie.
- Nadzór nad opracowaniem i aktualizacją Polityki sprawuje administrator tj. Gimbud Barska Sp. z o.o. z siedzibą w Krakowie.
2.
Słownik pojęć używanych w niniejszej Polityce:
- Grimbud Barska spółka z ograniczoną odpowiedzialnością z siedzibą w Krakowie przy ulicy Jana Zamoyskiego 81 lok. 12, 30-519 Kraków, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy dla Krakowa Śródmieścia w Krakowie, XI Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: 0001018700, REGON: 524427218, NIP: 6793259806, osoby upoważnione do reprezentacji, osoby wyznaczone do zapewniania przestrzegania przepisów niniejszej polityki.
- Dane osobowe – wszelkie informacje, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
- Dane osobowe wrażliwe – szczególne kategorie danych określone w art. 9 RODO, w tym: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych; dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej; dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby; jak również dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa, o których mowa w art. 10 RODO.
- Naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
- Obszar przetwarzania danych osobowych – pomieszczenia lub części pomieszczeń we wszystkich lokalizacjach spółki, w których są przetwarzane dane osobowe, zarówno w formie papierowej, jak i w systemie informatycznym.
- Odbiorca danych – podmiot, któremu udostępniane są dane osobowe.
- Osoba upoważniona – osoba upoważniona do przetwarzania danych osobowych przez Administratora danych lub osobę przez niego upoważnioną, mająca bezpośredni dostęp do danych, przetwarzanych w systemie informatycznym lub w dokumentacji papierowej.
- Podmiot przetwarzający – podmiot, któremu Grimbud Barska powierza czynności przetwarzanie danych osobowych w swoim imieniu na podstawie stosowniej umowy.
- Przetwarzanie danych osobowych – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
- PUODO – Prezes Urzędu Ochrony Danych Osobowych.
- RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych.
- UODO – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018, poz. 1000).
- Zasób danych osobowych – wszystkie dane osobowe, niezależnie od sposobu ich utrwalenia, zarówno w formie elektronicznej – w systemie informatycznym oraz na nośnikach (płyty CD/DVD/BD, pamięci flash i inne) jak i papierowej przetwarzane przez spółkę w celu realizacji jej zadań.
3.
- Grimbud Barska jako administrator jest odpowiedzialny za przetwarzanie i ochronę danych osobowych w zgodnie przepisami prawa, w tym za zaakceptowanie niniejszej Polityki.
- Osoba Wyznaczona zobowiązana jest do bieżącego monitorowania środków technicznych i organizacyjnych stosowanych w Grimbud Barska oraz spółkach powiązanych. ich zgodności z obowiązującymi przepisami. Monitorowanie prowadzone jest przez Administratora oraz poprzez audyty okresowe i doraźne (w przypadku stwierdzenia naruszenia ochrony danych osobowych).
- Administrator analizuje wyniki audytów oraz bieżących kontroli wraz z dokumentacją przetwarzania danych osobowych przyjętych i informuje o konieczności wprowadzenia zmian.
- Administrator nadzoruje aktualizację środków technicznych, organizacyjnych i dokumentacji oraz implementację tych zmian przez osoby upoważnione do przetwarzania danych.
4.
- Administrator jest odpowiedzialny za:
- zarządzanie czynnościami przetwarzania danych osobowych w ramach zadań, realizowanych przez Grimbud Barska,
- nadawanie, zmianę lub cofnięcie uprawnień pracownikom do określonych zasobów danych osobowych przetwarzanych w systemie informatycznym, zgodnie z zakresem upoważnienia do przetwarzania danych osobowych,
- zapoznanie podległych pracowników i innych osób (np. współpracowników) z zasadami przetwarzania i ochrony danych w Grimbud Barska,
- wypełnianie obowiązków dotyczących zabezpieczenia obszaru przetwarzanych danych osobowych w Grimbud Barska,
- analizowania podstaw prawnych przetwarzania danych osobowych, w tym zbierania i archiwizowanie zgód osób na przetwarzanie ich danych osobowych wymaganych przypadkach,
- ustalanie zasad tworzenia kopii zapasowych plików z danymi osobowymi,
- realizację procesu udostępniania danych osobowych innemu podmiotowi lub osobie, której dane dotyczą,
- realizacja procesów związanych z powierzaniem przetwarzania danych osobowych przez spółkę innym podmiotom – zgodnie z zawartymi umowami powierzenia przetwarzania danych osobowych,
- przygotowanie upoważnienia do przetwarzania danych osobowych oraz umów powierzenia przetwarzania danych osobowych,
- przechowywanie nadanych upoważnień do przetwarzania danych osobowych oraz oświadczeń o zachowaniu tajemnicy danych osobowych i sposobów ich zabezpieczania wraz z aktami osobowymi pracowników lub umowami zlecenia,
- prowadzenie aktualnej ewidencji osób upoważnionych do przetwarzania danych osobowych.
5.
- Administrator obsługuje zarządzanie systemem informatycznym służącym m.in. do przetwarzania danych osobowych w Grimbud Barska.
- Dane osobowe zbierane w ramach procesów realizowanych w Grimbud Barska są przetwarzane przez czas określony przez właściwe przepisy prawa lub wewnętrzne przepisy na potrzeby Grimbud Barska.
- Powierzenie przetwarzania danych osobowych odbywać się będzie na podstawie umowy powierzenia.
- Grimbud Barska może korzystać, o ile okaże się to niezbędne, z oprogramowania Deweloper System do zarządzania sprzedażą nieruchomości powierzając FORBIT Software Factory na podstawie umowy powierzenia dane osobowe potrzebne do prawidłowego wdrożenia i korzystania z oprogramowania.
6.
- Osoby wykonujące czynności związane z przetwarzaniem danych osobowych w Grimbud Barska w ramach wykonywania zadań służbowych na stanowiskach pracy lub prac zleconych muszą posiadać pisemne upoważnienie do przetwarzania danych osobowych.
- Upoważnienia do przetwarzania danych osobowych nadaje osoba uprawniona do reprezentacji Grimbud Barska zgodnie z zasadami ujawnionymi w Rejestrze Przedsiębiorców Krajowego Rejestru Sądowego.
- Upoważnienia do przetwarzania danych są przygotowywane i przechowywane przez Grimbud Barska.
7.
- Osoba upoważniona do przetwarzania danych osobowych w Grimbud Barska jest zobowiązana do:
- zapoznania się z obowiązującymi przepisami prawa z zakresu ochrony danych osobowych oraz dokumentacją dotyczącą ochrony danych osobowych obowiązującą w Grimbud Barska,
- przetwarzania danych osobowych wyłącznie w celu i zakresie wynikającym z nałożonych obowiązków służbowych,
- zachowania wyjątkowej staranności przy przetwarzaniu danych osobowych, w szczególności danych wrażliwych w celu ochrony interesów osób, których dane dotyczą, w szczególności sprawdzać, czy są spełnione podstawy prawne na pozyskiwanie danych osobowych, zgodnie z art. 6 RODO oraz art. 9 – 10 RODO,
- stosowania określonych w Grimbud Barska procedur i środków przetwarzania oraz zabezpieczania danych osobowych,
- podporządkowania się poleceniom Administratora w zakresie ochrony danych osobowych,
- zachowania w poufności danych osobowych oraz danych objętych tajemnicą przedsiębiorstwa,
- zabezpieczenia danych osobowych przed: ich utratą, uszkodzeniem lub zniszczeniem, zmianą lub ich udostępnieniem osobom nieupoważnionym,
- dopilnowania, aby przebywanie osób nieupoważnionych w pomieszczeniach, w których przetwarzane są dane osobowe, miało miejsce wyłącznie w obecności osoby upoważnionej,
- dopilnowania, aby przeznaczone do usunięcia dokumenty, zawierające dane osobowe niszczone były w stopniu uniemożliwiającym ich odczytanie,
- przestrzegania procedur właściwego użytkowania systemów informatycznych, w których przetwarza się dane osobowe, w tym do nieujawniania innym użytkownikom swoich loginów i haseł,
- zachowania należytej staranności podczas przekazywania danych osobowych drogą telefoniczną (konieczność właściwej identyfikacji rozmówcy, konieczność ustalenia, czy rozmówca jest uprawniony do pozyskania danych osobowych, przekazywanie jedynie niezbędnych informacji),
- niewysyłania za pomocą wiadomości e-mail danych osobowych na prywatne adresy, niekopiowanie danych na inne nośniki bez uzasadnionej potrzeby,
- zachowania należytej ostrożności przy transporcie dokumentów oraz nośników informatycznych, zawierających zaszyfrowane według odpowiedniej wiedzy technicznej dane osobowe, poza obszarem przetwarzania w Grimbud Barska,
- niepozostawiania dokumentów, zawierających dane osobowe na urządzeniach wielofunkcyjnych (drukowanie, kopiowanie),
- nieopuszczania stanowiska bez zabezpieczenia dokumentów papierowych, zawierających dane osobowe (zasada „czystego biurka”) oraz bez zabezpieczania dostępu do danych przetwarzanych w systemie informatycznym (zasada „czystego ekranu”),
- informowania o zdarzeniu operacyjnym dotyczącym danych osobowych, zgodnie z obowiązującymi w tym zakresie procedurami,
- zaprzestania przetwarzania danych osobowych zrealizowaniu celu przetwarzania.
8.
- Grimbud Barska prowadzi rejestr czynności przetwarzania danych osobowych zgodnie z wymaganiami art. 30 ust. 1 RODO w stosunku do danych, których Grimbud Barska jest administratorem.
9.
- Osoby zbierające dane osobowe zobowiązane są do przestrzegania obowiązków informacyjnych określonych w art. 13 i 14 RODO. Za wystarczające uznaje się stosowanie przyjętych w Grimbud Barska wzorów klauzul informacyjnych.
- W razie uwag do przyjętych wzorów klauzul informacyjnych Grimbud Barska osoba, do której zwrócono uwagę, winna zwrócić się z uwagami do Osoby Wyznaczonej w celu konsultacji i usunięcia nieprawidłowości.
- Zmiany w przyjętych w Grimbud Barska wzorach klauzul informacyjnych możliwe są wyłącznie za zgodą Osoby Wyznaczonej i osób zarządzających Grimbud Barska.
10.
- Dane osobowe zbierane w Grimbud Barska są przetwarzane przez czas określony przez właściwe przepisy prawa i wewnętrze regulacje. O czasie przetwarzania informowana jest osoba, której dane dotyczą. Nadzór nad prawidłowym okresem przechowywania danych sprawuje Kierownik działu w ramach, którego są one gromadzone.
- Dane osobowe, dla których okres przetwarzania nie wynika z obowiązujących przepisów prawa i dla których nie jest możliwe określenie z góry tego okresu w wewnętrznych przepisach kancelaryjno archiwalnych, są przetwarzane tak długo, jak długo istnieje jednocześnie podstawa prawna oraz cel dla ich przetwarzania.
- Ustanie celu przetwarzania danych jest równoznaczne z koniecznością usunięcia danych osobowych.
- Dane osobowe przetwarzane wyłącznie w oparciu o przesłankę zgody na przetwarzanie danych osobowych są usuwane zawsze niezwłocznie po wycofaniu takiej zgody, chyba że podstawa oraz cel ich przetwarzania wynika z innych przepisów, w takim przypadku osobę, której dane dotyczą, informuje się niezwłocznie o nowej podstawie i celu ich przetwarzania.
11.
- Osoby udostępniające dane osobowe do podmiotu zewnętrznego (w formie papierowej lub elektronicznej), przed ich udostępnieniem mają obowiązek sprawdzić, czy istnieją podstawy prawne umożliwiające wykonanie tych czynność, w tym:
- wymóg prawa dotyczący udostępnienia danych:
- zgoda osoby na udostępnienie danych innemu podmiotowi:
- zapis w umowie z podmiotem współpracującym, przy spełnieniu warunku, że udostępnienie nie narusza praw i wolności osoby, której dane dotyczą:
- wniosek o udostępnienie danych od podmiotu uprawnionego, ze wskazaniem podstawy prawnej do otrzymywania danego rodzaju danych osobowych.
- W sytuacji powierzania czynności przetwarzania danych osobowych zewnętrznemu podmiotowi (podmiotowi przetwarzającemu), należy zawrzeć z nim umowę powierzenia przetwarzania danych osobowych zgodnie z art. 28 ust. 3 RODO.
- Przy zawieraniu umowy należy zweryfikować czy podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi przepisów RODO i chroniło prawa osób, których dane dotyczą. W razie wątpliwości należy o nich poinformować Osobę Wyznaczoną.
- Uprawnienie określone w at. 28 ust. 3 lit. h RODO realizuje w imieniu Grimbud Barska osoba uprawniona do reprezentacji Grimbud Barska zgodnie z zasadami ujawnionymi w Rejestrze Przedsiębiorców Krajowego Rejestru Sądowego lub osoba przez niego upoważniona w formie pisemnej.
12.
- Każdej osobie, której dane osobowe są przetwarzane przez Grimbud Barska przysługują prawa określone w art. 15 – 22 RODO, w tym:
- prawo dostępu do danych jej dotyczących:
- prawo do sprostowania danych:
- prawo do usunięcia danych:
- prawo do ograniczenia przetwarzania:
- prawo do przenoszenia danych:
- prawo do sprzeciwu na przetwarzanie jej danych:
- prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu.
- W przypadku konieczności odbierania zgody na przetwarzanie danych osobowych, należy zapewnić dobrowolność jej pozyskania oraz powiadamiać o prawie do odwołania takiej zgody.
13.
- W sytuacji powzięcia informacji o naruszeniu lub podejrzeniu naruszenia ochrony danych osobowych należy postępować zgodnie z zasadami wynikającymi z art. 33 i 34 RODO.
- Zgłoszenia naruszenia ochrony danych osobowych przez osobę, której dane dotyczą lub inną osobę są przyjmowane i rozpatrywane przez Administratora.
- W sytuacji stwierdzenia wystąpienia naruszenia ochrony danych osobowych oraz prawdopodobieństwa zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych, Administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza naruszenie do PUODO zgodnie z wymaganiami art. 33 RODO.
- Zgłoszenie przekazywane jest do PUODO w formie elektronicznej za pomocą systemu informatycznego zgodnie z trybem określonym przez organ.
- W sytuacji, gdy stwierdzone naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, o naruszeniu zawiadamia się wszystkie osoby, których dane dotyczą. Administrator analizuje czy w odniesieniu do wymogów art. 34 ust. 3 RODO zawiadomienie osób, których dane dotyczą, będzie wymagane.
- Wszystkie stwierdzone naruszenia ochrony danych osobowych są dokumentowane przez Administratora.
14.
- W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie przepisy RODO oraz UODO.