Polityka Bezpieczeństwa Danych Osobowych

WSTĘP

Wszyscy pracownicy firmy Surge Cloud Sp. z o.o. stosują poniższą
Politykę bezpieczeństwa danych osobowych.

 

ROZDZIAŁ I

Przepisy ogólne

 

§ 1

PRZEDMIOT I CELE

Niniejsza polityka określa zasady postępowania z przetwarzaniem danych osobowych oraz przepisy o ochronie osób fizycznych, a także podstawowe prawa i wolności osób fizycznych w firmie Surge Cloud Sp. z o.o., które są adekwatne do/spójne z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

§ 2

ZAKRES STOSOWANIA

Niniejsza polityka ma zastosowanie do przetwarzanych danych klientów, pracowników i kandydatów do pracy na podstawie przepisów prawa lub zgód.

§ 3

PODMIOTY ZOBOWIĄZANE  DO STOSOWANIA

Wytyczne niniejszej Polityki Bezpieczeństwa Danych Osobowych zobowiązane są stosować wszyscy pracownicy firmy. Zawarte w Polityce wytyczne mają zastosowanie również dla podmiotów, którym firma powierzyła do  przetwarzania dane osobowe.

§ 4

DEFINICJE

1) „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

2) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

3) „ograniczenie przetwarzania” oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

4) „profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;

5) „pseudonimizacja” oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

6) „zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

7) „administrator” Surge Cloud Sp. z o.o., ul. Bydgoska 2/10, 61-127 Poznań, NIP: 7831734984 , KRS: 0000600102;

8) „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

9) „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane  4.5.2016 PL Dziennik Urzędowy Unii Europejskiej L 119/33 osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;

10) „strona trzecia” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;

11) „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

12) „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

13) „dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;

14) „dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;

15) „dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;

16) „główna jednostka organizacyjna” oznacza:

  1. a) jeżeli chodzi o administratora posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim – miejsce, w którym znajduje się jego centralna administracja w Unii, a jeżeli decyzje co do celów i sposobów przetwarzania danych osobowych zapadają w innej jednostce organizacyjnej tego administratora w Unii i ta jednostka organizacyjna ma prawo nakazać wykonanie takich decyzji, to za główną jednostkę organizacyjną uznaje się jednostkę organizacyjną, w której zapadają takie decyzje;
  2. b) jeżeli chodzi o podmiot przetwarzający posiadający jednostki organizacyjne w więcej niż jednym państwie członkowskim – miejsce, w którym znajduje się jego centralna administracja w Unii lub, w przypadku gdy podmiot przetwarzający nie ma centralnej administracji w Unii – jednostkę organizacyjną podmiotu przetwarzającego w Unii, w której odbywają się główne czynności przetwarzania w ramach działalności jednostki organizacyjnej podmiotu przetwarzającego, w zakresie w jakim podmiot przetwarzający podlega szczególnym obowiązkom na mocy niniejszego rozporządzenia;

17) „przedstawiciel” oznacza osobę fizyczną lub prawną mającą miejsce zamieszkania lub siedzibę w Unii, która została wyznaczona na piśmie przez administratora lub podmiot przetwarzający na mocy art. 27 do reprezentowania administratora lub podmiotu przetwarzającego w zakresie ich obowiązków wynikających z niniejszego rozporządzenia;

18) „przedsiębiorca” oznacza osobę fizyczną lub prawną prowadzącą działalność gospodarczą, niezależnie od formy prawnej, w tym spółki osobowe lub zrzeszenia prowadzące regularną działalność gospodarczą;

19) „grupa przedsiębiorstw” oznacza przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane;

20) „wiążące reguły korporacyjne” oznaczają polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą;

21) „organ nadzorczy” oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51; L 119/34 PL Dziennik Urzędowy Unii Europejskiej 4.5.2016

22) „organ nadzorczy, którego sprawa dotyczy” oznacza organ nadzorczy, którego dotyczy przetwarzanie danych osobowych, ponieważ:

  1. a) administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną na terytorium państwa członkowskiego tego organu nadzorczego;
  2. b) przetwarzanie znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, mające miejsce zamieszkania w państwie członkowskim tego organu nadzorczego; lub
  3. c) wniesiono do niego skargę;

23) „transgraniczne przetwarzanie” oznacza:

  1. a) przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej, niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim; albo
  2. b) przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim;

24) „mający znaczenie dla sprawy i uzasadniony sprzeciw” oznacza sprzeciw wobec projektu decyzji dotyczącej tego, czy doszło do naruszenia niniejszego rozporządzenia lub czy planowane działanie wobec administratora lub podmiotu przetwarzającego jest zgodne z niniejszym rozporządzeniem, który to sprzeciw musi jasno wskazywać wagę wynikającego z projektu decyzji ryzyka naruszenia podstawowych praw lub wolności osób, których dane dotyczą, oraz gdy ma to zastosowanie – wagę ryzyka zakłócenia swobodnego przepływu danych osobowych w Unii;

25) „usługa społeczeństwa informacyjnego” oznacza usługę w rozumieniu art. 1 ust. 1 lit. b) dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/1535 (1);

26) „organizacja międzynarodowa” oznacza organizację i organy jej podlegające działające na podstawie prawa międzynarodowego publicznego lub inny organ powołany w drodze umowy między co najmniej dwoma państwami lub na podstawie takiej umowy.

 

Rozdział II

Zasady

 

§ 5

ZASADY DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH

 

W firmie Surge Cloud Sp. z o. o. obowiązująca następujące zasady przetwarzania danych:

  • Rzetelne i przejrzyste oraz zgodne z prawem – informacje o podstawie prawnej przetwarzanych danych osobowych zawarte zostały w F-03 „Wykaz aktów prawnych oraz zakresu i terminu przechowywania danych”
  • W konkretnych i uzasadnionych celach – dane zbieramy dla ścisłe oznaczonego celu i tylko w takim zakresie w jakim znajduje to uzasadnienie. Niedopuszczalne jest przetwarzania danych w innym celu niż uzyskano na to zgodę lub zezwalają przepisy prawa.  
  • Minimalizacja danych – zakres danych ograniczony jest do zakresu jaki jest niezbędny do zrealizowania celu do jakiego zostały zebrane.
  • Dane przechowuje się z zachowaniem zasad identyfikowalności. Dla każdego zbioru danych określony został czas ich przechowania.
  • Integralności i poufności – tj. poprzez wdrożeniem odpowiednich zabezpieczeń na poziomie technicznym i organizacyjnym zagwarantowanie ich bezpieczeństwa w tym w szczególności ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.

Bezpieczeństwa danych gwarantowane jest poprzez wdrożenie odpowiednich środków technicznych lub organizacyjnych.

  • 6

ZGODNOŚĆ PRZETWARZANIA Z PRAWEM

Przetwarzanie danych osobowych uważa się za zgodne z prawem jeżeli spełniony został jeden z poniższych warunków:

  • Przetwarzanie danych osobowych po wyrażeniu zgody przez osobę, której dane dotyczą,
  • Przetwarzanie danych osobowych niezbędnych do wykonania, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
  • Przetwarzanie danych osobowych niezbędnych do wypełnienia obowiązku prawnego ciążącego na Administratorze,
  • Przetwarzanie danych osobowych jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi,
  • Przetwarzanie danych osobowych jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora.
  • 7

WARUNKI WYRAŻENIA ZGODY

Każdorazowo przed przystąpieniem do przetwarzania danych osobowych dla których wymagane jest uzyskanie zgody, właściciel danych:

  1. zostaje poinformowany o zasadach przetwarzania danych osobowych – F-10a/ F-11
  2. poproszony o wyrażenie zgody – F-10 “Zgoda na przetwarzanie ODO”.

Zgodę wyraża się w formie pisemnej.  Zgody na przetwarzanie danych osobowych przechowywane są siedzibie firmy.

Zgoda może być w każdym czasie odwołania z zachowaniem tych samych zasad jakie określone zostały dla sposobu wyrażania zgody.

  • 8

WARUNKI WYRAŻENIA ZGODY PRZEZ DZIECKO W PRZYPADKU USŁUG SPOŁECZEŃSTWA INFORMACYJNEGO

Firma Surge Cloud Sp. z o.o. nie oferuje usług społeczeństwa informacyjnego, a więc nie pobiera również zgód od dzieci na przetwarzanie danych osobowych.

  • 9

PRZETWARZANIE SZCZEGÓLNYCH KATEGORII DANYCH OSOBOWYCH

Firma Surge Cloud Sp. z o. o. nie przetwarza szczególnych kategorii danych osobowych.

  • 10

PRZETWARZANIE DANYCH OSOBOWYCH DOTYCZĄCYCH WYROKÓW SKAZUJĄCYCH I NARUSZEŃ PRAWA

Firma Surge Cloud Sp. z o. o. nie przetwarza danych osobowych dotyczących wyroków skazujących lub naruszeń prawa.

  • 11

PRZETWARZANIE NIEWYMAGAJĄCE IDENTYFIKACJI

Firma Surge Cloud Sp. z o. o. nie przetwarza danych osobowych niewymagających zidentyfikowania osoby, której dane dotyczą.  

Rozdział III

Prawa osoby, której dane dotyczą

Sekcja 1

Przejrzystość oraz tryb korzystania z praw

 

  • 12

PRZEJRZYSTE INFORMOWANIE I PRZEJRZYSTA KOMUNIKACJA ORAZ TRYB WYKONYWANIA PRAW PRZEZ OSOBĘ, KTÓREJ DANE DOTYCZĄ.

Firma Surge Cloud Sp. z o.o. informuje w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, prostym i jasnym językiem osobę, której dane dotyczą, o wszelkim przetwarzaniu tych danych.  

Informacje o przetwarzaniu danych osobowych udzielane są:

  • na piśmie za pośrednictwem poczty polskiej, wysłane drogą listowną za zwrotnym potwierdzeniem odbioru,
  • Elektronicznie, na podany wcześniej adres mailowy lub
  • ustnie, po zweryfikowaniu tożsamości osoby.  

Wzór informacji stanowi formularz F-11 i F-11a “Informacja o przetwarzaniu danych”.

Sekcja 2

Informacje i dostęp do danych osobowych

  • 13

INFORMACJE PODAWANE W PRZYPADKU ZBIERANIA DANYCH OD OSOBY, KTÓREJ DANE DOTYCZĄ

Firma Surge Cloud Sp. z o. o. pobierając dane osobowe od osoby, której dane dotyczą podaje wszelkie informacje zawarte w dokumencie F-11  “Informacja o przetwarzaniu danych ogólna” i przekazuje osobie, której dane dotyczą. Przekazanie informacji może odbywać się w ogromie opublikowanego komunikatu znajdującego się w siedzibie firmy bądź na stronie internetowej. Informacja może zostać przekazana również słownie. Na żądanie informacje można przekazać drogą mailową od osoby, której dane dotyczą lub za pośrednictwem poczty.

 

  • 14

INFORMACJE PODAWANE W PRZYPADKU ZBIERANIA DANYCH W SPOSÓB INNY NIŻ OD OSOBY, KTÓREJ DANE DOTYCZĄ

Firma Surge Cloud Sp. z o. o. pobierając dane osobowe w sposób inny niż od osoby, której dane dotyczą podaje wszelkie informacje zawarte w dokumencie F-11b.

Informacje o pozyskaniu danych oraz zakresie i sposobach przetwarzania Administrator przekazuje osobie, której dane dotyczą w ciągu 1 miesiąca od dnia ich pozyskania.

Jeśli dane są wykorzystywane do komunikacji z tą osobą informację przekazuje się przy pierwszym kontakcie. W przypadku chęci przekazania danych innemu odbiorcy, administrator musi poinformować osobę, której dane dotyczą najeżonej przy ich pierwszym ujawnienia.

Informacje udzielane są:

  • na piśmie za pośrednictwem poczty polskich, wysłane drogą listowną za zwrotnym potwierdzeniem odbioru,
  • elektronicznie, na podany wcześniej adres mailowy lub
  • ustnie, po zweryfikowaniu tożsamości osoby.  

W przypadku zamiaru przetwarzania danych w innym celu niż ten dla którego zostały zebrane, Administrator informuje osobę o celu przetwarzania danych oraz jej prawach, okresie przetwarzania.

Poinformowanie osoby każdorazowo musi nastąpić przed przystąpieniem do przetwarzają.

  • 15

PRAWO DOSTĘPU PRZYSŁUGUJĄCE OSOBIE, KTÓREJ DANE DOTYCZĄ

Firma Surge Cloud Sp. z o.o. przekazuje – po złożonej prośbie/ żądaniu- wszelkie informacje dotyczące przetwarzania danych, osobie której dane dotyczą i która złożyła prośbę / żądanie.

Każdy właściciel danych osobowych ma prawo uzyskania następujących informacji:

  • Cele przetwarzania,
  • Kategorie odnośnych danych osobowych,
  • Informacje o odbiorcach lub kategoriach odbiorców, którym  dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich  lub organizacjach międzynarodowych,
  • Planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, warunki/zasady ustalania tego okresu.
  • Swoich prawach tj.: informacje o prawie do żądania od administratora sprostowania, lub ograniczenia przetwarzania danych osobowych, prawie do wniesienia sprzeciwu wobec przetwarzania.
  • Informacje o prawie wniesienia skargi do organu nadzorczego.
  • Jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą- wszelkie informacji o ich źródle.
  • Informacje o tym czy w ramach przetwarzania danych wykorzystuje się mechanizmy zautomatyzowanego podejmowania decyzji, w tym o profilowaniu. W takim przypadku administrator informuje również o wszystkich  istotnych zasadach w ich podejmowaniu, a także o znaczeniu i przewidywanych konsekwencjach jakie wiążą się z ww. przetwarzania dla osoby, której dane dotyczą.

Sekcja 3

Sprostowanie i usuwane danych

  • 16

PRAWO DO SPROSTOWANIA DANYCH

Każdy właściciel danych osobowych (osoba, której dane dotyczą) ma prawo do sprostowania danych. Sprostowaniu podlegają dane, które są nieprawidłowe lub wymagają aktualizacji. Firma uzupełnia niekompletne dane osobowe, po otrzymaniu odpowiedniego oświadczenia. Oświadczenie o sprostowaniu można złożyć:

  • na piśmie przesłanych np. listownie za pośrednictwem poczty polskiej lub złożone w siedzibie firmy,
  • elektronicznie, przesłane na adres mailowy Administratora lub
  • ustnie, telefonicznie lub bezpośrednio.

Administrator danych zobowiązany jest przeprowadzić działania identyfikacyjne osoby, która żąda sprostowania danych poprzez zweryfikowanie tożsamości osoby. Zasady dotyczące weryfikacji tożsamości ustalone zostały w I-03 “Instrukcja udzielania informacji”.

  • 17

PRAWO DO USUNIĘCIA DANYCH „PRAWO DO BYCIA ZAPOMNIANYM”

Właściciel danych osobowych, którego dane dotyczą ma prawo żądania usunięcia tych danych osobowych, a firma Surge Cloud Sp. z o.o. bez zbędnej zwłoki usuwa je po wystąpieniu jednej z poniższych okoliczności:

  • Dane osobowe są już zbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane.
  • Osoba, której dane dotyczą cofnęła zgodę na przetwarzanie danych osobowych.
  • Osoba, której dane dotyczą wniosła sprzeciw wobec przetwarzania.
  • Dane osobowe były przetwarzane niezgodnie z prawem.
  • Dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega firma Surge Cloud Sp. z o.o.
  • Dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.

W sytuacji, gdy firma Surge Cloud Sp. z o.o.  upubliczniła dane osobowe, a następnie wpłynął wniosek o usunięcie tych danych (od właściciela danych osobowych), to firma podejmuje działania informacyjne, organizacyjne i techniczne w celu skutecznego poinformowania podmiotów przetwarzających te dane o żądanym usunięciu.

Powyższe przypadki nie mają zastosowania, gdy przetwarzanie jest niezbędne do jednego z poniższych warunków:

  • Do korzystania z prawa do wolności wypowiedzi i informacji
  • Do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega firma Surge Cloud Sp. z o. o. lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej firmie Surge Cloud Sp. z o. o.
  • Do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych, lub do celów statystycznych, o ile prawdopodobne jest, że prawo, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania.
  • Do ustalenia, dochodzenia lub obrony roszczeń.
  • 18

PRAWO DO OGRANICZENIA PRZETWARZANIA

Właściciel danych osobowych (osoba, której dane dotyczą) ma prawo żądania  od firmy Surge Cloud Sp. z o.o. ograniczenia przetwarzania w następujących przypadkach:

  • kwestionuje prawidłowość danych osobowych – ograniczeń przetwarzania danych następuje na czas, jaki jest niezbędny firmie Surge Cloud Sp. z o.o. sprawdzić prawidłowość tych danych,
  • przetwarzanie jest niezgodne z prawem, a Właściciel danych sprzeciwia się usunięciu danych osobowych żądając w zamian ograniczenia w ich wykorzystywania.
  • firma Surge Cloud Sp. z o.o. nie potrzebuje już danych osobowych do celów przetwarzania, dla których zostały zebrane, ale są one potrzebne osobie, której dane dotyczą, do ustalenia dochodzenia lub ochrony roszczeń.
  • Osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania – ograniczenie przetwarzania do czasu stwierdzenia, czy prawnie uzasadnione podstawy wstępujące po stornie firmy Surge Cloud Sp. z o.o. są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

W sytuacji, gdy przetwarzanie zostało ograniczone, dane osobowe (których dotyczy ograniczenie) można przetwarzać wyłącznie za zgodą osoby, której dane dotyczą (z wyjątkiem przechowywania) oraz w celu ustalenia, dochodzenia lub obrony roszczeń lub w celu ochrony praw innej osoby fizycznej lub prawnej oraz z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.

W przypadku podjęcia decyzji o uchyleniu ograniczenia firma informuje osobę, która żądała ograniczenia swojej decyzji.

  • 19

OBOWIĄZEK POWIADOMIENIA O SPROSTOWANIU LUB USUNIĘCIU DANYCH OSOBOWYCH LUB O OGRANICZENIU PRZETWARZANIA

Firma Surge Cloud Sp. z o.o. informuje o dokonanym/żądanym sprostowaniu, usunięciu danych osobowych lub ograniczeniu przetwarzania każdego odbiorcę, któremu ujawniono dane osobowe.

W przypadku jeśli osoba, której dane dotyczą zażąda informacji o odbiorcach danych- firma Surge Cloud Sp. z o.o. informuje ją o tym.

  • 20

PRAWO DO PRZENOSZENIA DANYCH

Każdy właściciel danych osobowych ma prawo otrzymać dane osobowe jego dotyczące, które dostarczył firmie Surge Cloud Sp. z o.o. oraz ma prawo przesłać te dane innemu administratorowi lub żądać ich przesłania w swoim imieniu bez przeszkód ze strony firmy Surge Cloud Sp. z o.o., jeżeli:

  • Przetwarzanie odbywa się na podstawie zgody lub umowy,
  • Przetwarzanie odbywa się w sposób zautomatyzowany,

Właściciel danych osobowych ma prawo żądania, by jego dane osobowe zostały bezpośrednio przesłane innemu administratorowi, o ile jest to technicznie możliwe.

Prawo to  nie ma zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

Jednocześnie prawo do przenoszenia danych nie może niekorzystnie wpływać na prawa i wolności innych.

Dane, na żądanie osoby, której dotyczą,  mogą być przekazane w formie ustrukturyzowanej i nadającej się do odczytu maszynowego tj. takiego, który automatycznie może być odczytany przez przeglądarkę lub system komputerowy. W firmie stosuje się następujące formaty przekazywania danych w wersji elektronicznej: extensible markup language (XML) lub arkusze kalkulacyjne z opisem kolumn. pdf

Sekcja 4

Prawo do sprzeciwu oraz zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach

  • 21

PRAWO DO SPRZECIWU

Właściciel danych osobowych ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jego danych osobowych, w tym profilowania. Po zgłoszeniu sprzeciwu firma Surge Cloud Sp. z o. o. nie przetwarza tych danych osobowych.  

Odstępstwem od powyższego jest wykazanie przez firmę Surge Cloud Sp. z o. o. istnienia ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

Właściciel danych osobowych ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania – na potrzeby marketingu bezpośredniego – dotyczących jego danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.

Firma Surge Cloud Sp. z o. o. nie przetwarza danych osobowych osoby, która wniosła sprzeciw wobec przetwarzania do celów marketingu bezpośredniego

  • 22

ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI W INDYWIDUALNYCH PRZYPADKACH

Każdy właściciel danych osobowych ma prawo do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu oraz wywołuje wobec niego skutki prawne lub w podobny sposób istotnie na nią wpływa.

Powyższe prawo nie ma zastosowania w przypadku, jeżeli ta decyzja:

  • Jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a firmą Surge Cloud Sp. z o.o.
  • Jest dozwolona prawem Unii lub prawem innego państwa członkowskiego, któremu podlega firma Surge Cloud Sp. z o.o. i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą
  • Opiera się na wyraźnej zgodzie osoby, której dane dotyczą

W celu zapewnienia ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą firma Surge Cloud Sp. z o.o. wdraża odpowiednie środki ochrony.

Osoba, której dane podlegają procesowi zautomatyzowanego podejmowania decyzji i dane te pozyskano na podstawie umowy lub  zgody firma Surge Cloud Sp. z o.o. ma prawo żądania działania ze strony administratora, a także wyrażenia własnego zdania jak i kwestionowania ww. decyzji.

Sekcja 5

Ograniczenia

  • 23

OGRANICZENIA

Firma Surge Cloud Sp. z o.o. stosuje się do nałożonych przez ustawodawstwo polskie lub obowiązujące regulacje UE do  wytycznych w zakresie ograniczenia obowiązków i praw osób, których dane dotyczą. W takim przypadku każdorazowo organizacja działa na podstawie obowiązujących przepisów prawa.

 

Rozdział IV

Administrator i podmiot przetwarzający

Sekcja I

Obowiązki ogólne

  • 24

OBOWIĄZKI FIRMY SURGE CLOUD SP. Z O.O.

Firma Surge Cloud Sp. z o.o. wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia zgodności z Rozporządzeniem o Ochronie Danych Osobowych uwzględniając przy tym poniższe aspekty:

  • Charakter
  • Zakres
  • Kontekst
  • Cele przetwarzania danych
  • Ryzyko naruszenia praw i wolności osób fizycznych.

Wybór odpowiednich środków oparty jest na wynikach przeprowadzonej analizy ryzyka na poziomie operacyjnym wskazującym na konieczność stosowania zabezpieczeń oraz ich rodzajów.  

Wdrożone środki poddawane są regularnym przeglądom i uaktualniane.

  • 25

UWZGLĘDNIANIE OCHRONY DANYCH W FAZIE PROJEKTOWANIA ORAZ DOMYŚLNA OCHRONA DANYCH

Podczas określania sposobów przetwarzania oraz w czasie samego przetwarzania firma Surge Cloud Sp. z o.o. wdraża środki techniczne i organizacyjne w celu skutecznej ochrony danych oraz nadania przetwarzaniu niezbędnych zabezpieczeń, tak aby chronić prawa osób, których dane dotyczą.

Firma Surge Cloud Sp. z o.o. przy wdrożeniu odpowiednich środków technicznych i organizacyjnych koncentruje się na domyślnym przetwarzaniu wyłącznie tych danych osobowych, które są niezbędne dla osiągnięcia każdego celu przetwarzania.

Powyższy obowiązek odnosi się do:

  • Ilości zbieranych danych osobowych
  • Zakresu ich przetwarzania
  • Okresu ich przechowywania
  • Dostępności
  • 26

WSPÓŁADMINISTRATORZY

Zgodnie z definicją zawartą w Rozporządzeniu o Ochronie Danych Osobowych w firmie Surge Cloud Sp. z o.o. nie wstępuje współadministator danych osobowych.

  • 27

PRZEDSTAWICIELE ADMINISTRATORÓW LUB PODMIOTÓW PRZETWARZAJĄCYCH NIEMAJĄCYCH JEDNOSTKI ORGANIZACYJNEJ W UNII

Firma Surge Cloud Sp. z o. o. posiada jednostkę organizacyjną w Unii.

  • 28

PODMIOT PRZETWARZAJĄCY

W firmie powierza się przetwarzanie danych osobowych innym podmiotom. Wykaz podmiotów przetwarzającym dane osobowe dla firmy Surge Cloud Sp. z o.o. zawarty jest w F-02 “Inwentaryzacja aktywów”. Podmiot przetwarzający dane musi zapewnić odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych osób. Warunki te zwarte są każdorazowo w umowie o powierzenia przetwarzania danych zawartej pomiędzy firmą Surge Cloud Sp. z o. o.  a podmiotem przetwarzającym. Umowa zawiera nw. regulacje:

  • Wskazanie przez firmę Surge Cloud Sp. z o.o.  danych osobowych, które są przetwarzane przez podmiot przetwarzający
  • Zobowiązania do zapewnienia poufności, zachowania tajemnicy przez podmiot przetwarzający
  • Podjęcie środków bezpieczeństwa przetwarzania
  • Przestrzeganie warunków korzystania z usług innego podmiotu przetwarzającego
  • Pomoc firmie Surge Cloud Sp. z o.o.  w wywiązaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą
  • Usunięcie lub zwrócenie firmie Surge Cloud Sp. z o.o. wszelkich danych osobowych po zakończeniu usług związanych z przetwarzaniem
  • Poinformowanie firmy Surge Cloud Sp. z o.o. o możliwym naruszeniu naruszenia Rozporządzenia o Ochronie Danych Osobowych

W sytuacji, gdy podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten podmiot przetwarzający zostają nałożone te same obowiązki. Bez pisemnej zgody firmy Surge Cloud Sp. z o. o. podmiot przetwarzający nie ma prawa korzystać z usług innego podmiotu przetwarzającego w celu przetwarzania powierzonych danych osobowych.

W przypadku niewywiązania się ze spoczywających obowiązków, któregokolwiek z podmiotów przetwarzających, pełna odpowiedzialność spoczywa na pierwotnym podmiocie przetwarzającym.

Każdy właściciel danych osobowych poinformowany jest o przetwarzaniu jego danych osobowych przez podmiot przetwarzający  w dokumencie „Oświadczenie informacyjne o przetwarzaniu danych osobowych”.

  • 29

PRZETWARZANIE Z UPOWAŻNIENIA ADMINISTRATORA LUB PODMIOTU PRZETWARZAJĄCEGO

Zarówno podmiot przetwarzający, jak i każda osoba działająca z upoważnienia firmy Surge Cloud Sp. z o.o. lub podmiotu przetwarzającego oraz mająca dostęp do danych osobowych przetwarza je wyłącznie na polecenie firmy Surge Cloud Sp. z o.o.. Przetwarzanie bez upoważnienia jest zabronione za wyjątkiem sytuacji kiedy przetwarzania takiego wymaga prawo Unii lub prawo polskie.

  • 30

REJESTROWANIE CZYNNOŚCI PRZETWARZANIA

Zgodnie z Rozporządzeniem o Ochronie Danych Osobowych firma Surge Cloud Sp. z o.o. prowadzi rejestr czynności przetwarzania, który obejmuje jedynie dane pracowników.

  • 31

WSPÓŁPRACA Z ORGANEM NADZORCZYM

Firma Surge Cloud Sp. z o.o. oraz podmiot przetwarzający współpracuje z organem nadzorczym jakim jest Urzędu Ochrony Danych Osobowych z siedzibą w Warszawie ul. Stawki 2 tel.: 22 860 70 86.  

Sekcja 2

Bezpieczeństwo danych osobowych

  • 32

BEZPIECZEŃSTWO PRZETWARZANIA

W celu zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych firma Surge Cloud Sp. z o. o.  wdrożyła następujące środki techniczne i organizacyjne:

  • Zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • Zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Stosowane zabezpieczenia wybierane są na podstawie wyników przeprowadzonej oceny ryzyka do metod i środków przetwarzania – ryzyka operacyjnego.

 

  • 33

ZGŁASZANIE NARUSZENIA OCHRONY DANYCH OSOBOWYCH ORGANOWI NADZORCZEMU

W sytuacji naruszenia ochrony danych osobowych firma Surge Cloud Sp. z o.o.  postępuje zgodnie z instrukcją I-08 Instrukcja zgłaszania naruszenia ochrony danych osobowych zgłaszając naruszenie w ciągu 72 godzin (bądź po upływie 72 godzin dołączając wyjaśnienie przyczyn opóźnienia) organowi nadzorczemu przy użyciu formularza F-14 Zawiadomienie UODO o naruszeniu.

  • 34

ZAWIADMIANIE OSOBY, KTÓREJ DANE DOTYCZĄ

Firma Surge Cloud Sp. z o.o.  w sytuacji stwierdzenia naruszenia ochrony danych osobowych, powodujących wysokie ryzyko naruszenia praw i wolności osób fizycznych, powiadamia osobę, której dane dotyczą o naruszeniu. W zawiadomieniu przekazać  wszystkie informacje zgodnie z formularzem F-15 Zawiadomienie właściciela danych osobowych.

Sekcja 3

Ocena skutków dla ochrony danych i uprzednie konsultacje

  • 35

OCENA SKUTKÓW DLA OCHRONY DANYCH

W firmie Surge Cloud Sp. z o. o.  przed przystąpieniem do przetwarzania danych osobowych dokonuje się oceny ryzyka dla planowanych operacji przetwarzania danych. Proces oceny ryzyka przeprowadzany jest zgodnie z I-01 “Instrukcja zarządzania ryzykiem”. Na podstawie wyników szacowania wdraża się odpowiednie środki technicznie  organizacyjne w celu zapewnienie bezpieczeństwa przetwarzanych danych osobowych.

Ponadto dokonuje się oceny skutków w zakresie naruszenia praw i wolności osób fizycznych w przypadku gdy przetwarzane dane podlegają:

  • zautomatyzowanemu przetwarzaniu w tym profilowaniu,
  • przetwarzane są na dużą skalę i dotyczą danych szczególnych,
  • systematycznego monitorowania na dużą skalę miejsc publicznych.
  • 36

UPRZEDNIE KONSULTACJE

Firma Surge Cloud Sp. z o.o. konsultuje się z organem nadzorczym, gdy ocena skutków dla ochrony danych wskazuje wysokie ryzyko w przypadku nie zastosowania środków zapewniających zminimalizowanie tego ryzyka.

Podczas konsultacji z organem nadzorczym firma Surge Cloud Sp. z o.o.  przedstawia:

  • Obowiązki administratora oraz podmiotów przetwarzających
  • Cele i sposoby zamierzonego przetwarzania;
  • Środki i zabezpieczenia chroniące prawa i wolności osób fizycznych, których dane dotyczą
  • Ocenę skutków dla ochrony danych
  • Wszelkie informacje, których żąda organ nadzorczy

Sekcja 4

Inspektor ochrony danych

  • 37

WYZNACZENIE INSPEKTORA OCHRONY DANYCH

Zgodnie z Rozporządzeniem o Ochronie Danych Osobowych firma Surge Cloud Sp. z o.o.  nie ma obowiązku wyznaczania Inspektora Ochrony Danych.

  • 38

STATUS INSPEKTORA OCHRONY DANYCH

Zgodnie z Rozporządzeniem o Ochronie Danych Osobowych firma Surge Cloud Sp. z o.o.  nie ma obowiązku wyznaczania Inspektora Ochrony Danych.

  • 39

ZADANIA INSPEKTORA OCHRONY DANYCH

Zgodnie z Rozporządzeniem o Ochronie Danych Osobowych firma Surge Cloud Sp. z o.o.  nie ma obowiązku wyznaczania Inspektora Ochrony Danych.

 

Sekcja 5

Kodeksy postępowania i certyfikacja

  • 40

KODEKSY POSTĘPOWANIA

Firma Surge Cloud Sp. z o. o.  nie stosuje kodeksów postępowania.

  • 41

MONITOROWANIE ZATWIERDZONYCH KODEKSÓW POSTĘPOWANIA

Firma Surge Cloud Sp. z o. o.  nie stosuje kodeksów postępowania.

  • 42

CERTYFIKACJA

Firma Surge Cloud Sp. z o.o.  nie podlega certyfikacji żadnego podmiotu certyfikującego.

  • 43

PODMIOT CERTYFIKUJĄCY

Firma Surge Cloud Sp. z o.o.  nie podlega certyfikacji żadnego podmiotu certyfikującego.

 

Rozdział V

Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych

 

W firmie Surge Cloud Sp. z o.o.  nie przekazuje się danych do państw trzecich i organizacji międzynarodowych.