POLITYKA BEZPIECZEŃSTWA
ATHENA Sp. z o.o.
SPIS TREŚCI:
§ 1. Wstęp.
§ 2. Zakres, cele, zasady ogólne polityki bezpieczeństwa w zakresie ochrony danych osobowych.
§ 3. Powierzanie danych osobowych podmiotom trzecim.
§ 4. Wykaz zbiorów danych.
§ 5. Procedury na wypadek naruszenia bezpieczeństwa danych
§ 6. Zasady realizacji praw osób, których dane dotyczą.
§ 7. Wykaz budynków i pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe.
§ 8. Inne miejsca w którychprzetwarzane są dane osobowe ze zbiorów
§ 9. Załączniki do polityki bezpieczeństwa.
§ 1
WSTĘP
Niniejszy dokument wyznacza oraz określa politykę bezpieczeństwa informacji, przede wszystkim w zakresie ochrony danych osobowych w Athena Sp. z o.o. Biuro Usług Brokerskich, NIP 782-20-29-074, KRS 0000166079, który jest Administratorem Danych.
Mając świadomość odpowiedzialności ciążącej na przedsiębiorcach oraz zagrożeń wiążących się z nieodpowiednim gospodarowaniem informacjami o charakterze poufnym zdecydowaliśmy się podjąć zdecydowane kroki mające na celu zabezpieczenie posiadanych oraz przetwarzanych przez nas danych. Niniejszy dokument wyznacza zbiór reguł oraz procedur, na których opiera się system ochrony informacji w ramach naszej działalności gospodarczej. Ramy funkcjonowania polityki bezpieczeństwa informacji określają powszechnie obowiązujące przepisy, a w szczególności rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO).
Administrator deklaruje, że dołoży wszelkich starań do systematycznego podnoszenia poziomu organizacyjnego i technicznego zwiększającego bezpieczeństwo danych osobowych i innych informacji poufnych. Dane osobowe przetwarzane są dla celów prowadzenia działalności gospodarczej (cele zarobkowe i biznesowe). Jednocześnie Administrator deklaruje, że wszelkie zbiory danych będą adekwatne w stosunku do celów
w jakich są przetwarzane, zgodnie z zasadą minimalizacji, a procedury uruchamiania nowych projektów i inwestycji uwzględniać będą konieczność ochrony dany osobowych już
w fazie projektowania zmiany, inwestycji czy na początku nowego projektu. Mając na uwadze rolę czynnika ludzkiego w kwestii bezpieczeństwa, będą także podejmowane działania na rzecz zwiększania kwalifikacji oraz świadomości pracowników spółki. Deklaruje się także pełną współpracę w zakresie powyższej problematyki z odpowiednimi organami państwowymi.
§ 2
ZAKRES, CELE, ZASADY OGÓLNE POLITYKI BEZPIECZEŃSTWA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH
1.
[zakres polityki bezpieczeństwa]
1. Polityka bezpieczeństwa dotyczy wszystkich danych osobowych przetwarzanych
w pomieszczeniach należących do Administratora. Odnosi się do danych osobowych przetwarzanych w zbiorach danych:
a. tradycyjnych, w szczególności w kartotekach, skorowidzach, księgach, wykazach i aktach;
b. innych zbiorach ewidencyjnych, bazach danych;
c. na nośnikach danych, w szczególności komputerach, dyskach USB, CD/DVD, kartach pamięci;
d. w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych osobowych, w szczególności przez podmiot, któremu Administrator przekazał zarządzanie zbiorem na podstawie umowy stanowiącej załącznik do niniejszej Polityki bezpieczeństwa.
2.
[podstawy przetwarzania danych]
1. Administrator przetwarza dane osobowe w szczególności w oparciu o:
a. umowy zawierane z podmiotami trzecimi;
b. zgody na przetwarzanie danych (jako administrator);
c. umowy powierzenia danych (jako przetwarzający).
2. Szczegółowe podstawy poszczególnych czynności przetwarzania ujęte są w rejestrze przetwarzania danych osobowych, stanowiących załącznik nr 1 do niniejszej polityki bezpieczeństwa.
3.
[cele polityki bezpieczeństwa]
1. Niniejszy dokument stanowi realizację dwóch głównych zasad, na których opiera się funkcjonowanie Administratora Jest on narzędziem realizacji:
a. w sferze normatywnej - obowiązków prawnych. Obowiązki powyższe wynikają z aktów prawa powszechnie obowiązującego reglamentujących ochronę danych osobowych oraz prowadzenie działalności gospodarczej na terenie RP.
b. w sferze pozanormatywnej – zasady społecznej odpowiedzialności przedsiębiorstw. Mając pełną świadomość, że przedsiębiorstwo stanowi instytucję opierającą się na zaufaniu i dobrych relacjach z klientami
i kontrahentami, przyjmujemy konsekwentnie także wynikające z powyższego faktu obowiązki wobec społeczeństwa. Niniejszy dokument jest wyrazem zrozumienia, że sukces ekonomiczny przedsiębiorstwa idzie w parze
z dbaniem o interesy odbiorców naszych usług oraz podmiotów współpracujących ze spółką.
2. Cele szczegółowe Polityki bezpieczeństwa:
a. Zapewnienie, żeby przetwarzanie danych osobowych odbywało się zgodnie
z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
b. Ochrona danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem
z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
c. Umożliwienie bezpiecznego i sprawnego korzystania ze zbiorów danych osobowych w granicach prawa.
d. Wypracowanie procedur sprawnego i skutecznego reagowania na sytuacje kryzysowe.
e. Kształtowanie świadomości i odpowiedzialności pracowników w zakresie gospodarowania informacjami o charakterze wrażliwym.
3. Powyższe cele będą realizowane poprzez zasady ogólne oraz szczegółowe reguły
i procedury wewnątrz firmy.
4.
[zasady dotyczące przetwarzania danych osobowych]
1. Zasada powszechności obowiązywania – niniejszy dokument dotyczy wszystkich pracowników i współpracowników (niezależnie od formy zatrudnienia).
2. Zasada rozliczalności – Administrator jest odpowiedzialny za przestrzeganie niniejszej polityki i musi być w stanie wykazać jej przestrzeganie.
3. Zasada poufności – dostęp do danych posiadają tylko upoważnione osoby.
4. Zasada integralności – oryginalna forma lub stan zasobów mogą być zmienione wyłącznie przez uprawnione do tego osoby.
5. Zasada dostępności – zasoby informacyjne są dostępne użytkownikowi
w wymaganym czasie, miejscu i formie.
6. Zasada hierarchiczności – za całość polityki bezpieczeństwa odpowiedzialność ponosi Administrator Danych, a w zakresie przewidzianym umową – podmiot, któremu Administrator powierzył przetwarzanie danych.
7. Zasada wiedzy koniecznej – każdy upoważniony pracownik posiada dostęp do informacji w zakresie koniecznym do sprawowania powierzonej mu funkcji.
8. Zasada minimalizacji– gromadzone i przetwarzane mogą być tylko dane i informacje adekwatne i niezbędne do celów, w jakich są przetwarzane.
9. Zasada ograniczenia przechowywania – dane są przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Szczegółowy okres przetwarzania poszczególnych kategorii danych ujęty jest
w rejestrze przetwarzania danych, który stanowi załącznik nr 1 do niniejszej polityki bezpieczeństwa.
10. Zasada prawidłowości danych – przetwarzane dane są prawidłowe i w razie potrzeby uaktualniane.
§ 3
POWIERZENIE DANYCH OSOBOWYCH PODMIOTOM TRZECIM
1.
[umowa powierzenia]
1. Powierzenie danych osobowych odbywa się każdorazowo na podstawie pisemnej umowy powierzenia, której wzór stanowi załącznik nr 2 do niniejszej umowy.
2. Dopuszczalne jest również powierzenie przetwarzania danych osobowych na podstawie innych umów, a w szczególności zawieranych w formie elektronicznej, gdy taka forma jest powszechnie stosowana w obrocie (np. umowy zawierane z formami hostingowymi, umowa dot. Google dysk, Dropbox).
2.
[wybór podmiotu przetwarzającego]
Administrator korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych
i organizacyjnych, by przetwarzanie spełniało wymogi nałożone przez przepisy oraz chroniło prawa osób, których dane dotyczą.
§ 4
WYKAZ ZBIORÓW DANYCH
1.
[zbiory danych]
Administrator przetwarza następujące zbiory danych:
a) pracownicy zatrudnieni na podstawie umowy o pracę oraz osoby współpracujące w oparciu o umowy cywilnoprawne;
b) kandydaci do pracy;
c) podmioty poszukujące ochrony ubezpieczeniowej, ubezpieczeni, ubezpieczający, uposażeni oraz osoby zatrudnione u wyżej wymienionych podmiotów;
d) poszkodowani oraz sprawcy szkód, inni uczestnicy wypadków ubezpieczeniowych;
e) inne powiązane z prowadzoną działalnością gospodarczą wyszczególnione
w prowadzonym przez Administratora Rejestrze czynności przetwarzania.
2.
[legitymacja do rozszerzenia zbiorów danych]
Zbiory danych określone w pkt. 1 mogą ulec rozszerzeniu na podstawie obowiązujących przepisów, zgód oraz umów. Wszelkie zmiany w tym zakresie uwzględniane będą
w prowadzonym rejestrze przetwarzania danych, stanowiącym załącznik nr 1 do niniejszej polityki bezpieczeństwa.
3.
[zachowanie ciągłości tradycyjnych zbiorów danych]
Administrator zapewnia ciągłość tradycyjnych zbiorów danych (w formie papierowej) poprzez digitalizację tych zbiorów danych, z których przetwarzane przez Administratora informacje nie są przechowywane w innych miejscach (np. akta pracownicze).
§ 5
PROCEDURY NA WYPADEK NARUSZENIA BEZPIECZEŃSTWA DANYCH
1.
[zdarzenia naruszające ochronę danych osobowych]
Administrator ustalił następujący katalog zdarzeń mogących wpływać na bezpieczeństwo danych osobowych:
a) zagrożenia losowe wynikające z silnego oddziaływania czynników zewnętrznych na system np. wybuch gazu, pożar;
b) zagrożenia losowe wewnętrzne mogące potencjalnie naruszać poufność
i integralność danych np. pomyłka użytkowników, awarie sprzętu;
c) zagrożenia zamierzone, świadome i celowe, na które administrator nie ma wpływu, np. nieuprawniony dostęp do danych, próba włamania się do bazy danych.
2.
[symptomy uzasadniające podejrzenie o naruszeniu zabezpieczeń systemu, w którym przetwarzane są dane osobowe]
Administrator zwraca uwagę na następujący katalog zdarzeń stanowiących symptomy, których wystąpienie powinno być podstawą do podjęcia działań mających na celu weryfikację poprawności ochrony danych osobowych:
a) zagrożenia losowe wpływające na zasoby systemu, np. wybuch gazu, pożar, zalanie pomieszczeń wodą, napad itp.
b) awaria sprzętu lub oprogramowania, które wskazują na umyślne działanie w kierunku naruszenia ochrony danych;
c) pojawienie się odpowiedniego komunikatu alarmowego od tej części systemu, która zapewnia ochronę zasobów lub pojawienie się innego komunikatu o podobnym znaczeniu;
d) zmiana jakości danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenia systemu np. niedopuszczalna manipulacja danymi osobowymi w systemie;
e) ujawnienie osobom nieupoważnionym hasła objętego tajemnicą lub innych informacji kluczowych dla procedury ochrony;
f) stwierdzenie naruszenia zabezpieczonych w sposób tradycyjny miejsc przechowywania danych osobowych, np. otwarte szafy, biurka.
3.
[reguły i procedury reagowania na zagrożenia naruszenia
integralności i poufności danych – 4 etapy]
1. ETAP ZGŁASZANIA ZAGROŻENIA
a. Każdy przypadek zaobserwowania symptomu uzasadniającego podejrzenie
o naruszenie ochrony systemu, w którym przetwarzane są dane osobowe należy natychmiast zgłosić Administratorowi.
b. W przypadku podejrzenia, że w systemie znajduje się wirus, użytkownik musi natychmiast odłączyć system od sieci oraz powiadomić o tym Administratora.
c. Pracownicy lub użytkownicy nie powinni podejmować prób sprawdzenia prawdopodobnych słabych punktów w odniesieniu do bezpieczeństwa ani prób naprawienia lub usunięcia awarii, chyba, że mają do tego uprawnienia.
2. ETAP WERYFIKACJI ZAGROŻENIA
a. Administrator ocenia skalę zagrożenia. Odpowiada on za dokonanie wstępnej oceny w celu zweryfikowania zakresu usług dotkniętych incydentem. Ocena dokonywana jest samodzielnie lub we współpracy z podmiotami zajmującymi się ochroną danych.
b. W razie stwierdzenia naruszenia Administrator samodzielnie lub przy pomocy podmiotów zajmujących się ochroną danych podejmuje działania mające na celu ograniczenie szkód wywołanych naruszeniem ochrony danych osobowych.
c. Jeżeli zagrożenie dla danych osobowych jest poważne Administrator podejmuje decyzję o wezwaniu zewnętrznej pomocy technicznej.
d. Użytkownik, który zgłosił problem ma obowiązek współpracować
z Administratorem oraz, ewentualnie, pomocą techniczną w celu usunięcia wirusa bądź innego zagrożenia przed ponownym przyłączeniem systemu do usług sieciowych.
e. Wobec wykrytego incydentu należy określić ryzyko kontynuowania działań. Należy zmienić wszystkie hasła uprzywilejowane w systemach docelowych, ponieważ rozpoznane uprzywilejowane konta, np. nazwy i hasła kont administratora, stanowią częsty cel intruzów.
f. Powinna zostać podjęta próba przywrócenia działania systemu poprzez umieszczenie kopii zapasowej, która stanowi ostatnią kopię zapasową wykonaną przed naruszeniem ochrony systemu. Jeśli pełna kopia zapasowa systemu zawiera miejsca podatne na atak, lepszym rozwiązaniem może być unikanie takich kopii i sformatowanie dysku, odbudowa systemu operacyjnego (bez miejsc podatnych na ataki) oraz ponowne załadowanie aplikacji i danych.
g. Po przywróceniu działania systemu, należy sprawdzić, czy operacja zakończyła się sukcesem i system powrócił do normalnego stanu. Należy wykonać normalne zadania systemu monitorując je dokładnie przy wykorzystaniu zestawu technik, takich jak rejestratory sieciowe i pliki rejestrowe systemu.
3. ETAP SPRAWOZDAWCZY
a. Wszystkie incydenty należy starannie zapisywać i rejestrować dla celów analizy, aby wesprzeć wdrażanie środków zmierzających do uniknięcia takich incydentów w przyszłości.
b. Bez względu na to, jakie czynniki spowodowały incydent, istotne znaczenia ma analiza i skorygowanie jego przyczyny, aby zapobiec jego ponownemu wystąpieniu.
c. O incydentach, których skutkiem było uzyskanie realnego dostępu do danych osobowych przez osoby niepożądane, wyciekiem danych osobowych bądź ich nieuprawnioną modyfikacją należy poinformować podmioty z którymi Administrator jest związany odrębnymi umowami statuującymi taki obowiązek.
d. Dodatkowo o groźnych incydentach należy zawiadomić również podmioty, których dane były objęte zagrożeniem.
e. Po rozwiązaniu incydentu osoby, które wykryły incydent naruszenia bezpieczeństwa i zgłosiły do odpowiedzialnych specjalistów należy poinformować o powstałych stratach oraz podjętych działaniach. Będzie to dowodem na poważne traktowanie takich zgłoszeń i zachęci do zgłaszania podobnych przypadków w przyszłości.
4. ETAP ZGŁASZANIA NARUSZENIA PREZESOWI URZĘDU OCHRONY DANYCH OSOBOWYCH
a. Administrator, bez zbędnej zwłoki – w miarę możliwości nie później niż
w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je Prezesowi Urzędu Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób, których dane dotyczą.
b. Zgłoszenie obejmuje co najmniej charakter naruszenia, w tym kategorie
i przybliżoną liczbę osób, których dane dotyczą, osobę odpowiedzialną
za kontakt w sprawie naruszeń, opis możliwych konsekwencji naruszeń ochrony danych osobowych, opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia dalszym naruszeniom oraz zminimalizowania ich ewentualnych negatywnych skutków. Jeżeli informacji tych nie da się udzielić w tym samym czasie, można je przekazywać sukcesywnie bez zbędnej zwłoki.
c. Jeżeli zgłoszenie zostało przekazane po upływie 72 godzin, dołącza się wyjaśnienie przyczyn opóźnienia.
§ 6
ZASADY REALIZACJI PRAW OSÓB, KTÓRYCH ZBIORY DOTYCZĄ
1.
[udzielanie informacji]
Na żądanie osoby, której dane dotyczą, Administrator udziela informacji o przetwarzaniu danych jej dotyczących, umożliwia dostęp do nich oraz wskazuje kategorie przetwarzanych danych, cele przetwarzania oraz planowany okres przechowywania danych (lub kryteria ustalania tego okresu).
2.
[sprostowanie nieprawidłowych danych]
Na żądanie osoby, której dane dotyczą, spółka dokonuje sprostowania nieprawidłowych danych, a także ich uzupełnienia i aktualizacji.
3.
[usunięcie danych]
Na żądanie uprawnionej osoby Administrator usuwa dane jej dotyczące, o ile:
a) dane nie są niezbędne do celów, w których zostały zebrane;
b) zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania;
c) osoba wniosła skuteczny sprzeciw względem przetwarzania swoich danych;
d) konieczność usunięcia wynika z obowiązku prawnego.
4.
[kontakt w sprawie danych osobowych]
1. Administrator ustanawia odrębny adres mailowy, na który mogą być przesyłane wszelkie wnioski i zapytanie podmiotów, których dane osobowe są przetwarzane przez Administratora: kontakt@athena.pgb.pl.
2. Wszelkie prośby i zapytanie skierowane na powyższą skrzynkę będą realizowane niezwłocznie przez osobę wyznaczoną przez Administratora.
§ 7
WYKAZ BUDYNKÓW I POMIESZCZEŃ TWORZĄCYCH OBSZAR W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE
1.
[zasady ogólne]
1. Administrator Danych zapewnia zastosowanie środków technicznych
i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości Przetwarzanych danych.
2. Zastosowane środki ochrony (techniczne i organizacyjne) powinny być adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych, Środki obejmują:
a) Ograniczenie dostępu do pomieszczeń, w których przetwarzane są dane osobowe, jedynie do osób odpowiednio upoważnionych. Inne osoby mogą przebywać w pomieszczeniach wykorzystywanych do przetwarzania danych jedynie w towarzystwie osoby upoważnionej.
b) Zamykanie lokalu tworzącego obszar przetwarzania danych osobowych określony na czas nieobecności pracowników, w sposób uniemożliwiający dostęp do nich osób trzecich.
c) Uruchamianie sytemu alarmowego monitorowanego przez zewnętrzną firmę ochroniarską na czas nieobecności pracowników.
d) Wykorzystanie zamykanych szafek i sejfów do zabezpieczenia dokumentów.
e) Wykorzystanie niszczarki do skutecznego usuwania dokumentów zawierających dane osobowe.
2.
[wykaz budynków]
1. Przetwarzanie danych osobowych odbywa się w siedzibie Athena Sp. z o.o. znajdującej się przy ul. Winklera 18, 60-248 Poznań.
2. Siedziba Administratora znajduje się w budynku na posesji, która jest ogrodzona, dostęp do niej jest przez furtkę oraz bramę sterowaną elektronicznie. Dostęp do budynku odbywa się przez drzwi wejściowe otwierane przy użyciu klucza, kodu lub domofonu. Lokal otwierany jest kluczem z koniecznością wyłączenia alarmu.
3.
[wykaz pomieszczeń]
1. Dane osobowe są przetwarzane w następujących pomieszczeniach:
a. Powierzchnia biurowa Open Space;
b. Gabinet zamykany na klucz;
c. Serwerownia zamykana na klucz;
d. Sala konferencyjna zamykana na klucz;
e. Archiwum zamykane na klucz;
f. Dwa pokoje pracowników.
2. Dane osobowe przechowywane pomieszczeniach znajdują się w zamykanych na klucz szafach, do których dostęp mają wyłącznie upoważnieni pracownicy.
4.
[dostęp]
1. Dostęp do wskazanych pomieszczeń w godzinach pracy mają upoważnieni do przetwarzania danych osobowych pracownicy i osoby współpracujące.
2. Osoba sprzątająca ma dostęp do lokalu za zgodą Administratora po godzinach pracy.
3. Pracownicy ochrony mogą mieć dostęp do lokalu w trakcie podejmowanej interwencji na zasadach określonych w Umowie o dozór obiektu.
4. Podmioty wskazane w ust. 2 i 3 nie mają dostępu do miejsc przechowywania danych osobowych tj. szaf i sejfów.
§ 8
INNE MIEJSCA W KTÓRYCH PRZETWARZANE SĄ DANE OSOBOWE ZE ZBIORÓW
1.
[dostęp zdalny]
1. Podmioty współpracujące mogą mieć dostęp do zbiorów Administratora poza określoną wyżej siedzibą.
2. Zasady udostępnienia zbiorów podmiotom współpracującym określają odrębne umowy powierzenia danych podmiotom trzecim.
1.
[praca poza siedzibą]
1. Pracownicy mogą dokonywać czynności przetwarzania poza siedzibą Administratora na prywatnych urządzeniach, jedynie w sytuacja wyjątkowych, po uprzednim uzyskaniu zgody w tym zakresie.
2. Warunkiem udzielenia zgody jest wykorzystanie przez Pracownika urządzeń wyposażonych we właściwe oprogramowanie zabezpieczające i spełnienie wszystkich warunków określonych w Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych.
§ 9
ZAŁĄCZNIKI DO POLITYKI BEZPIECZEŃSTWA
Integralny element polityki bezpieczeństwa stanowi Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (Załącznik nr 5).
Ponadto załącznikami do Polityki bezpieczeństwa są:
Załącznik nr 1 – Rejestr przetwarzania danych osobowych
Załącznik nr 2 – Wzór umowy powierzenia danych podmiotom trzecim
Załącznik nr 3 – Klauzula informacyjna
Załącznik nr 4 – Upoważnienie do przetwarzania danych osobowych
Załącznik nr 2
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta dnia ______________ pomiędzy:
_______________________________________________, posiadającą NIP: 699 174 58 32
zwaną dalej Administratorem
a
..........................................................................., posiadający NIP: …............................ oraz REGON: …..............................
zwanym dalej Przetwarzającym
§ 1 Postanowienia ogólne
1. Na mocy niniejszej umowy Administrator działając zgodnie z art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO) oraz działając jako administrator danych osobowych zawartych w zbiorze ___________________________________ powierza przetwarzanie danych osobowych Przetwarzającemu, a przetwarzający zobowiązuje się do przetwarzania powierzonych mu danych osobowych zgodnie z postanowieniami niniejszej umowy oraz powszechnie obowiązującymi przepisami prawa.
2. Zawarcie niniejszej umowy jest związane w związku z realizacją przez Administratora i Przetwarzającego umowy o _______________________ zwanej danej „umową główną”.
§ 2 Określenie zbioru danych
1. Administrator powierza dane wchodzące do zbioru ……………………………………….
2. Zbiór danych, o którym mowa w ust. 1, zawiera następujące kategorie danych o osobach fizycznych:
1) imiona
2) nazwiska
3) adresy mailowe
4) adresy korespondencyjne
5) seria i numery dowodów osobistych
§ 3 Określenie celu
Powierzenie przetwarzania danych osobowych na mocy niniejszej umowy następuje
w celu wykonywania obowiązków szczegółowo opisanych w „umowie głównej”, o której mowa §1 ust.1 i nie może wykraczać poza jej ustalenia
§ 4 Czas obowiązywania Umowy powierzenia
Niniejsza Umowa powierzenia zostaje zawarta na czas ________________________
§ 5 Dalsze powierzenie
1. Administrator wyraża zgodę na korzystanie przez Przetwarzającego z usług innego podmiotu przetwarzającego w granicach powierzenia określonych w niniejszej umowie.
2. Dalsze powierzenie odbywa się w drodze pisemnej umowy podpowierzenia.
3. Przetwarzający informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających,
a Administrator może wyrazić sprzeciw wobec takich zmian.
4. Przetwarzający oświadcza, że nie będzie korzystał z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora.
§ 6 Postępowanie w przypadku naruszeń
W przypadku stwierdzenia jakiejkolwiek sytuacji stanowiącej naruszenia bezpieczeństwa danych osobowych, Przetwarzający zobowiązany jest:
a) niezwłocznie poinformować o tym Administratora, podając wszelkie znane sobie informacje dotyczące takiego naruszenia;
b) ustalić przyczynę naruszenia;
c) podjąć niezwłocznie wszystkie czynności mające na celu usunięcie naruszenia i zabezpieczenia danych osobowych w sposób należyty przed dalszymi naruszeniami;
d) zebrać wszelkie możliwe dane i dokumenty, które mogą pomóc w ustaleniu okoliczności naruszenia i przeciwdziałania podobnym naruszeniom w przyszłości.
§ 7 Obowiązki przetwarzającego
1. Przetwarzający oświadcza, że wdrożył środki techniczne i organizacyjne, uwzględniające stan wiedzy technicznej, koszt wdrażania oraz ryzyko naruszenia praw osób, których dane dotyczą, oraz że środki te zapewniają odpowiedni stopień bezpieczeństwa, zgodne z obowiązującymi przepisami, w szczególności z RODO.
2. Przetwarzający zobowiązuje się do zachowania w poufności wszelkich informacji związanych z uzyskaniem dostępu do powierzonych danych oraz do zabezpieczenia powierzonych danych przed jakimkolwiek nieuprawnionym dostępem.
3. Przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z niniejszej umowy.
4. Przetwarzający zobowiązuje się do współpracy w zakresie wykonywania praw osób, które dane dotyczą.
§ 8 Warunki wypowiedzenia Umowy
1. Administrator ma prawo rozwiązać niniejszą Umowę bez zachowania terminu wypowiedzenia, gdy Przetwarzający:
1) wykorzystał dane osobowe w sposób niezgodny z niniejszą Umową,
2) powierzył przetwarzanie danych osobowych podwykonawcom bez zgody Administratora,
3) nie zaprzestanie niewłaściwego przetwarzania danych osobowych,
4) zawiadomi o swojej niezdolności do dalszego wykonywania niniejszej Umowy.
§ 9 Rozwiązanie Umowy
Przetwarzający, w przypadku wygaśnięcia „umowy głównej”, o której mowa §1 ust. 2 niniejszej umowy niezwłocznie, ale nie później niż w terminie do 7 dni kalendarzowych, zobowiązuje się zwrócić lub usunąć wszelkie dane osobowe, których przetwarzanie zostało mu powierzone, w tym skutecznie usunąć je również z nośników elektronicznych pozostających w jego dyspozycji i potwierdzić powyższe przekazanym Administratorowi protokołem.
§ 10 Postanowienia końcowe
1. Wszelkie zmiany niniejszej umowy wymagają formy pisemnej pod rygorem nieważności.
2. W sprawach nieuregulowanych w niniejszej umowie mają zastosowanie przepisy Kodeksu Cywilnego.
3. Spory wynikłe z tytułu Umowy będzie rozstrzygał Sąd właściwy dla miejsca siedziby Administratora.
4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.
_______________________ ________________________
Administrator Przetwarzający
Załącznik nr 3
Klauzula informacyjna o przetwarzaniu danych osobowych
I. Dane kontaktowe
Administratorem Pani/Pana danych osobowych jest Athena
Sp. z o.o. (dalej jako Administrator) z siedzibą w Poznaniu ul. Winklera 18 (60-246), zarejestrowana w rejestrze przedsiębiorców Krajowego Rejestru Sądowego prowadzonym przez Sąd Rejonowy Poznań – Nowe Miasto i Wilda w Poznaniu, VIII Wydział Gospodarczy pod nr KRS: 0000166079, NIP: 782-20-29-074, REGON: 631047533, kapitał zakładowy: 60.000 zł.
II. Cele i podstawy przetwarzania danych
1. Podanie Pani/Pana danych osobowych jest dobrowolne, ale niezbędne w celu realizacji zlecenia brokerskiego/umowy o likwidację szkód/udzielonego pełnomocnictwa oraz w celu wykonania przewidzianych w nim/niej zadań. Konsekwencją niepodania danych osobowych będzie brak możliwości pośrednictwa przy doprowadzeniu do realizacji zlecenia brokerskiego czy też umowy o likwidację szkód/udzielonego pełnomocnictwa.
2. Pani/Pana dane osobowe będą przekazywane innym podmiotom jedynie w zakresie wynikającym ze zlecenia. Odbiorcami Pani/Pana danych osobowych mogą̨ być́ zakłady ubezpieczeń́ lub zakłady reasekuracji, Komisja Nadzoru Finansowego, Ubezpieczeniowy Fundusz Gwarancyjny, Centralna Ewidencja Pojazdów, Rzecznik Finansowy, organy administracji państwowej, dostawcy usług assistance oraz inne podmioty w zakresie w jakim jest to konieczne dla prawidłowego wykonania zlecenia. Ponadto podmioty przetwarzające dane osobowe na zlecenie administratora, m.in. dostawcy usług IT, dostawcy usług archiwizacji dokumentacji, likwidacji szkód, podmioty przetwarzające dane w celu windykacji należności, kancelarie prawne świadczące wsparcie prawne, rzeczoznawcy majątkowi lub medyczni, agencje marketingowe, czy też agenci ubezpieczeniowi – przy czym takie podmioty przetwarzają̨ dane na podstawie umowy z administratorem i wyłącznie zgodnie
z poleceniami administratora.
3. Dodatkowo, odbiorcą Pani/Pana danych osobowych będzie Spółka GrEco International Holding AG z siedzibą w Wiedniu (Austria) jako spółka zarządzająca i kontrolująca oraz świadcząca usługi IT dla całej Grupy GrEco oraz Towarzystwa Ubezpieczeniowe prowadzące mowę ubezpieczenia i działający na jego lub na nasze zlecenie Rzeczoznawcy.
4. Pani/Pana osobowe będą przetwarzane przez nas m.in. przez okres trwania umowy i dodatkowo przez okres przedawnienia wszelkich roszczeń wynikających z tej umowy oraz do momentu wygaśnięcia obowiązku przechowywania dokumentów wynikających z przepisów prawa. W sytuacji, gdy podstawą przetwarzania jest zgoda osoby, której dane dotyczą, do dnia cofnięcia zgody lub ustania celu, dla którego zgoda została wyrażona.
5. Pani/Pana dane osobowe nie podlegają zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu.
III. Zakres przysługujących praw
1. Posiada Pani/Pan prawo dostępu do treści swoich danych osobowych, prawo do żądania od Administratora ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania dokonanego na postawie zgody przed jej cofnięciem. Realizacja tych praw odbywa się za pośrednictwem Administratora.
2. Przysługuje Pani/Panu prawo wniesienia skargi do Prezesa Urzędu Ochrony danych Osobowych, gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy RODO.
We wszystkich sprawach dotyczących przetwarzania danych osobowych, w szczególności w sprawie skorzystania z praw związanych z przetwarzaniem danych, można skontaktować się z Administratorem danych osobowych:
a) pisemnie, na adres ul. Winklera 18, 60-246 Poznań
b) za pośrednictwem adresu e-mail: kontakt@athena.pgb.pl
Załącznik nr 4
Poznań, ………………………
UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH
Na podstawie art. 29 rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych niniejszym upoważniam Panią/Pana
Imię i nazwisko, stanowisko służbowe
zatrudnioną w Athena Sp. z o.o. na podstawie umowy o pracę do przetwarzania, w ramach zleconych obowiązków pracowniczych, danych osobowych określonych w pkt ……….... rejestru przetwarzania danych.
Upoważnienie niniejsze udzielane jest na czas nieokreślony, wygasa z dniem ustania stosunku pracy, a ponadto może być w każdej chwili zmienione lub odwołane.
Przetwarzający potwierdza, że znane mu są zasady przetwarzania danych osobowych
w Athena Sp z o.o. w szczególności Polityka bezpieczeństwa danych osobowych z dnia 16 maja 2018 r. oraz stanowiąca jej integralną część Instrukcja zarządzania systemem bezpieczeństwa, a także jest świadomy obowiązujących kar administracyjnych oraz odpowiedzialności karnej za naruszenie zasad przetwarzania danych osobowych.
Administrator ________________________
Przetwarzający ________________________