Polityka ochrony danych

1

  1. Polityka ochrony danych (dalej: „Polityka”) określa zasady dotyczące przetwarzania i zabezpieczenia danych osobowych w spółce Grimbud Langiewicza Spółka z ograniczoną odpowiedzialnością z siedzibą w Krakowie (30-519) przy ulicy Zamoyskiego 81 lok. 12 , zarejestrowana w Sądzie Rejonowym w Krakowie – XII Wydziale Gospodarczym Krajowego Rejestru Sądowego pod numerem 0000906941 , NIP: 7343596533 (dalej: GRIMBUD LANGIEWICZA) zgodnie z wymaganiami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – zwanego dalej RODO).
  2. Niniejszy dokument stanowi wykonanie obowiązku, o którym mowa w art. 24 ust. 2 RODO.
  3. Polityka ma zastosowanie do wszystkich danych osobowych przetwarzanych w Grimbud Langiewicza w ramach procesów przetwarzania danych osobowych.
  4. Obowiązek ochrony danych osobowych przetwarzanych w Grimbud Langiewicza dotyczy wszystkich osób, które mają do nich dostęp bez względu na zajmowane stanowisko oraz miejsce wykonywania pracy, jak również charakter stosunku pracy, w tym w szczególności wszelkie podmioty i ich pracownicy świadczący na rzecz Spółki usługi wymagające dostępu do danych – w tym: budowlane, architektoniczne, prawne, finansowe, księgowe i informatyczne, a także firmy ubezpieczeniowe, czy kontrahenci administratora.
  5. Możliwość przetwarzania danych osobowych przysługuje jedynie w drodze otrzymanego upoważnienia przekazanego osobom, które mają do nich dostęp lub na podstawie zawartej umowy powierzenia przetwarzania danych.
  6. Osoby mające dostęp do danych osobowych są zobowiązane do zapoznania się z Polityką i innymi powiązanymi z nią dokumentami oraz stosowanie zawartych w nich regulacji.
  7. Polityka zachowuje zgodność ze wszelkimi wewnętrznymi regulacjami z obszaru bezpieczeństwa informacji i systemów informatycznych obowiązującymi w Grimbud Langiewicza z o.o. z siedzibą w Krakowie.
  8. Nadzór nad opracowaniem i aktualizacją Polityki sprawuje administrator tj. Gimbud Langiewicza Sp. z o.o. z siedzibą w Krakowie.

 

2

Słownik pojęć używanych w niniejszej Polityce:

  1. Grimbud Langiewicza spółka z ograniczoną odpowiedzialnością z siedzibą w Krakowie przy ulicy Jana Zamoyskiego 81 lok. 12, 30-519 Kraków, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy dla Krakowa – Śródmieścia w Krakowie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: 0000906941, REGON: 389258470, NIP: 7343596533, osoby upoważnione do reprezentacji, osoby wyznaczone do zapewniania przestrzegania przepisów niniejszej polityki.
  2. Dane osobowe – wszelkie informacje, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
  3. Dane osobowe wrażliwe – szczególne kategorie danych określone w art. 9 RODO, w tym: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych; dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej; dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby; jak również dane osobowe dotyczącewyroków skazujących oraz naruszeń prawa, o których mowa w art. 10 RODO.
  4. Naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
  5. Obszar przetwarzania danych osobowych – pomieszczenia lub części pomieszczeń we wszystkich lokalizacjach spółki, w których są przetwarzane dane osobowe, zarówno w formie papierowej, jak i w systemie informatycznym.
  6. Odbiorca danych – podmiot, któremu udostępniane są dane osobowe.
  7. Osoba upoważniona – osoba upoważniona do przetwarzania danych osobowych przez Administratora danych lub osobę przez niego upoważnioną, mająca bezpośredni dostęp do danych, przetwarzanych w systemie informatycznym lub w dokumentacji papierowej.
  8. Podmiot przetwarzający – podmiot, któremu Grimbud Langiewicza powierza czynności przetwarzanie danych osobowych w swoim imieniu na podstawie stosowniej umowy.
  9. Przetwarzanie danych osobowych – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
  10. PUODO – Prezes Urzędu Ochrony Danych Osobowych.
  11. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
  12. UODO – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018, poz. 1000).
  13. Zasób danych osobowych – wszystkie dane osobowe, niezależnie od sposobu ich utrwalenia, zarówno w formie elektronicznej – w systemie informatycznym oraz na nośnikach (płyty CD/DVD/BD, pamięci flash i inne) jak i papierowej przetwarzane przez spółkę w celu realizacji jej zadań.

 

3

  1. Grimbud Langiewicza jako administrator jest odpowiedzialny za przetwarzanie i ochronę danych osobowych w zgodnie przepisami prawa, w tym za zaakceptowanie niniejszej Polityki.
  2. Osoba Wyznaczona zobowiązana jest do bieżącego monitorowania środków technicznych i organizacyjnych stosowanych w Grimbud Langiewicza oraz spółkach powiązanych. ich zgodności z obowiązującymi przepisami. Monitorowanie prowadzone jest przez Administratora oraz poprzez audyty okresowe i doraźne (w przypadku stwierdzenia naruszenia ochrony danych osobowych).
  3. Administrator analizuje wyniki audytów oraz bieżących kontroli wraz z dokumentacją przetwarzania danych osobowych przyjętych i informuje o konieczności wprowadzenia zmian.
  4. Administrator nadzoruje aktualizację środków technicznych, organizacyjnych i dokumentacji oraz implementację tych zmian przez osoby upoważnione do przetwarzania danych.

 

4

  1. Administrator jest odpowiedzialny za:
    1. zarządzanie czynnościami przetwarzania danych osobowych w ramach zadań, realizowanych przez Grimbud Langiewicza,
    2. nadawanie, zmianę lub cofnięcie uprawnień pracownikom do określonych zasobów danych osobowych przetwarzanych w systemie informatycznym, zgodnie z zakresem upoważnienia do przetwarzania danych osobowych,
    3. zapoznanie podległych pracowników i innych osób (np. współpracowników) z zasadami przetwarzania i ochrony danych w Grimbud Langiewicza,
    4. wypełnianie obowiązków dotyczących zabezpieczenia obszaru przetwarzanych danych osobowych w Grimbud Langiewicza,
    5. analizowania podstaw prawnych przetwarzania danych osobowych, w tym zbierania i archiwizowanie zgód osób na przetwarzanie ich danych osobowych wymaganych przypadkach,
    6. ustalanie zasad tworzenia kopii zapasowych plików z danymi osobowymi,
    7. realizację procesu udostępniania danych osobowych innemu podmiotowi lub osobie, której dane dotyczą,
    8. realizacja procesów związanych z powierzaniem przetwarzania danych osobowych przez spółkę innym podmiotom – zgodnie z zawartymi umowami powierzenia przetwarzania danych osobowych,
    9. przygotowanie upoważnienia do przetwarzania danych osobowych oraz umów powierzenia przetwarzania danych osobowych,
    10. przechowywanie nadanych upoważnień do przetwarzania danych osobowych oraz oświadczeń o zachowaniu tajemnicy danych osobowych i sposobów ich zabezpieczania wraz z aktami osobowymi pracowników lub umowami zlecenia,
    11. prowadzenie aktualnej ewidencji osób upoważnionych do przetwarzania danych osobowych.

 

5

  1. Administrator obsługuje zarządzanie systemem informatycznym służącym m.in. do przetwarzania danych osobowych w Grimbud Langiewicza.
  2. Dane osobowe zbierane w ramach procesów realizowanych w Grimbud Langiewicza są przetwarzane przez czas określony przez właściwe przepisy prawa lub wewnętrzne przepisy na potrzeby Grimbud Langiewicza.
  3. Powierzenie przetwarzania danych osobowych odbywać się będzie na podstawie umowy powierzenia.
  4. Grimbud Langiewicza korzysta z oprogramowania Deweloper System do zarządzania sprzedażą nieruchomości powierzając FORBIT Software Factory na podstawie umowy powierzenia dane osobowe potrzebne do prawidłowego wdrożenia i korzystania z oprogramowania

 

6

  1. Osoby wykonujące czynności związane z przetwarzaniem danych osobowych w Grimbud w ramach wykonywania zadań służbowych na stanowiskach pracy lub prac zleconych muszą posiadać pisemne upoważnienie do przetwarzania danych osobowych.
  2. Upoważnienia do przetwarzania danych osobowych nadaje osoba uprawniona do reprezentacji Grimbud Langiewicza zgodnie z zasadami ujawnionymi w Rejestrze Przedsiębiorców Krajowego Rejestru Sądowego.
  3. Upoważnienia do przetwarzania danych są przygotowywane i przechowywane przez Grimbud Langiewicza.

 

7

  1. Osoba upoważniona do przetwarzania danych osobowych w Grimbud Langiewicza jest zobowiązana do:
    1. zapoznania się z obowiązującymi przepisami prawa z zakresu ochrony danych osobowych oraz dokumentacją dotyczącą ochrony danych osobowych obowiązującą w Grimbud Lang
    2. przetwarzania danych osobowych wyłącznie w celu i zakresie wynikającym z nałożonych obowiązków służbowych,
    3. zachowania wyjątkowej staranności przy przetwarzaniu danych osobowych, w szczególności danych wrażliwych w celu ochrony interesów osób, których dane dotyczą, w szczególności sprawdzać, czy są spełnione podstawy prawne na pozyskiwanie danych osobowych, zgodnie z art. 6 RODO oraz art. 9 – 10 RODO,
    4. stosowania określonych w Grimbud Langiewicza procedur i środków przetwarzania oraz zabezpieczania danych osobowych,
    5. podporządkowania się poleceniom Administratora w zakresie ochrony danych osobowych,
    6. zachowania w poufności danych osobowych oraz danych objętych tajemnicą przedsiębiorstwa,
    7. zabezpieczenia danych osobowych przed: ich utratą, uszkodzeniem lub zniszczeniem, zmianą lub ich udostępnieniem osobom nieupoważnionym,
    8. dopilnowania, aby przebywanie osób nieupoważnionych w pomieszczeniach, w których przetwarzane są dane osobowe, miało miejsce wyłącznie w obecności osoby upoważnionej,
    9. dopilnowania, aby przeznaczone do usunięcia dokumenty, zawierające dane osobowe niszczone były w stopniu uniemożliwiającym ich odczytanie,
    10. przestrzegania procedur właściwego użytkowania systemów informatycznych, w których przetwarza się dane osobowe, w tym do nieujawniania innym użytkownikom swoich loginów i haseł,
    11. zachowania należytej staranności podczas przekazywania danych osobowych drogą telefoniczną (konieczność właściwej identyfikacji rozmówcy, konieczność ustalenia, czy rozmówca jest uprawniony do pozyskania danych osobowych, przekazywanie jedynie niezbędnych informacji),
    12. niewysyłania za pomocą wiadomości e-mail danych osobowych na prywatne adresy, niekopiowanie danych na inne nośniki bez uzasadnionej potrzeby,
    13. zachowania należytej ostrożności przy transporcie dokumentów oraz nośników informatycznych, zawierających dane osobowe, poza obszarem przetwarzania w Grimbud Langiewicza,
    14. niepozostawiania dokumentów, zawierających dane osobowe na urządzeniach wielofunkcyjnych (drukowanie, kopiowanie),
    15. nieopuszczania stanowiska bez zabezpieczenia dokumentów papierowych, zawierających dane osobowe (zasada „czystego biurka”) oraz bez zabezpieczania dostępu do danych przetwarzanych w systemie informatycznym (zasada „czystego ekranu”),
    16. informowania o zdarzeniu operacyjnym dotyczącym danych osobowych, zgodnie z obowiązującymi w tym zakresie procedurami,
    17. zaprzestania przetwarzania danych osobowych zrealizowaniu celu przetwarzania.

 

8

  1. Grimbud Langiewicza prowadzi rejestr czynności przetwarzania danych osobowych zgodnie z wymaganiami art. 30 ust. 1 RODO w stosunku do danych, których Grimbud Langiewicza jest administratorem

 

9

  1. Osoby zbierające dane osobowe zobowiązane są do przestrzegania obowiązków informacyjnych określonych w art. 13 i 14 RODO. Za wystarczające uznaje się stosowanie przyjętych w Grimbud Langiewicza wzorów klauzul informacyjnych.
  2. W razie uwag do przyjętych wzorów klauzul informacyjnych Grimbud Langiewicza osoba, do której zwrócono uwagę, winna zwrócić się z uwagami do Osoby Wyznaczonej w celu konsultacji i usunięcia nieprawidłowości.
  3. Zmiany w przyjętych w Grimbud Langiewicza wzorach klauzul informacyjnych możliwe są wyłącznie za zgodą Osoby Wyznaczonej i osób zarządzających Grimbud Langiewicza.

 

10

  1. Dane osobowe zbierane w Grimbud Langiewicza są przetwarzane przez czas określony przez właściwe przepisy prawa i wewnętrze regulacje. O czasie przetwarzania informowana jest osoba, której dane dotyczą. Nadzór nad prawidłowym okresem przechowywania danych sprawuje Kierownik działu w ramach, którego są one gromadzone.
  2. Dane osobowe, dla których okres przetwarzania nie wynika z obowiązujących przepisów prawa i dla których nie jest możliwe określenie z góry tego okresu w wewnętrznych przepisach kancelaryjno archiwalnych, są przetwarzane tak długo, jak długo istnieje jednocześnie podstawa prawna oraz cel dla ich przetwarzania.
  3. Ustanie celu przetwarzania danych jest równoznaczne z koniecznością usunięcia danych osobowych.
  4. Dane osobowe przetwarzane wyłącznie w oparciu o przesłankę zgody na przetwarzanie danych osobowych są usuwane zawsze niezwłocznie po wycofaniu takiej zgody, chyba że podstawa oraz cel ich przetwarzania wynika z innych przepisów, w takim przypadku osobę, której dane dotyczą, informuje się niezwłocznie o nowej podstawie i celu ich przetwarzania.

 

11

  1. Osoby udostępniające dane osobowe do podmiotu zewnętrznego (w formie papierowej lub elektronicznej), przed ich udostępnieniem mają obowiązek sprawdzić, czy istnieją podstawy prawne umożliwiające wykonanie tych czynność, w tym:
    1. wymóg prawa dotyczący udostępnienia danych;
    2. zgoda osoby na udostępnienie danych innemu podmiotowi;
    3. zapis w umowie z podmiotem współpracującym, przy spełnieniu warunku, że udostępnienie nie narusza praw i wolności osoby, której dane dotyczą;
    4. wniosek o udostępnienie danych od podmiotu uprawnionego, ze wskazaniem podstawy prawnej do otrzymywania danego rodzaju danych osobowych.
  2. W sytuacji powierzania czynności przetwarzania danych osobowych zewnętrznemu podmiotowi (podmiotowi przetwarzającemu), należy zawrzeć z nim umowę powierzenia przetwarzania danych osobowych zgodnie z art. 28 ust. 3 RODO.
  3. Przy zawieraniu umowy należy zweryfikować czy podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi przepisów RODO i chroniło prawa osób, których dane dotyczą. W razie wątpliwości należy o nich poinformować Osobę Wyznaczoną.
  4. Uprawnienie określone w at. 28 ust. 3 lit. h RODO realizuje w imieniu Grimbud Langiewicza osoba uprawniona do reprezentacji Grimbud Langiewicza zgodnie z zasadami ujawnionymi w Rejestrze Przedsiębiorców Krajowego Rejestru Sądowego lub osoba przez niego upoważniona w formie pisemnej.

 

12

  1. Każdej osobie, której dane osobowe są przetwarzane przez Grimbud Langiewicza przysługują prawa określone w art. 15 – 22 RODO, w tym:
    1. prawo dostępu do danych jej dotyczących;
    2. prawo do sprostowania danych;
    3. prawo do usunięcia danych;
    4. prawo do ograniczenia przetwarzania;
    5. prawo do przenoszenia danych;
    6. prawo do sprzeciwu na przetwarzanie jej danych;
    7. prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu.
  2. W przypadku konieczności odbierania zgody na przetwarzanie danych osobowych, należy zapewnić dobrowolność jej pozyskania oraz powiadamiać o prawie do odwołania takiej zgody.

 

13

  1. W sytuacji powzięcia informacji o naruszeniu lub podejrzeniu naruszenia ochrony danych osobowych należy postępować zgodnie z zasadami wynikającymi z art. 33 i 34 RODO.
  2. Zgłoszenia naruszenia ochrony danych osobowych przez osobę, której dane dotyczą lub inną osobę są przyjmowane i rozpatrywane przez Administratora.
  3. W sytuacji stwierdzenia wystąpienia naruszenia ochrony danych osobowych oraz prawdopodobieństwa zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych, informacja o naruszeniu powinna zostać zgłoszona do PUODO.
  4. Zgłoszenie naruszenia przygotowuje Administrator niezwłocznie po stwierdzeniu naruszenia zgodnie z wymaganiami art. 33 RODO.
  5. Zgłoszenie przekazywane jest do PUODO w formie elektronicznej za pomocą systemu informatycznego zgodnie z trybem określonym przez organ.
  6. W sytuacji, gdy stwierdzone naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, o naruszeniu zawiadamia się wszystkie osoby, których dane dotyczą. Administrator analizuje czy w odniesieniu do wymogów art. 34 ust. 3 RODO zawiadomienie osób, których dane dotyczą, będzie wymagane.
  7. Wszystkie stwierdzone naruszenia ochrony danych osobowych są dokumentowane przez Administratora

 

14

  1. W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie przepisy RODO oraz UODO.