Polityka ochrony danych osobowych w KDK Sp. z o.o.

Źródła prawa

Niniejsza Polityka ochrony danych osobowych została opracowana w oparciu o powszechnie obowiązujące przepisy prawa z zakresu ochrony danych osobowych i jej treść odpowiada wymaganiom stawianym w szczególności przez:

1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej w Regulaminie „RODO”),
2. Ustawę z dnia 10 maja 2018 r. o Ochronie Danych Osobowych,
3. Ustawę o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679.

1. Cel Polityki

Niniejsza Polityka określa zasady, procedury oraz środki techniczne i organizacyjne niezbędne w celu zapewnienia ochrony danych osobowych przetwarzanych w:

KDK Sp. z o.o., ul. Mokotowska 14, 00-561 Warszawa, NIP: 526-28-37-167, KRS 0000230249 | REGON 140034252 zwaną dalej KDK Sp. z o.o.
Kontakt z Administratorem danych KDK Sp. z o.o.: rodo@kdkevents.pl – w temacie prosimy wpisywać RODO i rodzaj sprawy.

W KDK Sp. z o.o. przetwarzane są dane osobowe:

1. Klientów,
2. Potencjalnych klientów– osób, które udzieliły zgody na przetwarzanie ich danych w celach marketingowych,
3. Pracowników KDK Sp. z o.o.,
4. Osób współpracujących na zasadach stałych, jednorazowych lub doraźnych,
5. Osób reprezentujących lub osób kontaktowych klientów, partnerów oraz innych firm, z którymi KDK Sp. z o.o. współpracuje.

1. Stosowanie zasad oraz wdrożenie procedur, określonych w niniejszej Polityce ma na celu zapewnienie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania informacji zawierających dane osobowe oraz utrzymania bezpieczeństwa ich przetwarzania.

2. Przez bezpieczeństwo przetwarzania danych należy rozumieć przetwarzanie danych zgodnie z zasadami:

1. zgodności z prawem, rzetelności i przejrzystości;
2. ograniczenia celu przetwarzania danych;
3. minimalizacji danych;
4. prawidłowości danych;
5. ograniczenia przechowania danych;
6. integralności i poufności danych;
7. rozliczalności.

2. Definicje

Użyte w treści niniejszej Polityki określenia oznaczają:

1. Administrator danych osobowych: Administratorem danych osobowych jest KDK Sp. z o.o., ul. Mokotowska 14, Warszawa.
2. Dane osobowe lub Dane: Informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, w tym dane pozwalające na pośrednie lub bezpośrednie zidentyfikowanie danej osoby lub inne posiadane przez firmę informacje, dzięki którym osoba fizyczna będzie możliwa do zidentyfikowania.
3. Incydent: Każde zdarzenie, które zagraża lub może zagrozić bezpieczeństwu danych osobowych, w tym ich poufności, dostępności lub integralności.
4. Koordynator ds. Ochrony Danych Osobowych: osoba powołana w spółce, która odpowiada za monitorowanie przestrzegania przepisów z zakresu ochrony danych osobowych (dalej: Koordynator).
5. Naruszenie Ochrony Danych Osobowych: każda utrata, nieautoryzowane lub nielegalne przetwarzanie, zniszczenie, uszkodzenie, zmiana albo nieautoryzowane ujawnienie lub udostępnienie Danych osobowych, niezależnie, czy naruszenie było przypadkowe, czy zamierzone.
6. Organ nadzorczy: Prezes Urzędu Ochrony Danych Osobowych.
7. Osoba, której dane dotyczą: osoba fizyczna, której Dane osobowe są przetwarzane przez KDK Sp. z o.o.
8. OSOD: Ocena Skutków dla Ochrony Danych.
9. Procesor: osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza Dane osobowe w imieniu i na zlecenie Administratora. Przykładem Podmiotów przetwarzających Dane na zlecenie KDK Sp. z o.o. mogą być: biura księgowe, zewnętrzne IT, podmioty świadczące usługi z zakresu BHP.
10. Pracownik: osoba zatrudniona w KDK Sp. z o.o. na podstawie umowy o pracę lub świadcząca usługi na rzecz spółki KDK Sp. z o.o. na podstawie umowy cywilnoprawnej, którą KDK Sp. z o.o. upoważniła do dostępu i przetwarzania administrowanych przez siebie Danych osobowych.
11. Przepisy dotyczące Ochrony Danych: wszystkie przepisy obowiązujące w jakiejkolwiek właściwej jurysdykcji odnoszące się do prywatności albo używania lub przetwarzania Danych dotyczących osób fizycznych, w szczególności: (a) Rozporządzenie o Ochronie Danych Osobowych nr 2016/679 („RODO”); (b) polskie przepisy z zakresu ochrony danych osobowych, (c) jakiekolwiek przepisy ratyfikujące, implementujące, adoptujące, uzupełniające albo zastępujące RODO oraz (d) jakiekolwiek przewodniki lub kodeksy praktyki przyjęte przez organy państwowe lub organy nadzoru dotyczące zgodności postępowania z wyżej wskazanymi przepisami; w każdym wypadku w zakresie obowiązującym, także w przypadku aktualizacji, nowelizacji lub zastąpienia tych przepisów.
12. Przetwarzanie: wszelkie operacje wykonywane na Danych, takie jak zbieranie, utrwalanie, przechowywanie, wyświetlanie na monitorze, przechowywanie na serwerze zapasowym, drukowanie, usuwanie lub inne podobne czynności.
13. Polityka: Polityka Ochrony Danych Osobowych obowiązująca w KDK Sp. z o.o.
14. System informatyczny: zespół współpracujących urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych w celu przetwarzania Danych.
15. Szczególna Kategoria Danych: dane Osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby fizycznej.

3. Zakres stosowania

Niniejszą Politykę stosuje się do wszelkich operacji przetwarzania Danych osobowych w KDK Sp. z o.o., w tym do przetwarzania Danych w Systemach informatycznych.

4. Obowiązki Administratora

1. Administrator Danych osobowych obowiązany jest do zabezpieczenia Danych osobowych przed ich udostępnieniem osobom nieupoważnionym lub zabraniem przez te osoby oraz przetwarzaniem z naruszeniem prawa, w tym przed nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem Danych.
2. Administrator Danych:
   1. zapewnia legalność procesów przetwarzania Danych tj. dba i weryfikuje, aby Dane przetwarzane były na odpowiedniej podstawie prawnej, nie dłużej niż jest to potrzebne do realizacji celu przetwarzania, aby przetwarzane Dane były adekwatne do celu przetwarzania, aby do Danych miały dostęp tylko osoby upoważnione. Ponadto dba o bieżące realizowanie praw Osób, których dane dotyczą;
   2. sprawuje nadzór nad zabezpieczeniem Danych tj. dba i weryfikuje zabezpieczenia dostępu do Danych, w tym sposób korzystania z nośników, na których Dane są przechowywane, sposób zabezpieczenia dostępu fizycznego do Danych;
   3. na bieżąco identyfikuje i analizuje zagrożenia oraz ryzyko związane z bezpieczeństwem przetwarzanych Danych tj.: bierze pod uwagę ochronę Danych przy każdym wydarzeniu i nowym procesie, w którym dochodzi do Przetwarzania Danych, prowadzi na bieżąco i cyklicznie ocenia adekwatność zabezpieczeń w relacji do zagrożeń i ryzyk związanych z przetwarzaniem Danych;
   4. kontroluje i monitoruje funkcjonowanie zabezpieczeń, wdrożonych w celu ochrony Danych w Systemach informatycznych oraz przetwarzanych poza Systemami informatycznymi.
3. W KDK Sp. z o.o. wyznacza się Koordynatora ds. Ochrony Danych Osobowych jako osobę odpowiedzialną za ochronę Danych osobowych.
4. IOD/Koordynator ds. Ochrony Danych Osobowych włączany jest we wszelkie sprawy dotyczące Przetwarzania Danych osobowych.

5. Obowiązki Koordynatora ds. Ochrony Danych Osobowych

1. Koordynator ds. Ochrony Danych Osobowych jest odpowiedzialny za:
   1. informowanie osób odpowiedzialnych za przetwarzanie Danych, Podmiotów przetwarzających oraz Pracowników, którzy przetwarzają Dane osobowe, o obowiązkach spoczywających na nich na mocy RODO, innych przepisów prawa o ochronie Danych oraz Polityki i doradzanie im w tej sprawie;
   2. monitorowanie przestrzegania RODO, innych przepisów prawa o ochronie Danych oraz Polityki przez Pracowników i Podmioty przetwarzające;
   3. udzielanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
   4. śledzenie trendów i praktyki w dziedzinie Danych osobowych;
   5. przygotowywanie dokumentów wewnętrznych dotyczących:
      • zakresu upoważnień osób mających dostęp do Danych osobowych;
      • zakresu i celów przetwarzanych Danych;
   6. pełnienie funkcji punktu kontaktowego dla Osób, których dane dotyczą;

6. Obowiązki Pracownika KDK Sp. z o.o.

1. Pracownicy i współpracownicy KDK Sp. z o.o. są zobowiązani do przestrzegania postanowień niniejszej Polityki oraz innych procedur ochrony Danych Osobowych, a także do niezwłocznego zgłaszania zauważonych Naruszeń Ochrony Danych Osobowych.

7. Zgoda na Przetwarzanie Danych osobowych

1. Jeżeli przetwarzanie odbywa się na podstawie zgody, KDK Sp. z o.o. musi być w stanie wykazać, że Osoba, której dane dotyczą, wyraziła zgodę na Przetwarzanie swoich Danych osobowych. We wszystkich przypadkach, w których jedyną podstawą do Przetwarzania Danych osobowych, jest zgoda Osoby, której dane dotyczą, KDK Sp. z o.o. odbiera taką zgodę w sposób sformalizowany i możliwy do udowodnienia tj. w wersji papierowej, elektronicznej lub nagranej i przechowuje takie zgody w Systemie informatycznym w miejscu do tego przeznaczonym.
2. Zgoda nie może być wymuszona. Oceniając, czy zgodę wyrażono dobrowolnie, osoba przyjmująca zgodę musi potwierdzić, czy od zgody na przetwarzanie Danych nie jest uzależnione zawarcie umowy lub wykonanie uprawnienia, w tym świadczenie usługi, jeśli Przetwarzanie Danych nie jest niezbędne do wykonania tej umowy.
3. Jeżeli Osoba, której dane dotyczą, wyrazi zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem, ze wskazaniem na konkretny cel przetwarzania.
4. Zgoda może być wyrażona w sposób elektroniczny poprzez umożliwienie zaznaczenia zgody w serwisie internetowym lub na formularzu elektronicznym. System informatyczny musi posiadać funkcję umożliwiającą przechowywanie tak wyrażonej zgody.
5. Osoba, której Dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody do czasu jej wycofania. O możliwości cofnięcia zgody osoby fizyczne informowane są w informacji o Przetwarzaniu Danych, o której mowa w ust. 9.1. Polityki. Cofnięcie zgody może być dokonane w każdy sposób pod warunkiem, że możliwe jest ustalenie tożsamości osoby cofającej zgodę. KDK Sp. z o.o. ma obowiązek zaprzestać Przetwarzania Danych osobowych niezwłocznie po cofnięciu zgody, nie później niż w terminie 7 dni roboczych, chyba, że istnieją prawnie uzasadnione podstawy do dalszego Przetwarzania.

8. Prawa Osób, których dane dotyczą

8.1. Prawo do bycia poinformowanym o operacjach przetwarzania (obowiązek informacyjny)

1. Osobie, której Dane są przetwarzane przez KDK Sp. z o.o. przysługuje prawo do informacji, czyli uzyskania od KDK Sp. z o.o. informacji dotyczących przetwarzania danych osobowych.
2. W przypadku, gdy Dane zbierane są od osoby, której dotyczą, KDK Sp. z o.o. podaje jej następujące informacje:
   1. swoją tożsamość i dane kontaktowe;
   2. cele Przetwarzania Danych osobowych oraz podstawę prawną Przetwarzania;
   3. jeżeli Przetwarzanie odbywa się na podstawie prawnie uzasadnionego interesu – prawnie uzasadnione interesy realizowane przez Administratora lub przez stronę trzecią;
   4. informacje o odbiorcach Danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
   5. gdy ma to zastosowanie – informacje o zamiarze przekazania Danych osobowych do państwa trzeciego (tzn. państwa spoza Europejskiego Obszaru Gospodarczego) lub do organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony lub w przypadku przekazania Danych zastrzeżeniem odpowiednich zabezpieczeń, wiążących reguł korporacyjnych lub wyjątkowych sytuacjach, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii Danych lub o miejscu udostępnienia Danych;
   6. okres, przez który Dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
   7. informacje o prawie do żądania od Administratora dostępu do Danych osobowych dotyczących Osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia Danych;
   8. jeżeli przetwarzanie odbywa się na podstawie zgody Osoby, której dane dotyczą – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
   9. informacje o prawie wniesienia skargi do Organu nadzorczego;
   10. informację czy podanie Danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy Osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania Danych.
3. W przypadku, gdy Dane nie zostały uzyskane od Osoby, której dane dotyczą, KDK Sp. z o.o. podaje dodatkowe informacje. W takim wypadku, należy poinformować również o:
   1. kategoriach Danych osobowych (np.: imię i nazwisko, adres, numer telefonu);
   2. źródle pochodzenia Danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych.
4. KDK Sp. z o.o. przekazuje informację ustnie lub w wersji papierowej lub elektronicznej, co do zasady, w momencie gromadzenia Danych osobowych (np. w chwili uzyskania Danych przez KDK Sp. z o.o.). Informacja może być także elementem komunikacji elektronicznej tj. może być dołączona do korespondencji mailowej lub dostępna na stronie www.
5. W przypadku pozyskania Danych osobowych, nie od Osoby, której dane dotyczą, informacje wskazane powyżej, KDK Sp. z o.o. przekazuje takiej osobie w rozsądnym terminie po ich uzyskaniu, najpóźniej jednak w terminie miesiąca. Jeżeli jednak Dane osobowe mają być stosowane do komunikacji z tą osobą, KDK Sp. z o.o. przekazuje informację najpóźniej przy pierwszej takiej komunikacji.

8.2. Prawo dostępu do danych

1. Osobie, której dane są przetwarzane przez KDK Sp. z o.o. przysługuje prawo dostępu do jej Danych osobowych.
2. W przypadku chęci skorzystania przez Osobę, której dane są przetwarzane przez KDK Sp. z o.o. z prawa dostępu do Danych, Koordynator:
   1. weryfikuje czy podane Dane dostatecznie identyfikują osobę;
   2. jeżeli zachodzi konieczność - kontaktuje się z wnioskodawcą w celu ustalenia, w jakim procesie Dane osobowe mogły być przetwarzane;
   3. przygotowuje odpowiedź w nieprzekraczalnym terminie 30 dni od dnia wpłynięcia wniosku;
   4. w przypadku wnioskowania o kopię Danych - załącza kopię Danych do odpowiedzi;
   5. odnotowuje fakt odpowiedzi na wniosek wraz z podaniem daty i sposobu przekazania odpowiedzi wraz z kopią wniosku i udzielonej odpowiedzi w Systemie informatycznym.

8.3. Prawo do sprostowania/uzupełnienia Danych

1. Osobie, której Dane przetwarzane są przez KDK Sp. z o.o. przysługuje prawo do sprostowania danych, czyli żądania niezwłocznego poprawienia Danych osobowych, które są nieprawidłowe z uwzględnieniem celów Przetwarzania. Osoba taka może także żądać uzupełnienia przez Administratora Danych osobowych niekompletnych.
2. Osobą odpowiedzialną za prawidłową realizację wniosku o sprostowanie/uzupełnienie w KDK Sp. z o.o.
3. W przypadku skorzystania przez Osobę, której dane są przetwarzane przez KDK Sp. z o.o. z prawa do sprostowania lub uzupełnienia Danych, IOD/Koordynator:
   1. weryfikuje czy podane Dane dostatecznie identyfikują osobę;
   2. przygotowuje odpowiedź w nieprzekraczalnym terminie 30 dni od dnia wpłynięcia wniosku;
   3. w przypadku odmowy uwzględnienia wniosku przez KDK Sp. z o.o. przesyła do wnioskodawcy odpowiednią informację wraz z uzasadnieniem napisaną jasnym i prostym językiem;
   4. odnotowuje fakt dokonania sprostowania bądź przesłania informacji o odmowie sprostowania wraz z kopią wniosku i udzielonej odpowiedzi wskazując datę oraz formę odpowiedzi.

8.4. Prawo do usunięcia Danych

1. Osoba, której dane dotyczą ma prawo do żądania usunięcia jej Danych osobowych w przypadku, gdy Dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane. Spółka KDK Sp. z o.o. zobowiązana jest także do usunięcia Danych, w przypadku, gdy Osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania. Prawo to przysługuje także Osobie, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania. Obligatoryjne jest także usunięcie Danych w przypadku, gdy były one przetwarzane niezgodnie z prawem bądź muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii.
2. Osobą odpowiedzialną za prawidłową realizację wniosku o sprostowanie/uzupełnienie w KDK Sp. z o.o. jest Koordynator.
3. W przypadku skorzystania przez Osobę, której dane są przetwarzane przez KDK Sp. z o.o. z prawa do sprostowania lub uzupełnienia Danych, IOD/Koordynator:
   1. weryfikuje czy podane Dane dostatecznie identyfikują osobę;
   2. przygotowuje odpowiedź w nieprzekraczalnym terminie 30 dni od dnia wpłynięcia wniosku;
   3. odpowiedź musi zostać sporządzona w prostym i zrozumiałym języku. Odpowiedź musi zawierać informację czy wniosek został uwzględniony, a w przypadku odmowy usunięcia Danych musi zawierać uzasadnienie odmowy i wskazanie podstawy prawnej konieczności dalszego przetwarzania;
   4. odnotowuje fakt dokonania sprostowania bądź przesłania informacji o odmowie sprostowania wraz z kopią wniosku i udzielonej odpowiedzi wskazując datę oraz formę odpowiedzi.

8.5. Prawo do ograniczenia przetwarzania

1. Osoba, której dane dotyczą ma prawo, aby jej Dane osobowe były przetwarzane w najmniejszym możliwym zakresie, biorąc pod uwagę cel, w jakim zostały zebrane. Cel ten musi być więc jasno zdefiniowany i nie może być określony w sposób abstrakcyjny. W przypadku, gdy Administrator zamierza przetwarzać Dane w innym celu niż zostały one zebrane, musi uzyskać zgodę Osoby, której dane dotyczą (chyba że istnieje inna podstawa przetwarzania) i ją o tym fakcie poinformować zgodnie z wytycznymi zawartymi w punkcie 9.1. Polityki.
2. KDK Sp. z o.o. przechowuje Dane osobowe w takiej formie i w taki sposób, aby w każdej chwili można było zidentyfikować osobę i jej dane. KDK Sp. z o.o. przetwarza Dane przez okres nie dłuższy, niż jest to niezbędne do celów, dla jakich Dane zostały zebrane. KDK Sp. z o.o. określiła terminy retencji Danych w Rejestrze czynności przetwarzania.
3. Osobą odpowiedzialną za prawidłową realizację wniosku o ograniczenie przetwarzania w KDK Sp. z o.o. jest Koordynator.
4. W przypadku skorzystania przez osobę, której Dane są przetwarzane przez KDK Sp. z o.o. z prawa do ograniczenia, Koordynator:
   1. weryfikuje, czy podane Dane dostatecznie identyfikują osobę;
   2. jest odpowiedzialny za przygotowanie odpowiedzi w nieprzekraczalnym terminie 30 dni od dnia wpłynięcia wniosku;
   3. odpowiedź musi zostać sporządzona w prostym i zrozumiałym języku. Odpowiedź musi zawierać informację czy wniosek został uwzględniony, a w przypadku odmowy ograniczenia przetwarzania musi zawierać uzasadnienie odmowy i wskazanie podstawy prawnej konieczności dalszego przetwarzania;
   4. odnotowuje fakt dokonania ograniczenia bądź przesłania informacji o odmowie ograniczenia wraz z kopią wniosku i udzielonej odpowiedzi wskazując datę oraz formę odpowiedzi.

8.6. Prawo do wniesienia sprzeciwu wobec Przetwarzania Danych

1. Osoba, której dane dotyczą przetwarzane są przez KDK Sp. z o.o. ma prawo w dowolnym momencie wnieść sprzeciw, z przyczyn związanych z jej szczególną sytuacją, wobec przetwarzania opartego na prawnie uzasadnionym interesie realizowanym przez Administratora. W razie uzasadnionego sprzeciwu Administrator musi zaprzestać dalszego przetwarzania na tej podstawie prawnej.
2. Osobą odpowiedzialną za prawidłową realizację sprzeciwu w spółce KDK Sp. z o.o. jest Koordynator ds. ochrony danych osobowych.
3. W przypadku skorzystania przez osobę, której Dane są przetwarzane przez KDK Sp. z o.o. z prawa do wniesienia sprzeciwu, Koordynator:
   1. weryfikuje, czy podane Dane dostatecznie identyfikują osobę;
   2. jest odpowiedzialny za przygotowanie odpowiedzi w nieprzekraczalnym terminie 30 dni od dnia wpłynięcia sprzeciwu;
   3. odpowiedź musi zostać sporządzona w prostym i zrozumiałym języku. Odpowiedź musi zawierać informację czy sprzeciw został uwzględniony a w przypadku odmowy realizacji sprzeciwu, odpowiedź musi zawierać uzasadnienie odmowy i wskazanie podstawy prawnej dalszego Przetwarzania. Odpowiedź powinna także zawierać wskazanie konsekwencji zrealizowania sprzeciwu tj. konieczności wykasowania Danych co uniemożliwi dalsze Przetwarzanie i np.: otrzymywanie ofert specjalnych;
   4. odnotowuje fakt wykonania sprzeciwu bądź przesłania informacji o odmowie wykonania sprzeciwu wraz z kopią sprzeciwu i udzielonej odpowiedzi wskazując datę oraz formę odpowiedzi.

8.7. Prawo do przenoszenia Danych

1. KDK Sp. z o.o. gwarantuje możliwość realizacji prawa do przeniesienia Danych na wniosek Osoby, której dane dotyczą.
2. Osobą odpowiedzialną za prawidłową realizację prawa do przeniesienia Danych w KDK Sp. z o.o. jest Koordynator.
3. W przypadku skorzystania przez Osobę, której dane są przetwarzane przez KDK Sp. z o.o. z prawa do przeniesienia Danych, IOD/Koordynator:
   1. weryfikuje, czy podane Dane dostatecznie identyfikują osobę;
   2. jest odpowiedzialny za przygotowanie odpowiedzi w nieprzekraczalnym terminie 30 dni od dnia wpłynięcia wniosku;
   3. odpowiedź musi zostać sporządzona w prostym i zrozumiałym języku. Odpowiedź musi zawierać przekazywane Dane w formie np.: płyta CD, e-mail, stosując przy tym wszelkie niezbędne środki bezpieczeństwa np. szyfrowanie. W przypadku odmowy realizacji wniosku, odpowiedź musi zawierać uzasadnienie odmowy;
   4. odnotowuje fakt wykonania wniosku bądź przesłania informacji o odmowie realizacji prawa wraz z kopią wniosku i udzielonej odpowiedzi wskazując datę oraz formę odpowiedzi.

9. Dostęp do Danych osobowych i rejestr czynności przetwarzania

1. Dostęp do Danych osobowych mają jedynie osoby upoważnione. Osobą odpowiedzialną za nadawanie i cofanie upoważnień w KDK Sp. z o.o. jest każdy z członków Zarządu spółki.
2. Osoba upoważniona zobowiązana jest do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. Obowiązek ten istnieje także po ustaniu zatrudnienia. Stosowny zapis o przyjęciu zobowiązania do zachowania w tajemnicy przetwarzanych danych osobowych zawiera upoważnienie do przetwarzania danych.
3. W celu ewidencjonowania procesów Przetwarzania Danych Koordynator prowadzi w postaci elektronicznej rejestr czynności przetwarzania.

10. Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przy Przetwarzaniu Danych osobowych

W celu zapewnienia poufności, integralności oraz rozliczalności Danych osobowych w KDK Sp. z o.o. wdrożone zostały odpowiednie środki techniczne oraz organizacyjne. Służą one w szczególności do zabezpieczania Danych przed ich udostępnieniem osobom nieupoważnionym, przejęciem przez osoby nieuprawnione, przetwarzaniem z naruszeniem obowiązujących przepisów oraz zmianą, utratą, uszkodzeniem lub zniszczeniem Danych.

1. Środki techniczne:
   1. Szafy zamykane na klucz
   2. Zamykane na klucz pokoje
   3. Przechowywanie kluczy w oznaczonym miejscu
   4. Hasła w nośnikach z dostępem do Danych
   5. Programy antywirusowe
   6. Firewall
   7. Całodobowa recepcja w budynku
2. Środki organizacyjne:
   1. Zasada czystego biurka
   2. Zasada poufności rozmów
   3. Zasada ograniczonego zaufania
   4. Zasada czystej drukarki
   5. Okresowa weryfikacja posiadanych zasobów pod kątem obowiązku archiwizacji dokumentów zawierających Dane osobowe
   6. Polityka niszczenia dokumentów oraz elektronicznych nośników zawierających Dane osobowe
   7. Zasady pracy zdalnej
3. Polityka niszczenia dokumentów i elektronicznych nośników zawierających dane osobowe:
   1. Zasady niszczenia dokumentów opisane w niniejszej Polityce powinny być stosowane do wszelkiego rodzaju dokumentów, które zawierają Dane osobowe. Usuwanie Danych osobowych odbywa się z poszanowaniem zasad RODO. Osoby upoważnione obowiązane są do niszczenia dokumentów i innych nośników zawierających Dane osobowe wyłącznie w przeznaczonych do tego urządzeniach niszczących lub poprzez przekazanie wyspecjalizowanemu podmiotowi zewnętrznemu na podstawie umowy powierzenia Przetwarzania Danych osobowych.
4. Przechowywanie dokumentów i elektronicznych nośników zawierających Dane osobowe:
   1. Przetwarzanie Danych osobowych, w tym ich przechowywanie, odbywa się co do zasady wyłącznie w siedzibie KDK Sp. z o.o., z zastrzeżeniem korzystania przez upoważnionych pracowników ze służbowego sprzętu (telefonu komórkowego i laptopa) poza siedzibą.
   2. Nośniki zawierające Dane osobowe, w tym dokumentacja papierowa, przechowywane są po godzinach pracy w szafach/pomieszczeniach zamykanych na klucz. Pomieszczenia i szafy, o których mowa powyżej, zamykane są na klucz w każdym przypadku opuszczania danego pomieszczenia przez osobę uprawnioną do Przetwarzania Danych osobowych.
   3. Klucze do szaf służących przechowywaniu nośników Danych osobowych są składowane w sposób uniemożliwiający dostęp do tych kluczy przez osoby nieupoważnione do Przetwarzania Danych osobowych.
   4. Klucze do pomieszczeń, w których przetwarzane są Dane osobowe, przechowywane są po godzinach pracy pod wyłączną kuratelą osoby upoważnionej, a kopia zapasowa znajduje się u Administratora.
5. Zasada czystego biurka, ekranu i zasada czystej drukarki:
   1. Na stanowisku pracy znajdują się wyłącznie dokumenty wykorzystywane w realizacji bieżącego zadania.
   2. Po zakończeniu zadania oraz po godzinach pracy, dokumenty zawierające Dane osobowe są umieszczane w zamykanych na klucz szafach/pomieszczeniach.
   3. Pracownicy korzystający ze wspólnych urządzeń drukujących powinni drukować dokumenty stanowiące nośniki Danych osobowych w mniejszych partiach, nie zostawiając ich po wydruku na podajniku urządzenia drukującego.
   4. Każdy komputer ma ustawiony automatyczny wygaszacz ekranu, który po upłynięciu krótkiego czasu bezczynności blokuje dostęp do Danych. Wznowienie pracy następuje po wpisaniu hasła.
6. Uwierzytelnianie użytkowników w Systemie informatycznym:
   1. Po otrzymaniu pierwotnego hasła dostępu, użytkownik jest zobowiązany do jego zmiany niezwłocznie po zalogowaniu się do Systemu informatycznego.
   2. Login i hasło przypisane do użytkownika mogą być używane wyłącznie przez niego, a ich przekazywanie innym osobom jest zabronione.
   3. Systemy informatyczne umożliwiają przekierowanie dostępu do innych użytkowników, zapewniając tym samym rozliczalność Przetwarzania Danych osobowych.
7. Rozpoczęcie, zawieszenie i zakończenie pracy z Systemem informatycznym:
   1. Przystąpienie do pracy z Systemem informatycznym polega na uruchomieniu stacji roboczej i zalogowaniu się za pomocą identyfikatora i hasła.
   2. Po zakończeniu pracy, użytkownik powinien zamknąć wszystkie uruchomione aplikacje i przeprowadzić operację wylogowania.
   3. Monitory urządzeń służących do Przetwarzania Danych osobowych znajdujące się w pomieszczeniach dostępnych dla osób nieupoważnionych, powinny być ustawione w taki sposób, by uniemożliwić dostęp do wyświetlanych Danych osobowych.
   4. Dane osobowe przetwarzane w Systemie informatycznym powinny być przechowywane na nośnikach sieciowych (serwer), minimalizując przechowywanie ich na nośnikach lokalnych (np. dysk twardy stacji roboczej).
8. Bezpieczne użytkowanie poczty elektronicznej:
   1. Nie otwierać załączników, których źródła nie zna.
   2. Szyfrować pliki, które wysyła, przy czym hasło do nich powinno być przekazywane innym kanałem komunikacji (np. SMS).
   3. Zawsze upewniać się, że wybrany został właściwy adresat korespondencji.
   4. Poza siedzibą spółki korzystać z bezpiecznych sieci Wi-Fi.
   5. Nie ściągać i nie korzystać z nielicencjonowanego oprogramowania.
   6. Unikać korzystania z funkcji podpowiedzi adresu e-mail odbiorcy.
   7. Nie zapisywać danych uwierzytelniających w przeglądarkach internetowych (funkcja „zapamiętaj mnie”).
   8. Do celów służbowych wykorzystywać wyłącznie służbową skrzynkę pocztową.
   9. Nie korzystać z prywatnych kont do komunikacji służbowej (np. nie przesyłać danych przez Messenger czy prywatną pocztę).
9. Zasady wykonywania pracy zdalnej:
   1. Zasady dotyczące wykonywania pracy zdalnej stanowią załącznik nr 1 do niniejszej Polityki.

11. Powierzenie Przetwarzania Danych osobowych

1. KDK Sp. z o.o. realizując Politykę dopuszcza, by dane osobowe, których jest administratorem, były przetwarzane poza własnymi strukturami organizacyjnymi. Może to się odbywać wyłącznie na drodze powierzenia danych, w określonym celu i zakresie, podmiotowi przetwarzającemu na mocy umowy powierzenia przetwarzania danych osobowych lub innego instrumentu prawnego.
2. Zawierana przez KDK Sp. z o.o. umowa powierzenia przetwarzania danych osobowych musi być zgodna z postanowieniami art. 28 RODO i w szczególności określać:
   1. Przedmiot powierzenia
   2. Czas trwania powierzenia
   3. Charakter i cel przetwarzania
   4. Rodzaj powierzanych danych osobowych
   5. Kategorie osób, których dane dotyczą
   6. Warunki powierzenia przetwarzania danych
   7. Obowiązki i prawa Administratora Danych
   8. Obowiązki podmiotu przetwarzającego
3. Umowa powierzenia może zostać zawarta w formie pisemnej, w tym elektronicznej.
4. W przypadku, gdy elementy powierzenia przetwarzania danych wskazane w punkcie 2 znajdują się już w zawartej z danym podmiotem umowie, nie ma konieczności sporządzania dodatkowej umowy powierzenia przetwarzania danych osobowych.
5. Przed planowanym rozpoczęciem współpracy z podmiotem przetwarzającym, treść umowy należy skonsultować z Koordynatorem ds. ochrony danych osobowych.
6. Dokonanie powierzenia danych osobowych musi zostać obligatoryjnie odnotowane w rejestrze czynności przetwarzania danych osobowych.
7. KDK Sp. z o.o. ma prawo kontroli podmiotów przetwarzających, którym powierzył przetwarzanie danych osobowych.
8. KDK Sp. z o.o. w zakresie prowadzonej przez siebie działalności może przetwarzać również dane osobowe powierzone przez podmioty, na rzecz których świadczy usługi. Przyjęcie danych w powierzenie przez Administratora Danych musi zostać obligatoryjnie odnotowane w rejestrze kategorii czynności przetwarzania danych osobowych.

12. Reagowanie na Incydenty

1. Pracownicy zobowiązani są do zgłaszania zauważonych Incydentów lub niepożądanych zdarzeń związanych z bezpieczeństwem Przetwarzania Danych osobowych do Koordynatora.
2. Jeżeli istnieje taka możliwość, osoba zgłaszająca Incydent winna podjąć czynności zmierzające do wyeliminowania Incydentu lub ograniczenia jego skutków.
3. Koordynator po otrzymaniu informacji o Incydencie, weryfikuje, czy Incydent dotyczył bezpieczeństwa Danych osobowych. Rozważa wstrzymanie bieżącej pracy w celu zabezpieczenia miejsca zdarzenia oraz zaniecha (jeśli to jest możliwe) dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić udokumentowanie i analizę wykrytego Incydentu.
4. Koordynator, w przypadku uznania, że Incydent mógł dotyczyć Danych osobowych, dokonuje analizy, czy Incydent doprowadził do Naruszenia Ochrony Danych Osobowych. Każdy Pracownik, na wniosek Koordynatora, jest zobowiązany do udzielenia wsparcia Koordynatorowi w dokonywaniu odpowiedniej analizy Incydentu.
5. W przypadku stwierdzenia, że doszło do Naruszenia Ochrony Danych Osobowych, Koordynator wraz z wyznaczonymi przez siebie Pracownikami lub podmiotem zewnętrznym (np. kancelarią prawną) ocenia, czy jest prawdopodobne, aby Naruszenie Ochrony Danych Osobowych skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
6. Jeśli istnieje prawdopodobieństwo, że Naruszenie Ochrony Danych Osobowych skutkuje ryzykiem, o którym mowa w pkt 12.5, Koordynator dokonuje zgłoszenia Naruszenia Ochrony Danych Osobowych Organowi nadzorczemu w ciągu 72 godzin od jego wykrycia. Zgłoszenie powinno zawierać:
   1. Opis charakteru Naruszenia Ochrony Danych Osobowych, wraz ze wskazaniem (w miarę możliwości) kategorii i przybliżonej liczby Osób, których dane dotyczą, kategorii i przybliżonej liczby wpisów Danych osobowych, których dotyczy Naruszenie;
   2. Imię i nazwisko oraz dane kontaktowe Koordynatora;
   3. Opis możliwych konsekwencji Naruszenia Ochrony Danych Osobowych;
   4. Opis środków zastosowanych lub proponowanych dla zaradzenia Naruszeniu Ochrony Danych Osobowych, w tym (gdy to właściwe) dla zminimalizowania negatywnych skutków Naruszenia.
7. Jeżeli zgłoszenie przekazane zostanie po 72 godzinach od wykrycia naruszenia, należy do niego dołączyć wyjaśnienie przyczyn opóźnienia.
8. W przypadku Naruszenia, które wymagało dokonania Zgłoszenia Organowi nadzorczemu, Koordynator dokonuje dodatkowej analizy, czy Naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności Osoby, której dane dotyczą. W przypadku, gdy naruszenie Danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Koordynator bez zbędnej zwłoki zawiadamia Osobę, której dane dotyczą o takim naruszeniu. Zawiadomienie, w formie elektronicznej, jasnym i prostym językiem powinno opisywać charakter Naruszenia Ochrony Danych Osobowych oraz zawierać:
   1. Dane kontaktowe Administratora;
   2. Opis możliwych konsekwencji Naruszenia Ochrony Danych Osobowych;
   3. Opis środków zastosowanych lub proponowanych przez KDK Sp. z o.o. w celu zaradzenia Naruszeniu Ochrony Danych Osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
9. Koordynator dokumentuje wszelkie Naruszenia Ochrony Danych Osobowych, w tym okoliczności Naruszenia Ochrony Danych Osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja potwierdza, że w przypadku Incydentów zostały podjęte adekwatne działania zaradcze.

13. Ocena Skutków dla Ochrony Danych Osobowych (OSOD)

1. Przed rozpoczęciem nowego procesu biznesowego, w ramach którego będą przetwarzane Dane osobowe, każdy Pracownik odpowiedzialny za wdrożenie procesu jest zobowiązany zwrócić się do Koordynatora o ocenę, czy proces wymaga przeprowadzenia Oceny Skutków dla Ochrony Danych Osobowych (OSOD).
2. Koordynator może wykonać lub zlecić wykonanie OSOD. OSOD jest dokonywana, jeżeli dany rodzaj Przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Wykaz operacji przetwarzania, dla których obowiązkowe jest wykonanie OSOD, został wskazany przez Prezesa Urzędu Ochrony Danych Osobowych i opublikowany w Monitorze Polskim pod linkiem: https://uodo.gov.pl/424.
3. Na wniosek Koordynatora każdy Pracownik KDK Sp. z o.o. może zostać zaangażowany w proces OSOD, jeśli na podstawie jego wiedzy, kompetencji lub umiejętności, realizacja powyższego działania może zostać osiągnięta w sposób efektywny i skuteczny. O możliwości włączenia danego Pracownika do przedmiotowego procesu decyduje Koordynator po uzyskaniu zgody jego bezpośredniego przełożonego.
4. OSOD może zostać przeprowadzona we współpracy z podmiotem zewnętrznym, który posiada do tego celu niezbędną wiedzę i kompetencje, przy czym OSOD może zostać dokonana przez taki podmiot całościowo lub częściowo. Przeprowadzenie procesu OSOD, jeśli zaistnieje taka potrzeba, może zostać wsparta informacjami uzyskanymi od zewnętrznych ekspertów w danych dziedzinach w celu zapewnienia przez KDK Sp. z o.o. dokonania OSOD w sposób pełny i rzetelny.

14. Audyty

1. KDK Sp. z o.o. przewiduje możliwość przeprowadzania audytów stanu ochrony Danych osobowych przez Koordynatora lub przez podmiot zewnętrzny.
2. Plan audytu jest przygotowywany nie później niż na miesiąc przed planowanym terminem audytu. Plan audytu obejmuje co najmniej jeden proces lub zbiór danych.
3. Po zakończeniu audytu Koordynator lub podmiot zewnętrzny przygotowuje raport i przekazuje go Zarządowi KDK Sp. z o.o.

15. Postanowienia końcowe

1. Niniejsza Polityka wchodzi w życie z dniem podpisania jej przez Zarząd.
2. W zakresie nieuregulowanym w niniejszej Polityce, zastosowanie znajdują przepisy powszechnie obowiązującego prawa.