Polityka Ochrony Danych Osobowych
Obowiązująca w Talkersi.pl Sp. z o.o. z siedzibą w Gdyni
For English version of The Personal Data Protection Policy click here.
§ 1 Postanowienia ogólne
- Niniejsza Polityka Ochrony Danych Osobowych jest zbiorem zasad i procedur obowiązujących przy
przetwarzaniu i wykorzystywaniu danych osobowych we wszystkich zbiorach danych osobowych
administrowanych przez Talkersi.pl Sp. z o.o. z siedzibą w Gdyni, przy ul. Myśliwskiej 20B/5,
wpisanej do rejestru przedsiębiorców, prowadzonego przez Sąd Rejonowy Gdańsk – Północ
w Gdańsku, VIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS:
0000544763, posiadającą NIP: 5862294976, REGON: 360825279, zwaną dalej: „Talkersi.pl”. - Podstawą do opracowania i wdrożenia dokumentu jest:
a. ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia
2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych
i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
(ogólne rozporządzenie o ochronie danych);
b. Ustawa o ochronie danych osobowych z dnia 10 maja 2018 r. o ochronie danych osobowych; - Przetwarzanie danych osobowych w Talkersi.pl jest dopuszczalne wyłącznie pod warunkiem
przestrzegania ustawy o ochronie danych osobowych, RODO i wydanych na ich podstawie
przepisów wykonawczych. - Polityka Ochrony Danych Osobowych ma zastosowanie do ochrony zbiorów danych osobowych
przetwarzanych w celu ich bezpiecznego wykorzystania oraz określa zasady korzystania z
systemów informatycznych.
§ 2 Definicje
Określenia i skróty użyte w Polityce Ochrony Danych Osobowych oznaczają:
- RODO – ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27
kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych
osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
(ogólne rozporządzenie o ochronie danych); - Podmiot – Talkersi.pl Sp. z o.o.;
- Administrator Danych Osobowych – Talkersi.pl Sp. z o.o. zwany dalej „ADO”;
- system informatyczny – zespół środków technicznych (urządzenia komputerowe, drukujące,
łączności, oprogramowanie), zespół zabezpieczeń środków technicznych, sieć informatyczna
i udostępniane przez nią zasoby; - bezpieczeństwo systemu informatycznego – wdrożenie środków organizacyjnych i technicznych
w celu zabezpieczenia oraz ochrony danych osobowych przed ich udostępnieniem osobom
nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem
przepisów oraz nieuprawnioną zmianą, utratą, uszkodzeniem lub zniszczeniem danych; - zbiór danych osobowych – dane osobowe zgromadzone w usystematyzowany sposób, pozwalający
na łatwe dotarcie do konkretnej informacji; - przetwarzanie danych osobowych – wykonywanie operacji na danych osobowych, takich jak:
zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i ich
usuwanie, niezależnie od formy, w jakiej wykonywane są te czynności; - osoba upoważniona lub użytkownik systemu – osobę posiadającą upoważnienie wydane przez
ADO lub uprawnioną przez niego osobę i dopuszczoną jako użytkownik do przetwarzania danych
osobowych w systemie informatycznym w zakresie wskazanym w upoważnieniu, zwaną dalej
„użytkownikiem”; - osoby zatrudnione przy przetwarzaniu danych osobowych – wszystkie osoby, w tym użytkowników
systemu informatycznego, mające dostęp do danych osobowych.
§ 3 Obszar przetwarzania danych osobowych
- Obszar przetwarzania danych osobowych w Podmiocie obejmuje budynek, pomieszczenia i części
pomieszczeń, w których przetwarzane są dane osobowe (miejsca, w których wykonuje się
operacje na danych osobowych, tj. wpisuje, zmienia, kopiuje), oraz miejsca, gdzie przechowuje się
nośniki informacji zawierające dane osobowe (szafy z dokumentacją papierową, szafy zawierające
elektroniczne nośniki informacji, pomieszczenia, w których składowane są uszkodzone nośniki
danych); - Obszar przetwarzania danych osobowych określony jest w „Wykazie pomieszczeń, w których
przetwarzane są dane osobowe”, stanowiącym załącznik nr 1 do Polityki Ochrony Danych
Osobowych. Wykaz ten prowadzony jest przez wyznaczonego w Talkersi.pl pracownika i zawiera
następujące informacje:
a. lokalizację budynku;
b. określenie pracownika/działu /stanowiska w Podmiocie użytkującego dane pomieszczenie;
c. wskazanie maksymalnej liczby osób pracujących w pomieszczeniu;
d. określenie zabezpieczeń pomieszczenia. - Obszar przetwarzania danych oraz warunki ochrony tego obszaru określone zostały w załączniku nr
2 do Polityki Ochrony Danych Osobowych „Zasady ochrony pomieszczeń, w których przetwarzane
są dane osobowe”.
§ 4 Wykaz zbiorów danych przetwarzanych w Podmiocie i programów zastosowanych do przetwarzania danych
- Wykaz zbiorów danych przetwarzanych w Podmiocie określony został w załączniku nr 3 do Polityki
Ochrony Danych Osobowych – „Wykaz zasobów danych osobowych i systemów ich przetwarzania”.
Wykaz ten zawiera następujące informacje:
a. nazwę zbioru danych;
b. określenie systemu przetwarzania danych osobowych;
c. lokalizację miejsca przetwarzania danych osobowych;
d. stosowane przy przetwarzaniu danych osobowych oprogramowanie;
e. precyzyjny zakres danych osobowych w systemie, - Szczegółowe informacje dotyczące stosowanego sprzętu oraz oprogramowania danego systemu
informatycznego są zawarte w paragrafach odnoszących się do instrukcji zarządzania systemem
informatycznym.
§ 5 Opis struktury zbiorów danych i sposób przepływu danych pomiędzy poszczególnymi systemami
- Przetwarzanie danych osobowych odbywa się na serwerze i na stacjach roboczych użytkowników.
- Główne serwery znajdują się pod adresem: Talkersi.pl Sp. z o.o. przy ul. 10 lutego 27/3, 81-364
Gdynia. - W ramach procesów przetwarzania danych może dochodzić do przepływu danych pomiędzy
różnymi systemami informatycznymi. Informacje na temat przepływu danych pomiędzy różnymi
systemami informatycznymi znajdują się w „Wykazie zasobów danych osobowych i systemów ich
przetwarzania”, o którym mowa w § 4 ust. 1”.
§ 6 Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzania danych osobowych
W systemie informatycznym obowiązują narzucone przez ADO zabezpieczenia. Szczegółowe
omówienie środków zabezpieczenia technicznego i organizacyjnego znajduje się w paragrafach
odnoszących się do instrukcji zarządzania systemem informatycznym.
§ 7 Zadania Administratora Danych Osobowych
Do obowiązków ADO należą w szczególności:
- obowiązek informacyjny wobec osoby, której dane dotyczą;
- dochowanie szczególnej staranności przy przetwarzaniu danych osobowych w celu ochrony
interesów osób, których dane dotyczą; - udzielanie, w określonych terminach, informacji o celu i zakresie przetwarzanych danych
osobowych; - uzupełnianie, uaktualnienie, sprostowanie danych, czasowego lub stałego wstrzymania
przetwarzania kwestionowanych danych lub ich usunięcie ze zbioru, przeniesienie danych gdy
zażąda tego osoba, której dane są przetwarzane przez ADO; - stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych
danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną; - kontrola wprowadzania danych do zbioru i przekazywania danych;
- prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych;
- prowadzenie rejestru czynności przetwarzania danych osobowych (zgodnie z art. 30 RODO);
- kontrola zastosowanych środków technicznych i organizacyjnych w stosunku do zakresu
przetwarzanych danych; - kontrola zmian przepisów prawnych odnoszących się do zakresu działalności Podmiotu;
- zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
a. informowanie organu nadzorczego o podejrzeniu naruszeń;
b. sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych
osobowych;
c. nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania
danych osobowych i środki zapewniające ochronę przetwarzanych danych osobowych oraz
przestrzegania zasad w niej określonych;
d. zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych
z przepisami o ochronie danych osobowych.§ 8
§ 8 Uzyskiwanie danych osobowych
Dane osobowe przetwarzane w Podmiocie mogą być uzyskiwane bezpośrednio od osób, których te
dane dotyczą, lub z innych źródeł, w granicach dozwolonych przepisami prawa.
§ 9 Wykorzystanie danych osobowych
- Zebrane dane osobowe mogą być wykorzystane wyłącznie do celów, dla jakich były, są lub będą
zbierane i przetwarzane. Po wykorzystaniu dane osobowe powinny być usunięte lub
przechowywane w formie uniemożliwiającej identyfikację osób, których dotyczą. - W przypadku konieczności udostępnienia dokumentów i danych, wśród których znajdują się dane
osobowe niemające bezpośredniego związku z celem udostępnienia, należy bezwzględnie
dokonać anonimizacji tych danych osobowych. - Na żądanie osoby której dane są przetwarzane, ADO dokonuje przeniesienia danych.
§ 10 Obowiązek uzupełniania danych osobowych
W przypadku, gdy dane osobowe są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane
z naruszeniem obowiązujących przepisów albo są zbędne do realizacji celu, dla którego zostały
zebrane, ADO jest zobowiązany do ich uzupełnienia, uaktualnienia, sprostowania, usunięcia lub
anonimizacji.
§ 11 Obowiązek informacyjny, odpowiedzialność pracowników
- Pracownicy Podmiotu są odpowiedzialni za poinformowanie osób, których dane osobowe
przetwarzają, o:
a. adresie rejestrowym i korespondencyjnym ADO;
b. celu zbierania danych;
c. dobrowolności lub o podstawie prawnej przetwarzania danych;
d. prawnie uzasadnionym interesie realizowanym przez administratora lub przez stronę trzecią –
jeżeli przetwarzanie odbywa się na podstawie prawnie usprawiedliwionego interesu ADO;
e. odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f. transferze danych do państwa trzeciego;
g. okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, o
kryteriach ustalania tego okresu;
h. prawie do:
– żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane
dotyczą,
– ich sprostowania, usunięcia lub ograniczenia przetwarzania;
– wniesienia sprzeciwu wobec przetwarzania;
– przenoszenia danych;
i. prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem
przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem jeżeli
przetwarzanie odbywa się na podstawie zgody na przetwarzanie danych zwykłych (art. 6 ust. 1
lit. a) RODO) lub szczególnej kategorii (art. 9 ust. 2 lit. a) RODO);
j. prawie wniesienia skargi do organu nadzorczego;
k. informacji, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub
warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich
podania i jakie są ewentualne konsekwencje niepodania danych;
l. informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym
mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje
o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego
przetwarzania dla osoby, której dane dotyczą. - W przypadku zbierania danych osobowych nie bezpośrednio od osoby, której one dotyczą, osobę
tę należy dodatkowo poinformować o źródle pochodzenia danych osobowych, a jeżeli ma to
zastosowanie, o pochodzeniu ich ze źródeł powszechnie dostępnych oraz kategoriach odnośnych
danych osobowych. O ile to możliwe w przypadku pozyskiwaniu tych danych innych osób od
pracownika Talkersi.pl, jest on zobowiązany w każdym przypadku przekazać Talkersi.pl
potwierdzenie zapoznania tej osoby z ww. informacjami wraz z pisemną zgodą tej osoby na przetwarzanie jej danych, jeśli jest wymagana. W innym przypadku Talkersi.pl odmówi przyjęcia takich danych.
- Wzór formularza stosowanego dla spełnienia obowiązków, o których mowa w ust. 1 i 2, stanowi
załącznik nr 4 do Polityki Ochrony Danych Osobowych.
§ 12 Zgoda na przetwarzanie danych osobowych
Materiały dotyczące innej niż główna działalności Talkersi.pl mogą być wysyłane tylko do tych osób,
które wcześniej wyraziły zgodę na przetwarzanie ich danych osobowych w tym celu.
§ 13 Dane osobowe w procesie rekrutacji oraz w procesach kadrowych
- Talkersi.pl jest administratorem danych osobowych osób fizycznych gromadzonych w procesach
rekrutacji oraz w związku z zatrudnieniem osób fizycznych. - W ogłoszeniach o pracę Talkersi.pl zamieszcza klauzulę informacyjną dla kandydatów o brzmieniu
wskazanym w załączniku nr 5 dni niniejszej Polityki Ochrony Danych Osobowych. Każde takie
ogłoszenie jest drukowane, celem wykazania spełnienia obowiązku informacyjnego. - W procesie rekrutacji Talkersi.pl zbiera takie dane, jak: imię, nazwisko, adres zamieszkania (ulica,
numer, kod pocztowy, miejscowość, województwo), numer telefonu, adres email, data urodzenia,
doświadczenie zawodowe, zainteresowania. - Kandydaci do pracy w Talkersi.pl w procesie rekrutacji są zobowiązani podpisać (bądź
zaakceptować) zgodę na przetwarzanie ich danych osobowych oraz potwierdzić otrzymanie ADO
informacji dotyczących przetwarzania ich danych osobowych na załączniku nr 5 do niniejszej
Polityki Ochrony Danych Osobowych. Dokument zgody wraz z oświadczeniem jest włączany do akt
osobowych pracownika. Wzór formularza zgody stanowi załącznik nr 6 do niniejszej Polityki
Ochrony Danych Osobowych. - Ilekroć pracownik przekazuje Talkersi.pl dane innej osoby jako kandydata do pracy, Talkersi.pl
uzyskuje za pośrednictwem tego pracownika zgodę tej osoby na przetwarzanie danych wraz
z potwierdzeniem otrzymania wszelkich informacji w ramach ciążącego na Talkersi.pl obowiązku
informacyjnego (wg wzoru stanowiącego załącznik nr 4). Przekazanie wraz z CV podpisanego przez
kandydata oświadczenia jest warunkiem przyjęcia takiej kandydatury od pracownika. - Zbiór danych rekrutacyjnych istnieje na serwerze pocztowym i w historii korespondencji e – mail
osoby upoważnionej do prowadzenia rekrutacji, a także – wyłącznie w odniesieniu do
kandydatów, z którymi przeprowadzana jest rozmowa kwalifikacyjna – w formie papierowej (CV
drukuje wyłącznie HR, COO, Rekruter lub osoba odpowiedzialna za wdrożenie nowego
pracownika. - Osoby, które otrzymały CV za pośrednictwem serwera pocztowego w ramach danego procesu
rekrutacji, o ile dane CV nie zostanie usunięte bez dalszego przetwarzania z uwagi na wstępną
eliminację, oznaczają wszelką korespondencję otrzymaną od kandydata flagą monitorującą o
nazwie: „dane osobowe rekrutacja” lub korespondencje pochodzącą od lub przesłaną do
wiadomości na dedykowany do rekrutacji adres e – mail. Nie rzadziej niż raz na 3 miesiące osoby
upoważnione do brania udziału w procesie rekrutacji dokonują przeglądu korespondencji e – mail
i usuwają oflagowaną korespondencję e – mail zawierającą CV danej osoby oraz inną
korespondencję zawierającą jej dane. Wydrukowane CV kandydatów, którzy nie zostali zatrudnieni
w trakcie danej rekrutacji są niszczone po zakończeniu rekrutacji, chyba, że z kandydat wyraził
zgodę na wykorzystanie jego CV w przyszłych rekrutacjach. Na skrzynce pocztowej e – mail
dedykowanej do procesu rekrutacji archiwizowana jest wszelka korespondencja związana z
rekrutacją, w tym dane osobowe kandydatów, w celu obrony przed ewentualnymi roszczeniami
osób trzecich, w szczególności w zakresie dyskryminacji w zatrudnieniu. Dostęp do skrzynki
pocztowej, o której mowa w zdaniu poprzednim, ma wyłącznie HR i Zarząd ADO. - ADO jako Pracodawca przetwarza następujące dane pracowników: imię, nazwisko, adres
zamieszkania (ulica, numer, kod pocztowy, miejscowość, województwo), numer telefonu, adres
email, data urodzenia, doświadczenie zawodowe (potwierdzone świadectwami pracy –
kserokopia), wykształcenie (potwierdzone dyplomem ukończenia – kserokopia), zainteresowania
(w CV), informacje o stanie zdrowia (zaświadczenie lekarskie), numer konta bankowego,
informacje o odbytym szkoleniu BHP, PESEL, NIP, informacje o dzieciach (imiona,
numery PESEL), listy płac, wnioski o podwyżki, wnioski o urlop, zaświadczenia L4, listy obecności. - Przy zawarciu umowy o pracę Talkersi.pl informuje pracownika na piśmie o celach zbierania
powyższych danych oraz przekazuje inne wymagane informacje w formie pisemnej, zgodnie
z załącznikiem nr 4a, a podpisana przez pracownika klauzula informacyjna włączana jest przez do
akt osobowych pracownika. - Zbiór danych osobowych pracowników istnieje w formie papierowej (akta osobowe), zaś osób
zatrudnionych lub współpracujących z ADO – na serwerze Talkersi.pl przez. - Dane osobowe pracowników są przekazywane:
a. do ZUS, US i innych podmiotów publicznych– w związku z obowiązkami wynikającymi
z przepisów prawa, zgoda nie jest wymagana;
b. firmom szkoleniowym (Talkersi.pl uzyskuje zgodę pracownika);
c. klientom (Talkersi.pl uzyskuje zgodę pracownika); - Dane osobowe obejmujące imię i nazwisko, opis kompetencji i doświadczenia zawodowego
pracownika oraz wizerunek pracownika, a także nagranie wizerunku i głosu pracownika w celu
promocji działań Talkersi.pl, informowania o kadrze pracowników Talkersi.pl oraz osiągnięciach
Pracowników udostępniane są na stronach internetowych:
www.e-korepetycje.net,
www.talkersi.pl,
www.facebook.com/talkersi,
www.facebook.com/wiktor.jodlowski,
www.facebook.com/groups/przelamangielski,
www.instagram.com/realtalkersi,
www.instagram.com/wiktorjodlowski,
w celu promocji działań Talkersi.pl, informowania o kadrze pracowników Talkersi.pl oraz
osiągnięciach Pracowników (Talkersi.pl uzyskuje zgodę pracownika); - Dane pracowników lub współpracowników są przechowywane wyłącznie przez okres zatrudnienia
oraz okres wymagany przez przepisy prawa (w szczególności na potrzeby ustalania obowiązków
podatkowych oraz uprawnień do rent i emerytur). Pomieszczenia archiwum znajdują się w
zamykanym na klucz pomieszczeniu, a dane przekazywane do archiwum są każdorazowo
rejestrowane przez HR. - Przetwarzanie takich danych jak stan zdrowia, sytuacja rodzinna lub innych danych wrażliwych (na
potrzeby wypłaty środków z ZFŚS, na potrzeby ubezpieczeń grupowych, medycyny pracy, do
oceny zdolności pracownika do pracy, zapewnienia opieki zdrowotnej lub zabezpieczenia
społecznego) odbywa się wyłącznie z udziałem HR, zobowiązanego do zachowania tajemnicy, po
uzyskaniu zgody, której wzór stanowi załącznik 7 do niniejszej Polityki Ochrony Danych
Osobowych. Ilekroć pracownik przekazuje Talkersi.pl dane innej osoby, Talkersi.pl uzyskuje za
pośrednictwem tego pracownika zgodę tej osoby na przetwarzanie danych wraz z potwierdzeniem
otrzymania wszelkich informacji w ramach ciążącego na Talkersi.pl obowiązku informacyjnego (wg
wzoru stanowiącego załącznik nr 4).
§ 14 Osoby uprawnione do wglądu do danych osobowych
- ADO udostępnia dane osobowe przetwarzane we własnych zbiorach tylko osobom lub podmiotom
uprawnionym do ich otrzymania na mocy przepisów prawa. - Dane osobowe mogą być udostępniane w następujących przypadkach:
a. na podstawie wniosku od podmiotu uprawnionego do otrzymywania danych osobowych na podstawie przepisów;
b. na podstawie umowy z innym podmiotem, w ramach której istnieje konieczność udostępnienia danych;
c. na podstawie wniosku osoby, której dane dotyczą.
- Wniosek o udostępnienie danych osobowych powinien zawierać informacje umożliwiające
wyszukanie żądanych danych osobowych w zbiorze oraz wskazywać ich zakres i przeznaczenie. - Udostępniając dane osobowe, należy zaznaczyć, że można je wykorzystać wyłącznie zgodnie
z przeznaczeniem, dla którego zostały udostępnione. - W przypadku żądania udzielenia informacji na temat przetwarzanych danych osobowych na
wniosek pochodzący od osoby, której dane dotyczą, odpowiedź na wniosek następuje w terminie
najkrótszym z możliwych, nie dłuższym niż 7 dni od daty jego otrzymania. - Wyznaczony w Talkersi.pl pracownik jest odpowiedzialny za przygotowanie danych osobowych do
udostępnienia w zakresie wskazanym we wniosku.
§ 15 Odmowa udostępnienia danych osobowych
Odmowa udostępnienia danych osobowych następuje wówczas, gdy spowodowałoby to istotne
naruszenia dóbr osobistych osób, których dane dotyczą, lub innych osób oraz jeżeli dane osobowe
nie mają istotnego związku ze wskazanymi we wniosku motywami działania wnioskodawcy.
§ 16 Obowiązek posiadania upoważnienia
- Do przetwarzania danych mogą być dopuszczeni pracownicy Podmiotu posiadający upoważnienie
nadane przez Zarząd. Wzór upoważnienia określa załącznik nr 8 do Polityki Ochrony Danych
Osobowych. - Pracownik Działu Kadr w Talkersi.pl prowadzi ewidencję osób upoważnionych do przetwarzania
danych osobowych. Wzór ewidencji stanowi załącznik nr 9 do Polityki Ochrony Danych
Osobowych. - Upoważnienia otrzymują jedynie pracownicy którzy odbyli szkolenie z zakresu ochrony danych
osobowych oraz procedur stosowanych w Podmiocie.
§ 17 Przechowywanie imiennych upoważnień do przetwarzania danych osobowych
ADO zobowiązany jest do zbierania, ewidencjonowania i przechowywania:
- oświadczeń osób przetwarzających dane osobowe o zachowaniu w tajemnicy danych, z którymi
mają styczność, oraz środkach bezpieczeństwa stosowanych przy przetwarzaniu danych
osobowych; - oświadczeń osób zatrudnianych na podstawie umowy zlecenia, umowy o dzieło lub innej umowy
cywilnej o zachowaniu tajemnicy; - porozumień zawartych z osobami zatrudnionymi przy przetwarzaniu danych osobowych w zakresie
wykorzystania oddanego im do dyspozycji sprzętu informatycznego, oprogramowania oraz
zasobów sieci informatycznej; wzór formularza porozumienia stanowi załącznik nr 10 do Polityki
Ochrony Danych Osobowych.
§ 18 Powierzenie przetwarzania danych osobowych
- Powierzenie przetwarzania danych osobowych odbywa się zgodnie z aktualnie obowiązującymi
przepisami prawnymi na podstawie umowy (zawartej na piśmie lub drogą elektroniczną)
pomiędzy ADO a podmiotem, któremu zleca się czynności związane z przetwarzaniem danych
osobowych. - W projekcie umowy powierzenia przetwarzania danych osobowych należy określić zakres
czynności związanych z przetwarzaniem powierzonych danych osobowych, zakres danych oraz
wymagania dotyczące ochrony danych. - Każda osoba delegowana do wykonywania zadań na rzecz Podmiotu, związanych z powierzeniem
przetwarzania danych osobowych, obowiązana jest podpisać oświadczenie o zachowaniu
w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. Wzór umowy powierzenia
przetwarzania danych stanowi załącznik nr 11 do Polityki Ochrony Danych Osobowych.
§ 19 Obowiązki podmiotu przetwarzającego dane osobowe
- Podmiot przetwarzający dane osobowe jest zobowiązany do zastosowania środków
organizacyjnych i technicznych, zabezpieczających zbiór przed dostępem osób nieupoważnionych
na zasadach określonych w obowiązujących przepisach prawa. - Podmiot, o którym mowa w ust. 1, jest zobowiązany przetwarzać dane osobowe wyłącznie
w zakresie określonym w umowie. - Podmiot przetwarzający dane osobowe ponosi odpowiedzialność za ochronę przetwarzanych
danych osobowych. - Pracownicy decydujący o wyborze podmiotu przetwarzającego kierują się kryteriami
zapewniającymi wybór podmiotów gwarantujących bezpieczeństwo powierzonych danych.
§ 20 Zasady stosowane przy przetwarzaniu danych osobowych
- ADO ustala rozwiązania techniczne i organizacyjne gwarantujące, że dane osobowe są:
a. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane
dotyczą;
b. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej
w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie
publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest
uznawane w myśl art. 89 ust. 1 RODO za niezgodne z pierwotnymi celami („ograniczenie
celu”);
c. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są
przetwarzane („minimalizacja danych”);
d. prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby
dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały
niezwłocznie usunięte lub sprostowane („prawidłowość”);
e. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez
okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane
osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie
do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych
lub do celów statystycznych na mocy art. 89 ust. 1 RODO, z zastrzeżeniem że wdrożone
zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
f. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
- ADO jest odpowiedzialny za przestrzeganie zasad ustalonych w ust. 1 i musi być w stanie wykazać
ich przestrzeganie („rozliczalność”).
§ 21 Podmioty, którym ADO powierzy przetwarzanie danych osobowych
Dane osobowe na podstawie zawartej przez ADO umowy powierzenia przetwarzania danych zostaną
powierzone między innymi następującym podmiotom:
a. Primeon (platforma do zarządzania szkołą – e-dziennik, rozliczenia);
b. Taxxo (platforma do wystawiania faktur);
c. Fresh Mail (platforma do wysyłki maili cyklicznych w ramach kursu LHTL);
d. LINK Mobility Poland (platforma do wysyłki SMS cyklicznych w ramach kursu LHTL);
e. Word Press (platforma wspierająca wysyłkę SMS poprzez LINK Mobility Poland);
f. Autenti (platforma do podpisywania dokumentów przez internet).
g. HubSpot Ireland LTD. (platforma CRM).
§ 22 Procedura nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień
w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności
- Podstawą do nadania uprawnień do przetwarzania danych osobowych w systemie informatycznym
podmiotu jest upoważnienie do przetwarzania danych osobowych. Upoważnienie wydawane jest
przez ADO. - Upoważnienie wydawane jest na wniosek przełożonego danego pracownika.
- ADO, a w jego imieniu w szczególności bezpośredni przełożony, pracownik działu Kadr (HR):
a. w przypadku gdy dana osoba otrzymuje po raz pierwszy upoważnienie do przetwarzania
danych osobowych informuje ją o obowiązkach związanych z zapewnieniem ochrony danych
osobowych;
b. odbiera od powyższej osoby podpis pod upoważnieniem do przetwarzania danych osobowych
i oświadczeniem o zapoznaniu się z obowiązującymi zasadami ochrony danych osobowych. - ADO prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych w systemie
informatycznym. - Uprawnienia dostępu do systemu informatycznego nadawane są na podstawie wniosku
przełożonego danego pracownika. - Za nadanie uprawnień w systemie informatycznym odpowiada Specjalista ds. IT. Uprawnienia nie
mogą być nadane w przypadku, jeżeli dana osoba nie posiada upoważnienia do przetwarzania
danych osobowych w wymaganym zakresie. Kierując prośbę o nadanie uprawnień Specjalista ds.
Kadr i Płac lub przełożony pracownika weryfikuje istnienie i zakres upoważnienia. - Specjalista ds. IT informuje osobę wnioskującą o fakcie nadania lub odmowy nadania uprawnień.
- W przypadku nadawania użytkownikowi uprawnień do danego systemu informatycznego po raz
pierwszy, Specjalista ds. IT dokonuje nadania użytkownikowi identyfikatora, wygenerowania hasła
oraz wpisania przydzielenia indywidualnego identyfikatora do ewidencji osób upoważnionych do
przetwarzania danych osobowych danemu użytkownikowi. - Identyfikator użytkownika w systemie informatycznym musi być unikalny. Nie może być to
identyfikator, który w przeszłości był już stosowany w systemie informatycznym. Sprawdzenie unikalności identyfikatora odbywa się na podstawie ewidencji osób upoważnionych do przetwarzania danych osobowych. - Hasło użytkownika jest przydzielane indywidualnie każdemu z użytkowników i znane jest tylko użytkownikowi, który się nim posługuje.
- Specjalista ds. IT przekazuje użytkownikowi identyfikator i hasło.
- Użytkownik jest zobowiązany do zmiany hasła przy pierwszym dostępie do systemu informatycznego.
§ 23 Procedura odbierania uprawnień do przetwarzania danych w systemie informatycznym
W przypadku konieczności odebrania lub zmiany zakresu upoważnienia – w związku ze zmianą
zakresu obowiązków służbowych pracownika lub zakończeniem pracy – Specjalista ds. IT wykonuje
powyższe czynności.
§ 24 Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem
- Użytkownicy systemu informatycznego przetwarzającego dane osobowe wykorzystują w procesie
uwierzytelnienia identyfikatory i hasła. - Identyfikator jest w sposób jednoznaczny przypisany użytkownikowi i nie podlega zmianie.
- Nowe hasło jest przekazywane użytkownikowi przez Specjalista ds. IT.
- Po zalogowaniu do systemu z wykorzystaniem otrzymanego hasła użytkownik jest zobowiązany do
dokonania jego natychmiastowej zmiany, nawet jeżeli system informatyczny nie wymusza takiego
działania. - Hasła dostępu do systemu informatycznego muszą spełniać poniższe warunki:
a. posiadać długość co najmniej 6 znaków;
b. zawierać minimum 2 cyfry i minimum 2 litery;
c. musi różnić się od poprzednio używanych. - Hasło jest zmieniane przez użytkownika nie rzadziej niż co 6 miesięcy lub niezwłocznie w
przypadku podejrzenia, iż mogły z nim się zapoznać nieuprawnione osoby. - Użytkownik zobowiązany jest do:
a. nieujawniania hasła innym osobom, w tym innym użytkownikom;
b. zachowania hasła w tajemnicy, również po jego wygaśnięciu;
c. niezapisywania hasła;
d. postępowania z hasłami w sposób uniemożliwiający dostęp do nich osobom trzecim;
e. przestrzegania zasad dotyczących jakości i częstości zmian hasła;
f. wprowadzania hasła do systemu w sposób minimalizujący podejrzenie go przez innych
użytkowników systemu. - W przypadku zapomnienia hasła użytkownik powinien zwrócić się do Specjalisty ds. IT
o wygenerowanie nowego hasła. - W przypadku podejrzenia zapoznania się z hasłem przez osobę nieuprawnioną użytkownik jest
zobowiązany do natychmiastowej zmiany hasła oraz powiadomienia o zaistniałym fakcie ADO za
bezpośredniego przełożonego, Kierownika ds. administracji lub Specjalisty ds. IT.
§ 25 Procedura rozpoczęcia, zawieszenia i zakończenia pracy przeznaczona dla użytkowników systemu
Rozpoczynając pracę w systemie informatycznym przetwarzającym dane osobowe, użytkownik:
- uruchamia komputer;
- wprowadza niezbędne do pracy identyfikatory i hasła;
- hasła są wprowadzane w sposób minimalizujący ryzyko podejrzenia ich przez osoby trzecie;
- w przypadku problemów z rozpoczęciem pracy, spowodowanych odrzuceniem przez system
wprowadzonego identyfikatora i hasła, natychmiast kontaktuje się ze Specjalistą ds. IT; - w przypadku niestandardowego zachowania aplikacji przetwarzającej dane osobowe pracownik
natychmiast powiadamia o zaistniałym fakcie Specjalistę ds. IT; - zawieszając pracę w systemie informatycznym (w tym odchodząc od stanowiska pracy),
użytkownik blokuje stację roboczą. Kontynuacja pracy może nastąpić po odblokowaniu stacji
roboczej po wprowadzeniu hasła, w sposób gwarantujący jego niepodejrzenie przez osoby trzecie; - opuszczając pomieszczenie, w którym przetwarzane są dane osobowe, pracownik zobowiązany
jest do zamknięcia pomieszczenia na klucz, jeżeli w pomieszczeniu tym nie przebywa inna osoba
upoważniona do przebywania w tym pomieszczeniu. Zabronione jest pozostawianie bez nadzoru
w pomieszczeniach, w których przetwarzane są dane osobowe, osób nieupoważnionych; - kończąc pracę w systemie informatycznym, pracownik wylogowuje się ze wszystkich aplikacji,
z których korzystał, wyłącza stację roboczą i zabezpiecza nośniki danych. W przypadku gdy
pracownik jest ostatnią osobą opuszczającą pomieszczenie, sprawdza zamknięcie okien, zamyka
na klucz drzwi do pomieszczenia.
§ 26 Procedura tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania
- Za tworzenie i przechowywanie kopii zapasowych odpowiedzialny jest Specjalista ds. IT.
- Kopie zapasowe systemów przetwarzających dane osobowe są tworzone według harmonogramu
opisanego przez Specjalistę ds. IT. - Kopie zapasowych oznaczane są w sposób umożliwiający określenie daty utworzenia kopii oraz
nazwy systemu. - Nośniki z kopiami zapasowymi są odpowiednio zabezpieczane.
- Utworzone kopie zapasowe podlegają weryfikacji ze względu na sprawdzenie możliwości odczytu
danych. - Specjalista ds. IT określa czas przechowywania poszczególnych kopii zapasowych, w zależności od
celu przetwarzania danych zapisanych na kopiach zapasowych. - Specjalista ds. IT jest odpowiedzialny za realizację działań odtworzeniowych w przypadku
konieczności podjęcia takich działań w związku z awarią systemu informatycznego podmiotu. Po
odtworzeniu systemu informatycznego Specjalista ds. IT jest odpowiedzialny za przeprowadzenie
testów poprawności działania systemu przed jego oddaniem do użytkowania. - Specjalista ds. IT przeprowadza weryfikację możliwości odtworzenia danych zapisanych na kopiach
zapasowych. Weryfikacja taka powinna być przeprowadzana nie rzadziej niż raz na pół roku.
§ 27 Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz nośników kopii zapasowych
- Dane osobowe przechowywane są w postaci elektronicznej na:
a. nośnikach elektronicznych wbudowanych w sprzęt informatyczny lub stanowiących element
tego systemu,
b. przenośnych nośnikach elektronicznych. - Dane przechowywane są na nośnikach przenośnych jedynie w przypadkach, gdy jest to konieczne,
przez czas niezbędny do spełnienia celu, w jakim zostały one na nośniku zapisane. Po ustaniu czasu
przechowywania zawartość nośnika podlega skasowaniu przy użyciu narzędzi zaakceptowanych
do użycia w Talkersi.pl, a w przypadku nośników optycznych stosuje się niszczenie w niszczarkach
umożliwiających niszczenie tego typu nośników. - Dane osobowe w systemie informatycznym przechowywane są przez czas wymagany do spełnienia
celu, dla którego są one przetwarzane. Po jego upływie dane podlegają skasowaniu lub
anonimizacji. - Przenośne elektroniczne nośniki informacji zawierające dane osobowe są przechowywane przez
pracowników w sposób minimalizujący ryzyko ich uszkodzenia lub zniszczenia, w szczególności w
zamykanych szafach i meblach biurowych. - W przypadku wycofania sprzętu komputerowego z użycia dane osobowe na nim zapisane są
kasowane przy użyciu dedykowanego oprogramowania do bezpiecznego usuwania danych
dobranego przez Specjalistę ds. IT. W przypadku braku możliwości programowego usunięcia
danych dysk podlega fizycznemu zniszczeniu. Za zniszczenie danych odpowiada Specjalista ds. IT.
Zniszczenie nośnika jest potwierdzane protokołem przechowywanym przez Specjalistę ds. IT. - Dopuszcza się powierzenie niszczenia nośników danych wyspecjalizowanym podmiotom
zewnętrznym, pod warunkiem:
a. zawarcia umowy;
b. zagwarantowania poufności danych przez usługodawcę;
c. umożliwienia prowadzenia nadzoru nad procesem niszczenia nośników przez Specjalistę ds.
IT;
d. udokumentowania faktu zniszczenia nośników protokołem.
§ 28 Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego
celem działania jest uzyskanie nieuprawnionego dostępu do systemu informatycznego
- W celu zabezpieczenia systemu informatycznego przed działaniem niebezpiecznego
oprogramowania zabrania się:
a. uruchamiania jakiegokolwiek oprogramowania, które nie zostało zatwierdzone do użytku
w Talkersi.pl;
b. samowolnego korzystania z nośników przenośnych;
c. otwierania poczty elektronicznej, której tytuł nie sugeruje związku z pełnionymi obowiązkami
służbowymi; w przypadkach wątpliwych należy skonsultować się ze Specjalistą ds. IT;
d. korzystania z Internetu w celach niezwiązanych z pełnionymi obowiązkami służbowymi;
e. podłączania komputerów do niezaufanych sieci zewnętrznych. - W przypadku zauważenia objawów mogących wskazywać na obecność niebezpiecznego
oprogramowania użytkownik jest zobowiązany powiadomić Specjalistę ds. IT. Do objawów
powyższych można zaliczyć:
a. istotne spowolnienie działania systemu informatycznego;
b. nietypowe działanie aplikacji;
c. nietypowe komunikaty;
d. utratę danych lub modyfikację danych. - System informatyczny jest zabezpieczony przed działaniem niebezpiecznego oprogramowania
poprzez:
a. oprogramowanie antywirusowe;
b. zaporę sieciową;
c. aktualizację oprogramowania systemowego;
d. konfigurację oprogramowania minimalizującą ryzyko naruszenia bezpieczeństwa;
e. szyfrowanie ruchu sieciowego z zewnątrz. dotyczącego danych osobowych;
f. szyfrowanie dysków twardych komputerów przenośnych. - Specjalista ds. IT jest odpowiedzialny za nadzór nad działaniem powyższych zabezpieczeń,
a w szczególności za:
a. weryfikację aktualności sygnatur systemu antywirusowego i podejmowanie ewentualnych
działań korekcyjnych;
b. weryfikację logów systemu antywirusowego i podejmowanie działań korekcyjnych;
c. przegląd logów zapory sieciowej oraz podejmowanie działań mających na celu zablokowanie ataków sieciowych;
d. weryfikację poprawności aktualizacji oprogramowania systemowego;
e. dobór odpowiedniego algorytmu szyfrującego.
§ 29 Odnotowanie informacji o udostępnieniu danych osobowych
- Podmiot udostępnia dane osobowe jedynie w przypadkach prawnie dopuszczalnych.
- Odnotowanie faktu udostępnienia danych następuje poprzez powiadomienie pracownika
o udostępnieniu danych, poprzez przekazanie informacji o dniu ››data‹‹ na podstawie
››podstawa‹‹”, wprowadzając zamiast zapisów w nawiasach klamrowych odpowiednie informacje. - Podmiot prowadzi rejestr informacji o udostępnionych danych.
§ 30 Procedura wykonywania przeglądu i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych
- Przegląd i konserwacja sprzętu informatycznego realizowana jest przez upoważnionych
pracowników podmiotu oraz przez podmioty zewnętrzne. - Prace serwisowe wykonywane na terenie podmiotu przez podmioty zewnętrzne podlegają
bezpośredniemu nadzorowi Specjalisty ds. IT. - Przekazanie sprzętu teleinformatycznego do naprawy poza teren podmiotu jest dopuszczalne,
jeżeli spełnione zostaną poniższe warunki:
a. sprzęt przekazywany jest bez nośników zawierających dane osobowe, zaś fakt usunięcia
nośników danych lub stwierdzenia braku nośników danych jest potwierdzany protokołem;
b. przekazanie sprzętu potwierdzane jest protokołem lub innym dokumentem (np.
korespondencją e- mail, poleceniem służbowym lub pokwitowaniem), pozwalającym na
jednoznaczne wskazanie osoby przekazującej i osoby odbierającej sprzęt. - Protokoły, o których mowa w punkcie 3, lub ich kopie przechowywane są przez Specjalistę ds. IT.
- Wszelkie prace serwisowe wykonywane przez podmioty zewnętrzne wymagają sporządzenia
protokołu serwisowego, zawierającego w szczególności informacje dotyczące podmiotu
przeprowadzającego prace serwisowe, zakres oraz czas przeprowadzania prac serwisowych.
§ 31 Określenie sytuacji naruszenia bezpieczeństwa danych osobowych
Przepisy kolejnych paragrafów stosuje się w przypadku:
- stwierdzenia naruszenia zabezpieczenia systemu informatycznego w obszarze danych osobowych;
- podejrzenia naruszenia bezpieczeństwa danych osobowych ze względu na stan urządzenia,
zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub
jakość komunikacji w sieci komputerowej.
§ 32 Określenie osób zobowiązanych
Zasady postępowania przypadku naruszenia bezpieczeństwa danych osobowych obowiązują
wszystkie osoby biorące udział w procesie przetwarzania danych osobowych.
§ 33 Określenie naruszenia zabezpieczenia systemu informatycznego
Naruszeniem zabezpieczenia systemu informatycznego, przetwarzającego dane osobowe jest każdy
stwierdzony fakt (lub podejrzenie) nieuprawnionego ujawnienia danych osobowych, udostępnienia
lub umożliwienia dostępu do nich osobom nieupoważnionym, zabrania danych przez osobę
nieupoważnioną, uszkodzenia jakiegokolwiek elementu systemu informatycznego, a w szczególności:
- nieautoryzowany dostęp do danych;
- nieautoryzowane modyfikacje lub zniszczenie danych;
- udostępnienie danych nieautoryzowanym podmiotom;
- nielegalne ujawnienie danych;
- pozyskiwanie danych z nielegalnych źródeł.
§ 34
Działania pracowników i ADO
- W przypadku stwierdzenia naruszenia zabezpieczenia systemu informatycznego lub zaistnienia
sytuacji, które mogą wskazywać na naruszenie zabezpieczenia danych osobowych, każdy
pracownik zatrudniony przy przetwarzaniu danych osobowych jest zobowiązany przerwać
przetwarzanie danych osobowych i niezwłocznie powiadomić o tym fakcie kierownika jednostki
oraz ADO (ewentualnie osobę przez niego upoważnioną) swojego przełożonego. Przełożony
przekazuje przedmiotową informację do Kierownika d. Administracji. - Zgłoszenie naruszenia ochrony danych osobowych powinno zawierać:
a. opisanie działania wskazującego na naruszenie ochrony danych osobowych;
b. określenie sytuacji i czasu, w jakim stwierdzono naruszenie ochrony danych osobowych;
c. wskazanie istotnych informacji mogących wskazywać na przyczynę naruszenia;
d. określenie znanych danej osobie sposobów zabezpieczenia systemu oraz wszelkich kroków
podjętych po ujawnieniu zdarzenia. - ADO podejmuje działania mające na celu:
a. minimalizację negatywnych skutków zdarzenia;
b. wyjaśnienie okoliczności zdarzenia;
c. zabezpieczenie dowodów zdarzenia,
d. umożliwienie dalszego bezpiecznego przetwarzania danych;
e. określenie wpływu na naruszenie praw lub wolności osób fizycznych;
f. poinformowanie organu nadzorczego oraz osób których dane dotyczą w przeciągu 48 godzin
od stwierdzenia naruszenia (Obowiązek nie powstaje w przypadku, kiedy istnieje małe
prawdopodobieństwo, że incydent skutkował ryzykiem naruszenia praw lub wolności osób
fizycznych). - Dla realizacji celów określonych w ust. 3 ADO ma prawo do podejmowania wszelkich działań
dopuszczonych przez prawo, w szczególności:
a. żądania wyjaśnień od pracowników;
b. korzystania z pomocy konsultantów;
c. nakazania przerwania pracy, zwłaszcza w zakresie przetwarzania danych osobowych. - Kierownik jednostki podejmuje działania mające na celu:
a. minimalizację negatywnych skutków zdarzenia;
b. zabezpieczenie dowodów zdarzenia. - Osoba wyznaczona przez ADO po opanowaniu sytuacji nadzwyczajnej opracowuje raport końcowy,
zgodnie z załącznikiem nr 12 do niniejszej Polityki Ochrony Danych Osobowych, w którym
przedstawia przyczyny i skutki zdarzenia oraz wnioski, w tym kadrowe, ograniczające możliwość
wystąpienia zdarzenia w przyszłości. Kierownik ds. Administracji w Talkersi.pl prowadzi rejestr
naruszeń.
§ 35 Odpowiedzialność służbowa i karna
- Pracownik, który przetwarza w zbiorze danych dane osobowe:
a. do których przetwarzania nie jest upoważniony;
b. których przetwarzanie jest zabronione;
c. niezgodne z celem stworzenia zbioru danych;
d. udostępnia lub umożliwia dostęp do danych osobowych osobom nieupoważnionym;
e. nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o przysługujących jej
prawach;
f. uniemożliwia osobie, której dane dotyczą, korzystanie z przysługujących jej praw
– podlega odpowiedzialności karnej zgodnie z obowiązującymi przepisami prawnymi oraz sankcjom
określonym w Kodeksie Pracy. - Naruszenie zasad ochrony danych osobowych obowiązujących w Podmiocie może również zostać
uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych i skutkować
odpowiedzialnością dyscyplinarną określoną w przepisach odrębnych. - Naruszenie przepisów o ochronie danych osobowych jest zagrożone sankcjami karnymi.
§ 36 Postanowienia końcowe
- Niniejsza Polityka Ochrony Danych Osobowych została przyjęta i wdrożona przez ADO, a każdy
pracownik zapoznany z jej treścią jest zobowiązany do wykonywania zawartych w niej
obowiązków. - Polityka Ochrony Danych Osobowych jest dokumentem wewnętrznym i nie może być
udostępniana osobom trzecim. - Polityka Ochrony Danych Osobowych wchodzi w życie z dniem podpisania.
The Personal Data Protection Policy
in force at the Talkersi.pl Sp. z o.o. with registered office in Gdynia
§ 1 General provisions
- This Personal Data Protection Policy is the set of rules and procedures applied to the processing
and use of personal data in every personal data filing systems administrated by Talkersi.pl Sp. z
o.o. with its registered office in Gdynia, Myśliwska Street 20B/5, entered in the National Court
Register, kept by District Court Gdańsk – North in Gdańsk, VIII Commercial Department of the
National Court Register under number: 0000544763, holding NIP: 5862294976, REGON:
360825279, hereinafter referred to as: „Talkersi.pl”. - The basis for creating and implementing the document is:
a. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on
the protection of natural persons with regard to the processing of personal data and on the
free movement of such data, and repealing Directive 95/46/EC (General Data Protection
Regulation);
b. Personal Data Protection Act of 10 May 2018 r. - Personal data processing in Talkersi.pl is permitted only in compliance with the personal data
protection act, GDPR and issued on the basis implementing provisions. - Personal Data Protection Policy shall apply to the protection of personal data files processing for
the purpose of their safe usage and defines the terms and conditions of use of the IT systems.
§ 2 Definitions
The terms and the abbreviations in The Personal Data Protection Policy indicate:
- GDPR – Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016
on the protection of natural persons with regard to the processing of personal data and on the
free movement of such data, and repealing Directive 95/46/EC (General Data Protection
Regulation); - Entity – Talkersi.pl Sp. z o.o.;
- Personal Data Administrator – Talkersi.pl Sp. z o.o. hereinafter referred to as „PDA”;
- IT system – a set of technical measures (computer devices, printing devices, communication
devices, software), a security set of technical measures, IT network and its provided resources; - Security of the IT system – implementation of organisational and technical measures to secure and
protect personal data against making them available to unauthorized persons, being taken by an
unauthorized person, processing in violation of the regulations and unauthorized modification,
being lost, damaged or destructed; - Personal data filing system – personal data collected on a systematic manner, which allows
easy access to specific information; - Processing of personal data – performing operations on personal data, such as collection,
recording, storage, developing, changing, sharing and removing them, regardless of the form of
the performed operations; - Authorised person or system user – a person having an authorization issued by the PDA or by
authorised person and admitted as a user to process personal data in IT system in the scope
indicated in this authorisation, hereinafter referred to as „user”; - persons employed for processing of personal data – all persons, including the users of IT system,
which have access to personal data.
§ 3 Area of personal data processing
- The area of personal data processing in entity includes the buildings, rooms and their parts in
which personal data are processed (places in which operations on personal data shall be carried
out, such as entering, changing, copying), or places in which information carriers with personal
data are stored (cabinets with paper documentation, with electric information carriers, rooms in
which damaged information carriers are stored); - The area of data processing is specified in “The list of spaces of personal data processing”
attached as Appendix 1 to The Personal Data Protection Policy. The list is kept by the designated
staff member of Talkersi.pl and shall contain the following information:
a. localisation of the buildings;
b. designation of the employee/department/position in Entity working in a particular room;
c. indication of the maximum number of persons working in the room;
d. terms of room securities. - The area of data processing and terms of room securities are specified in Appendix 2 to The
Personal Data Protection Policy “Rules of protection of personal data processing rooms”.
§ 4 List of datasets processed by Entity and programs used for data processing
- The list of datasets processed by Entity are specified in Appendix 3 to The Personal Data
Protection Policy – „The list of personal data assets and their processing systems”. This list shall
contain the following information:
a. name of the database;
b. designation of the personal data processing system;
c. localisation of the place of personal data processing;
d. software used to process personal data;
e. precise scope of personal data in system. - Details of the used equipment and IT software are contained in paragraphs relating to the
instruction for information system management.
§ 5 Description of the structure of the data sets and process of data flow between the various systems
- Processing of personal data takes place on the server and on users’ workstations.
- The main servers are located at: Talkersi.pl Sp. z o.o. at 10 Lutego Street 27/3, 81-364 Gdynia.
- As part of data processing processes, data may flow between different IT systems. Information on
the flow of data between different IT systems is provided in the „List of personal data resources
and data processing systems” referred to in § 4 section 1.”.
§ 6 Determination of technical and organizational measures necessary to ensure confidentiality, integrity and accountability of personal data processing
PDA-imposed safeguards apply to the IT system. For a detailed discussion of technical and
organizational security measures, see the paragraphs relating to the IT system management manual.
§ 7 Tasks of the Personal Data Administrator
The PDA’s responsibilities include, in particular:
- information obligation to the data subject;
- exercising special care in the processing of personal data to protect the interests of data subjects;
- providing, within specified time limits, information on the purpose and scope of the personal data
processed; - completion, updating, rectification of data, temporary or permanent suspension of processing of
questioned data or their removal from the file, data transfer when requested by the person whose
data is processed by the PDA; - use of technical and organizational measures to ensure the protection of the processed personal
data appropriate to the risks and categories of data protected; - control of data entry into the collection and data transfer;
- keeping records of persons authorized to process personal data;
- keeping a register of personal data processing activities (in accordance with article 30 of the
GDPR); - control of the technical and organizational measures applied in relation to the scope of the
processed data; - control of changes in legislation relating to the scope of the Entity’s activities;
- ensuring compliance with data protection regulations, in particular by:
a. informing the supervisory authority of suspected violations;
b. verification of the compliance of personal data processing with data protection regulations;
c. supervising the development and updating of documentation describing the manner of
processing personal data and measures to ensure the protection of processed personal data,
and compliance with the principles set out therein;
d. ensuring that persons authorized to process personal data are familiarized with the
regulations on personal data protection.
§ 8 Obtaining personal data
Personal data processed at the Entity may be obtained directly from data subjects or from other
sources, within the limits permitted by law.
§ 9 Use of personal data
- Personal data collected may only be used for the purposes for which it was, is or will be collected
and processed. After use, personal data should be deleted or stored in a form that does not allow
identification of the persons to whom they relate. - If it is necessary to share documents and data, among which there are personal data not directly
related to the purpose of sharing, it is imperative to anonymize this personal data. - At the request of the person whose data is being processed, the PDA shall carry out the transfer of
data.
§ 10 Obligation to complete personal data
If the personal data is incomplete, outdated, untrue or has been collected in violation of applicable
laws, or is unnecessary for the purpose for which it was collected, the PDA is obliged to complete,
update, rectify, delete or anonymize it.
§ 11 Information obligation, employee liability
- Employees of the Entity shall be responsible for informing the persons whose personal data they
process about the following:
a. the registration and mailing address of the PDA;
b. purpose of data collection;
c. voluntariness or about the legal basis for processing the data;
d. legitimate interest pursued by the controller or by a third party – if the processing is based on
the legitimate interest of PDA;
e. recipients of personal data or categories of recipients, if any;
f. transfer of data to a third country;
g. the period for which personal data will be kept, and when this is not possible, the criteria for
determining this period;
h. the right to:
– request from the controller access to personal data concerning the data subject, their rectification, erasure or restriction of processing;
– to object to processing;
– data portability;
i. the right to withdraw consent at any time without affecting the lawfulness of the processing
carried out on the basis of consent before its withdrawal if the processing is based on consent
to the processing of ordinary data (article 6 section 1 letter a) of the GDPR) or special category
(article 9 section 2 letter a) of the GDPR);
j. the right to lodge a complaint with a supervisory authority;
k. information on whether the provision of personal data is a statutory or contractual
requirement or a condition for entering into a contract, and whether the data subject is
obliged to provide such data and what are the possible consequences of failure to do so;
l. information on automated decision-making, including profiling as referred to in article 22
section 1 and 4 of the GDPR, and – at least in these cases – relevant information on the
principles of decision-making, as well as the significance and anticipated consequences of
such processing for the data subject. - In the case of collection of personal data not directly from the person to whom it pertains, the
person shall additionally be informed of the source of the personal data and, if applicable, the
origin of the data from publicly available sources and the categories of personal data involved. As
far as possible in the case of obtaining such data of other persons from an employee of Talkersi.pl,
he/she is obliged in each case to provide Talkersi.pl with a confirmation of acquaintance of that
person with the aforementioned information, together with the written consent of that person to
the processing of his/her data, if required. Otherwise Talkersi.pl will refuse to accept such data. - The model of the form used for the fulfilment of the obligations referred to in section 1 and 2, is
attached as Appendix No. 4 to the Personal Data Protection Policy.
§ 12 Consent to processing of personal data
Materials relating to other than the main activities of Talkersi.pl may be sent only to those persons
who have previously agreed to the processing of their personal data for this purpose.
§ 13 Personal data in recruitment and human resources processes
- Talkersi.pl is the administrator of the personal data of natural persons collected in the recruitment
processes and in connection with the employment of natural persons. - Talkersi.pl shall include in job advertisements an information clause for candidates with the
wording indicated in Appendix No. 5 to this Data Protection Policy. Each such announcement shall
be printed to demonstrate compliance with the information obligation. - In the recruitment process Talkersi.pl collects such data as: name, surname, address of residence
(street, number, postal code, town, province), telephone number, email address, date of birth,
work experience, interests. - Candidates for employment at Talkersi.pl in the recruitment process are required to sign (or
accept) consent to the processing of their personal data and confirm receipt of information to the
PDA regarding the processing of their personal data on Appendix No. 5 to this Personal Data
Protection Policy. The consent document, together with the statement, is included in the
employee’s personal file. A specimen of the consent form is attached as Appendix No. 6 to this
Personal Data Protection Policy. - Whenever an employee provides Talkersi.pl with the data of another person as a job candidate,
Talkersi.pl shall obtain, through that employee, the consent of that person to the processing of
data together with confirmation of receipt of any information under Talkersi.pl’s obligation to
provide information (according to the specimen attached as Appendix 4). Provision of the
statement signed by the candidate along with the CV is a condition for acceptance of such
candidacy from the employee. - The recruitment dataset exists on the mail server and in the history of e – mail correspondence of
the person authorized to conduct recruitment, as well as – only for candidates who are
interviewed – in paper form (CVs are printed only by HR, COO, Recruiter or the person responsible
for the implementation of the new employee). - Persons who have received resumes via a mail server within a given recruitment process, unless
the resume in question is deleted without further processing due to preliminaries, shall mark all
correspondence received from the candidate with a monitoring flag named: „personal data
recruitment” or correspondence originating from or sent to a dedicated recruitment e – mail
address. At least once every 3 months, persons authorized to participate in the recruitment
process shall review e – mail correspondence and remove flagged e – mail correspondence
containing the person’s resume and other correspondence containing his/her data. Printed
resumes of candidates who are not hired during a given recruitment process are destroyed after
the recruitment process ends, unless the candidate has given permission for his or her resume to
be used in future recruitments. The e – mailbox dedicated to the recruitment process archives all
correspondence related to recruitment, including candidates’ personal data, for the purpose of
defending against possible claims by third parties, particularly in the area of employment
discrimination. Access to the mailbox referred to in the preceding sentence is available only to HR
and PDS Management. - PDA as an employer processes the following employee data: name, surname, address of residence
(street, number, postal code, city, province), telephone number, email address, date of birth, work
experience (confirmed by certificates of employment – photocopy), education (confirmed by a
diploma of completion – photocopy), interests (in CV), health information (medical certificate),
bank account number, information about completed safety training, PESEL, NIP, information about
children (names, PESEL numbers), payrolls, requests for raises, requests for leave, L4 certificates,
attendance lists. - At the conclusion of the employment contract Talkersi.pl shall inform the employee in writing
about the purposes of collecting the above data and provide other required information in
writing, in accordance with Appendix No. 4a, and the information clause signed by the employee
shall be included by the employee in his personal file. - The collection of personal data of employees exists in paper form (personal files), while those
employed or cooperating with PDA – on the server Talkersi.pl. - Personal data of employees are transferred:
a. to Social Insurance Institution, tax office and other public entities- in connection with the obligations under the law, consent is not required;
b. to training companies (Talkersi.pl obtains the employee’s consent);
c. to customers (Talkersi.pl obtains the employee’s consent); - Personal data including the name, description of the employee’s competence and work experience and the employee’s image, as well as the recording of the employee’s image and voice for the purpose of promoting Talkersi.pl activities, informing about Talkersi.pl staff and the employee’s achievements are made available on the following websites:
www.e-korepetycje.net,
www.talkersi.pl,
www.facebook.com/talkersi,
www.facebook.com/wiktor.jodlowski,
www.facebook.com/groups/przelamangielski,
www.instagram.com/realtalkersi,
www.instagram.com/wiktorjodlowski,
for the purpose of promoting Talkersi.pl activities, informing about Talkersi.pl staff and employees’
achievements (Talkersi.pl obtains the employee’s consent); - The data of employees or co-workers are kept only for the period of employment and the period
required by law (in particular for the purpose of determining tax obligations and pension
entitlements). The archive premises are located in a lockable room, and the data transferred to
the archive is recorded each time by HR. - Processing of such data as health status, family situation or other sensitive data (for the purpose
of disbursement of funds from the Company Social Benefits Fund, for the purposes of group
insurance, occupational medicine, to assess an employee’s ability to work, to provide health care
or social security) is carried out only with the participation of HR, bound to secrecy, after obtaining
consent, the specimen of which is attached as Appendix 7 to this Data Protection Policy.
Whenever an employee provides Talkersi.pl with the data of another person, Talkersi.pl shall
obtain, through that employee, the consent of that person to the processing of data, together
with confirmation of receipt of any information within the scope of Talkersi.pl’s obligation to
provide information (according to the specimen attached as Appendix No. 4).
§ 14 Persons entitled to inspect personal data
- PDA makes personal data processed in its own files available only to persons or entities entitled to
receive them under the law. - Personal data may be shared in the following cases:
a. based on a request from an entity authorized to receive personal data under the law;
b. under a contract with another entity, under which there is a need to share data;
c. based on the request of the data subject. - The request for access to personal data should contain information that makes it possible to
search for the requested personal data in the filing system and indicate its scope and purpose. - When providing personal data, it must be noted that it can only be used for the purpose for which
it was provided. - In the case of a request for information on the processed personal data at the request coming
from the data subject, the request shall be answered as soon as possible, no longer than 7 days
from the date of its receipt. - A designated employee at Talkersi.pl is responsible for preparing personal data for sharing to the
extent indicated in the request.
§ 15 Refusal to share personal data
Access to personal data shall be denied if it would cause significant violations of the personal rights of
data subjects or other persons, and if the personal data are not substantially related to the motives of
the applicant as indicated in the request.
§ 16 Obligation to have an authorization
- Employees of the Entity with authorization granted by the Board may be allowed to process data.
The template of the authorization is specified in Appendix No. 8 to the Personal Data Protection
Policy. - An employee of Talkersi.pl’s Human Resources Department keeps a record of persons authorized
to process personal data. The specimen of the register constitutes attachment No. 9 to the
Personal Data Protection Policy.. - Authorizations shall be given only to employees who have received training in the protection of
personal data and procedures used in the Entity.
§ 17 Storage of named authorizations to process personal data
PDA is obliged to collect, record and store:
- declarations by personal data processors on maintaining the secrecy of the data they handle and
the security measures used in processing personal data; - declarations of persons employed on the basis of a contract of mandate, contract for specific work
or other civil contract on maintaining secrecy; - agreements concluded with persons employed in the processing of personal data with regard to
the use of IT equipment, software and IT network resources put at their disposal; the specimen of
the agreement form is attached as Appendix No. 10 to the Personal Data Protection Policy.
§ 18 Entrustment of personal data processing
- Entrusting the processing of personal data is carried out in accordance with current legislation on
the basis of an agreement (concluded in writing or electronically) between the PDA and the entity
to which personal data processing activities are outsourced. - In the draft contract of entrustment of personal data processing, the scope of activities related to
the processing of entrusted personal data, the scope of data and requirements for data protection
should be specified. - Each person delegated to perform tasks for the Entity, related to entrustment of personal data
processing, shall be obliged to sign a statement on maintaining confidentiality of personal data
and ways of securing them. The specimen contract of entrustment of data processing is attached
as Appendix No. 11 to the Personal Data Protection Policy.
§ 19 Responsibilities of the personal data processor
- The personal data processor shall be obliged to apply organizational and technical measures to
secure the collection against unauthorized access in accordance with the principles set forth in the
applicable legislation. - The entity referred to in section 1 is obliged to process personal data only to the extent specified
in the agreement. - The personal data processor is responsible for the protection of the processed personal data.
- Employees deciding on the choice of a processor are guided by criteria that ensure the selection
of entities that guarantee the security of entrusted data.
§ 20 Principles applied to the processing of personal data
- PDA establishes technical and organizational solutions to ensure that personal data is:
a. processed lawfully, fairly and in a transparent manner for the data subject;
b. collected for specific, explicit and legitimate purposes and not further processed in a manner
incompatible with those purposes; further processing for archival purposes in the public
interest, for scientific or historical research, or for statistical purposes is not considered
incompatible with the original purposes under article 89 section 1 of the GDPR („purpose
limitation”);
c. adequate, relevant and limited to what is necessary for the purposes for which they are
processed („data minimization”);
d. correct and updated as necessary; take all reasonable steps to ensure that personal data that
is inaccurate in light of the purposes of its processing is promptly deleted or rectified
(„correctness”);
e. kept in a form that allows identification of the data subject for no longer than necessary for
the purposes for which the data are processed; personal data may be kept for longer periods
insofar as they will be processed exclusively for archival purposes in the public interest, for
scientific or historical research purposes, or for statistical purposes pursuant to Article 89
section 1 of the GDPR, provided that appropriate technical and organizational measures
required under this Regulation are implemented to protect the rights and freedoms of data
subjects („storage limitation”);
f. processed in a manner that ensures adequate security of personal data, including protection
against unauthorized or unlawful processing and accidental loss, destruction or damage, by
means of appropriate technical or organizational measures („integrity and confidentiality”). - PDA is responsible for compliance with the rules established in paragraph 1 and must be able to
demonstrate compliance („accountability”).
§ 21 Entities to which the PDA will entrust the processing of personal data
Personal data on the basis of the data processing entrustment agreement concluded by the PDA will
be entrusted, among others, to the following entities:
a. Primeon (school management platform – e-journal, billings);
b. Taxxo (invoicing platform);
c. Fresh Mail (platform for sending recurring emails as part of the LHTL course);
d. LINK Mobility Poland (platform for sending periodic SMS as part of the LHTL course);
e. Word Press (platform that supports SMS sending through LINK Mobility Poland);
f. Autenti (online document signing platform).
g. HubSpot Ireland LTD. (CRM platform).
§ 22 Procedure for granting data processing rights and recording these rights in the computer system, as well as identifying the person responsible for these activities
- The basis for granting authority to process personal data in the entity’s computer system is an
authorization to process personal data. The authorization is issued by the PDA. - Authorization is issued at the request of the supervisor of the employee concerned.
- PDA, and on his behalf, in particular his immediate supervisor, an employee of the Human
Resources (HR) department:
a. in the event that a person is authorized to process personal data for the first time, informs
him/her about the duties related to ensuring the protection of personal data;
b. receives from the above person a signature on the authorization to process personal data and
a statement of familiarity with the applicable principles of personal data protection. - PDA keeps a record of persons authorized to process personal data in the computer system.
- Access rights to the information system are granted on the basis of a request from the supervisor
of a given employee. - The IT Specialist is responsible for granting authorizations in the IT system. Authorizations cannot
be granted if a person does not have authorization to process personal data to the required
extent. When directing a request for granting authorizations, the HR Specialist or the employee’s
supervisor verifies the existence and scope of the authorization. - The IT specialist informs the requesting person about the fact of granting or denying the
authorization. - In the case of granting a user rights to a given IT system for the first time, the IT Specialist shall
assign an ID to the user, generate a password and enter the assignment of an individual ID in the
register of persons authorized to process personal data to the user in question. - The user ID in the IT system must be unique. It cannot be an identifier that has already been used
in the past in the IT system. Verification of the uniqueness of the identifier is carried out on the
basis of records of persons authorized to process personal data.
10.The user password is assigned individually to each user and is known only to the user who uses it.
11.The IT specialist provides the user with an ID and password.
12.The user is obliged to change the password when accessing the IT system for the first time.
§ 23 Procedure for revoking data processing rights in the computer system
If it is necessary to revoke or change the scope of authorization – due to a change in the employee’s
job responsibilities or termination of work – the IT Specialist performs the above actions.
§ 24 Authentication methods and means used, and procedures related to their management and use
- Users of the IT system that processes personal data use identifiers and passwords in the
authentication process. - The ID is uniquely assigned to the user and is not subject to change.
- The new password is given to the user by the IT Specialist..
- After logging into the system using the received password, the user is obliged to change it
immediately, even if the IT system does not force such action. - Passwords for access to the information system must fulfil the following conditions:
a. have a length of at least 6 characters;
b. contain a minimum of 2 numbers and a minimum of 2 letters;
c. must be different from those previously used.
- The password shall be changed by the user at least every 6 months or immediately if there is a
suspicion that it may have been accessed by unauthorized persons. - The user is obliged:
a. not to disclose the password to others, including other users;
b. to keep the password secret, even after it has expired;
c. not to save the password;
d. handling passwords in a way that prevents third parties from accessing them;
e. to comply with the rules regarding the quality and frequency of password changes;
f. to enter the password to the system in a way that minimizes its suspicion by other users of the
system. - If the password is forgotten, the user should ask the IT Specialist to generate a new password.
- If an unauthorized person is suspected of learning the password, the user is required to
immediately change the password and notify the PDA for his/her immediate supervisor, the
Administration Manager or the IT Specialist..
§ 25 Start, suspension and termination procedure for system users
When starting work on a computer system that processes personal data, the user:
- starts the computer;
- enters necessary IDs and passwords for work;
- passwords are entered in a way that minimizes the risk of suspicion by third parties;
- in case of problems with starting work, caused by rejection by the system of the ID and password
entered, immediately contact the IT Specialist; - in case of non-standard behaviour of the application processing personal data, the employee
immediately notifies the IT Specialist of the fact; - when suspending work in the IT system (including walking away from the workstation), the user
locks the workstation. Continuation of work can be done after unlocking the workstation after
entering the password, in a way that guarantees its non-suspicion by third parties; - when leaving a room where personal data is processed, the employee is obliged to lock the room
with a key if there is no other person authorized to be in the room. It is forbidden to leave
unattended in the premises where personal data is processed unauthorized persons; - terminating work in the IT system, the employee logs out of all applications he/she used, shuts
down the workstation and secures the data carriers. If the employee is the last person to leave the
room, he/she checks the closing of the windows, locks the door to the room.
§ 26 Procedure for backing up data sets and the programs and software tools used to process them
- The IT Specialist is responsible for creating and storing backups.
- Backups of systems that process personal data shall be made according to the schedule described
by the IT Specialist. - Backups shall be labelled so that the date the backup was created and the name of the system can
be identified. - Media with backups are properly secured.
- Created backups are subject to verification due to the check of data readability.
- The IT specialist determines the retention time for each backup, depending on the purpose of
processing the data stored on the backups. - The IT Specialist is responsible for implementing restoration activities in the event that such
activities are required due to the failure of the entity’s IT system. Once the IT system has been restored, the IT Specialist is responsible for conducting tests of the correctness of the system’s operation before it is put into use.
- The IT specialist performs verification of the recoverability of data stored on backups. Such
verification should be carried out at least once every six months.
§ 27 Method, place and period of storage of electronic information carriers containing personal data and backup media
- Personal data is stored electronically on:
a. electronic media embedded in the IT equipment or forming part of this system,
b. portable electronic media. - Data is stored on portable media only where necessary, for the time necessary to fulfil the
purpose for which it was stored on the media. After the storage time has expired, the content of
the medium is subject to deletion using tools approved for use by Talkersi.pl, and in the case of
optical media, destruction in shredders capable of destroying this type of media is used.. - Personal data in the IT system shall be stored for the time required to fulfil the purpose for which
they are processed. Thereafter, the data shall be deleted or made anonymous. - Portable electronic storage media containing personal data shall be stored by employees in such a
way as to minimise the risk of damage or destruction, in particular in lockable cabinets and office
furniture. - When computer equipment is decommissioned, personal data stored on it is erased using
dedicated secure erasure software selected by the IT Specialist. If software deletion is not
possible, the disk shall be physically destroyed. The IT Specialist is responsible for the destruction
of the data. Destruction of the media shall be confirmed by a protocol kept by the IT Specialist.. - The destruction of data media may be entrusted to specialised third parties, provided that:
a. a contract is concluded;
b. the confidentiality of the data is guaranteed by the service provider;
c. the media destruction process can be supervised by an IT specialist;
d. the destruction of the media is documented by a protocol.
§ 28 Method of securing the information system against the activities of software designed to gain unauthorised access to the IT system
- In order to protect the information system from the operation of dangerous software, it is
prohibited to:
a. run any software that has not been approved for use onTalkersi.pl;
b. arbitrary use of portable media;
c. open any e-mail whose title does not suggest a connection with your official duties; in cases of
doubt, consult the IT Specialist;
d. use the Internet for purposes that are not related to your official duties;
e. connect computers to untrusted external networks. - In case of noticing symptoms that may indicate the presence of dangerous software, the user is
obliged to notify the IT Specialist. These symptoms may include:
a. a significant slowdown in the operation of the IT system;
b. unusual operation of applications;
c. unusual messages;
d. loss of data or modification of data. - The information system is protected against the operation of dangerous software by:
a. anti-virus software;
b. firewall;
c. system software updates;
d. software configuration that minimises the risk of security breaches;
e. encryption of network traffic from outside. concerning personal data;
f. encryption of laptop hard drives.
- The IT specialist is responsible for overseeing the operation of the above safeguards, and in
particular for:
a. verifying that the signatures of the anti-virus system are up to date and taking corrective
action if necessary;
b. verifying the antivirus system logs and taking corrective action;
c. reviewing firewall logs and taking action to block network attacks;
d. verifying correctness of system software updates;
e. selecting the appropriate encryption algorithm.
§ 29 Notification of the release of personal data
- The entity shall only share personal data where legally permissible.
- The fact that data has been released shall be recorded by notifying the staff member that the data
has been released, by communicating the date ”date” on the basis of ”basis”, entering the
relevant information instead of the entries in curly brackets. - The entity shall keep a record of the information provided.
§ 30 Procedure for carrying out the inspection and maintenance of systems and storage media used to process personal data
- Inspection and maintenance of IT equipment is carried out by authorised employees of the entity
and by external parties. - Maintenance work carried out on the entity’s premises by external parties is under the direct
supervision of the IT Specialist. - The transfer of ICT equipment for repair off-site is acceptable if the following conditions are met:
a. the equipment is handed over without any data carriers and the fact that the data carriers
have been removed or the data carriers are missing is confirmed with a protocol;
b. the handing over of the equipment is confirmed with a protocol or other document (e.g.
e-mail correspondence, business order or receipt), allowing to clearly identify the person
handing over and the person receiving the equipment. - The protocols referred to in point 3, or copies thereof, are kept by the IT Specialist..
- Any maintenance work carried out by external parties requires a maintenance report to be drawn
up, containing in particular information on the party carrying out the maintenance work, the
scope and duration of the maintenance work.
§ 31 Identification of personal data security breach situations
The provisions of the following paragraphs shall apply in the case of:
- a breach of security of the information system in the area of personal data is detected;
- a breach of personal data security is suspected due to the state of the device, the contents of the
personal data set, the methods of work revealed, the way the program works or the quality of
communication in the computer network.
§ 32 Identification of obliged persons
The principles of handling breaches of personal data security apply to all persons involved in the
processing of personal data.
§ 33 Determination of a breach of IT system security
A breach of security of an IT system that processes personal data is any established fact (or suspicion)
of unauthorised disclosure of personal data, of unauthorised access to or allowing access to personal
data, of data being taken by an unauthorised person, of damage to any element of the IT system, and
in particular:
- unauthorised access to data;
- unauthorised modification or destruction of data;
- disclosure of data to unauthorised parties;
- illegal disclosure of data;
- acquisition of data from illegal sources.
§ 34 The actions of employees and PDA
- In the event of a breach of the security of the IT system or the occurrence of situations that may
indicate a breach of the security of personal data, each employee involved in the processing of
personal data is obliged to stop processing personal data and immediately notify the Head of the
Unit and the PDA (or a person authorised by him/her) of his/her superior. The supervisor shall
forward the information in question to the Head of Administration. - A notification of a personal data breach should include:
a. a description of the activity indicating the personal data breach;
b. identifying the situation and the time at which the personal data breach was identified;
c. an indication of relevant information that may indicate the cause of the breach;
d. identifying the means of securing the system known to the person concerned and any steps
taken after disclosure of the incident. - PDA takes action to:
a. minimise the negative effects of the incident;
b. clarify the circumstances of the incident;
c. secure evidence of the incident,
d. enable the continued safe processing of the data;
e. determining the impact on the violation of the rights or freedoms of individuals;
f. informing the supervisory authority and data subjects within 48 hours of the breach (The
obligation does not arise where the incident is unlikely to have resulted in a risk of
infringement of the rights or freedoms of individuals). - In order to fulfil the purposes set out in section 3, PDA shall be entitled to take any action
permitted by law, in particular:
a. request explanations from employees;
b. use the assistance of consultants;
c. to order the interruption of work, in particular with regard to the processing of personal data. - The unit manager shall take action to:
a. minimise the adverse effects of the incident;
b. secure evidence of the incident. - The PDA’s designee, once the emergency situation has been brought under control, shall prepare
a final report, in accordance with Appendix 12 of this Data Protection Policy, outlining the causes
and consequences of the incident and conclusions, including staffing, to reduce the possibility of
the incident occurring in the future. The Head of Administration at Talkersi.pl maintains a record of
breaches.
§ 35 Official and criminal liability
- An employee who processes personal data in the filing system:
a. for which he/she is not authorised to process;
b. whose processing is prohibited;
c. incompatible with the purpose of the creation of the data file;
d. gives access or allows access to personal data to unauthorised persons;
e. fails to comply with the obligation to inform the data subject of his/her rights;
f. prevents the data subject from exercising his/her rights
– shall be subject to criminal liability in accordance with the applicable legal provisions and the
sanctions set out in the Labour Code. - Violation of the personal data protection rules in force at the Entity may also be considered a
grave breach of basic employee duties and result in disciplinary responsibility as defined in
separate regulations. - Violations of data protection legislation are subject to criminal sanctions.
§ 36 Final provisions
- This Personal Data Protection Policy has been adopted and implemented by the PDA, and any
employee who is made aware of its contents is required to carry out the obligations contained
therein. - The Personal Data Protection Policy is an internal document and must not be made available to
third parties. - The Personal Data Protection Policy enters into force on the date of signature.