Polityka Ochrony Danych Osobowych - Talkersi - Angielski Konwersacje Gdańsk Gdynia Warszawa Poznań Kraków
Przejdź do treści

Polityka Ochrony Danych Osobowych

Obowiązująca w Talkersi.pl Sp. z o.o. z siedzibą w Gdyni

For English version of The Personal Data Protection Policy click here.

§ 1 Postanowienia ogólne

  1. Niniejsza Polityka Ochrony Danych Osobowych jest zbiorem zasad i procedur obowiązujących przy
    przetwarzaniu i wykorzystywaniu danych osobowych we wszystkich zbiorach danych osobowych
    administrowanych przez Talkersi.pl Sp. z o.o. z siedzibą w Gdyni, przy ul. Myśliwskiej 20B/5,
    wpisanej do rejestru przedsiębiorców, prowadzonego przez Sąd Rejonowy Gdańsk – Północ
    w Gdańsku, VIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS:
    0000544763, posiadającą NIP: 5862294976, REGON: 360825279, zwaną dalej: „Talkersi.pl”.
  2. Podstawą do opracowania i wdrożenia dokumentu jest:
    a. ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia
    2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych
    i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
    (ogólne rozporządzenie o ochronie danych);
    b. Ustawa o ochronie danych osobowych z dnia 10 maja 2018 r. o ochronie danych osobowych;
  3. Przetwarzanie danych osobowych w Talkersi.pl jest dopuszczalne wyłącznie pod warunkiem
    przestrzegania ustawy o ochronie danych osobowych, RODO i wydanych na ich podstawie
    przepisów wykonawczych.
  4. Polityka Ochrony Danych Osobowych ma zastosowanie do ochrony zbiorów danych osobowych
    przetwarzanych w celu ich bezpiecznego wykorzystania oraz określa zasady korzystania z
    systemów informatycznych.

§ 2 Definicje

Określenia i skróty użyte w Polityce Ochrony Danych Osobowych oznaczają:

  1. RODO – ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27
    kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych
    osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
    (ogólne rozporządzenie o ochronie danych);
  2. Podmiot – Talkersi.pl Sp. z o.o.;
  3. Administrator Danych Osobowych – Talkersi.pl Sp. z o.o. zwany dalej „ADO”;
  4. system informatyczny – zespół środków technicznych (urządzenia komputerowe, drukujące,
    łączności, oprogramowanie), zespół zabezpieczeń środków technicznych, sieć informatyczna
    i udostępniane przez nią zasoby;
  5. bezpieczeństwo systemu informatycznego – wdrożenie środków organizacyjnych i technicznych
    w celu zabezpieczenia oraz ochrony danych osobowych przed ich udostępnieniem osobom
    nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem
    przepisów oraz nieuprawnioną zmianą, utratą, uszkodzeniem lub zniszczeniem danych;
  6. zbiór danych osobowych – dane osobowe zgromadzone w usystematyzowany sposób, pozwalający
    na łatwe dotarcie do konkretnej informacji;
  7. przetwarzanie danych osobowych – wykonywanie operacji na danych osobowych, takich jak:
    zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i ich
    usuwanie, niezależnie od formy, w jakiej wykonywane są te czynności;
  8. osoba upoważniona lub użytkownik systemu – osobę posiadającą upoważnienie wydane przez
    ADO lub uprawnioną przez niego osobę i dopuszczoną jako użytkownik do przetwarzania danych
    osobowych w systemie informatycznym w zakresie wskazanym w upoważnieniu, zwaną dalej
    „użytkownikiem”;
  9. osoby zatrudnione przy przetwarzaniu danych osobowych – wszystkie osoby, w tym użytkowników
    systemu informatycznego, mające dostęp do danych osobowych.

§ 3 Obszar przetwarzania danych osobowych

  1. Obszar przetwarzania danych osobowych w Podmiocie obejmuje budynek, pomieszczenia i części
    pomieszczeń, w których przetwarzane są dane osobowe (miejsca, w których wykonuje się
    operacje na danych osobowych, tj. wpisuje, zmienia, kopiuje), oraz miejsca, gdzie przechowuje się
    nośniki informacji zawierające dane osobowe (szafy z dokumentacją papierową, szafy zawierające
    elektroniczne nośniki informacji, pomieszczenia, w których składowane są uszkodzone nośniki
    danych);
  2. Obszar przetwarzania danych osobowych określony jest w „Wykazie pomieszczeń, w których
    przetwarzane są dane osobowe”, stanowiącym załącznik nr 1 do Polityki Ochrony Danych
    Osobowych. Wykaz ten prowadzony jest przez wyznaczonego w Talkersi.pl pracownika i zawiera
    następujące informacje:
    a. lokalizację budynku;
    b. określenie pracownika/działu /stanowiska w Podmiocie użytkującego dane pomieszczenie;
    c. wskazanie maksymalnej liczby osób pracujących w pomieszczeniu;
    d. określenie zabezpieczeń pomieszczenia.
  3. Obszar przetwarzania danych oraz warunki ochrony tego obszaru określone zostały w załączniku nr
    2 do Polityki Ochrony Danych Osobowych „Zasady ochrony pomieszczeń, w których przetwarzane
    są dane osobowe”.

§ 4 Wykaz zbiorów danych przetwarzanych w Podmiocie i programów zastosowanych do przetwarzania danych

  1. Wykaz zbiorów danych przetwarzanych w Podmiocie określony został w załączniku nr 3 do Polityki
    Ochrony Danych Osobowych – „Wykaz zasobów danych osobowych i systemów ich przetwarzania”.
    Wykaz ten zawiera następujące informacje:
    a. nazwę zbioru danych;
    b. określenie systemu przetwarzania danych osobowych;
    c. lokalizację miejsca przetwarzania danych osobowych;
    d. stosowane przy przetwarzaniu danych osobowych oprogramowanie;
    e. precyzyjny zakres danych osobowych w systemie,
  2. Szczegółowe informacje dotyczące stosowanego sprzętu oraz oprogramowania danego systemu
    informatycznego są zawarte w paragrafach odnoszących się do instrukcji zarządzania systemem
    informatycznym.

§ 5 Opis struktury zbiorów danych i sposób przepływu danych pomiędzy poszczególnymi systemami

  1. Przetwarzanie danych osobowych odbywa się na serwerze i na stacjach roboczych użytkowników.
  2. Główne serwery znajdują się pod adresem: Talkersi.pl Sp. z o.o. przy ul. 10 lutego 27/3, 81-364
    Gdynia.
  3. W ramach procesów przetwarzania danych może dochodzić do przepływu danych pomiędzy
    różnymi systemami informatycznymi. Informacje na temat przepływu danych pomiędzy różnymi
    systemami informatycznymi znajdują się w „Wykazie zasobów danych osobowych i systemów ich
    przetwarzania”, o którym mowa w § 4 ust. 1”.

§ 6 Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzania danych osobowych

W systemie informatycznym obowiązują narzucone przez ADO zabezpieczenia. Szczegółowe
omówienie środków zabezpieczenia technicznego i organizacyjnego znajduje się w paragrafach
odnoszących się do instrukcji zarządzania systemem informatycznym.

§ 7 Zadania Administratora Danych Osobowych

Do obowiązków ADO należą w szczególności:

  1. obowiązek informacyjny wobec osoby, której dane dotyczą;
  2. dochowanie szczególnej staranności przy przetwarzaniu danych osobowych w celu ochrony
    interesów osób, których dane dotyczą;
  3. udzielanie, w określonych terminach, informacji o celu i zakresie przetwarzanych danych
    osobowych;
  4. uzupełnianie, uaktualnienie, sprostowanie danych, czasowego lub stałego wstrzymania
    przetwarzania kwestionowanych danych lub ich usunięcie ze zbioru, przeniesienie danych gdy
    zażąda tego osoba, której dane są przetwarzane przez ADO;
  5. stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych
    danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;
  6. kontrola wprowadzania danych do zbioru i przekazywania danych;
  7. prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych;
  8. prowadzenie rejestru czynności przetwarzania danych osobowych (zgodnie z art. 30 RODO);
  9. kontrola zastosowanych środków technicznych i organizacyjnych w stosunku do zakresu
    przetwarzanych danych;
  10. kontrola zmian przepisów prawnych odnoszących się do zakresu działalności Podmiotu;
  11. zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
    a. informowanie organu nadzorczego o podejrzeniu naruszeń;
    b. sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych
    osobowych;
    c. nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania
    danych osobowych i środki zapewniające ochronę przetwarzanych danych osobowych oraz
    przestrzegania zasad w niej określonych;
    d. zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych
    z przepisami o ochronie danych osobowych.§ 8

§ 8 Uzyskiwanie danych osobowych

Dane osobowe przetwarzane w Podmiocie mogą być uzyskiwane bezpośrednio od osób, których te
dane dotyczą, lub z innych źródeł, w granicach dozwolonych przepisami prawa.

§ 9 Wykorzystanie danych osobowych

  1. Zebrane dane osobowe mogą być wykorzystane wyłącznie do celów, dla jakich były, są lub będą
    zbierane i przetwarzane. Po wykorzystaniu dane osobowe powinny być usunięte lub
    przechowywane w formie uniemożliwiającej identyfikację osób, których dotyczą.
  2. W przypadku konieczności udostępnienia dokumentów i danych, wśród których znajdują się dane
    osobowe niemające bezpośredniego związku z celem udostępnienia, należy bezwzględnie
    dokonać anonimizacji tych danych osobowych.
  3. Na żądanie osoby której dane są przetwarzane, ADO dokonuje przeniesienia danych.

§ 10 Obowiązek uzupełniania danych osobowych

W przypadku, gdy dane osobowe są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane
z naruszeniem obowiązujących przepisów albo są zbędne do realizacji celu, dla którego zostały
zebrane, ADO jest zobowiązany do ich uzupełnienia, uaktualnienia, sprostowania, usunięcia lub
anonimizacji.

§ 11 Obowiązek informacyjny, odpowiedzialność pracowników

  1. Pracownicy Podmiotu są odpowiedzialni za poinformowanie osób, których dane osobowe
    przetwarzają, o:
    a. adresie rejestrowym i korespondencyjnym ADO;
    b. celu zbierania danych;
    c. dobrowolności lub o podstawie prawnej przetwarzania danych;
    d. prawnie uzasadnionym interesie realizowanym przez administratora lub przez stronę trzecią –
    jeżeli przetwarzanie odbywa się na podstawie prawnie usprawiedliwionego interesu ADO;
    e. odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
    f. transferze danych do państwa trzeciego;
    g. okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, o
    kryteriach ustalania tego okresu;
    h. prawie do:
    – żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane
    dotyczą,
    – ich sprostowania, usunięcia lub ograniczenia przetwarzania;
    – wniesienia sprzeciwu wobec przetwarzania;
    – przenoszenia danych;
    i. prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem
    przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem jeżeli
    przetwarzanie odbywa się na podstawie zgody na przetwarzanie danych zwykłych (art. 6 ust. 1
    lit. a) RODO) lub szczególnej kategorii (art. 9 ust. 2 lit. a) RODO);
    j. prawie wniesienia skargi do organu nadzorczego;
    k. informacji, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub
    warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich
    podania i jakie są ewentualne konsekwencje niepodania danych;
    l. informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym
    mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje
    o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego
    przetwarzania dla osoby, której dane dotyczą.
  2. W przypadku zbierania danych osobowych nie bezpośrednio od osoby, której one dotyczą, osobę
    tę należy dodatkowo poinformować o źródle pochodzenia danych osobowych, a jeżeli ma to
    zastosowanie, o pochodzeniu ich ze źródeł powszechnie dostępnych oraz kategoriach odnośnych
    danych osobowych. O ile to możliwe w przypadku pozyskiwaniu tych danych innych osób od
    pracownika Talkersi.pl, jest on zobowiązany w każdym przypadku przekazać Talkersi.pl
    potwierdzenie zapoznania tej osoby z ww. informacjami wraz z pisemną zgodą tej osoby na przetwarzanie jej danych, jeśli jest wymagana. W innym przypadku Talkersi.pl odmówi przyjęcia takich danych.
  1. Wzór formularza stosowanego dla spełnienia obowiązków, o których mowa w ust. 1 i 2, stanowi
    załącznik nr 4 do Polityki Ochrony Danych Osobowych.

§ 12 Zgoda na przetwarzanie danych osobowych

Materiały dotyczące innej niż główna działalności Talkersi.pl mogą być wysyłane tylko do tych osób,
które wcześniej wyraziły zgodę na przetwarzanie ich danych osobowych w tym celu.

§ 13 Dane osobowe w procesie rekrutacji oraz w procesach kadrowych

  1. Talkersi.pl jest administratorem danych osobowych osób fizycznych gromadzonych w procesach
    rekrutacji oraz w związku z zatrudnieniem osób fizycznych.
  2. W ogłoszeniach o pracę Talkersi.pl zamieszcza klauzulę informacyjną dla kandydatów o brzmieniu
    wskazanym w załączniku nr 5 dni niniejszej Polityki Ochrony Danych Osobowych. Każde takie
    ogłoszenie jest drukowane, celem wykazania spełnienia obowiązku informacyjnego.
  3. W procesie rekrutacji Talkersi.pl zbiera takie dane, jak: imię, nazwisko, adres zamieszkania (ulica,
    numer, kod pocztowy, miejscowość, województwo), numer telefonu, adres email, data urodzenia,
    doświadczenie zawodowe, zainteresowania.
  4. Kandydaci do pracy w Talkersi.pl w procesie rekrutacji są zobowiązani podpisać (bądź
    zaakceptować) zgodę na przetwarzanie ich danych osobowych oraz potwierdzić otrzymanie ADO
    informacji dotyczących przetwarzania ich danych osobowych na załączniku nr 5 do niniejszej
    Polityki Ochrony Danych Osobowych. Dokument zgody wraz z oświadczeniem jest włączany do akt
    osobowych pracownika. Wzór formularza zgody stanowi załącznik nr 6 do niniejszej Polityki
    Ochrony Danych Osobowych.
  5. Ilekroć pracownik przekazuje Talkersi.pl dane innej osoby jako kandydata do pracy, Talkersi.pl
    uzyskuje za pośrednictwem tego pracownika zgodę tej osoby na przetwarzanie danych wraz
    z potwierdzeniem otrzymania wszelkich informacji w ramach ciążącego na Talkersi.pl obowiązku
    informacyjnego (wg wzoru stanowiącego załącznik nr 4). Przekazanie wraz z CV podpisanego przez
    kandydata oświadczenia jest warunkiem przyjęcia takiej kandydatury od pracownika.
  6. Zbiór danych rekrutacyjnych istnieje na serwerze pocztowym i w historii korespondencji e – mail
    osoby upoważnionej do prowadzenia rekrutacji, a także – wyłącznie w odniesieniu do
    kandydatów, z którymi przeprowadzana jest rozmowa kwalifikacyjna – w formie papierowej (CV
    drukuje wyłącznie HR, COO, Rekruter lub osoba odpowiedzialna za wdrożenie nowego
    pracownika.
  7. Osoby, które otrzymały CV za pośrednictwem serwera pocztowego w ramach danego procesu
    rekrutacji, o ile dane CV nie zostanie usunięte bez dalszego przetwarzania z uwagi na wstępną
    eliminację, oznaczają wszelką korespondencję otrzymaną od kandydata flagą monitorującą o
    nazwie: „dane osobowe rekrutacja” lub korespondencje pochodzącą od lub przesłaną do
    wiadomości na dedykowany do rekrutacji adres e – mail. Nie rzadziej niż raz na 3 miesiące osoby
    upoważnione do brania udziału w procesie rekrutacji dokonują przeglądu korespondencji e – mail
    i usuwają oflagowaną korespondencję e – mail zawierającą CV danej osoby oraz inną
    korespondencję zawierającą jej dane. Wydrukowane CV kandydatów, którzy nie zostali zatrudnieni
    w trakcie danej rekrutacji są niszczone po zakończeniu rekrutacji, chyba, że z kandydat wyraził
    zgodę na wykorzystanie jego CV w przyszłych rekrutacjach. Na skrzynce pocztowej e – mail
    dedykowanej do procesu rekrutacji archiwizowana jest wszelka korespondencja związana z
    rekrutacją, w tym dane osobowe kandydatów, w celu obrony przed ewentualnymi roszczeniami
    osób trzecich, w szczególności w zakresie dyskryminacji w zatrudnieniu. Dostęp do skrzynki
    pocztowej, o której mowa w zdaniu poprzednim, ma wyłącznie HR i Zarząd ADO.
  8. ADO jako Pracodawca przetwarza następujące dane pracowników: imię, nazwisko, adres
    zamieszkania (ulica, numer, kod pocztowy, miejscowość, województwo), numer telefonu, adres
    email, data urodzenia, doświadczenie zawodowe (potwierdzone świadectwami pracy –
    kserokopia), wykształcenie (potwierdzone dyplomem ukończenia – kserokopia), zainteresowania
    (w CV), informacje o stanie zdrowia (zaświadczenie lekarskie), numer konta bankowego,
    informacje o odbytym szkoleniu BHP, PESEL, NIP, informacje o dzieciach (imiona,
    numery PESEL), listy płac, wnioski o podwyżki, wnioski o urlop, zaświadczenia L4, listy obecności.
  9. Przy zawarciu umowy o pracę Talkersi.pl informuje pracownika na piśmie o celach zbierania
    powyższych danych oraz przekazuje inne wymagane informacje w formie pisemnej, zgodnie
    z załącznikiem nr 4a, a podpisana przez pracownika klauzula informacyjna włączana jest przez do
    akt osobowych pracownika.
  10. Zbiór danych osobowych pracowników istnieje w formie papierowej (akta osobowe), zaś osób
    zatrudnionych lub współpracujących z ADO – na serwerze Talkersi.pl przez.
  11. Dane osobowe pracowników są przekazywane:
    a. do ZUS, US i innych podmiotów publicznych– w związku z obowiązkami wynikającymi
    z przepisów prawa, zgoda nie jest wymagana;
    b. firmom szkoleniowym (Talkersi.pl uzyskuje zgodę pracownika);
    c. klientom (Talkersi.pl uzyskuje zgodę pracownika);
  12. Dane osobowe obejmujące imię i nazwisko, opis kompetencji i doświadczenia zawodowego
    pracownika oraz wizerunek pracownika, a także nagranie wizerunku i głosu pracownika w celu
    promocji działań Talkersi.pl, informowania o kadrze pracowników Talkersi.pl oraz osiągnięciach
    Pracowników udostępniane są na stronach internetowych:
    www.e-korepetycje.net,
    www.talkersi.pl,
    www.facebook.com/talkersi,
    www.facebook.com/wiktor.jodlowski,
    www.facebook.com/groups/przelamangielski,
    www.instagram.com/realtalkersi,
    www.instagram.com/wiktorjodlowski,
    w celu promocji działań Talkersi.pl, informowania o kadrze pracowników Talkersi.pl oraz
    osiągnięciach Pracowników (Talkersi.pl uzyskuje zgodę pracownika);
  13. Dane pracowników lub współpracowników są przechowywane wyłącznie przez okres zatrudnienia
    oraz okres wymagany przez przepisy prawa (w szczególności na potrzeby ustalania obowiązków
    podatkowych oraz uprawnień do rent i emerytur). Pomieszczenia archiwum znajdują się w
    zamykanym na klucz pomieszczeniu, a dane przekazywane do archiwum są każdorazowo
    rejestrowane przez HR.
  14. Przetwarzanie takich danych jak stan zdrowia, sytuacja rodzinna lub innych danych wrażliwych (na
    potrzeby wypłaty środków z ZFŚS, na potrzeby ubezpieczeń grupowych, medycyny pracy, do
    oceny zdolności pracownika do pracy, zapewnienia opieki zdrowotnej lub zabezpieczenia
    społecznego) odbywa się wyłącznie z udziałem HR, zobowiązanego do zachowania tajemnicy, po
    uzyskaniu zgody, której wzór stanowi załącznik 7 do niniejszej Polityki Ochrony Danych
    Osobowych. Ilekroć pracownik przekazuje Talkersi.pl dane innej osoby, Talkersi.pl uzyskuje za
    pośrednictwem tego pracownika zgodę tej osoby na przetwarzanie danych wraz z potwierdzeniem
    otrzymania wszelkich informacji w ramach ciążącego na Talkersi.pl obowiązku informacyjnego (wg
    wzoru stanowiącego załącznik nr 4).

§ 14 Osoby uprawnione do wglądu do danych osobowych

  1. ADO udostępnia dane osobowe przetwarzane we własnych zbiorach tylko osobom lub podmiotom
    uprawnionym do ich otrzymania na mocy przepisów prawa.
  2. Dane osobowe mogą być udostępniane w następujących przypadkach:
    a. na podstawie wniosku od podmiotu uprawnionego do otrzymywania danych osobowych na podstawie przepisów;
    b. na podstawie umowy z innym podmiotem, w ramach której istnieje konieczność udostępnienia danych;
    c. na podstawie wniosku osoby, której dane dotyczą.
  1. Wniosek o udostępnienie danych osobowych powinien zawierać informacje umożliwiające
    wyszukanie żądanych danych osobowych w zbiorze oraz wskazywać ich zakres i przeznaczenie.
  2. Udostępniając dane osobowe, należy zaznaczyć, że można je wykorzystać wyłącznie zgodnie
    z przeznaczeniem, dla którego zostały udostępnione.
  3. W przypadku żądania udzielenia informacji na temat przetwarzanych danych osobowych na
    wniosek pochodzący od osoby, której dane dotyczą, odpowiedź na wniosek następuje w terminie
    najkrótszym z możliwych, nie dłuższym niż 7 dni od daty jego otrzymania.
  4. Wyznaczony w Talkersi.pl pracownik jest odpowiedzialny za przygotowanie danych osobowych do
    udostępnienia w zakresie wskazanym we wniosku.

§ 15 Odmowa udostępnienia danych osobowych

Odmowa udostępnienia danych osobowych następuje wówczas, gdy spowodowałoby to istotne
naruszenia dóbr osobistych osób, których dane dotyczą, lub innych osób oraz jeżeli dane osobowe
nie mają istotnego związku ze wskazanymi we wniosku motywami działania wnioskodawcy.

§ 16 Obowiązek posiadania upoważnienia

  1. Do przetwarzania danych mogą być dopuszczeni pracownicy Podmiotu posiadający upoważnienie
    nadane przez Zarząd. Wzór upoważnienia określa załącznik nr 8 do Polityki Ochrony Danych
    Osobowych.
  2. Pracownik Działu Kadr w Talkersi.pl prowadzi ewidencję osób upoważnionych do przetwarzania
    danych osobowych. Wzór ewidencji stanowi załącznik nr 9 do Polityki Ochrony Danych
    Osobowych.
  3. Upoważnienia otrzymują jedynie pracownicy którzy odbyli szkolenie z zakresu ochrony danych
    osobowych oraz procedur stosowanych w Podmiocie.

§ 17 Przechowywanie imiennych upoważnień do przetwarzania danych osobowych
ADO zobowiązany jest do zbierania, ewidencjonowania i przechowywania:

  1. oświadczeń osób przetwarzających dane osobowe o zachowaniu w tajemnicy danych, z którymi
    mają styczność, oraz środkach bezpieczeństwa stosowanych przy przetwarzaniu danych
    osobowych;
  2. oświadczeń osób zatrudnianych na podstawie umowy zlecenia, umowy o dzieło lub innej umowy
    cywilnej o zachowaniu tajemnicy;
  3. porozumień zawartych z osobami zatrudnionymi przy przetwarzaniu danych osobowych w zakresie
    wykorzystania oddanego im do dyspozycji sprzętu informatycznego, oprogramowania oraz
    zasobów sieci informatycznej; wzór formularza porozumienia stanowi załącznik nr 10 do Polityki
    Ochrony Danych Osobowych.

§ 18 Powierzenie przetwarzania danych osobowych

  1. Powierzenie przetwarzania danych osobowych odbywa się zgodnie z aktualnie obowiązującymi
    przepisami prawnymi na podstawie umowy (zawartej na piśmie lub drogą elektroniczną)
    pomiędzy ADO a podmiotem, któremu zleca się czynności związane z przetwarzaniem danych
    osobowych.
  2. W projekcie umowy powierzenia przetwarzania danych osobowych należy określić zakres
    czynności związanych z przetwarzaniem powierzonych danych osobowych, zakres danych oraz
    wymagania dotyczące ochrony danych.
  3. Każda osoba delegowana do wykonywania zadań na rzecz Podmiotu, związanych z powierzeniem
    przetwarzania danych osobowych, obowiązana jest podpisać oświadczenie o zachowaniu
    w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. Wzór umowy powierzenia
    przetwarzania danych stanowi załącznik nr 11 do Polityki Ochrony Danych Osobowych.

§ 19 Obowiązki podmiotu przetwarzającego dane osobowe

  1. Podmiot przetwarzający dane osobowe jest zobowiązany do zastosowania środków
    organizacyjnych i technicznych, zabezpieczających zbiór przed dostępem osób nieupoważnionych
    na zasadach określonych w obowiązujących przepisach prawa.
  2. Podmiot, o którym mowa w ust. 1, jest zobowiązany przetwarzać dane osobowe wyłącznie
    w zakresie określonym w umowie.
  3. Podmiot przetwarzający dane osobowe ponosi odpowiedzialność za ochronę przetwarzanych
    danych osobowych.
  4. Pracownicy decydujący o wyborze podmiotu przetwarzającego kierują się kryteriami
    zapewniającymi wybór podmiotów gwarantujących bezpieczeństwo powierzonych danych.

§ 20 Zasady stosowane przy przetwarzaniu danych osobowych

  1. ADO ustala rozwiązania techniczne i organizacyjne gwarantujące, że dane osobowe są:
    a. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane
    dotyczą;
    b. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej
    w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie
    publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest
    uznawane w myśl art. 89 ust. 1 RODO za niezgodne z pierwotnymi celami („ograniczenie
    celu”);
    c. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są
    przetwarzane („minimalizacja danych”);
    d. prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby
    dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały
    niezwłocznie usunięte lub sprostowane („prawidłowość”);
    e. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez
    okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane
    osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie
    do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych
    lub do celów statystycznych na mocy art. 89 ust. 1 RODO, z zastrzeżeniem że wdrożone
    zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
    f. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
  1. ADO jest odpowiedzialny za przestrzeganie zasad ustalonych w ust. 1 i musi być w stanie wykazać
    ich przestrzeganie („rozliczalność”).

§ 21 Podmioty, którym ADO powierzy przetwarzanie danych osobowych

Dane osobowe na podstawie zawartej przez ADO umowy powierzenia przetwarzania danych zostaną
powierzone między innymi następującym podmiotom:
a. Primeon (platforma do zarządzania szkołą – e-dziennik, rozliczenia);
b. Taxxo (platforma do wystawiania faktur);
c. Fresh Mail (platforma do wysyłki maili cyklicznych w ramach kursu LHTL);
d. LINK Mobility Poland (platforma do wysyłki SMS cyklicznych w ramach kursu LHTL);
e. Word Press (platforma wspierająca wysyłkę SMS poprzez LINK Mobility Poland);
f. Autenti (platforma do podpisywania dokumentów przez internet).
g. HubSpot Ireland LTD. (platforma CRM).

§ 22 Procedura nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień
w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności

  1. Podstawą do nadania uprawnień do przetwarzania danych osobowych w systemie informatycznym
    podmiotu jest upoważnienie do przetwarzania danych osobowych. Upoważnienie wydawane jest
    przez ADO.
  2. Upoważnienie wydawane jest na wniosek przełożonego danego pracownika.
  3. ADO, a w jego imieniu w szczególności bezpośredni przełożony, pracownik działu Kadr (HR):
    a. w przypadku gdy dana osoba otrzymuje po raz pierwszy upoważnienie do przetwarzania
    danych osobowych informuje ją o obowiązkach związanych z zapewnieniem ochrony danych
    osobowych;
    b. odbiera od powyższej osoby podpis pod upoważnieniem do przetwarzania danych osobowych
    i oświadczeniem o zapoznaniu się z obowiązującymi zasadami ochrony danych osobowych.
  4. ADO prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych w systemie
    informatycznym.
  5. Uprawnienia dostępu do systemu informatycznego nadawane są na podstawie wniosku
    przełożonego danego pracownika.
  6. Za nadanie uprawnień w systemie informatycznym odpowiada Specjalista ds. IT. Uprawnienia nie
    mogą być nadane w przypadku, jeżeli dana osoba nie posiada upoważnienia do przetwarzania
    danych osobowych w wymaganym zakresie. Kierując prośbę o nadanie uprawnień Specjalista ds.
    Kadr i Płac lub przełożony pracownika weryfikuje istnienie i zakres upoważnienia.
  7. Specjalista ds. IT informuje osobę wnioskującą o fakcie nadania lub odmowy nadania uprawnień.
  8. W przypadku nadawania użytkownikowi uprawnień do danego systemu informatycznego po raz
    pierwszy, Specjalista ds. IT dokonuje nadania użytkownikowi identyfikatora, wygenerowania hasła
    oraz wpisania przydzielenia indywidualnego identyfikatora do ewidencji osób upoważnionych do
    przetwarzania danych osobowych danemu użytkownikowi.
  9. Identyfikator użytkownika w systemie informatycznym musi być unikalny. Nie może być to
    identyfikator, który w przeszłości był już stosowany w systemie informatycznym. Sprawdzenie unikalności identyfikatora odbywa się na podstawie ewidencji osób upoważnionych do przetwarzania danych osobowych.
  10. Hasło użytkownika jest przydzielane indywidualnie każdemu z użytkowników i znane jest tylko użytkownikowi, który się nim posługuje.
  11. Specjalista ds. IT przekazuje użytkownikowi identyfikator i hasło.
  12. Użytkownik jest zobowiązany do zmiany hasła przy pierwszym dostępie do systemu informatycznego.

§ 23 Procedura odbierania uprawnień do przetwarzania danych w systemie informatycznym


W przypadku konieczności odebrania lub zmiany zakresu upoważnienia – w związku ze zmianą
zakresu obowiązków służbowych pracownika lub zakończeniem pracy – Specjalista ds. IT wykonuje
powyższe czynności.

§ 24 Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem

  1. Użytkownicy systemu informatycznego przetwarzającego dane osobowe wykorzystują w procesie
    uwierzytelnienia identyfikatory i hasła.
  2. Identyfikator jest w sposób jednoznaczny przypisany użytkownikowi i nie podlega zmianie.
  3. Nowe hasło jest przekazywane użytkownikowi przez Specjalista ds. IT.
  4. Po zalogowaniu do systemu z wykorzystaniem otrzymanego hasła użytkownik jest zobowiązany do
    dokonania jego natychmiastowej zmiany, nawet jeżeli system informatyczny nie wymusza takiego
    działania.
  5. Hasła dostępu do systemu informatycznego muszą spełniać poniższe warunki:
    a. posiadać długość co najmniej 6 znaków;
    b. zawierać minimum 2 cyfry i minimum 2 litery;
    c. musi różnić się od poprzednio używanych.
  6. Hasło jest zmieniane przez użytkownika nie rzadziej niż co 6 miesięcy lub niezwłocznie w
    przypadku podejrzenia, iż mogły z nim się zapoznać nieuprawnione osoby.
  7. Użytkownik zobowiązany jest do:
    a. nieujawniania hasła innym osobom, w tym innym użytkownikom;
    b. zachowania hasła w tajemnicy, również po jego wygaśnięciu;
    c. niezapisywania hasła;
    d. postępowania z hasłami w sposób uniemożliwiający dostęp do nich osobom trzecim;
    e. przestrzegania zasad dotyczących jakości i częstości zmian hasła;
    f. wprowadzania hasła do systemu w sposób minimalizujący podejrzenie go przez innych
    użytkowników systemu.
  8. W przypadku zapomnienia hasła użytkownik powinien zwrócić się do Specjalisty ds. IT
    o wygenerowanie nowego hasła.
  9. W przypadku podejrzenia zapoznania się z hasłem przez osobę nieuprawnioną użytkownik jest
    zobowiązany do natychmiastowej zmiany hasła oraz powiadomienia o zaistniałym fakcie ADO za
    bezpośredniego przełożonego, Kierownika ds. administracji lub Specjalisty ds. IT.

§ 25 Procedura rozpoczęcia, zawieszenia i zakończenia pracy przeznaczona dla użytkowników systemu

Rozpoczynając pracę w systemie informatycznym przetwarzającym dane osobowe, użytkownik:

  1. uruchamia komputer;
  2. wprowadza niezbędne do pracy identyfikatory i hasła;
  3. hasła są wprowadzane w sposób minimalizujący ryzyko podejrzenia ich przez osoby trzecie;
  4. w przypadku problemów z rozpoczęciem pracy, spowodowanych odrzuceniem przez system
    wprowadzonego identyfikatora i hasła, natychmiast kontaktuje się ze Specjalistą ds. IT;
  5. w przypadku niestandardowego zachowania aplikacji przetwarzającej dane osobowe pracownik
    natychmiast powiadamia o zaistniałym fakcie Specjalistę ds. IT;
  6. zawieszając pracę w systemie informatycznym (w tym odchodząc od stanowiska pracy),
    użytkownik blokuje stację roboczą. Kontynuacja pracy może nastąpić po odblokowaniu stacji
    roboczej po wprowadzeniu hasła, w sposób gwarantujący jego niepodejrzenie przez osoby trzecie;
  7. opuszczając pomieszczenie, w którym przetwarzane są dane osobowe, pracownik zobowiązany
    jest do zamknięcia pomieszczenia na klucz, jeżeli w pomieszczeniu tym nie przebywa inna osoba
    upoważniona do przebywania w tym pomieszczeniu. Zabronione jest pozostawianie bez nadzoru
    w pomieszczeniach, w których przetwarzane są dane osobowe, osób nieupoważnionych;
  8. kończąc pracę w systemie informatycznym, pracownik wylogowuje się ze wszystkich aplikacji,
    z których korzystał, wyłącza stację roboczą i zabezpiecza nośniki danych. W przypadku gdy
    pracownik jest ostatnią osobą opuszczającą pomieszczenie, sprawdza zamknięcie okien, zamyka
    na klucz drzwi do pomieszczenia.

§ 26 Procedura tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania

  1. Za tworzenie i przechowywanie kopii zapasowych odpowiedzialny jest Specjalista ds. IT.
  2. Kopie zapasowe systemów przetwarzających dane osobowe są tworzone według harmonogramu
    opisanego przez Specjalistę ds. IT.
  3. Kopie zapasowych oznaczane są w sposób umożliwiający określenie daty utworzenia kopii oraz
    nazwy systemu.
  4. Nośniki z kopiami zapasowymi są odpowiednio zabezpieczane.
  5. Utworzone kopie zapasowe podlegają weryfikacji ze względu na sprawdzenie możliwości odczytu
    danych.
  6. Specjalista ds. IT określa czas przechowywania poszczególnych kopii zapasowych, w zależności od
    celu przetwarzania danych zapisanych na kopiach zapasowych.
  7. Specjalista ds. IT jest odpowiedzialny za realizację działań odtworzeniowych w przypadku
    konieczności podjęcia takich działań w związku z awarią systemu informatycznego podmiotu. Po
    odtworzeniu systemu informatycznego Specjalista ds. IT jest odpowiedzialny za przeprowadzenie
    testów poprawności działania systemu przed jego oddaniem do użytkowania.
  8. Specjalista ds. IT przeprowadza weryfikację możliwości odtworzenia danych zapisanych na kopiach
    zapasowych. Weryfikacja taka powinna być przeprowadzana nie rzadziej niż raz na pół roku.

§ 27 Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz nośników kopii zapasowych

  1. Dane osobowe przechowywane są w postaci elektronicznej na:
    a. nośnikach elektronicznych wbudowanych w sprzęt informatyczny lub stanowiących element
    tego systemu,
    b. przenośnych nośnikach elektronicznych.
  2. Dane przechowywane są na nośnikach przenośnych jedynie w przypadkach, gdy jest to konieczne,
    przez czas niezbędny do spełnienia celu, w jakim zostały one na nośniku zapisane. Po ustaniu czasu
    przechowywania zawartość nośnika podlega skasowaniu przy użyciu narzędzi zaakceptowanych
    do użycia w Talkersi.pl, a w przypadku nośników optycznych stosuje się niszczenie w niszczarkach
    umożliwiających niszczenie tego typu nośników.
  3. Dane osobowe w systemie informatycznym przechowywane są przez czas wymagany do spełnienia
    celu, dla którego są one przetwarzane. Po jego upływie dane podlegają skasowaniu lub
    anonimizacji.
  4. Przenośne elektroniczne nośniki informacji zawierające dane osobowe są przechowywane przez
    pracowników w sposób minimalizujący ryzyko ich uszkodzenia lub zniszczenia, w szczególności w
    zamykanych szafach i meblach biurowych.
  5. W przypadku wycofania sprzętu komputerowego z użycia dane osobowe na nim zapisane są
    kasowane przy użyciu dedykowanego oprogramowania do bezpiecznego usuwania danych
    dobranego przez Specjalistę ds. IT. W przypadku braku możliwości programowego usunięcia
    danych dysk podlega fizycznemu zniszczeniu. Za zniszczenie danych odpowiada Specjalista ds. IT.
    Zniszczenie nośnika jest potwierdzane protokołem przechowywanym przez Specjalistę ds. IT.
  6. Dopuszcza się powierzenie niszczenia nośników danych wyspecjalizowanym podmiotom
    zewnętrznym, pod warunkiem:
    a. zawarcia umowy;
    b. zagwarantowania poufności danych przez usługodawcę;
    c. umożliwienia prowadzenia nadzoru nad procesem niszczenia nośników przez Specjalistę ds.
    IT;
    d. udokumentowania faktu zniszczenia nośników protokołem.

§ 28 Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego
celem działania jest uzyskanie nieuprawnionego dostępu do systemu informatycznego

  1. W celu zabezpieczenia systemu informatycznego przed działaniem niebezpiecznego
    oprogramowania zabrania się:
    a. uruchamiania jakiegokolwiek oprogramowania, które nie zostało zatwierdzone do użytku
    w Talkersi.pl;
    b. samowolnego korzystania z nośników przenośnych;
    c. otwierania poczty elektronicznej, której tytuł nie sugeruje związku z pełnionymi obowiązkami
    służbowymi; w przypadkach wątpliwych należy skonsultować się ze Specjalistą ds. IT;
    d. korzystania z Internetu w celach niezwiązanych z pełnionymi obowiązkami służbowymi;
    e. podłączania komputerów do niezaufanych sieci zewnętrznych.
  2. W przypadku zauważenia objawów mogących wskazywać na obecność niebezpiecznego
    oprogramowania użytkownik jest zobowiązany powiadomić Specjalistę ds. IT. Do objawów
    powyższych można zaliczyć:
    a. istotne spowolnienie działania systemu informatycznego;
    b. nietypowe działanie aplikacji;
    c. nietypowe komunikaty;
    d. utratę danych lub modyfikację danych.
  3. System informatyczny jest zabezpieczony przed działaniem niebezpiecznego oprogramowania
    poprzez:
    a. oprogramowanie antywirusowe;
    b. zaporę sieciową;
    c. aktualizację oprogramowania systemowego;
    d. konfigurację oprogramowania minimalizującą ryzyko naruszenia bezpieczeństwa;
    e. szyfrowanie ruchu sieciowego z zewnątrz. dotyczącego danych osobowych;
    f. szyfrowanie dysków twardych komputerów przenośnych.
  4. Specjalista ds. IT jest odpowiedzialny za nadzór nad działaniem powyższych zabezpieczeń,
    a w szczególności za:
    a. weryfikację aktualności sygnatur systemu antywirusowego i podejmowanie ewentualnych
    działań korekcyjnych;
    b. weryfikację logów systemu antywirusowego i podejmowanie działań korekcyjnych;
    c. przegląd logów zapory sieciowej oraz podejmowanie działań mających na celu zablokowanie ataków sieciowych;
    d. weryfikację poprawności aktualizacji oprogramowania systemowego;
    e. dobór odpowiedniego algorytmu szyfrującego.

§ 29 Odnotowanie informacji o udostępnieniu danych osobowych

  1. Podmiot udostępnia dane osobowe jedynie w przypadkach prawnie dopuszczalnych.
  2. Odnotowanie faktu udostępnienia danych następuje poprzez powiadomienie pracownika
    o udostępnieniu danych, poprzez przekazanie informacji o dniu ››data‹‹ na podstawie
    ››podstawa‹‹”, wprowadzając zamiast zapisów w nawiasach klamrowych odpowiednie informacje.
  3. Podmiot prowadzi rejestr informacji o udostępnionych danych.

§ 30 Procedura wykonywania przeglądu i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych

  1. Przegląd i konserwacja sprzętu informatycznego realizowana jest przez upoważnionych
    pracowników podmiotu oraz przez podmioty zewnętrzne.
  2. Prace serwisowe wykonywane na terenie podmiotu przez podmioty zewnętrzne podlegają
    bezpośredniemu nadzorowi Specjalisty ds. IT.
  3. Przekazanie sprzętu teleinformatycznego do naprawy poza teren podmiotu jest dopuszczalne,
    jeżeli spełnione zostaną poniższe warunki:
    a. sprzęt przekazywany jest bez nośników zawierających dane osobowe, zaś fakt usunięcia
    nośników danych lub stwierdzenia braku nośników danych jest potwierdzany protokołem;
    b. przekazanie sprzętu potwierdzane jest protokołem lub innym dokumentem (np.
    korespondencją e- mail, poleceniem służbowym lub pokwitowaniem), pozwalającym na
    jednoznaczne wskazanie osoby przekazującej i osoby odbierającej sprzęt.
  4. Protokoły, o których mowa w punkcie 3, lub ich kopie przechowywane są przez Specjalistę ds. IT.
  5. Wszelkie prace serwisowe wykonywane przez podmioty zewnętrzne wymagają sporządzenia
    protokołu serwisowego, zawierającego w szczególności informacje dotyczące podmiotu
    przeprowadzającego prace serwisowe, zakres oraz czas przeprowadzania prac serwisowych.

§ 31 Określenie sytuacji naruszenia bezpieczeństwa danych osobowych

Przepisy kolejnych paragrafów stosuje się w przypadku:

  1. stwierdzenia naruszenia zabezpieczenia systemu informatycznego w obszarze danych osobowych;
  2. podejrzenia naruszenia bezpieczeństwa danych osobowych ze względu na stan urządzenia,
    zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub
    jakość komunikacji w sieci komputerowej.

§ 32 Określenie osób zobowiązanych

Zasady postępowania przypadku naruszenia bezpieczeństwa danych osobowych obowiązują
wszystkie osoby biorące udział w procesie przetwarzania danych osobowych.

§ 33 Określenie naruszenia zabezpieczenia systemu informatycznego

Naruszeniem zabezpieczenia systemu informatycznego, przetwarzającego dane osobowe jest każdy
stwierdzony fakt (lub podejrzenie) nieuprawnionego ujawnienia danych osobowych, udostępnienia
lub umożliwienia dostępu do nich osobom nieupoważnionym, zabrania danych przez osobę
nieupoważnioną, uszkodzenia jakiegokolwiek elementu systemu informatycznego, a w szczególności:

  1. nieautoryzowany dostęp do danych;
  2. nieautoryzowane modyfikacje lub zniszczenie danych;
  3. udostępnienie danych nieautoryzowanym podmiotom;
  4. nielegalne ujawnienie danych;
  5. pozyskiwanie danych z nielegalnych źródeł.
    § 34

Działania pracowników i ADO

  1. W przypadku stwierdzenia naruszenia zabezpieczenia systemu informatycznego lub zaistnienia
    sytuacji, które mogą wskazywać na naruszenie zabezpieczenia danych osobowych, każdy
    pracownik zatrudniony przy przetwarzaniu danych osobowych jest zobowiązany przerwać
    przetwarzanie danych osobowych i niezwłocznie powiadomić o tym fakcie kierownika jednostki
    oraz ADO (ewentualnie osobę przez niego upoważnioną) swojego przełożonego. Przełożony
    przekazuje przedmiotową informację do Kierownika d. Administracji.
  2. Zgłoszenie naruszenia ochrony danych osobowych powinno zawierać:
    a. opisanie działania wskazującego na naruszenie ochrony danych osobowych;
    b. określenie sytuacji i czasu, w jakim stwierdzono naruszenie ochrony danych osobowych;
    c. wskazanie istotnych informacji mogących wskazywać na przyczynę naruszenia;
    d. określenie znanych danej osobie sposobów zabezpieczenia systemu oraz wszelkich kroków
    podjętych po ujawnieniu zdarzenia.
  3. ADO podejmuje działania mające na celu:
    a. minimalizację negatywnych skutków zdarzenia;
    b. wyjaśnienie okoliczności zdarzenia;
    c. zabezpieczenie dowodów zdarzenia,
    d. umożliwienie dalszego bezpiecznego przetwarzania danych;
    e. określenie wpływu na naruszenie praw lub wolności osób fizycznych;
    f. poinformowanie organu nadzorczego oraz osób których dane dotyczą w przeciągu 48 godzin
    od stwierdzenia naruszenia (Obowiązek nie powstaje w przypadku, kiedy istnieje małe
    prawdopodobieństwo, że incydent skutkował ryzykiem naruszenia praw lub wolności osób
    fizycznych).
  4. Dla realizacji celów określonych w ust. 3 ADO ma prawo do podejmowania wszelkich działań
    dopuszczonych przez prawo, w szczególności:
    a. żądania wyjaśnień od pracowników;
    b. korzystania z pomocy konsultantów;
    c. nakazania przerwania pracy, zwłaszcza w zakresie przetwarzania danych osobowych.
  5. Kierownik jednostki podejmuje działania mające na celu:
    a. minimalizację negatywnych skutków zdarzenia;
    b. zabezpieczenie dowodów zdarzenia.
  6. Osoba wyznaczona przez ADO po opanowaniu sytuacji nadzwyczajnej opracowuje raport końcowy,
    zgodnie z załącznikiem nr 12 do niniejszej Polityki Ochrony Danych Osobowych, w którym
    przedstawia przyczyny i skutki zdarzenia oraz wnioski, w tym kadrowe, ograniczające możliwość
    wystąpienia zdarzenia w przyszłości. Kierownik ds. Administracji w Talkersi.pl prowadzi rejestr
    naruszeń.

§ 35 Odpowiedzialność służbowa i karna

  1. Pracownik, który przetwarza w zbiorze danych dane osobowe:
    a. do których przetwarzania nie jest upoważniony;
    b. których przetwarzanie jest zabronione;
    c. niezgodne z celem stworzenia zbioru danych;
    d. udostępnia lub umożliwia dostęp do danych osobowych osobom nieupoważnionym;
    e. nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o przysługujących jej
    prawach;
    f. uniemożliwia osobie, której dane dotyczą, korzystanie z przysługujących jej praw
    – podlega odpowiedzialności karnej zgodnie z obowiązującymi przepisami prawnymi oraz sankcjom
    określonym w Kodeksie Pracy.
  2. Naruszenie zasad ochrony danych osobowych obowiązujących w Podmiocie może również zostać
    uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych i skutkować
    odpowiedzialnością dyscyplinarną określoną w przepisach odrębnych.
  3. Naruszenie przepisów o ochronie danych osobowych jest zagrożone sankcjami karnymi.

§ 36 Postanowienia końcowe

  1. Niniejsza Polityka Ochrony Danych Osobowych została przyjęta i wdrożona przez ADO, a każdy
    pracownik zapoznany z jej treścią jest zobowiązany do wykonywania zawartych w niej
    obowiązków.
  2. Polityka Ochrony Danych Osobowych jest dokumentem wewnętrznym i nie może być
    udostępniana osobom trzecim.
  3. Polityka Ochrony Danych Osobowych wchodzi w życie z dniem podpisania.

The Personal Data Protection Policy

in force at the Talkersi.pl Sp. z o.o. with registered office in Gdynia

§ 1 General provisions

  1. This Personal Data Protection Policy is the set of rules and procedures applied to the processing
    and use of personal data in every personal data filing systems administrated by Talkersi.pl Sp. z
    o.o. with its registered office in Gdynia, Myśliwska Street 20B/5, entered in the National Court
    Register, kept by District Court Gdańsk – North in Gdańsk, VIII Commercial Department of the
    National Court Register under number: 0000544763, holding NIP: 5862294976, REGON:
    360825279, hereinafter referred to as: „Talkersi.pl”.
  2. The basis for creating and implementing the document is:
    a. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on
    the protection of natural persons with regard to the processing of personal data and on the
    free movement of such data, and repealing Directive 95/46/EC (General Data Protection
    Regulation);
    b. Personal Data Protection Act of 10 May 2018 r.
  3. Personal data processing in Talkersi.pl is permitted only in compliance with the personal data
    protection act, GDPR and issued on the basis implementing provisions.
  4. Personal Data Protection Policy shall apply to the protection of personal data files processing for
    the purpose of their safe usage and defines the terms and conditions of use of the IT systems.

§ 2 Definitions

The terms and the abbreviations in The Personal Data Protection Policy indicate:

  1. GDPR – Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016
    on the protection of natural persons with regard to the processing of personal data and on the
    free movement of such data, and repealing Directive 95/46/EC (General Data Protection
    Regulation);
  2. Entity – Talkersi.pl Sp. z o.o.;
  3. Personal Data Administrator – Talkersi.pl Sp. z o.o. hereinafter referred to as „PDA”;
  4. IT system – a set of technical measures (computer devices, printing devices, communication
    devices, software), a security set of technical measures, IT network and its provided resources;
  5. Security of the IT system – implementation of organisational and technical measures to secure and
    protect personal data against making them available to unauthorized persons, being taken by an
    unauthorized person, processing in violation of the regulations and unauthorized modification,
    being lost, damaged or destructed;
  6. Personal data filing system – personal data collected on a systematic manner, which allows
    easy access to specific information;
  7. Processing of personal data – performing operations on personal data, such as collection,
    recording, storage, developing, changing, sharing and removing them, regardless of the form of
    the performed operations;
  8. Authorised person or system user – a person having an authorization issued by the PDA or by
    authorised person and admitted as a user to process personal data in IT system in the scope
    indicated in this authorisation, hereinafter referred to as „user”;
  9. persons employed for processing of personal data – all persons, including the users of IT system,
    which have access to personal data.

§ 3 Area of personal data processing

  1. The area of personal data processing in entity includes the buildings, rooms and their parts in
    which personal data are processed (places in which operations on personal data shall be carried
    out, such as entering, changing, copying), or places in which information carriers with personal
    data are stored (cabinets with paper documentation, with electric information carriers, rooms in
    which damaged information carriers are stored);
  2. The area of data processing is specified in “The list of spaces of personal data processing”
    attached as Appendix 1 to The Personal Data Protection Policy. The list is kept by the designated
    staff member of Talkersi.pl and shall contain the following information:
    a. localisation of the buildings;
    b. designation of the employee/department/position in Entity working in a particular room;
    c. indication of the maximum number of persons working in the room;
    d. terms of room securities.
  3. The area of data processing and terms of room securities are specified in Appendix 2 to The
    Personal Data Protection Policy “Rules of protection of personal data processing rooms”.

§ 4 List of datasets processed by Entity and programs used for data processing

  1. The list of datasets processed by Entity are specified in Appendix 3 to The Personal Data
    Protection Policy – „The list of personal data assets and their processing systems”. This list shall
    contain the following information:
    a. name of the database;
    b. designation of the personal data processing system;
    c. localisation of the place of personal data processing;
    d. software used to process personal data;
    e. precise scope of personal data in system.
  2. Details of the used equipment and IT software are contained in paragraphs relating to the
    instruction for information system management.

§ 5 Description of the structure of the data sets and process of data flow between the various systems

  1. Processing of personal data takes place on the server and on users’ workstations.
  2. The main servers are located at: Talkersi.pl Sp. z o.o. at 10 Lutego Street 27/3, 81-364 Gdynia.
  3. As part of data processing processes, data may flow between different IT systems. Information on
    the flow of data between different IT systems is provided in the „List of personal data resources
    and data processing systems” referred to in § 4 section 1.”.

§ 6 Determination of technical and organizational measures necessary to ensure confidentiality, integrity and accountability of personal data processing

PDA-imposed safeguards apply to the IT system. For a detailed discussion of technical and
organizational security measures, see the paragraphs relating to the IT system management manual.

§ 7 Tasks of the Personal Data Administrator

The PDA’s responsibilities include, in particular:

  1. information obligation to the data subject;
  2. exercising special care in the processing of personal data to protect the interests of data subjects;
  3. providing, within specified time limits, information on the purpose and scope of the personal data
    processed;
  4. completion, updating, rectification of data, temporary or permanent suspension of processing of
    questioned data or their removal from the file, data transfer when requested by the person whose
    data is processed by the PDA;
  5. use of technical and organizational measures to ensure the protection of the processed personal
    data appropriate to the risks and categories of data protected;
  6. control of data entry into the collection and data transfer;
  7. keeping records of persons authorized to process personal data;
  8. keeping a register of personal data processing activities (in accordance with article 30 of the
    GDPR);
  9. control of the technical and organizational measures applied in relation to the scope of the
    processed data;
  10. control of changes in legislation relating to the scope of the Entity’s activities;
  11. ensuring compliance with data protection regulations, in particular by:
    a. informing the supervisory authority of suspected violations;
    b. verification of the compliance of personal data processing with data protection regulations;
    c. supervising the development and updating of documentation describing the manner of
    processing personal data and measures to ensure the protection of processed personal data,
    and compliance with the principles set out therein;
    d. ensuring that persons authorized to process personal data are familiarized with the
    regulations on personal data protection.

§ 8 Obtaining personal data

Personal data processed at the Entity may be obtained directly from data subjects or from other
sources, within the limits permitted by law.

§ 9 Use of personal data

  1. Personal data collected may only be used for the purposes for which it was, is or will be collected
    and processed. After use, personal data should be deleted or stored in a form that does not allow
    identification of the persons to whom they relate.
  2. If it is necessary to share documents and data, among which there are personal data not directly
    related to the purpose of sharing, it is imperative to anonymize this personal data.
  3. At the request of the person whose data is being processed, the PDA shall carry out the transfer of
    data.

§ 10 Obligation to complete personal data

If the personal data is incomplete, outdated, untrue or has been collected in violation of applicable
laws, or is unnecessary for the purpose for which it was collected, the PDA is obliged to complete,
update, rectify, delete or anonymize it.

§ 11 Information obligation, employee liability

  1. Employees of the Entity shall be responsible for informing the persons whose personal data they
    process about the following:
    a. the registration and mailing address of the PDA;
    b. purpose of data collection;
    c. voluntariness or about the legal basis for processing the data;
    d. legitimate interest pursued by the controller or by a third party – if the processing is based on
    the legitimate interest of PDA;
    e. recipients of personal data or categories of recipients, if any;
    f. transfer of data to a third country;
    g. the period for which personal data will be kept, and when this is not possible, the criteria for
    determining this period;
    h. the right to:
    – request from the controller access to personal data concerning the data subject, their rectification, erasure or restriction of processing;
    – to object to processing;
    – data portability;
    i. the right to withdraw consent at any time without affecting the lawfulness of the processing
    carried out on the basis of consent before its withdrawal if the processing is based on consent
    to the processing of ordinary data (article 6 section 1 letter a) of the GDPR) or special category
    (article 9 section 2 letter a) of the GDPR);
    j. the right to lodge a complaint with a supervisory authority;
    k. information on whether the provision of personal data is a statutory or contractual
    requirement or a condition for entering into a contract, and whether the data subject is
    obliged to provide such data and what are the possible consequences of failure to do so;
    l. information on automated decision-making, including profiling as referred to in article 22
    section 1 and 4 of the GDPR, and – at least in these cases – relevant information on the
    principles of decision-making, as well as the significance and anticipated consequences of
    such processing for the data subject.
  2. In the case of collection of personal data not directly from the person to whom it pertains, the
    person shall additionally be informed of the source of the personal data and, if applicable, the
    origin of the data from publicly available sources and the categories of personal data involved. As
    far as possible in the case of obtaining such data of other persons from an employee of Talkersi.pl,
    he/she is obliged in each case to provide Talkersi.pl with a confirmation of acquaintance of that
    person with the aforementioned information, together with the written consent of that person to
    the processing of his/her data, if required. Otherwise Talkersi.pl will refuse to accept such data.
  3. The model of the form used for the fulfilment of the obligations referred to in section 1 and 2, is
    attached as Appendix No. 4 to the Personal Data Protection Policy.

§ 12 Consent to processing of personal data

Materials relating to other than the main activities of Talkersi.pl may be sent only to those persons
who have previously agreed to the processing of their personal data for this purpose.

§ 13 Personal data in recruitment and human resources processes

  1. Talkersi.pl is the administrator of the personal data of natural persons collected in the recruitment
    processes and in connection with the employment of natural persons.
  2. Talkersi.pl shall include in job advertisements an information clause for candidates with the
    wording indicated in Appendix No. 5 to this Data Protection Policy. Each such announcement shall
    be printed to demonstrate compliance with the information obligation.
  3. In the recruitment process Talkersi.pl collects such data as: name, surname, address of residence
    (street, number, postal code, town, province), telephone number, email address, date of birth,
    work experience, interests.
  4. Candidates for employment at Talkersi.pl in the recruitment process are required to sign (or
    accept) consent to the processing of their personal data and confirm receipt of information to the
    PDA regarding the processing of their personal data on Appendix No. 5 to this Personal Data
    Protection Policy. The consent document, together with the statement, is included in the
    employee’s personal file. A specimen of the consent form is attached as Appendix No. 6 to this
    Personal Data Protection Policy.
  5. Whenever an employee provides Talkersi.pl with the data of another person as a job candidate,
    Talkersi.pl shall obtain, through that employee, the consent of that person to the processing of
    data together with confirmation of receipt of any information under Talkersi.pl’s obligation to
    provide information (according to the specimen attached as Appendix 4). Provision of the
    statement signed by the candidate along with the CV is a condition for acceptance of such
    candidacy from the employee.
  6. The recruitment dataset exists on the mail server and in the history of e – mail correspondence of
    the person authorized to conduct recruitment, as well as – only for candidates who are
    interviewed – in paper form (CVs are printed only by HR, COO, Recruiter or the person responsible
    for the implementation of the new employee).
  7. Persons who have received resumes via a mail server within a given recruitment process, unless
    the resume in question is deleted without further processing due to preliminaries, shall mark all
    correspondence received from the candidate with a monitoring flag named: „personal data
    recruitment” or correspondence originating from or sent to a dedicated recruitment e – mail
    address. At least once every 3 months, persons authorized to participate in the recruitment
    process shall review e – mail correspondence and remove flagged e – mail correspondence
    containing the person’s resume and other correspondence containing his/her data. Printed
    resumes of candidates who are not hired during a given recruitment process are destroyed after
    the recruitment process ends, unless the candidate has given permission for his or her resume to
    be used in future recruitments. The e – mailbox dedicated to the recruitment process archives all
    correspondence related to recruitment, including candidates’ personal data, for the purpose of
    defending against possible claims by third parties, particularly in the area of employment
    discrimination. Access to the mailbox referred to in the preceding sentence is available only to HR
    and PDS Management.
  8. PDA as an employer processes the following employee data: name, surname, address of residence
    (street, number, postal code, city, province), telephone number, email address, date of birth, work
    experience (confirmed by certificates of employment – photocopy), education (confirmed by a
    diploma of completion – photocopy), interests (in CV), health information (medical certificate),
    bank account number, information about completed safety training, PESEL, NIP, information about
    children (names, PESEL numbers), payrolls, requests for raises, requests for leave, L4 certificates,
    attendance lists.
  9. At the conclusion of the employment contract Talkersi.pl shall inform the employee in writing
    about the purposes of collecting the above data and provide other required information in
    writing, in accordance with Appendix No. 4a, and the information clause signed by the employee
    shall be included by the employee in his personal file.
  10. The collection of personal data of employees exists in paper form (personal files), while those
    employed or cooperating with PDA – on the server Talkersi.pl.
  11. Personal data of employees are transferred:
    a. to Social Insurance Institution, tax office and other public entities- in connection with the obligations under the law, consent is not required;
    b. to training companies (Talkersi.pl obtains the employee’s consent);
    c. to customers (Talkersi.pl obtains the employee’s consent);
  12. Personal data including the name, description of the employee’s competence and work experience and the employee’s image, as well as the recording of the employee’s image and voice for the purpose of promoting Talkersi.pl activities, informing about Talkersi.pl staff and the employee’s achievements are made available on the following websites:
    www.e-korepetycje.net,
    www.talkersi.pl,
    www.facebook.com/talkersi,
    www.facebook.com/wiktor.jodlowski,
    www.facebook.com/groups/przelamangielski,
    www.instagram.com/realtalkersi,
    www.instagram.com/wiktorjodlowski,
    for the purpose of promoting Talkersi.pl activities, informing about Talkersi.pl staff and employees’
    achievements (Talkersi.pl obtains the employee’s consent);
  13. The data of employees or co-workers are kept only for the period of employment and the period
    required by law (in particular for the purpose of determining tax obligations and pension
    entitlements). The archive premises are located in a lockable room, and the data transferred to
    the archive is recorded each time by HR.
  14. Processing of such data as health status, family situation or other sensitive data (for the purpose
    of disbursement of funds from the Company Social Benefits Fund, for the purposes of group
    insurance, occupational medicine, to assess an employee’s ability to work, to provide health care
    or social security) is carried out only with the participation of HR, bound to secrecy, after obtaining
    consent, the specimen of which is attached as Appendix 7 to this Data Protection Policy.
    Whenever an employee provides Talkersi.pl with the data of another person, Talkersi.pl shall
    obtain, through that employee, the consent of that person to the processing of data, together
    with confirmation of receipt of any information within the scope of Talkersi.pl’s obligation to
    provide information (according to the specimen attached as Appendix No. 4).

§ 14 Persons entitled to inspect personal data

  1. PDA makes personal data processed in its own files available only to persons or entities entitled to
    receive them under the law.
  2. Personal data may be shared in the following cases:
    a. based on a request from an entity authorized to receive personal data under the law;
    b. under a contract with another entity, under which there is a need to share data;
    c. based on the request of the data subject.
  3. The request for access to personal data should contain information that makes it possible to
    search for the requested personal data in the filing system and indicate its scope and purpose.
  4. When providing personal data, it must be noted that it can only be used for the purpose for which
    it was provided.
  5. In the case of a request for information on the processed personal data at the request coming
    from the data subject, the request shall be answered as soon as possible, no longer than 7 days
    from the date of its receipt.
  6. A designated employee at Talkersi.pl is responsible for preparing personal data for sharing to the
    extent indicated in the request.

§ 15 Refusal to share personal data

Access to personal data shall be denied if it would cause significant violations of the personal rights of
data subjects or other persons, and if the personal data are not substantially related to the motives of
the applicant as indicated in the request.

§ 16 Obligation to have an authorization

  1. Employees of the Entity with authorization granted by the Board may be allowed to process data.
    The template of the authorization is specified in Appendix No. 8 to the Personal Data Protection
    Policy.
  2. An employee of Talkersi.pl’s Human Resources Department keeps a record of persons authorized
    to process personal data. The specimen of the register constitutes attachment No. 9 to the
    Personal Data Protection Policy..
  3. Authorizations shall be given only to employees who have received training in the protection of
    personal data and procedures used in the Entity.

§ 17 Storage of named authorizations to process personal data

PDA is obliged to collect, record and store:

  1. declarations by personal data processors on maintaining the secrecy of the data they handle and
    the security measures used in processing personal data;
  2. declarations of persons employed on the basis of a contract of mandate, contract for specific work
    or other civil contract on maintaining secrecy;
  3. agreements concluded with persons employed in the processing of personal data with regard to
    the use of IT equipment, software and IT network resources put at their disposal; the specimen of
    the agreement form is attached as Appendix No. 10 to the Personal Data Protection Policy.

§ 18 Entrustment of personal data processing

  1. Entrusting the processing of personal data is carried out in accordance with current legislation on
    the basis of an agreement (concluded in writing or electronically) between the PDA and the entity
    to which personal data processing activities are outsourced.
  2. In the draft contract of entrustment of personal data processing, the scope of activities related to
    the processing of entrusted personal data, the scope of data and requirements for data protection
    should be specified.
  3. Each person delegated to perform tasks for the Entity, related to entrustment of personal data
    processing, shall be obliged to sign a statement on maintaining confidentiality of personal data
    and ways of securing them. The specimen contract of entrustment of data processing is attached
    as Appendix No. 11 to the Personal Data Protection Policy.

§ 19 Responsibilities of the personal data processor

  1. The personal data processor shall be obliged to apply organizational and technical measures to
    secure the collection against unauthorized access in accordance with the principles set forth in the
    applicable legislation.
  2. The entity referred to in section 1 is obliged to process personal data only to the extent specified
    in the agreement.
  3. The personal data processor is responsible for the protection of the processed personal data.
  4. Employees deciding on the choice of a processor are guided by criteria that ensure the selection
    of entities that guarantee the security of entrusted data.

§ 20 Principles applied to the processing of personal data

  1. PDA establishes technical and organizational solutions to ensure that personal data is:
    a. processed lawfully, fairly and in a transparent manner for the data subject;
    b. collected for specific, explicit and legitimate purposes and not further processed in a manner
    incompatible with those purposes; further processing for archival purposes in the public
    interest, for scientific or historical research, or for statistical purposes is not considered
    incompatible with the original purposes under article 89 section 1 of the GDPR („purpose
    limitation”);
    c. adequate, relevant and limited to what is necessary for the purposes for which they are
    processed („data minimization”);
    d. correct and updated as necessary; take all reasonable steps to ensure that personal data that
    is inaccurate in light of the purposes of its processing is promptly deleted or rectified
    („correctness”);
    e. kept in a form that allows identification of the data subject for no longer than necessary for
    the purposes for which the data are processed; personal data may be kept for longer periods
    insofar as they will be processed exclusively for archival purposes in the public interest, for
    scientific or historical research purposes, or for statistical purposes pursuant to Article 89
    section 1 of the GDPR, provided that appropriate technical and organizational measures
    required under this Regulation are implemented to protect the rights and freedoms of data
    subjects („storage limitation”);
    f. processed in a manner that ensures adequate security of personal data, including protection
    against unauthorized or unlawful processing and accidental loss, destruction or damage, by
    means of appropriate technical or organizational measures („integrity and confidentiality”).
  2. PDA is responsible for compliance with the rules established in paragraph 1 and must be able to
    demonstrate compliance („accountability”).

§ 21 Entities to which the PDA will entrust the processing of personal data

Personal data on the basis of the data processing entrustment agreement concluded by the PDA will
be entrusted, among others, to the following entities:
a. Primeon (school management platform – e-journal, billings);
b. Taxxo (invoicing platform);
c. Fresh Mail (platform for sending recurring emails as part of the LHTL course);
d. LINK Mobility Poland (platform for sending periodic SMS as part of the LHTL course);
e. Word Press (platform that supports SMS sending through LINK Mobility Poland);
f. Autenti (online document signing platform).
g. HubSpot Ireland LTD. (CRM platform).

§ 22 Procedure for granting data processing rights and recording these rights in the computer system, as well as identifying the person responsible for these activities

  1. The basis for granting authority to process personal data in the entity’s computer system is an
    authorization to process personal data. The authorization is issued by the PDA.
  2. Authorization is issued at the request of the supervisor of the employee concerned.
  3. PDA, and on his behalf, in particular his immediate supervisor, an employee of the Human
    Resources (HR) department:
    a. in the event that a person is authorized to process personal data for the first time, informs
    him/her about the duties related to ensuring the protection of personal data;
    b. receives from the above person a signature on the authorization to process personal data and
    a statement of familiarity with the applicable principles of personal data protection.
  4. PDA keeps a record of persons authorized to process personal data in the computer system.
  5. Access rights to the information system are granted on the basis of a request from the supervisor
    of a given employee.
  6. The IT Specialist is responsible for granting authorizations in the IT system. Authorizations cannot
    be granted if a person does not have authorization to process personal data to the required
    extent. When directing a request for granting authorizations, the HR Specialist or the employee’s
    supervisor verifies the existence and scope of the authorization.
  7. The IT specialist informs the requesting person about the fact of granting or denying the
    authorization.
  8. In the case of granting a user rights to a given IT system for the first time, the IT Specialist shall
    assign an ID to the user, generate a password and enter the assignment of an individual ID in the
    register of persons authorized to process personal data to the user in question.
  9. The user ID in the IT system must be unique. It cannot be an identifier that has already been used
    in the past in the IT system. Verification of the uniqueness of the identifier is carried out on the
    basis of records of persons authorized to process personal data.
    10.The user password is assigned individually to each user and is known only to the user who uses it.
    11.The IT specialist provides the user with an ID and password.
    12.The user is obliged to change the password when accessing the IT system for the first time.

§ 23 Procedure for revoking data processing rights in the computer system

If it is necessary to revoke or change the scope of authorization – due to a change in the employee’s
job responsibilities or termination of work – the IT Specialist performs the above actions.

§ 24 Authentication methods and means used, and procedures related to their management and use

  1. Users of the IT system that processes personal data use identifiers and passwords in the
    authentication process.
  2. The ID is uniquely assigned to the user and is not subject to change.
  3. The new password is given to the user by the IT Specialist..
  4. After logging into the system using the received password, the user is obliged to change it
    immediately, even if the IT system does not force such action.
  5. Passwords for access to the information system must fulfil the following conditions:
    a. have a length of at least 6 characters;
    b. contain a minimum of 2 numbers and a minimum of 2 letters;
    c. must be different from those previously used.
  1. The password shall be changed by the user at least every 6 months or immediately if there is a
    suspicion that it may have been accessed by unauthorized persons.
  2. The user is obliged:
    a. not to disclose the password to others, including other users;
    b. to keep the password secret, even after it has expired;
    c. not to save the password;
    d. handling passwords in a way that prevents third parties from accessing them;
    e. to comply with the rules regarding the quality and frequency of password changes;
    f. to enter the password to the system in a way that minimizes its suspicion by other users of the
    system.
  3. If the password is forgotten, the user should ask the IT Specialist to generate a new password.
  4. If an unauthorized person is suspected of learning the password, the user is required to
    immediately change the password and notify the PDA for his/her immediate supervisor, the
    Administration Manager or the IT Specialist..

§ 25 Start, suspension and termination procedure for system users

When starting work on a computer system that processes personal data, the user:

  1. starts the computer;
  2. enters necessary IDs and passwords for work;
  3. passwords are entered in a way that minimizes the risk of suspicion by third parties;
  4. in case of problems with starting work, caused by rejection by the system of the ID and password
    entered, immediately contact the IT Specialist;
  5. in case of non-standard behaviour of the application processing personal data, the employee
    immediately notifies the IT Specialist of the fact;
  6. when suspending work in the IT system (including walking away from the workstation), the user
    locks the workstation. Continuation of work can be done after unlocking the workstation after
    entering the password, in a way that guarantees its non-suspicion by third parties;
  7. when leaving a room where personal data is processed, the employee is obliged to lock the room
    with a key if there is no other person authorized to be in the room. It is forbidden to leave
    unattended in the premises where personal data is processed unauthorized persons;
  8. terminating work in the IT system, the employee logs out of all applications he/she used, shuts
    down the workstation and secures the data carriers. If the employee is the last person to leave the
    room, he/she checks the closing of the windows, locks the door to the room.

§ 26 Procedure for backing up data sets and the programs and software tools used to process them

  1. The IT Specialist is responsible for creating and storing backups.
  2. Backups of systems that process personal data shall be made according to the schedule described
    by the IT Specialist.
  3. Backups shall be labelled so that the date the backup was created and the name of the system can
    be identified.
  4. Media with backups are properly secured.
  5. Created backups are subject to verification due to the check of data readability.
  6. The IT specialist determines the retention time for each backup, depending on the purpose of
    processing the data stored on the backups.
  7. The IT Specialist is responsible for implementing restoration activities in the event that such
    activities are required due to the failure of the entity’s IT system. Once the IT system has been restored, the IT Specialist is responsible for conducting tests of the correctness of the system’s operation before it is put into use.
  1. The IT specialist performs verification of the recoverability of data stored on backups. Such
    verification should be carried out at least once every six months.

§ 27 Method, place and period of storage of electronic information carriers containing personal data and backup media

  1. Personal data is stored electronically on:
    a. electronic media embedded in the IT equipment or forming part of this system,
    b. portable electronic media.
  2. Data is stored on portable media only where necessary, for the time necessary to fulfil the
    purpose for which it was stored on the media. After the storage time has expired, the content of
    the medium is subject to deletion using tools approved for use by Talkersi.pl, and in the case of
    optical media, destruction in shredders capable of destroying this type of media is used..
  3. Personal data in the IT system shall be stored for the time required to fulfil the purpose for which
    they are processed. Thereafter, the data shall be deleted or made anonymous.
  4. Portable electronic storage media containing personal data shall be stored by employees in such a
    way as to minimise the risk of damage or destruction, in particular in lockable cabinets and office
    furniture.
  5. When computer equipment is decommissioned, personal data stored on it is erased using
    dedicated secure erasure software selected by the IT Specialist. If software deletion is not
    possible, the disk shall be physically destroyed. The IT Specialist is responsible for the destruction
    of the data. Destruction of the media shall be confirmed by a protocol kept by the IT Specialist..
  6. The destruction of data media may be entrusted to specialised third parties, provided that:
    a. a contract is concluded;
    b. the confidentiality of the data is guaranteed by the service provider;
    c. the media destruction process can be supervised by an IT specialist;
    d. the destruction of the media is documented by a protocol.

§ 28 Method of securing the information system against the activities of software designed to gain unauthorised access to the IT system

  1. In order to protect the information system from the operation of dangerous software, it is
    prohibited to:
    a. run any software that has not been approved for use onTalkersi.pl;
    b. arbitrary use of portable media;
    c. open any e-mail whose title does not suggest a connection with your official duties; in cases of
    doubt, consult the IT Specialist;
    d. use the Internet for purposes that are not related to your official duties;
    e. connect computers to untrusted external networks.
  2. In case of noticing symptoms that may indicate the presence of dangerous software, the user is
    obliged to notify the IT Specialist. These symptoms may include:
    a. a significant slowdown in the operation of the IT system;
    b. unusual operation of applications;
    c. unusual messages;
    d. loss of data or modification of data.
  3. The information system is protected against the operation of dangerous software by:
    a. anti-virus software;
    b. firewall;
    c. system software updates;
    d. software configuration that minimises the risk of security breaches;
    e. encryption of network traffic from outside. concerning personal data;
    f. encryption of laptop hard drives.
  1. The IT specialist is responsible for overseeing the operation of the above safeguards, and in
    particular for:
    a. verifying that the signatures of the anti-virus system are up to date and taking corrective
    action if necessary;
    b. verifying the antivirus system logs and taking corrective action;
    c. reviewing firewall logs and taking action to block network attacks;
    d. verifying correctness of system software updates;
    e. selecting the appropriate encryption algorithm.

§ 29 Notification of the release of personal data

  1. The entity shall only share personal data where legally permissible.
  2. The fact that data has been released shall be recorded by notifying the staff member that the data
    has been released, by communicating the date ”date” on the basis of ”basis”, entering the
    relevant information instead of the entries in curly brackets.
  3. The entity shall keep a record of the information provided.

§ 30 Procedure for carrying out the inspection and maintenance of systems and storage media used to process personal data

  1. Inspection and maintenance of IT equipment is carried out by authorised employees of the entity
    and by external parties.
  2. Maintenance work carried out on the entity’s premises by external parties is under the direct
    supervision of the IT Specialist.
  3. The transfer of ICT equipment for repair off-site is acceptable if the following conditions are met:
    a. the equipment is handed over without any data carriers and the fact that the data carriers
    have been removed or the data carriers are missing is confirmed with a protocol;
    b. the handing over of the equipment is confirmed with a protocol or other document (e.g.
    e-mail correspondence, business order or receipt), allowing to clearly identify the person
    handing over and the person receiving the equipment.
  4. The protocols referred to in point 3, or copies thereof, are kept by the IT Specialist..
  5. Any maintenance work carried out by external parties requires a maintenance report to be drawn
    up, containing in particular information on the party carrying out the maintenance work, the
    scope and duration of the maintenance work.

§ 31 Identification of personal data security breach situations

The provisions of the following paragraphs shall apply in the case of:

  1. a breach of security of the information system in the area of personal data is detected;
  2. a breach of personal data security is suspected due to the state of the device, the contents of the
    personal data set, the methods of work revealed, the way the program works or the quality of
    communication in the computer network.

§ 32 Identification of obliged persons

The principles of handling breaches of personal data security apply to all persons involved in the
processing of personal data.

§ 33 Determination of a breach of IT system security

A breach of security of an IT system that processes personal data is any established fact (or suspicion)
of unauthorised disclosure of personal data, of unauthorised access to or allowing access to personal
data, of data being taken by an unauthorised person, of damage to any element of the IT system, and
in particular:

  1. unauthorised access to data;
  2. unauthorised modification or destruction of data;
  3. disclosure of data to unauthorised parties;
  4. illegal disclosure of data;
  5. acquisition of data from illegal sources.

§ 34 The actions of employees and PDA

  1. In the event of a breach of the security of the IT system or the occurrence of situations that may
    indicate a breach of the security of personal data, each employee involved in the processing of
    personal data is obliged to stop processing personal data and immediately notify the Head of the
    Unit and the PDA (or a person authorised by him/her) of his/her superior. The supervisor shall
    forward the information in question to the Head of Administration.
  2. A notification of a personal data breach should include:
    a. a description of the activity indicating the personal data breach;
    b. identifying the situation and the time at which the personal data breach was identified;
    c. an indication of relevant information that may indicate the cause of the breach;
    d. identifying the means of securing the system known to the person concerned and any steps
    taken after disclosure of the incident.
  3. PDA takes action to:
    a. minimise the negative effects of the incident;
    b. clarify the circumstances of the incident;
    c. secure evidence of the incident,
    d. enable the continued safe processing of the data;
    e. determining the impact on the violation of the rights or freedoms of individuals;
    f. informing the supervisory authority and data subjects within 48 hours of the breach (The
    obligation does not arise where the incident is unlikely to have resulted in a risk of
    infringement of the rights or freedoms of individuals).
  4. In order to fulfil the purposes set out in section 3, PDA shall be entitled to take any action
    permitted by law, in particular:
    a. request explanations from employees;
    b. use the assistance of consultants;
    c. to order the interruption of work, in particular with regard to the processing of personal data.
  5. The unit manager shall take action to:
    a. minimise the adverse effects of the incident;
    b. secure evidence of the incident.
  6. The PDA’s designee, once the emergency situation has been brought under control, shall prepare
    a final report, in accordance with Appendix 12 of this Data Protection Policy, outlining the causes
    and consequences of the incident and conclusions, including staffing, to reduce the possibility of
    the incident occurring in the future. The Head of Administration at Talkersi.pl maintains a record of
    breaches.

§ 35 Official and criminal liability

  1. An employee who processes personal data in the filing system:
    a. for which he/she is not authorised to process;
    b. whose processing is prohibited;
    c. incompatible with the purpose of the creation of the data file;
    d. gives access or allows access to personal data to unauthorised persons;
    e. fails to comply with the obligation to inform the data subject of his/her rights;
    f. prevents the data subject from exercising his/her rights
    – shall be subject to criminal liability in accordance with the applicable legal provisions and the
    sanctions set out in the Labour Code.
  2. Violation of the personal data protection rules in force at the Entity may also be considered a
    grave breach of basic employee duties and result in disciplinary responsibility as defined in
    separate regulations.
  3. Violations of data protection legislation are subject to criminal sanctions.

§ 36 Final provisions

  1. This Personal Data Protection Policy has been adopted and implemented by the PDA, and any
    employee who is made aware of its contents is required to carry out the obligations contained
    therein.
  2. The Personal Data Protection Policy is an internal document and must not be made available to
    third parties.
  3. The Personal Data Protection Policy enters into force on the date of signature.
Copyright 2022 - Talkersi.pl
Created by
Talkersów tworzą
Ci wspaniali ludzie
IMG_1051-1-scaled
lektor_angielskiego_NATALIA
lektor_angielskiego_AGATA
Adam Janus
talkersikwadrat-1-scaled
talkersikwadrat-2-scaled
talkersiprofilowkib-2-scaled
IMG_4721
93873307_511047642921846_6617146848979189760_n-1
lektor_angielskiego_MICHALINA
Anna Chychkan
Iryna Vadan
lektor_angielskiego_jurek
talkersikwadrat-21-scaled
talkersiprofilowkib-17-scaled
talkersikwadrat-27-scaled
Aleksander Adamczyk
talkersiprofilowkib-13-scaled
lektorka_angielskiego_weronikag
lektor_angielskiego_piotr
Bartosz Rozdolski
lektor_angielskiego_MICHAL
lektor_angielskiego_KINGA
Marta Harężlak
Maria Kravchuk
lektor_angielskiego_KSENIA
talkersiprofilowkib-15-scaled
talkersikwadrat-8-scaled
lektor_angielskiego_AGNIESZKA-scaled
Jane Bilyk
Gloria Zhou
lektor_angielskiego_KEVIN-scaled
Michał Gutowski
lektor_angielskiego_BARTEK
talkersiprofilowkib-1-scaled
lektor_angielskiego_BARBARA-scaled
lektor_angielskiego_JAN
lektor_angielskiego_SYLWIA
lektor_angielskiego_KATSIARYNA
Agata Pyka
Gosia Chmiela
lektor_angielskiego_SZYMON-scaled
lektor_angielskiego_MICHALM
lektor_angielskiego_FILIPK
lektor_angielskiego_MARCY-scaled
lektor_angielskiego_LIAM
lektor_angielskiego_JULIA
lektor_angielskiego_ADAM
lektor_angielskiego_WIKTORJ-scaled
lektor_angielskiego_KATARZYNA-scaled
lektor_angielskiego_MICHALINAS-scaled
Julia Kieloch
Adrianna Antczak
Kamila Lyushyk
lektor_angielskiego_ANZHALIKA
Magda Kubit
Andrzej Wasilewski
Kamila Zając
lektor_angielskiego_OLAK
lektor_angielskiego_JULIAA
lektor_angielskiego_RADOSLAW
lektor_angielskiego_TETIANAK
OLIWIA DEMBOWSKA-1
ASIA-1
Aleksandra Kalinowska NIE PUBLIKOWAC NIGDZIE POZA WWW
ZUZIA-kwadrat
SONIA-1
Ala
Natalia
Ola DzDz
Karolina Kaminska
Julia
Marta Zadrozna kopia
Lara
Nikola kopia
GRAZKA
ANKA
Magda_Talkbook_(1)