POLITYKA OCHRONY DANYCH OSOBOWYCH

Rozdział I
Postanowienia ogólne

§1

  1. Polityka ochrony danych osobowych (dalej jako Polityka) określa zasady
    przetwarzania i zabezpieczenia danych osobowych w Fundacji Columbus z siedzibą
    w Gdańsku (dalej jako Fundacja) zgodnie z wymaganiami Rozporządzenia
    Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w
    sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w
    sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
    (dalej jako RODO).
  2. Polityka stanowi wykonanie obowiązku, o którym mowa w art. 24 ust. 2 RODO.
  3. Priorytetowym celem zastosowanych przez Fundację i opisanych w niniejszym
    dokumencie działań jest osiągnięcie optymalnego poziomu bezpieczeństwa
    przetwarzanych danych osobowych.
  4. Podjęte działania mają na celu w minimalizację ryzyka utraty, uszkodzenia lub
    zniszczenia danych osobowych oraz zabezpieczenia ich przed dostępem osób
    nieupoważnionych.
  5. Na podstawie Polityki ochronie podlegają dane osobowe przetwarzane w systemach
    informatycznych, na nośnikach papierowych lub elektronicznych. Miejsca, w których
    przetwarzane są dane osobowe podlegają zabezpieczeniu określonemu na
    podstawie niniejszej Polityki.
  6. Polityka ma zastosowanie do wszystkich danych osobowych, jakie przetwarzane są
    w ramach realizowanych przez Fundację procesów i świadczonych usług.
  7. Obowiązek ochrony danych osobowych przetwarzanych w Fundacji obejmuje
    wszystkie osoby mające dostęp do tych danych, bez względu na zajmowane
    stanowisko miejsce jej wykonywania czy charakter stosunku pracy lub charakter
    współpracy z Fundacją.
  8. Każda osoba, która w związku z realizacją zadań ma dostęp do danych osobowych,
    będzie mogła je przetwarzać wyłącznie na podstawie otrzymanego upoważnienia.
  9. Osoby mające dostęp do danych osobowych zobowiązane są do zapoznania się z
    Polityką i dokumentami powiązanymi oraz do przestrzegania ich zapisów.

§2

Użyte w Polityce zwroty oznaczają:

Administrator danych osobowych (ADO) – Fundacja Columbus. z siedzibą w Gdańsku, jako
podmiot decydujący o celach i środkach przetwarzania danych osobowych,
Dane osobowe – informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania
osoby fizycznej, której tożsamość możliwa jest do określenia bezpośrednio lub pośrednio na
podstawie tych informacji, w tym w szczególności identyfikatora takiego jak imię i nazwisko,
numer identyfikacyjny, dane o lokalizacji, jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub
społeczną tożsamość osoby fizycznej.

Dane osobowe wrażliwe – dane o pochodzeniu rasowym lub etnicznym, poglądach
politycznych, przekonaniach religijnych lub filozoficznych, przynależności wyznaniowej,
partyjnej lub związkowej, jak również dane o stanie zdrowia, kodzie genetycznym, dane
biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dane o
nałogach, życiu seksualnym, dane dotyczące skazań, orzeczeń o ukaraniu i mandatów
karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub
administracyjnym.

Hasło – ciąg znaków, wymagany do pracy w systemie informatycznym, znany jedynie osobie
uprawnionej.

Identyfikator użytkownika (login) – ciąg znaków jednoznacznie identyfikujący osobę
upoważnioną do pracy w systemie informatycznym.

Naruszenie danych osobowych – naruszenie bezpieczeństwa, prowadzące do
przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania,
nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych
przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Obszar przewarzania danych osobowych – pomieszczenia lub części pomieszczeń, w
których są przetwarzane dane osobowe, zarówno w formie papierowej jak i w systemie
informatycznym.

Odbiorca danych – każdy, komu udostępnia się dane osobowe.
Podmiot przetwarzający (Procesor) – podmiot, który przetwarza dane w imieniu.

Przetwarzanie danych osobowych – operacja lub zestaw operacji wykonywanych na danych
osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub
niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie,
przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie,
wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju
udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

PUODO – Prezes Urzędu Ochrony Danych Osobowych.

RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27
kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych
osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy
95/46/WE.

System informatyczny – zespół powiązanych wzajemnie urządzeń i programów,
zastosowanych w celu przetwarzania danych.
UODO – ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych, a także wszelkie
jej nowelizacje oraz wytyczne/rekomendacje organu nadzorującego.

Uwierzytelnianie – działanie weryfikujące deklarowaną tożsamości podmiotu.

Zabezpieczenie danych w systemie informatycznym – wdrożenie i stosowanie środków
technicznych i organizacyjnych zapewniających ochronę danych.

Zasób danych osobowych – wszystkie dane osobowe niezależnie od sposobu ich utrwalenia,
zarówno w formie elektronicznej – w systemie informatycznym oraz na nośnikach (płyty CD,
DVD, BD, pamięci flash i inne) jak i papierowej, przetwarzane przez pracowników lub
współpracowników Fundacjiw celu realizacji ich zadań.

Zgoda osoby, której dane dotyczą – dobrowolne, wyraźne, świadome i jednoznaczne
okazanie woli poprzez oświadczenie lub wyraźne działanie potwierdzające, którego treścią
jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie.

Rozdział II
Organizacja procesu ochrony danych osobowych

§1

1. ADO dokłada szczególnej staranności w celu ochrony interesów osób, których dane
przetwarza, a w szczególności zobowiązuje się zapewnić, aby dane osobowe przetwarzane
były w zgodzie z poniższymi zasadami:

  1. zasadą legalności, rzetelności i przejrzystości oznaczającą, iż dane przetwarzane
    są zgodnie z obowiązującym porządkiem prawnym, w sposób rzetelny i przejrzysty;
  2. zasadą celowości i ograniczenia celu przetwarzania oznaczającą, iż dane
    przetwarzane są dla oznaczonego i zgodnego z prawem celu i nie są dalej
    przetwarzane w sposób nie odpowiadający realizacji tego celu;
  3. zasadą minimalizacji danych oznaczającą, iż zakres przetwarzanych danych jest
    adekwatny, proporcjonalny w stosunku do celu ich przetwarzania;
  4. zasadą merytorycznej poprawności oznaczającą, iż przetwarzane dane są
    prawidłowe i na bieżąco aktualizowane;
  5. zasadą ograniczenia czasowego oznaczającą, iż dane są przechowywane w
    postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to
    niezbędne dla osiągnięcia celu przetwarzania;
  6. zasadą integralności i poufności danych oznaczającą, że dane są przetwarzane w
    sposób zapewniający ich ochronę przed niedozwolonym lub niezgodnym z prawem
    przetwarzaniem, ich utratą, zniszczeniem lub uszkodzeniem.

2. ADO ponadto:

    1. podejmuje działania w celu zapewniania przestrzegania przepisów o ochronie danych
      osobowych, w szczególności poprzez:
      1. sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie
        danych osobowych;
      2. nadzorowanie opracowania i aktualizowania dokumentacji w zakresie ochrony
        danych osobowych;
      3. zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych
        z przepisami o ochronie danych osobowych;
    2. zapewnia kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone
      do systemu informatycznego oraz komu są przekazywane;
    3. upoważnia poszczególne osoby do przetwarzania danych osobowych w określonym
      indywidualnym zakresie, odpowiadającym zakresowi obowiązków (wzór upoważnienia
      stanowi załącznik nr 1) i przechowuje nadane upoważnienia;
    4. obowiązuje pracownika/współpracownika upoważnionego do przetwarzania danych
      osobowych do zachowania w tajemnicy danych osobowych oraz sposobów ich
      zabezpieczenia (wzór oświadczenia stanowi załącznik nr 1 );
    5. prowadzi aktualną ewidencję osób upoważnionych do przetwarzania danych osobowych
      (wzór ewidencji stanowi załącznik nr 2);
    6. prowadzi rejestr podmiotów, którym powierzył przetwarzanie danych osobowych na mocy
      zawartych umów powierzenia przetwarzania danych osobowych (wzór rejestru stanowi
      załącznik nr 3);
    7. odnotowuje informacje o udostępnieniu danych.
    8. odnotowuje odwołanie zgody na przetwarzanie danych osobowych w konkretnym
      zakresie bądź celu (wzór rejestru osób, które odwołały zgodę na przetwarzanie danych.

3. ADO odnotowuje przypadki, kiedy osoba, której dane dotyczą, wniesie:

  1. żądanie podania informacji czy dane osobowe tej osoby są przetwarzane przez ADO,
  2. żądanie dostępu do jej danych osobowych;
  3. żądanie sprostowania danych osobowych;
  4. żądanie usunięcia jej danych osobowych;
  5. żądanie ograniczenia przetwarzania jej danych osobowych;
  6. żądanie przeniesienia jej danych osobowych;
  7. sprzeciw wobec przetwarzania jej danych osobowych;

Rozdział III
Upoważnienie osób do przetwarzania danych osobowych

§1

  1. Wszystkie osoby, które wykonują czynności związane z przetwarzaniem danych
    osobowych w Fundacji, w ramach wykonywania zadań służbowych lub prac
    zleconych, muszą posiadać pisemne upoważnienie do przetwarzania danych
    osobowych oraz podpisać oświadczenie o zachowaniu tajemnicy danych osobowych.
  2. Upoważnienia do przetwarzania danych osobowych pracownikom zatrudnionym na
    umowę o pracę, umowę zlecenie lub umowę o dzieło nadaje wspólnik upoważniony
    do reprezentacji Fundacji.
  3. Każda osoba upoważniona do przetwarzania danych osobowych przechodzi
    szkolenie z zasad ochrony danych osobowych.

§2

  1. Osoba upoważniona przez ADO do przetwarzania danych osobowych może
    przetwarzać dane osobowe wyłącznie przez okres i w zakresie wskazanym w
    upoważnieniu.
  2. Zabrania się udostępniania przetwarzanych danych osobowych osobom, które nie
    mają upoważnienia o takim samym zakresie przetwarzania, w tym rodzinie
    pracownika/współpracownika.
  3. Każda osoba (pracownik/współpracownik), która na rzecz ADO pozyskuje dane
    osobowe bezpośrednio od osób, których dane dotyczą, zobowiązana jest dopełnić
    obowiązku informacyjnego wobec tych osób, zgodnie z wymogiem art. 13 RODO.
  4. Każda osoba (pracownik/współpracownik), która na rzecz Administratora danych
    pozyskuje w sposób pośredni dane osobowe, zobowiązana jest dopełnić obowiązku
    informacyjnego wobec osoby, której dane pozyskała, zgodnie z wymogiem art. 14
    RODO.
  5. Każda osoba (pracownik/współpracownik) ma prawo udostępnić dane osobowe
    podmiotowi trzeciemu wyłącznie pod warunkiem uzyskania wcześniejszej akceptacji
    ADO.
  6. Każda osoba przetwarzająca dane osobowe zobowiązana jest:
    1. użytkując służbowy komputer (stacjonarny lub przenośny) każdorazowo
      logować się na własne konto użytkownika za pomocą Indywidualnego
      identyfikatora i Hasła;
    2. logując się do systemu przetwarzającego dane osobowe, stosować hasła
      dostępu o długości nie krótszej niż 9 znaków – ustawione hasło musi zawierać
      co najmniej jedną dużą literę, jedną małą literę i jedną cyfrę lub znak
      specjalny. Hasło winno być zmieniane nie rzadziej niż co 30 dni;
    3. nie zapisywać hasła wymaganego do uwierzytelnienia w systemie
      informatycznym w łatwo dostępnych miejscach, jak obudowa monitora, spód
      klawiatury, podkładka pod myszkę, szuflada/szafka biurka, tablica
      informacyjna itp.;
    4. nie udostępniać swojego Hasła i loginu do systemu informatycznego innym
      pracownikom lub współpracownikom bądź osobom postronnym;
    5. użytkując komputer służbowy, ustawić ekran monitora komputerowego tak,
      by osoby niepowołane nie mogły oglądać wyświetlanych na nim treści;
    6. nie pozostawiać bez kontroli dokumentów, nośników z danymi osobowymi i
      sprzętu komputerowego w miejscach niezabezpieczonych;
    7. nie wynosić dokumentacji z danymi osobowymi, nośników oraz
      komputerów przenośnych poza Obszar przetwarzania danych osobowych bez
      wiedzy i akceptacji ADO. W przypadku uzyskania akceptacji ADO,
      pracownik/współpracownik zobowiązany jest zachować szczególną
      ostrożność podczas wynoszenia dokumentacji z danym osobowymi, nośników
      oraz komputerów przenośnych poza Obszar przetwarzania danych
      osobowych (nie pozostawiać wymienionych przedmiotów w samochodzie, nie
      udostępniać członkom rodziny, zaszyfrować dane na nośnikach itp.).
    8. odbierać wydruki/kopie dokumentów z drukarki niezwłocznie po
      zakończeniu korzystania z urządzenia;
    9. zabezpieczyć hasłem dostęp do plików z danymi osobowymi przesyłanymi
      drogą mailową. Stosowane hasło musi spełniać wymogi wskazane w pkt 6b;
    10. użytkować prywatny komputer w celach służbowych jedynie w przypadku
      uzyskania akceptacji ADO oraz z zastosowaniem środków bezpieczeństwa
      wskazanych w dokumentacji ochrony danych osobowych obowiązującej u
      ADO;
    11. stosować wygaszacz ekranu zabezpieczony hasłem–po upływie 5 minut
      braku aktywności ze strony użytkownika dostęp do systemu winien zostać
      automatycznie zablokowany, a odblokowanie odbywać się poprzez
      uwierzytelnienie się za pomocą loginu i Hasła;
    12. nie kopiować danych osobowych na nośniki magnetyczne, optyczne i inne
      bez zgody ADO; w przypadku uzyskania zgody ADO nośnik zewnętrzny, na
      który skopiowane zostaną dane osobowe, należy zaszyfrować oraz
      przechowywać w miejscu nieodstępnym dla osób nieupoważnionych (szafy
      zamykane na klucz). Po ustaniu przydatności tych kopii dane należy trwale
      skasować lub fizycznie zniszczyć nośniki, na których są przechowywane.
    13. dokumenty zawierające dane osobowe niszczyć wyłącznie w niszczarce;
    14. nie pozostawiać w Obszarze przetwarzania danych osobowych osób
      postronnych, bez obecności osoby upoważnionej do przetwarzania danych;
    15. w przypadku opuszczenia pomieszczenia przez ostatnią osobę
      upoważnioną do przetwarzania danych osobowych, zabezpieczyć obszar
      przetwarzania danych przed nieuprawniony dostępem;
    16. nie wysyłać za pomocą wiadomości e-mail danych osobowych na
      prywatne adresy, nie kopiować danych na inne nośniki bez uzasadnionej
      potrzeby;
    17. nie opuszczać stanowiska bez zabezpieczenia dokumentów papierowych,
      zawierających dane osobowe (zasad „czystego biurka”) oraz bez
      zabezpieczenia dostępu do danych przetwarzanych w systemie
      informatycznym zasada „czystego ekranu”);
    18. niezwłocznie powiadomić ADO o wystąpieniu lub podejrzeniu wystąpienia
      zdarzenia zagrażającego bezpieczeństwu danych osobowych;
    19. zachować w tajemnicy dane osobowe oraz sposoby ich zabezpieczenia,
      zarówno w trakcie trwania współpracy ze Spółką, jak i po jej ustaniu;
    20. niezwłocznie powiadomić ADO o naruszeniu lub podejrzeniu naruszenia
      ochrony danych osobowych.

Rozdział IV
Prowadzenie rejestrów czynności przetwarzania danych osobowych

§1

  1. W Fundacji prowadzone są rejestry przetwarzania danych osobowych, zgodnie z
    wymaganiami art. 30 RODO w stosunku do danych, których Fundacja jest
    administratorem.
  2. Za prowadzenie rejestrów czynności przetwarzania odpowiedzialna jest osoba
    wyznaczona przez ADO.
  3. Osoba wyznaczona przez ADO inwentaryzuje procesy przetwarzania danych
    osobowych w Fundacji, przypisując do nich określone czynności przetwarzania
    danych osobowych.
  4. Osoba, o której mowa w ust. 2 i 3 powyżej okresowo dokonuje przeglądów procesów
    przetwarzania danych osobowych w celach aktualizacji prowadzonych rejestrów.

Rozdział V
Realizacja obowiązków przy przetwarzaniu danych osobowych

§1

  1. Osoby, które zbierają dane osobowe mają obowiązek zachowania szczególnej
    staranności przy ich zbieraniu, w tym:
    1. sprawdzić podstawy prawne pozyskania danych osobowych zgodnie z art. 6, 9 i 10
      RODO;
    2. zbierać dane osobowe dla zgodnych z prawem celów realizowanych w Fundacji
    3. zbierać dane w zakresie adekwatnym do celów w jakich będą one przetwarzane.
  2. W przypadku konieczności odbierania zgody na przetwarzanie danych osobowych,
    należy zapewnić dobrowolność jej pozyskania oraz powiadomić każdą osobę o
    prawie do odwołania tej zgody.

§2

  1. Osoby, które wykonują zadania związane ze zbieraniem danych osobowych są
    odpowiedzialne za realizacje obowiązków informacyjnych określonych w art. 13 i 14
    RODO.
  2. Odpowiednie klauzule informacyjne powinny być również odczytywane w przypadku
    zbierania danych osobowych przez telefon.

§3

  1. Dane osobowe zbierane w ramach procesów realizowanych przez Fundację są
    przetwarzane przez czas określony przez właściwe przepisy prawa lub przyjęte
    wewnętrznie w Fundacji instrukcje lub regulaminy.
  2. Za określenie odpowiednich okresów retencji danych osobowych w procesach
    przetwarzania danych odpowiada osoba, o której mowa w § 1 ust. 2 i 3 powyżej.
  3. Dane osobowe, dla których okres przetwarzania nie wynika z obowiązujących
    przepisów prawa i dla których nie jest możliwe określenie z góry tego okresu są
    przetwarzane tak długo, jak długo istnieje jednocześnie podstawa prawna oraz cel dla
    ich przetwarzania.
  4. Ustanie celu przetwarzania jest równoznaczne z koniecznością usunięcia danych
    osobowych.
  5. Dane osobowe przetwarzane wyłącznie w oparciu o przesłankę zgody na
    przetwarzanie danych osobowych są usuwane zawsze niezwłocznie po wycofaniu
    takiej zgody.
  6. Co najmniej jeden raz w roku w Fundacja odbywa się weryfikacja zasobów danych
    osobowych prowadzonych w formie papierowej i elektronicznej, obejmująca
    sprawdzenie czy dane osobowe, dla których upłynął okres przechowywania zostały
    usunięte, jak również czy nadal istnieje podstawa prawna przetwarzania oraz cel
    przetwarzania danych osobowych.
  7. W przypadku ustalenia w trakcie weryfikacji, o której mowa w punkcie
    poprzedzającym, że okres przetwarzania danych osobowych upłynął bądź nie istnieje
    podstawa prawna lub cel przetwarzania danych osobowych, dane osobowe powinny
    zostać trwale usunięte z nośników papierowych, elektronicznych oraz z systemów
    informatycznych.

§4

  1. W przypadku powierzenia czynności przetwarzania danych osobowych
    zewnętrznemu podmiotowi (procesorowi), należy zawrzeć z nim umowę powierzenia
    przetwarzania danych osobowych.
  2. W trakcie dokonywania wyboru podmiotu przetwarzającego należy zweryfikować czy
    podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków
    technicznych i organizacyjnych, by przetwarzanie spełniało wymogi przepisów RODO
    i chroniło prawa osób, których dane dotyczą.

Rozdział VI
Infrastruktura przetwarzania danych osobowych

§1

  1. Dobór środków technicznych i organizacyjnych dotyczących przetwarzania i
    zabezpieczenia danych osobowych realizowany jest w oparciu o szacownie ryzyka
    naruszenia praw i wolności osób, których dane dotyczą.
  2. Ustalone wymagania dotyczące zabezpieczenia danych osobowych w odniesieniu do
    danego procesu przetwarzania danych osobowych są odnotowywane przez osoba
    wyznaczoną przez ADO w prowadzonych rejestrach czynności przetwarzania danych
    osobowych.
  3. Planowanie realizacji nowych procesów przetwarzania danych osobowych musi
    uwzględniać zasady ochrony danych osobowych w fazie projektowania (privacy by
    design) oraz domyślnej ochrony danych osobowych (privacy by default).
  4. W przypadku realizacji procesów przetwarzania danych osobowych, które z dużym
    prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub
    wolności osób fizycznych, przed rozpoczęciem przetwarzania należy dokonać oceny
    skutków planowanych operacji dla ochrony danych osobowych, zgodnie z art. 35
    RODO.
  5. Wykonanie oceny sutków dla danego procesu przetwarzania danych osobowych jest
    konsultowane ze specjalistą z zakresu ochrony danych osobowych, który stwierdza
    czy w danym przypadku takie działanie jest konieczne.
  6. Osoba wskazana przez ADO jako odpowiedzialna za prowadzenie rejestrów
    przetwarzania danych osobowych, w rejestrach przetwarzania danych osobowych
    wskazuje procesy, dla których należy przeprowadzić ocenę skutków oraz odnotowuje
    jej przeprowadzenie.
  7. W przypadku konieczności przeprowadzenia konsultacji z organem nadzorczym,
    osoba o której mowa w ust. 4 powyżej przygotowuje odpowiedni wniosek zgodnie z
    art. 36 RODO i kontaktuje się w tej sprawie z PUODO.

Rozdział VII
Postępowanie w sytuacji naruszenia ochrony danych

§1

  1. W przypadku stwierdzenia naruszenia ochrony danych osobowych oraz
    prawdopodobieństwa zaistnienia ryzyka naruszenia praw lub wolności osób
    fizycznych, informacja o naruszeniu powinna być zgłoszona do PUODO.
  2. Zgłoszenie naruszenia przygotowuje osoba wyznaczona do tego przez ADO w ciągu
    72 godzin po stwierdzeniu naruszenia.
  3. Zgłoszenie przekazywane jest do PUODO w formie elektronicznej za pomocą
    systemu informatycznego zgodnie z trybem określonym przez organ.

§2

  1. Jeżeli ujawnione naruszenie ochrony danych osobowych może powodować wysokie
    ryzyko naruszenia praw lub wolności osób fizycznych, o naruszeniu należy
    zawiadomić wszystkie osoby, których dane dotyczą.
  2. Osoba wyznaczona do spraw ochrony danych osobowych w Spółce, decyduje o tym,
    czy w świetle art. 34 ust. 3 RODO konieczne będzie zawiadomienie osób, których
    dane dotyczą.
  3. Wszystkie ujawnione naruszenia ochrony danych osobowych są rejestrowane przez
    osobę, o której mowa w ust. 2 powyżej.

Rozdział VIII
Monitorowanie realizacji obowiązków RODO

§1

  1. Osoba wyznaczona do spraw ochrony danych osobowych w Spółce lub podmiot
    zewnętrzny przeprowadza okresowe audyty w zakresie przestrzegania procedur
    ochrony danych osobowych.
  2. Wyniki monitorowania przedstawiane są wspólnikom.
  3. Podmioty, o których mowa w ust. 1 powyżej okresowo weryfikują zgodność
    dokumentacji przetwarzania danych osobowych z przepisami i odpowiadają za ich
    aktualizację.
  4. Monitorowanie realizacji obowiązków RODO może odbywać się w kontekście
    przyjętych kodeksów postępowania.

Rozdział IX
Przepisy końcowe

  1. Polityka jest dokumentem wewnętrznym i nie może być udostępniana osobom
    postronnym.
  2. W przypadku aktualizowania Polityki tworzy się nową wersję dokumentu, nadając jej
    kolejny numer.
  3. W kwestiach nieuregulowanych w niniejszym dokumencie znajdują zastosowanie
    przepisy RODO.
  4. Polityka wchodzi w życie z dniem podpisania.