ROZDZIAŁ I.

POSTANOWIENIA OGÓLNE I DEFINICJE

§ 1

1. Niniejsza Polityka Ochrony Danych Osobowych (dalej „Polityka”) normuje zagadnienia związane z ochroną danych osobowych. Podstawą przyjęcia dokumentu jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE L 119 z dnia 4 maja 2016r.), zwane dalej „RODO” oraz ustawa o ochronie danych osobowych z dnia 10 maja 2018r.
2. Właścicielem Polityki jest firma PO PROSTU NIERUCHOMOŚCI SP. Z O.O. z siedzibą we Wrocławiu (51-165), ul. Grudziądzka 114/5, działającą na podstawie wpisu do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla Wrocławia – Fabrycznej we Wrocławiu, VI Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 0001086569, REGON: 527717359, NIP: 8952268211 , zwana dalej „Administratorem”.

§ 2

1. Administrator Danych – PO PROSTU NIERUCHOMOŚCI SP. Z O.O. z siedzibą we Wrocławiu (51-165), ul. Grudziądzka 114/5, działającą na podstawie wpisu do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla Wrocławia – Fabrycznej we Wrocławiu, VI Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 0001086569, REGON: 527717359, NIP: 8952268211, decydujący o celach i środkach przetwarzania danych osobowych;
2. Administrator Systemu Informatycznego (ASI) - osoba nadzorująca na rzecz administratora pracę systemu informatycznego oraz wykonująca w nim czynności wymagające specjalnych uprawnień (funkcję ASI może także pełnić osoba nie będąca pracownikiem Administratora lub podmiot zewnętrzny działający w imieniu Administratora);
3. Dane osobowe (dane) - informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
4. Osoba Odpowiedzialna za Ochronę Danych Osobowych (ODO) – osoba wykonująca na rzecz administratora zadania w celu zapewnienia odpowiedniego przestrzegania obowiązków spoczywających na administratorze na mocy RODO oraz innych przepisów prawa dotyczących ochrony danych osobowych. Zadania w tym obszarze mogą być pełnione na rzecz administratora przez osobę będącą pracownikiem Administratora lub zlecane przez administratora podmiotowi zewnętrznemu na mocy stosownej umowy;
5. Klauzula Informacyjna – dokument realizujący Obowiązek Informacyjny określony w ar. 13 i 14 RODO
6. Obowiązek Informacyjny – określony w art. 13 i 14 RODO obowiązek ciążący na Administratorze Danych, dotyczący przekazania osobie, której dane osobowe są przez Administratora przetwarzane wszystkich informacji dotyczących sposobu przetwarzania danych osobowych i praw przysługujących osobie, których dane są przetwarzane;
7. Obowiązek Informacyjny Pierwotny – zobowiązanie Administratora wynikające z art. 13 RODO, tj. dotyczące osoby, która przekazała Administratorowi swoje dane osobowe do przetwarzania;
8. Obowiązek Informacyjny Wtórny - zobowiązanie Administratora wynikające z art. 14 RODO, tj. dotyczące osoby, której dane osobowe do przetwarzania Administrator otrzymał od osoby trzeciej;
9. Przetwarzanie danych - operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
10. RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
11. System informatyczny (system) – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;

ROZDZIAŁ II

ZASADY PRZETWARZANIA DANYCH OSOBOWYCH

§ 3

1. Zasady ochrony danych osobowych określają podstawowe obowiązki organizacji zajmujących się przetwarzaniem danych osobowych. Administrator jest odpowiedzialna za przestrzeganie przepisów i musi być w stanie wykazać, że przetwarzanie danych odbywa się:
2. zgodnie z prawem, rzetelnie i przejrzyście, tj. dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;
3. w ograniczonym celu, tj. dane osobowe muszą być zbierane w konkretnych, wyraźnych oraz prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
4. zgodnie z zasadą minimalizacji danych, tj. dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
5. prawidłowo, tj. dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;
6. zgodnie z zasadą ograniczenia przechowywania, tj. dane osobowe muszą być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;
7. zgodnie z zasadą integralności i poufności, tj. z uwzględnieniem stanu wiedzy technicznej i innych dostępnych środków bezpieczeństwa, w celu zapewnienia właściwej ochrony danych osobowych, w tym ochrony przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieupoważnionym dostępem lub ujawnieniem;
8. zgodnie z zasadą rozliczalności, tj. Administrator działając jako administrator jest odpowiedzialna za przestrzeganie powyższych zasad i musi być w stanie wykazać ich przestrzeganie;
9. Ilekroć Administrator występuje w roli „administratora danych osobowych”, podejmuje następujące działania w celu zgodnego z prawem przetwarzania danych osobowych:
10. ustala cel i zakres (tj. sposoby) przetwarzania, identyfikuje przepływ danych osobowych adekwatnie do celu przetwarzania;
11. prowadzi i uzupełnia Rejestr Czynności Przetwarzania, którego wzór określa Załączniki nr 1;
12. rozpoczyna przetwarzanie danych osobowych tylko, gdy istnieje zgodna z prawem podstawa przetwarzania tych danych;
13. realizuje obowiązek informacyjny, zgodnie z zasadami określonymi w niniejszej Instrukcji;
14. realizuje prawa podmiotów danych poprzez obsługę dyspozycji, zgodnie z zasadami wskazanymi w niniejszej Instrukcji
15. obsługuje incydenty bezpieczeństwa danych osobowych zgodnie z zasadami określonymi w niniejszej Instrukcji;
16. jeśli powierza dane „Podmiotowi przetwarzającemu”, sprawuje nad nim kontrolę;
17. przechowuje dane zgodnie z zasadami określonymi w niniejszej Instrukcji;
18. Ilekroć Administratora występuje w roli Procesora:
19. ustala zakres przetwarzania danych osobowych w oparciu o umowę powierzenia,
20. uzupełnia Rejestr Kategorii Czynności Przetwarzania, którego wzór określa Załączniki nr 1;
21. rozpoczyna przetwarzanie danych osobowych zgodnie z umową powierzenia,
22. obsługuje dyspozycje podmiotów danych zgodnie z zapisami umowy powierzenia i w ścisłej współpracy z administratorem;
23. po zakończeniu świadczenia usług działa zgodnie z zapisami umowy powierzenia (np. zwraca wszystkie przetwarzane dane osobowe i usuwa je ze swoich systemów IT).

§ 4

1. Za wymagany okres retencji (okres przetwarzania danych osobowych) dla realizowanych przez Administratora procesów przetwarzania uznaje się okres 5 lat, licząc od końca roku, w którym sporządzono dany dokument. Wskazany powyżej okres retencji może być inny w przypadku:
2. trwającego dochodzenia prowadzonego przez władze publiczne, jeśli istnieje możliwość, że dokumentacja z danymi osobowymi będzie potrzebna Administratorowi, aby wykazać przestrzeganie wszelkich wymogów prawnych;
3. wykonywania przez Administratora praw ustawowych wynikających ze spraw sądowych lub podobnych postępowań sądowych uznanych przez lokalne przepisy prawa;
4. wskazania w przepisach powszechnie obowiązujących innego okresu retencji niż okres 5 lat;
5. samodzielnego wskazania przez Administratora dla danego procesu przetwarzania innego okresu retencji niż 5 lat, gdy przepisy powszechnie obowiązujące nie wskazują konkretnego okresu retencji.
6. przetwarzania przez Administratora danych na podstawie zgody osoby, której dane dotyczą – w takim przypadku okres retencji upływa w momencie odwołania udzielonej wcześniej zgody przez osobę, której dane dotyczą.
7. Administrator stosuje Tabelę Retencji Danych, określającą indywidualne okresy retencji danych dla wskazanych tam procesów, wynikające z powszechnie obowiązujących przepisów prawa lub decyzji Administratora podejmowanej jako administrator. Tabela Retencji Danych stanowi załączniku nr 2 do niniejszej Instrukcji.

§ 5

1. Każda osoba przetwarzająca w imieniu Administratora dane osobowe odpowiedzialna jest za ich. Obowiązek zachowania w tajemnicy danych osobowych ciąży na tych osobach również po zakończeniu współpracy z Administratorem.
2. Każda osoba, która nieprawnie przetwarza lub ujawnia dane osobowe oraz nienależycie zabezpiecza je przed osobami nieuprawnionymi, podlega odpowiedzialności karnej przewidzianej w Ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych.

§ 6

1. Przetwarzanie danych przez Administratora może mieć miejsce gdy spełniona jest przynajmniej jedna z poniższych przesłanek przetwarzania danych osobowych:
2. osoba, której dane dotyczą, wyrazi pisemną zgodę na ich przetwarzanie (nie dotyczy usunięcia danych),
3. zezwalają na to przepisy prawa,
4. jest niezbędne do realizacji umowy gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia koniecznych działań przed zawarciem umowy,
5. jest niezbędne do wykonania określonych zadań realizowanych dla dobra publicznego,
6. jest niezbędne do wypełnienia prawnie usprawiedliwionych celów Administratora Danych lub osób, którym te dane są przekazywane, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.
7. Za prawnie usprawiedliwiony cel przetwarzania danych osobowych uważa się w szczególności marketing własnych, zgodnie z określeniem wskazanym w Motywie 48 RODO.

ROZDZIAŁ III

OBOWIĄZEK INFORMACYJNY

§ 7

1. W przypadku zbierania danych osobowych od osoby, której one dotyczą (Pierwotny Obowiązek Informacyjny), Administrator podaje zainteresowanej osobie następujące informacje:
2. swoją tożsamość i dane kontaktowe oraz dane kontaktowe osoby odpowiedzialnej za ochronę danych osobowych;
3. cele przetwarzania danych osobowych oraz podstawę prawną ich przetwarzania;
4. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) RODO – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją, przy czym jako „odbiorcę danych” nie traktuje się organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem;
6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez organ nadzorczy odpowiedniego stopnia ochrony;
7. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
8. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
9. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
10. informacje o prawie wniesienia skargi do organu nadzorczego;
11. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
12. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz najbardziej istotnych informacji o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
13. Obowiązku informacyjnego, określonego w ust. 1, nie dopełnia się, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.
14. W przypadku zbierania danych osobowych nie od osoby, której one dotyczą (Wtórny Obowiązek Informacyjny), Administrator dodatkowo przekazuje osobie, której dane zebrał, informacje dotyczące źródła pozyskanych danych,
15. Obowiązku informacyjnego, określonego w ust. 3, nie dopełnia się, gdy – i w zakresie, w jakim :
16. dane są przetwarzane przez administratora na podstawie przepisów prawa,
17. osoba, której dane dotyczą dysponuje już tymi informacjami;
18. dane przewidziane do zbierania są ogólnie dostępne;
19. udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku;
20. dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
21. Administrator realizuje obowiązek informacyjny w stosunku do osób, których dane przetwarza poprzez umieszczenie na swojej stronie internetowej w zakładce „RODO” wzoru przyjętej Klauzuli Informacyjnej. Wzór klauzuli określa Załącznik nr 3.
22. W przypadku zatrudnienia pracowników Administrator realizuje obowiązek informacyjny w stosunku do nich pracowników za pośrednictwem Klauzuli Informacyjnej, której wzór określa Załącznik nr 3. Klauzula wydawana jest pracownikowi po podpisaniu z nim umowy o pracę.
23. W przypadku prowadzenia przez Administratora rekrutacji, osobom rekrutowanym udostępniana jest Klauzula Informacyjna, której wzór określa Załącznik nr 3. Wzór Klauzuli zamieszczenie na stronie internetowej Administratora w zakładce „RODO”.
24. Załącznik nr 4 określa zasady przetwarzania danych pracowników Administratora oraz osób ubiegających się o zatrudnienie.

ROZDZIAŁ IV

UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH

§ 8

1. Przed dopuszczeniem do pracy przy przetwarzaniu danych osobowych każdy pracownik Administratora powinien zostać zapoznany z przepisami dotyczącymi ochrony danych osobowych.
2. Warunkiem przetwarzania danych osobowych przez pracowników Administratora jest nadanie im stosownych upoważnień do przetwarzania danych osobowych. Upoważnienie takie musi zawierać:
3. Imię i nazwisko osoby upoważnionej,
4. Datę nadania i okres jego obowiązywania,
5. Rodzaj danych osobowych, które mogą być przetwarzane,
6. Kategorię podmiotów, których dane mogą być przetwarzane.
7. Wzór Upoważnienia do przetwarzania danych określa Załącznik nr 6, przy czym kategorie podmiotów, których dane mogą być przetwarzane przez pracownika są każdorazowo dostosowane do aktualnego stanowiska pracownika oraz obowiązków realizowanych przez pracownika.
8. Osoby nie posiadające upoważnienia do przetwarzania danych osobowych mogą przebywać w obszarach przetwarzania danych osobowych jedynie w obecności innej osoby, która posiada stosowne upoważnienie.

ROZDZIAŁ V

TRANSFER DANYCH OSOBOWYCH

§9

1. Z podmiotami zewnętrznymi, którym Administrator zleca przetwarzanie danych osobowych w swoim imieniu i na swoją rzecz, każdorazowo podpisywana jest Umowa Powierzenia. Każda Umowa Powierzenia jest rejestrowana w Rejestrze Umów Powierzenia, prowadzonym przez Administratora. Wzór Umowy Powierzenia stanowi Załącznik nr 6. Wzór Rejestru Umów Powierzenia stanowi Załącznik nr 1.
2. Dane osobowe przetwarzane przez Administratora mogą być udostępniane osobom lub podmiotom trzecim, przy czym udostępnianie takie musi być realizowane z uwzględnieniem przepisów RODO, ustawy o ochronie danych osobowych, regulacji wewnętrznych Administratora oraz innych przepisów powszechne obowiązujących.
3. Udostępnienie danych osobowych, będące formą ich przetwarzania, następuje na podstawie posiadanej przez Administratora podstawy prawnej, określonej w art. 6 RODO.
4. Dane udostępnione Administratorowi przez inny podmiot można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
5. Administrator może z innym podmiotem wspólnie ustalać cel oraz sposoby przetwarzania danych osobowych. W takiej sytuacji podmioty takie stają się współadministratorami danych osobowych. W ramach podpisanego przez współadministratorów porozumienia w przejrzysty sposób określają oni odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich

ROZDZIAŁ VI

ZARZĄDZANIE INCYDENTEM BEZPIECZEŃSTWA

§ 10

1. W przypadku podejrzenia wystąpienia incydentu naruszenia danych osobowych każdy pracownik Administratora zgłasza taką sytuację bezpośrednio właścicielowi.
2. W przypadku faktycznego stwierdzenia incydentu dotyczącego naruszenia ochrony danych osobowych, Administrator rejestruje incydent naruszenia w Rejestrze Naruszeń, którego wzór określa Załącznikiem nr 1.
3. Po zgłoszeniu incydentu bezpieczeństwa należy:
4. Zabezpieczyć dowody zdarzenia;
5. Podjąć, w porozumieniu z właścicielem, odpowiednie działania w celu niedopuszczenia do powstania dalszych szkód i postępować zgodnie z otrzymanymi wytycznymi.
6. W przypadku stwierdzenia incydentu naruszenia ochrony danych osobowych Administrator, nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia, zgłasza fakt naruszenia do Prezesa UODO, chyba że ryzyko naruszenia praw i wolności osób, których dotyczy incydent jest minimalne. Wyznaczenie prawidłowego poziomu ewentualnego naruszenia praw i wolności osób, których dotyczy incydent oraz sposobu zgłaszania incydentu do Prezesa UODO określa Załącznik nr 7.
7. W przypadku, gdy naruszenie ochrony danych osobowych może spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Prezes Zarządu w porozumieniu z Inspektorem Ochrony Danych, zawiadamia osoby fizyczne o naruszeniu.

ROZDZIAŁ VII

REALIZACJA PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ

§ 11

1. Każda osoba, której dane dotyczą może złożyć wniosek o realizację swoich praw wynikających z RODO, przy czym wniosek każdorazowo składany jest w formie pisemnej i powinien określać żądanie, tożsamość oraz dane kontaktowe osoby, której dane dotyczą.
2. Administrator obsługuje wnioski złożone przez osoby, których dane dotyczą:
3. W ciągu miesiąca, licząc od dnia otrzymania żądania;
4. W przypadku, gdy żądanie lub liczba żądań klienta ma skomplikowany charakter, termin udzielenia odpowiedzi może zostać wydłużony o kolejne dwa miesiące;
5. Obsługa wniosku polega na identyfikacji żądania, ocenie jego zasadności i rozstrzygnięciu kwestii zgłaszanych przez osobę, której dane dotyczą oraz udzieleniu wyczerpującej odpowiedzi.
6. Wszystkie wnioski osób, których dane dotyczą, muszą być rozpatrywane z należytą starannością, wnikliwie oraz z uwzględnieniem wszystkich okoliczności sprawy oraz z poszanowaniem powszechnie obowiązujących przepisów prawa, dobrych obyczajów i zasad etycznych, w sposób zapewniający wydanie niezależnego i obiektywnego rozstrzygnięcia żądania zawartego w zgłoszonym wniosku.
7. Wnioski osób, których dane dotyczą rejestrowane są w Rejestrze Wniosków RODO, którego wzór określa Załącznik nr 1.

ROZDZIAŁ VIII

POSTANOWIENIA KOŃCOWE

§ 14

1. Procesy, w ramach których przetwarzane są dane osobowe, chronione są przez Administratora w sposób zapewniający zabezpieczenie przetwarzanych danych osobowych w systemach informatycznych i na nośnikach informacji przed utratą poufności, integralności, dostępności i rozliczalności tych danych.
2. Zastosowane przez Administratora środki techniczne i organizacyjne stanowiące zabezpieczenie danych osobowych, podlegają okresowemu monitorowaniu ze względu na ich skuteczność i dostosowanie do aktualnego poziomu wiedzy i rozwoju technologicznego oraz wyników szacowania ryzyka.
3. Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.
4. Jeżeli ocena skutków dla ochrony danych, wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym.

ROZDZIAŁ IX

WYKAZ ZAŁĄCZNIKÓW

§ 16