STANDARDY
ochrony danych osobowych oraz tajemnicy przedsiębiorstwa
w Korporacja WAM Spółka NON for PROFIT Sp. z o.o.
Rozdział I
Postanowienia ogólne
§ 1. Cel Standardów
1. Niniejsze Standardy określają zasady ochrony danych osobowych oraz informacji poufnych w działalności Korporacja WAM Spółka NON for PROFIT Sp. z o.o., dalej jako „Spółka”.
2. Celem Standardów jest zapewnienie, aby Spółka:
1. przetwarzała dane osobowe zgodnie z prawem,
2. chroniła prawa osób, których dane dotyczą,
3. ograniczała ryzyko naruszeń ochrony danych osobowych,
4. chroniła informacje poufne, organizacyjne, finansowe, techniczne, projektowe i handlowe,
5. zabezpieczała tajemnicę przedsiębiorstwa,
6. jasno określała zasady dostępu do dokumentów, danych, systemów i informacji,
7. zapewniała bezpieczną współpracę z pracownikami, współpracownikami, wolontariuszami, wykonawcami, partnerami, sponsorami i grantodawcami.
3. Standardy stosuje się do wszystkich działań Spółki, w szczególności do:
1. realizacji projektów społecznych, edukacyjnych, kulturalnych, technologicznych, promocyjnych i biznesowych,
2. przyjmowania dotacji, grantów, sponsoringu i darowizn,
3. zawierania umów z kontrahentami,
4. prowadzenia dokumentacji księgowej i kadrowej,
5. rekrutacji uczestników, pracowników, współpracowników i wolontariuszy,
6. prowadzenia strony internetowej i mediów społecznościowych,
7. przetwarzania danych uczestników wydarzeń, małoletnich, rodziców, opiekunów i osób kontaktowych,
8. współpracy z podmiotami publicznymi i prywatnymi,
9. obsługi korespondencji elektronicznej i papierowej,
10. archiwizacji dokumentów.
§ 2. Charakter dokumentu
1. Standardy są wewnętrznym dokumentem organizacyjnym Spółki.
2. Standardy nie zastępują szczegółowych klauzul informacyjnych, umów powierzenia przetwarzania danych, polityki prywatności strony internetowej ani dokumentów wymaganych przez konkretnego grantodawcę, lecz stanowią podstawę ich przygotowania.
3. W razie sprzeczności między niniejszymi Standardami a bezwzględnie obowiązującymi przepisami prawa stosuje się przepisy prawa.
4. W sprawach nieuregulowanych Standardami decyzję podejmuje Zarząd Spółki, kierując się zasadą legalności, minimalizacji danych, bezpieczeństwa, poufności i odpowiedzialności.
Rozdział II
Definicje
§ 3. Dane osobowe
1. Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
2. W działalności Spółki danymi osobowymi mogą być w szczególności:
1. imię i nazwisko,
2. adres e-mail,
3. numer telefonu,
4. adres zamieszkania lub korespondencyjny,
5. numer PESEL,
6. numer dokumentu tożsamości,
7. podpis,
8. wizerunek,
9. głos,
10. dane rodzica lub opiekuna,
11. dane dziecka,
12. dane dotyczące uczestnictwa w projekcie,
13. dane rozliczeniowe,
14. dane kadrowe,
15. dane zawarte w korespondencji,
16. identyfikatory internetowe, jeżeli pozwalają ustalić osobę.
§ 4. Szczególne kategorie danych
1. Szczególne kategorie danych to dane wymagające podwyższonej ochrony.
2. W działaniach Spółki mogą pojawić się w szczególności dane dotyczące:
1. zdrowia,
2. niepełnosprawności,
3. szczególnych potrzeb,
4. pochodzenia etnicznego lub narodowego,
5. przekonań religijnych lub światopoglądowych,
6. sytuacji rodzinnej lub życiowej,
7. danych biometrycznych, jeżeli byłyby używane do identyfikacji,
8. danych dotyczących małoletnich w sytuacjach wymagających ochrony.
3. Spółka przetwarza szczególne kategorie danych wyłącznie wtedy, gdy istnieje wyraźna podstawa prawna i realna potrzeba.
4. W projektach społecznych, edukacyjnych i dostępnościowych nie wolno zbierać danych wrażliwych „na zapas”.
§ 5. Administrator danych
1. Administratorem danych osobowych przetwarzanych w ramach własnych działań jest Korporacja WAM Spółka NON for PROFIT Sp. z o.o.
2. Spółka jako administrator decyduje o celach i sposobach przetwarzania danych.
3. Dane kontaktowe administratora powinny być wskazywane w klauzulach informacyjnych, formularzach, regulaminach wydarzeń, umowach i polityce prywatności.
§ 6. Podmiot przetwarzający
1. Podmiotem przetwarzającym jest podmiot zewnętrzny, który przetwarza dane osobowe w imieniu Spółki.
2. Podmiotem przetwarzającym może być w szczególności:
1. biuro rachunkowe,
2. firma informatyczna,
3. dostawca hostingu,
4. operator systemu mailingowego,
5. podmiot obsługujący formularze zgłoszeniowe,
6. wykonawca prowadzący rekrutację uczestników,
7. operator platformy szkoleniowej,
8. zewnętrzny realizator projektu.
3. Powierzenie przetwarzania danych wymaga zawarcia umowy powierzenia albo innego aktu prawnego spełniającego wymogi RODO.
§ 7. Tajemnica przedsiębiorstwa i informacje poufne
1. Tajemnica przedsiębiorstwa obejmuje informacje techniczne, technologiczne, organizacyjne, finansowe, handlowe lub inne informacje posiadające wartość gospodarczą, które nie są powszechnie znane albo łatwo dostępne osobom zwykle zajmującym się takim rodzajem informacji i wobec których Spółka podjęła działania w celu zachowania ich poufności.
2. Informacjami poufnymi Spółki są w szczególności:
1. projekty umów,
2. strategie finansowe,
3. strategie rozwoju,
4. budżety projektów,
5. dane kontrahentów,
6. dane darczyńców i sponsorów,
7. dokumentacja grantowa przed publikacją,
8. dokumentacja księgowa,
9. dokumentacja kadrowa,
10. dane dostępowe do systemów,
11. hasła, tokeny, klucze API,
12. know-how organizacyjne,
13. cenniki, kalkulacje i oferty,
14. plany działań biznesowych,
15. dokumentacja techniczna,
16. korespondencja wewnętrzna,
17. informacje objęte NDA,
18. informacje przekazane przez partnerów jako poufne.
3. Informacja poufna może jednocześnie stanowić dane osobowe. W takim przypadku stosuje się zarówno zasady ochrony danych osobowych, jak i zasady ochrony poufności.
Rozdział III
Podstawowe zasady przetwarzania danych osobowych
§ 8. Zasada legalności
1. Dane osobowe mogą być przetwarzane wyłącznie wtedy, gdy istnieje podstawa prawna.
2. W działalności Spółki podstawą przetwarzania może być w szczególności:
1. wykonanie umowy,
2. podjęcie działań przed zawarciem umowy,
3. obowiązek prawny ciążący na Spółce,
4. zgoda osoby, której dane dotyczą,
5. prawnie uzasadniony interes Spółki,
6. ochrona żywotnych interesów osoby, której dane dotyczą,
7. realizacja zadania w interesie publicznym, jeżeli wynika to z właściwej podstawy prawnej lub umowy finansowania.
3. Przed rozpoczęciem nowego działania należy ustalić, jakie dane będą zbierane, w jakim celu i na jakiej podstawie.
§ 9. Zasada minimalizacji danych
1. Spółka zbiera tylko te dane, które są niezbędne do konkretnego celu.
2. Zabrania się zbierania danych „na wszelki wypadek”.
3. Formularze zgłoszeniowe, listy obecności, ankiety i umowy powinny zawierać tylko dane potrzebne do realizacji działania, rozliczenia, kontaktu lub spełnienia obowiązków prawnych.
4. Jeżeli wystarczy adres e-mail, nie należy żądać numeru PESEL.
5. Jeżeli wystarczy imię i numer telefonu rodzica, nie należy żądać pełnych danych rodziny.
§ 10. Zasada ograniczenia celu
1. Dane osobowe mogą być wykorzystywane tylko w celu, dla którego zostały zebrane.
2. Dane zebrane na potrzeby udziału w wydarzeniu nie mogą być automatycznie wykorzystywane do newslettera, marketingu, promocji lub innych działań, jeżeli nie ma odrębnej podstawy prawnej.
3. Dane zebrane do rozliczenia dotacji nie mogą być udostępniane innym podmiotom poza zakresem wynikającym z umowy, przepisów lub zgody.
§ 11. Zasada prawidłowości danych
1. Spółka dąży do tego, aby przetwarzane dane były prawidłowe i aktualne.
2. Jeżeli osoba zgłosi zmianę danych, należy ją odnotować w odpowiednim miejscu dokumentacji.
3. Nieaktualne lub błędne dane należy poprawić albo usunąć, jeżeli nie ma podstaw do ich dalszego przechowywania.
§ 12. Zasada ograniczenia przechowywania
1. Dane osobowe przechowuje się tylko przez okres potrzebny do realizacji celu, dla którego zostały zebrane.
2. Okres przechowywania może wynikać w szczególności z:
1. przepisów prawa,
2. umowy dotacyjnej lub grantowej,
3. zasad rachunkowości i podatkowych,
4. okresu przedawnienia roszczeń,
5. obowiązków archiwizacyjnych,
6. zgody osoby, której dane dotyczą.
3. Po upływie okresu przechowywania dane należy usunąć, zanonimizować albo trwale zniszczyć dokumenty.
§ 13. Zasada bezpieczeństwa i poufności
1. Spółka stosuje środki techniczne i organizacyjne odpowiednie do ryzyka.
2. Ochrona danych obejmuje w szczególności:
1. ograniczenie dostępu do danych,
2. stosowanie upoważnień,
3. bezpieczne hasła,
4. zabezpieczenie sprzętu,
5. szyfrowanie tam, gdzie jest to uzasadnione,
6. kopie zapasowe,
7. bezpieczne przesyłanie dokumentów,
8. ochronę dokumentacji papierowej,
9. niszczenie dokumentów w sposób uniemożliwiający odtworzenie danych,
10. reagowanie na naruszenia.
§ 14. Zasada rozliczalności
1. Spółka musi być w stanie wykazać, że przetwarza dane zgodnie z przepisami.
2. W tym celu prowadzi lub przechowuje w szczególności:
1. rejestr czynności przetwarzania, jeżeli jest wymagany lub uzasadniony skalą działalności,
2. upoważnienia do przetwarzania danych,
3. klauzule informacyjne,
4. zgody, jeżeli są podstawą przetwarzania,
5. umowy powierzenia,
6. rejestr naruszeń,
7. dokumentację incydentów,
8. politykę prywatności,
9. potwierdzenia realizacji praw osób,
10. dokumentację usunięcia lub archiwizacji danych.
Rozdział IV
Kategorie danych przetwarzanych w Spółce
§ 15. Dane uczestników projektów i wydarzeń
1. Spółka może przetwarzać dane uczestników projektów i wydarzeń w zakresie niezbędnym do organizacji, kontaktu, rozliczenia i dokumentowania działań.
2. Typowe dane uczestników to:
1. imię i nazwisko,
2. adres e-mail,
3. telefon,
4. wiek lub przedział wiekowy, jeżeli jest potrzebny,
5. status uczestnika, jeżeli wymaga tego projekt,
6. podpis na liście obecności,
7. wizerunek, jeżeli uzyskano zgodę albo istnieje inna podstawa prawna,
8. szczególne potrzeby, jeżeli uczestnik dobrowolnie je zgłosił.
3. Przy projektach z udziałem małoletnich należy stosować także Standardy Ochrony Małoletnich.
§ 16. Dane rodziców i opiekunów
1. W przypadku działań z udziałem dzieci Spółka może przetwarzać dane rodziców lub opiekunów.
2. Zakres danych powinien być ograniczony do danych potrzebnych do:
1. uzyskania zgody na udział dziecka,
2. kontaktu organizacyjnego,
3. zapewnienia bezpieczeństwa dziecka,
4. rozliczenia projektu,
5. spełnienia obowiązków wynikających z umowy grantowej lub przepisów.
§ 17. Dane pracowników, współpracowników i wolontariuszy
1. Spółka przetwarza dane osób zaangażowanych w działania Spółki w zakresie wynikającym z przepisów prawa, umów oraz potrzeb organizacyjnych.
2. Dotyczy to w szczególności:
1. członków organów Spółki,
2. pracowników,
3. współpracowników,
4. wolontariuszy,
5. ekspertów,
6. trenerów,
7. wykonawców,
8. osób reprezentujących partnerów.
3. Dane kadrowe, płacowe, podatkowe i ubezpieczeniowe podlegają podwyższonej ochronie.
§ 18. Dane kontrahentów, sponsorów, darczyńców i partnerów
1. Spółka może przetwarzać dane osób reprezentujących kontrahentów, sponsorów, darczyńców i partnerów.
2. Dane te mogą obejmować:
1. imię i nazwisko,
2. funkcję,
3. adres e-mail służbowy,
4. numer telefonu,
5. dane rejestrowe działalności,
6. dane potrzebne do zawarcia i wykonania umowy,
7. dane wymagane przez przepisy podatkowe, księgowe, grantowe, AML lub sankcyjne.
Rozdział V
Obowiązek informacyjny i zgody
§ 19. Klauzule informacyjne
1. Spółka przekazuje osobom, których dane dotyczą, klauzulę informacyjną w zwięzłej, przejrzystej i zrozumiałej formie.
2. Klauzula informacyjna powinna zawierać w szczególności:
1. dane administratora,
2. cel przetwarzania danych,
3. podstawę prawną,
4. kategorie odbiorców danych,
5. okres przechowywania danych,
6. prawa osoby, której dane dotyczą,
7. informację o prawie wniesienia skargi do Prezesa UODO,
8. informację, czy podanie danych jest obowiązkowe czy dobrowolne,
9. informację o ewentualnym przekazywaniu danych poza Europejski Obszar Gospodarczy,
10. informację o zautomatyzowanym podejmowaniu decyzji, jeżeli występuje.
3. Klauzula powinna być dostępna przed zebraniem danych lub najpóźniej w chwili ich zbierania.
§ 20. Zgody
1. Jeżeli podstawą przetwarzania danych jest zgoda, musi być ona dobrowolna, konkretna, świadoma i możliwa do wycofania.
2. Zgoda nie powinna być łączona z regulaminem, jeżeli dotyczy celu dodatkowego, np. newslettera albo publikacji wizerunku.
3. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania przed jej wycofaniem.
4. Spółka powinna przechowywać dowody udzielenia zgody.
§ 21. Wizerunek
1. Wizerunek osoby może być utrwalany i publikowany tylko wtedy, gdy istnieje odpowiednia podstawa prawna.
2. Przy zdjęciach i nagraniach z wydarzeń należy odróżnić:
1. dokumentację wewnętrzną projektu,
2. dokumentację dla grantodawcy,
3. publikację promocyjną,
4. publikację w mediach społecznościowych,
5. wykorzystanie komercyjne lub sponsorskie.
3. Jeżeli Spółka publikuje zdjęcia dzieci, stosuje podwyższony standard ochrony, w tym zasady wynikające ze Standardów Ochrony Małoletnich.
4. Nie wolno publikować zdjęć, które ośmieszają, zawstydzają, stygmatyzują albo mogą naruszać bezpieczeństwo osoby.
Rozdział VI
Upoważnienia i dostęp do danych
§ 22. Dostęp tylko dla osób upoważnionych
1. Dostęp do danych osobowych i informacji poufnych mają wyłącznie osoby, które potrzebują ich do wykonania powierzonych zadań.
2. Dostęp powinien być nadawany zgodnie z zasadą „tylko tyle, ile potrzebne”.
3. Nie wolno udostępniać danych osobom, które nie uczestniczą w danym projekcie, umowie, rozliczeniu lub czynności.
§ 23. Upoważnienie do przetwarzania danych
1. Osoby działające w imieniu Spółki mogą przetwarzać dane osobowe po otrzymaniu upoważnienia albo innej podstawy dostępu zaakceptowanej przez Zarząd.
2. Upoważnienie powinno określać:
1. imię i nazwisko osoby,
2. zakres danych,
3. cel przetwarzania,
4. systemy lub dokumenty, do których osoba ma dostęp,
5. datę nadania upoważnienia,
6. czas obowiązywania,
7. obowiązek zachowania poufności.
3. Po zakończeniu współpracy dostęp do danych, systemów, poczty, dysków i dokumentów powinien zostać odebrany.
§ 24. Poufność
1. Każda osoba mająca dostęp do danych osobowych lub informacji poufnych jest zobowiązana do zachowania poufności.
2. Obowiązek poufności trwa również po zakończeniu współpracy ze Spółką.
3. Naruszenie poufności może skutkować odpowiedzialnością cywilną, pracowniczą, kontraktową, administracyjną albo karną, zależnie od charakteru naruszenia.
Rozdział VII
Bezpieczeństwo techniczne i organizacyjne
§ 25. Hasła i konta
1. Każda osoba korzystająca z systemów Spółki używa indywidualnego konta.
2. Zabrania się udostępniania loginów i haseł innym osobom.
3. Hasła powinny być silne i unikalne.
4. Tam, gdzie jest to możliwe, należy stosować uwierzytelnianie dwuskładnikowe.
5. Hasła nie powinny być zapisywane na kartkach, w wiadomościach e-mail ani w plikach tekstowych bez zabezpieczenia.
§ 26. Poczta elektroniczna
1. Korespondencję zawierającą dane osobowe lub informacje poufne należy wysyłać ostrożnie.
2. Przed wysłaniem wiadomości należy sprawdzić:
1. adres odbiorcy,
2. treść załączników,
3. czy załącznik nie zawiera nadmiarowych danych,
4. czy odbiorca jest uprawniony do otrzymania danych,
5. czy plik wymaga hasła albo szyfrowania.
3. Przy masowej wysyłce e-maili do wielu odbiorców należy używać pola UDW/BCC albo systemu mailingowego.
4. Nie wolno wysyłać listy uczestników, danych dzieci, dokumentów księgowych lub skanów dokumentów osobom nieuprawnionym.
§ 27. Dokumenty elektroniczne
1. Dokumenty elektroniczne zawierające dane osobowe lub informacje poufne powinny być przechowywane w uporządkowanych folderach z ograniczonym dostępem.
2. Dokumenty szczególnie wrażliwe powinny być zabezpieczone hasłem albo przechowywane w systemie z kontrolą dostępu.
3. Nie należy przechowywać dokumentów Spółki na prywatnych, niezabezpieczonych nośnikach.
4. Pliki zawierające dane osobowe należy usuwać z urządzeń i dysków po zakończeniu celu, dla którego zostały pobrane.
§ 28. Dokumentacja papierowa
1. Dokumenty papierowe zawierające dane osobowe lub informacje poufne powinny być przechowywane w zamykanych szafach, segregatorach lub pomieszczeniach.
2. Dokumentów nie wolno pozostawiać w miejscach dostępnych dla osób postronnych.
3. Dokumenty przeznaczone do zniszczenia należy niszczyć w niszczarce albo przekazać podmiotowi zapewniającemu bezpieczne niszczenie dokumentacji.
4. Wydruki robocze należy ograniczać do minimum.
§ 29. Praca zdalna i poza biurem
1. Przy pracy zdalnej należy zachować taki sam poziom ochrony danych jak w miejscu pracy.
2. Zabrania się:
1. omawiania danych osobowych w miejscach publicznych,
2. pozostawiania dokumentów w samochodzie, kawiarni lub przestrzeni wspólnej,
3. korzystania z niezabezpieczonych sieci Wi-Fi do przesyłania wrażliwych danych,
4. udostępniania domownikom lub osobom trzecim dokumentów Spółki,
5. używania prywatnych komunikatorów do przesyłania poufnych dokumentów, jeżeli nie zostało to zaakceptowane przez Spółkę.
§ 30. Sprzęt i nośniki
1. Sprzęt wykorzystywany do pracy z danymi powinien być zabezpieczony hasłem.
2. Nośniki danych, takie jak pendrive, dyski zewnętrzne i karty pamięci, powinny być używane tylko wtedy, gdy jest to konieczne.
3. Nośniki zawierające dane osobowe lub tajemnicę przedsiębiorstwa powinny być szyfrowane albo przechowywane w bezpiecznym miejscu.
4. Utrata sprzętu lub nośnika może stanowić naruszenie ochrony danych i musi zostać niezwłocznie zgłoszona.
Rozdział VIII
Powierzenie danych i współpraca z podmiotami zewnętrznymi
§ 31. Umowy powierzenia
1. Jeżeli podmiot zewnętrzny przetwarza dane osobowe w imieniu Spółki, należy zawrzeć umowę powierzenia przetwarzania danych.
2. Umowa powierzenia powinna określać w szczególności:
1. przedmiot i czas trwania przetwarzania,
2. charakter i cel przetwarzania,
3. rodzaj danych osobowych,
4. kategorie osób, których dane dotyczą,
5. obowiązki i prawa Spółki jako administratora,
6. obowiązek zachowania poufności,
7. środki bezpieczeństwa,
8. zasady korzystania z dalszych podwykonawców,
9. pomoc przy realizacji praw osób,
10. pomoc przy naruszeniach,
11. zasady usunięcia lub zwrotu danych po zakończeniu współpracy.
§ 32. Weryfikacja podmiotów zewnętrznych
1. Przed przekazaniem danych podmiotowi zewnętrznemu należy sprawdzić, czy daje on wystarczające gwarancje bezpieczeństwa.
2. Weryfikacja może obejmować:
1. zakres usługi,
2. miejsce przechowywania danych,
3. stosowane zabezpieczenia,
4. dostęp podwykonawców,
5. politykę prywatności,
6. certyfikaty lub standardy bezpieczeństwa,
7. doświadczenie wykonawcy,
8. możliwość kontroli lub uzyskania wyjaśnień.
§ 33. Udostępnianie danych
1. Udostępnienie danych innemu administratorowi wymaga podstawy prawnej.
2. Odbiorcami danych mogą być w szczególności:
1. grantodawcy,
2. instytucje publiczne,
3. biuro rachunkowe,
4. banki,
5. organy kontroli,
6. sądy,
7. prokuratura,
8. Policja,
9. podmioty obsługujące projekty,
10. podmioty świadczące usługi IT.
3. Każde nietypowe udostępnienie danych powinno zostać ocenione przed przekazaniem.
Rozdział IX
Prawa osób, których dane dotyczą
§ 34. Obsługa żądań
1. Osoba, której dane dotyczą, może zwrócić się do Spółki w sprawie realizacji praw wynikających z RODO.
2. Żądanie może dotyczyć w szczególności:
1. dostępu do danych,
2. kopii danych,
3. sprostowania danych,
4. usunięcia danych,
5. ograniczenia przetwarzania,
6. sprzeciwu,
7. przenoszenia danych,
8. cofnięcia zgody,
9. informacji o przetwarzaniu.
3. Żądanie należy niezwłocznie przekazać osobie odpowiedzialnej za ochronę danych w Spółce albo Zarządowi.
4. Spółka nie może ignorować żądań, nawet jeżeli uznaje je za niezasadne.
§ 35. Weryfikacja osoby
1. Przed udzieleniem informacji należy upewnić się, że żądanie pochodzi od osoby uprawnionej.
2. Nie należy przekazywać danych telefonicznie lub mailowo, jeżeli istnieją wątpliwości co do tożsamości osoby pytającej.
3. Przy danych dzieci szczególną ostrożność należy zachować wobec konfliktów rodzinnych, sporów opiekuńczych lub niejasnych uprawnień osoby występującej o dane.
Rozdział X
Naruszenia ochrony danych osobowych
§ 36. Co jest naruszeniem
1. Naruszeniem ochrony danych osobowych jest zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmodyfikowania, nieuprawnionego ujawnienia albo nieuprawnionego dostępu do danych osobowych.
2. Naruszeniem może być w szczególności:
1. wysłanie e-maila z danymi do niewłaściwego adresata,
2. ujawnienie listy odbiorców w polu DW zamiast UDW/BCC,
3. zgubienie laptopa, telefonu, pendrive’a lub dokumentów,
4. włamanie do poczty lub systemu,
5. omyłkowa publikacja dokumentu z danymi,
6. dostęp osoby nieuprawnionej do dokumentów,
7. utrata dokumentacji projektowej,
8. przesłanie danych dzieci osobie nieuprawnionej,
9. brak możliwości odzyskania danych po awarii,
10. kradzież sprzętu zawierającego dane.
§ 37. Zgłaszanie naruszenia wewnątrz Spółki
1. Każda osoba, która zauważy naruszenie albo podejrzenie naruszenia, ma obowiązek niezwłocznie zgłosić to Zarządowi albo osobie odpowiedzialnej za ochronę danych.
2. Zgłoszenie powinno zawierać:
1. datę i godzinę zdarzenia,
2. opis zdarzenia,
3. rodzaj danych,
4. liczbę osób, których dane mogą dotyczyć,
5. osoby lub podmioty, które mogły uzyskać dostęp do danych,
6. podjęte działania zabezpieczające,
7. załączniki, np. e-mail, zrzut ekranu, notatkę.
3. Osoba, która stwierdzi naruszenie, nie powinna usuwać dowodów zdarzenia bez zgody Zarządu.
§ 38. Ocena naruszenia
1. Zarząd albo osoba odpowiedzialna za ochronę danych ocenia:
1. czy doszło do naruszenia danych osobowych,
2. jakich danych dotyczy zdarzenie,
3. ilu osób dotyczy zdarzenie,
4. czy dane były zaszyfrowane,
5. czy osoba nieuprawniona mogła zapoznać się z danymi,
6. jakie skutki może mieć naruszenie,
7. czy występuje ryzyko naruszenia praw lub wolności osób fizycznych,
8. czy konieczne jest zgłoszenie do Prezesa UODO,
9. czy konieczne jest zawiadomienie osób, których dane dotyczą.
2. Spółka dokumentuje każde naruszenie, także wtedy, gdy nie zostało zgłoszone do UODO.
3. Jeżeli naruszenie wymaga zgłoszenia do UODO, należy działać niezwłocznie, mając na uwadze 72-godzinny termin liczony od stwierdzenia naruszenia.
Rozdział XI
Tajemnica przedsiębiorstwa i informacje poufne
§ 39. Klasyfikacja informacji
1. Spółka dzieli informacje na następujące kategorie:
Kategoria Opis Przykłady
Publiczne informacje przeznaczone do publikacji posty, komunikaty, ogłoszenia
Wewnętrzne informacje robocze dostępne dla zespołu harmonogramy, robocze ustalenia
Poufne informacje dostępne tylko osobom uprawnionym umowy, budżety, dane kontaktowe
Ściśle poufne informacje o wysokim ryzyku ujawnienia hasła, dane dzieci, dane kadrowe, strategie, dane finansowe
2. Dokumenty zawierające informacje poufne lub ściśle poufne powinny być oznaczane, jeżeli jest to praktycznie możliwe, np. poprzez zapis:
Dokument poufny. Do użytku wewnętrznego Korporacja WAM Spółka NON for PROFIT Sp. z o.o. Udostępnianie osobom trzecim wymaga zgody Zarządu.
§ 40. Informacje objęte szczególną ochroną
1. Szczególną ochroną obejmuje się:
1. dane osobowe,
2. dane dzieci i rodziców,
3. dokumentację kadrową,
4. dokumentację księgową,
5. dokumenty grantowe przed złożeniem lub rozstrzygnięciem,
6. umowy i negocjacje,
7. budżety i kalkulacje,
8. dane sponsorów i darczyńców,
9. oferty i zapytania ofertowe,
10. dokumentację techniczną,
11. plany biznesowe,
12. strategie,
13. dane dostępowe,
14. informacje przekazane przez partnera jako poufne.
2. Informacje te mogą być wykorzystywane wyłącznie w interesie Spółki i tylko w zakresie powierzonych zadań.
§ 41. Zakaz nieuprawnionego ujawniania i wykorzystania
1. Zabrania się ujawniania informacji poufnych osobom nieuprawnionym.
2. Zabrania się wykorzystywania informacji poufnych Spółki dla celów prywatnych, konkurencyjnych, politycznych, medialnych, handlowych lub innych niezwiązanych z działalnością Spółki.
3. Zabrania się kopiowania, wynoszenia, przesyłania lub przechowywania informacji poufnych poza systemami i dokumentacją Spółki bez uzasadnionej potrzeby.
4. Zakaz dotyczy także osób, które zakończyły współpracę ze Spółką.
§ 42. Udostępnianie informacji poufnych partnerom i wykonawcom
1. Informacje poufne można udostępnić partnerowi, wykonawcy, sponsorowi lub kontrahentowi tylko wtedy, gdy jest to konieczne do realizacji umowy lub projektu.
2. Przed przekazaniem informacji poufnych należy rozważyć podpisanie klauzuli poufności albo umowy NDA.
3. Udostępniane informacje powinny być ograniczone do niezbędnego minimum.
4. Jeżeli informacja zawiera dane osobowe, należy dodatkowo ocenić podstawę prawną udostępnienia albo konieczność zawarcia umowy powierzenia.
Rozdział XII
Kontrola dostępu i archiwizacja
§ 43. Rejestry i dokumentacja
1. Spółka prowadzi dokumentację pozwalającą wykazać, kto i na jakiej podstawie ma dostęp do danych i informacji poufnych.
2. Dokumentacja może obejmować:
1. rejestr upoważnień,
2. rejestr umów powierzenia,
3. rejestr naruszeń danych osobowych,
4. rejestr incydentów poufności,
5. wykaz systemów informatycznych,
6. wykaz klauzul informacyjnych,
7. rejestr żądań osób, których dane dotyczą,
8. listę osób zapoznanych ze Standardami.
§ 44. Archiwizacja
1. Dokumenty zawierające dane osobowe lub informacje poufne przechowuje się przez okres wymagany przepisami, umowami, regulaminami grantowymi albo uzasadnionym interesem Spółki.
2. Dokumentacja projektowa finansowana ze środków publicznych lub grantowych powinna być przechowywana przez okres wskazany w umowie lub regulaminie.
3. Dokumenty zawierające dane osobowe nie powinny być przechowywane dłużej, niż jest to konieczne.
4. Po upływie okresu przechowywania dokumenty należy zniszczyć, usunąć albo zanonimizować.
Rozdział XIII
Publikacje, media społecznościowe i strona internetowa
§ 45. Publikacje
1. Przed publikacją materiału należy sprawdzić, czy nie zawiera on danych osobowych lub informacji poufnych, które nie powinny zostać ujawnione.
2. Szczególną ostrożność należy zachować przy publikacji:
1. zdjęć dzieci,
2. list obecności,
3. skanów dokumentów,
4. umów,
5. faktur,
6. korespondencji,
7. zrzutów ekranu,
8. dokumentacji projektowej,
9. informacji o uczestnikach działań.
3. Przed publikacją zrzutu ekranu należy usunąć dane osobowe, adresy e-mail, numery telefonów, identyfikatory, nazwy plików i inne informacje, które nie powinny być publiczne.
§ 46. Strona internetowa
1. Strona internetowa Spółki powinna zawierać politykę prywatności, jeżeli za jej pośrednictwem zbierane są dane osobowe lub stosowane są pliki cookies.
2. Formularze internetowe powinny zawierać klauzulę informacyjną albo link do niej.
3. Formularze nie powinny zbierać danych nadmiarowych.
4. Dostęp do panelu administracyjnego strony powinien być zabezpieczony silnym hasłem i, jeżeli to możliwe, uwierzytelnianiem dwuskładnikowym.
§ 47. Media społecznościowe
1. Publikując treści w mediach społecznościowych, Spółka chroni dane osobowe, wizerunek i prywatność osób.
2. Nie wolno publikować danych uczestników, dzieci, rodziców, współpracowników lub kontrahentów bez podstawy prawnej.
3. Treści prywatne przesłane do Spółki w wiadomościach nie powinny być publikowane bez zgody osoby, której dotyczą.
4. Komentarze zawierające dane osobowe, hejt, groźby, dane dzieci albo informacje wrażliwe mogą zostać ukryte lub usunięte, jeżeli jest to uzasadnione ochroną osób.
Rozdział XIV
Obowiązki osób działających w imieniu Spółki
§ 48. Obowiązki podstawowe
Każda osoba działająca w imieniu Spółki ma obowiązek:
1. chronić dane osobowe,
2. chronić informacje poufne,
3. korzystać z danych tylko w zakresie powierzonych zadań,
4. nie udostępniać danych osobom nieuprawnionym,
5. stosować bezpieczne hasła,
6. zabezpieczać dokumenty,
7. nie zostawiać dokumentów w miejscach publicznych,
8. zgłaszać naruszenia i incydenty,
9. usuwać zbędne kopie dokumentów,
10. przestrzegać zasad publikacji wizerunku i danych,
11. zachować poufność po zakończeniu współpracy.
§ 49. Zakazy
Zabrania się:
1. przesyłania danych osobowych na prywatne skrzynki bez zgody Zarządu,
2. kopiowania całych baz danych bez potrzeby,
3. przechowywania haseł w jawnej formie,
4. udostępniania kont i loginów,
5. wynoszenia dokumentacji bez uzasadnienia,
6. publikowania dokumentów bez anonimizacji,
7. omawiania spraw poufnych w miejscach publicznych,
8. wykorzystywania danych uczestników do celów prywatnych,
9. wykorzystywania kontaktów Spółki do własnych działań bez zgody Zarządu,
10. przekazywania informacji poufnych konkurencji, mediom lub osobom trzecim bez zgody Zarządu.
Rozdział XV
Odpowiedzialność i nadzór
§ 50. Odpowiedzialność Zarządu
1. Za wdrożenie Standardów odpowiada Zarząd Spółki.
2. Zarząd:
1. zatwierdza Standardy,
2. nadzoruje ich stosowanie,
3. wyznacza osoby odpowiedzialne za ochronę danych i poufności,
4. podejmuje decyzje w sprawie naruszeń,
5. zatwierdza klauzule informacyjne,
6. akceptuje umowy powierzenia,
7. decyduje o zgłoszeniu naruszenia do UODO,
8. decyduje o dochodzeniu roszczeń w razie naruszenia tajemnicy przedsiębiorstwa.
§ 51. Osoba odpowiedzialna za ochronę danych i poufności
1. Zarząd może wyznaczyć osobę odpowiedzialną za koordynowanie spraw ochrony danych osobowych i informacji poufnych.
2. Do jej zadań może należeć:
1. prowadzenie rejestru upoważnień,
2. przygotowywanie klauzul informacyjnych,
3. opiniowanie formularzy,
4. prowadzenie rejestru naruszeń,
5. przyjmowanie zgłoszeń incydentów,
6. współpraca z wykonawcami IT,
7. kontrola dostępu do dokumentów,
8. przygotowanie przeglądu Standardów.
3. Wyznaczenie takiej osoby nie zwalnia Zarządu z odpowiedzialności za zgodność działań Spółki z prawem.
§ 52. Inspektor ochrony danych
1. Zarząd dokonuje oceny, czy Spółka ma obowiązek powołania inspektora ochrony danych.
2. Jeżeli obowiązek taki nie występuje, Zarząd może mimo to wyznaczyć osobę koordynującą kwestie ochrony danych wewnętrznie.
3. Jeżeli zakres lub skala działalności Spółki ulegnie zmianie, w szczególności gdy Spółka zacznie przetwarzać dane na dużą skalę albo dane szczególnych kategorii w szerszym zakresie, Zarząd ponownie ocenia obowiązek powołania inspektora ochrony danych.
Rozdział XVI
Incydenty dotyczące tajemnicy przedsiębiorstwa
§ 53. Incydent poufności
1. Incydentem poufności jest każde zdarzenie, które prowadzi albo może prowadzić do ujawnienia, utraty, przejęcia lub nieuprawnionego wykorzystania informacji poufnych lub tajemnicy przedsiębiorstwa.
2. Incydentem może być w szczególności:
1. wysłanie oferty lub budżetu do niewłaściwego adresata,
2. udostępnienie dokumentu osobie nieuprawnionej,
3. utrata laptopa lub nośnika,
4. publikacja dokumentu roboczego,
5. ujawnienie strategii lub kalkulacji,
6. przejęcie konta e-mail,
7. wykorzystanie dokumentów Spółki przez byłego współpracownika,
8. wyniesienie bazy kontaktów,
9. przekazanie dokumentów konkurencyjnemu podmiotowi,
10. naruszenie umowy NDA.
§ 54. Reakcja na incydent poufności
1. Osoba, która stwierdzi incydent poufności, niezwłocznie informuje Zarząd.
2. Zarząd podejmuje działania zabezpieczające, w szczególności:
1. ogranicza dalszy dostęp do informacji,
2. żąda usunięcia lub zwrotu dokumentów,
3. zmienia hasła i dostępy,
4. zabezpiecza dowody,
5. analizuje skutki prawne,
6. informuje partnera lub kontrahenta, jeżeli naruszono jego informacje poufne,
7. rozważa skierowanie wezwania do zaprzestania naruszeń,
8. rozważa dochodzenie roszczeń.
3. Jeżeli incydent poufności obejmuje dane osobowe, stosuje się również procedurę naruszenia ochrony danych osobowych.
Rozdział XVII
Przegląd i aktualizacja Standardów
§ 55. Przegląd
1. Standardy podlegają przeglądowi co najmniej raz w roku.
2. Przegląd obejmuje:
1. analizę naruszeń danych osobowych,
2. analizę incydentów poufności,
3. przegląd upoważnień,
4. przegląd umów powierzenia,
5. przegląd klauzul informacyjnych,
6. przegląd zabezpieczeń IT,
7. przegląd dokumentów publikowanych online,
8. analizę zmian prawnych,
9. ocenę potrzeby powołania inspektora ochrony danych.
3. Aktualizacji Standardów dokonuje Zarząd.
Rozdział XVIII
Postanowienia końcowe
§ 56. Wejście w życie
1. Standardy wchodzą w życie z dniem przyjęcia przez Zarząd Spółki.
2. Standardy stosuje się do wszystkich nowych działań, projektów, umów, publikacji i procesów przetwarzania danych.
3. Do działań już rozpoczętych Standardy stosuje się odpowiednio, w zakresie możliwym organizacyjnie i prawnym.