1.1 Niniejszą Politykę ochrony danych osobowych w GGS IT CONSULTING Sp. z o.o. (dawniej: GGS Go Global Services Spółka z ograniczoną odpowiedzialnością Spółka komandytowa) ustanawia się dążąc do spełniania wymogu rozliczalności, na podstawie art. 5 ust. 2 w związku z art. 5 ust. 1 lit. c., d. oraz e., jak również w związku z art. 6 ust 1 lit. f., art. 15-21, art. 24 ust. 1, art. 33 oraz art. 35-37 RODO, a także biorąc pod uwagę dokumenty wydane przez „Grupę Roboczą art. 29” – a zwłaszcza:
1.1.1. Guidelines on transparency under Regulation 2016/679, 1.1.2. Guidelines on Personal data breach notification under Regulation 2016/679, 1.1.3. Guidelines on Consent under Regulation 2016/679, 1.1.4. Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, 1.1.5. Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” dla celów rozporządzenia 2016/679, 1.1.6. Wytyczne dotyczące inspektorów ochrony danych (‘DPO’), 1.1.7. Opinię 2/2017 na temat przetwarzania danych w miejscu pracy.
Ilekroć w dokumentacji przetwarzania danych osobowych obowiązującej w GGS IT CONSULTING Sp. z o.o. (dawniej: GGS Go Global Services Spółka z ograniczoną odpowiedzialnością Spółka komandytowa) pojawiają się podane niżej sformułowania należy nadawać im podane niżej znaczenie (chyba, że dany dokument wprost wskazuje coś przeciwnego):
2.1 Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
2.2 Przetwarzanie danych osobowych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
2.3 Zbiór danych osobowych – oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.
2.4 RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) z dnia 27 kwietnia 2016 r. (Dz.Urz.UE.L Nr 119, str. 1).
2.5 Rejestr – rejestr czynności przetwarzania danych, prowadzony zgodnie z art. 30 ust. 1 RODO oraz rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, prowadzony zgodnie z art. 30 ust. 2 RODO. Obydwa rejestry znajdują się w jednym dokumencie. 2.6 GGS – GGS IT CONSULTING spółka z ograniczoną odpowiedzialnością z siedzibą w Krakowie (adres: ul. Cystersów 13A/3, 31-553 Kraków, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem: 0001009100, identyfikującą się numerami NIP: 9452190015 i REGON: 363572070, będąca administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO (tj. podmiotem samodzielnie lub wspólnie ustalającym cele i sposoby przetwarzania danych osobowych) lub podmiotem przetwarzającym w rozumieniu art. 4 pkt 8 RODO (tj. podmiotem przetwarzającym dane osobowe w imieniu administratora danych osobowych).
Dane osobowe w GGS są: 3.1 Przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”).
3.1.1. Zgodność przetwarzania danych osobowych z prawem zapewniono poprzez zasięgnięcie w tym zakresie porady kancelarii prawnej. Istotne zagadnienia związane z przetwarzaniem danych osobowych są konsultowane z kancelarią prawną na bieżąco. GGS będzie organizowała okresowe szkolenia dla zespołu GGS z zakresu ochrony danych osobowych. GGS dąży do zapewnienia ciągłej zgodności z prawem przetwarzania danych osobowych. Obejmuje to okresowe (dokonywane nie rzadziej niż raz na 12 miesięcy) oceny i aktualizacje niniejszej Polityki ochrony danych osobowych. Jednym z kryteriów oceny powinna być zgodność z ewentualnymi kodeksami postępowania przyjętymi dla branży w której działa, zgodnie z art. 40 i nast. RODO. W razie potrzeby, niezwłocznej aktualizacji podlegają również informacje podawane osobom, których dane dotyczą, zgodnie z art. 13 i 14 RODO. W zakresie w jakim GGS bazuje na zgodzie, jako podstawie prawnej przetwarzania danych osobowych – zgody podlegają odnowieniu po każdej zmianie informacji udzielanych zgodnie z art. 4 pkt. 11 w związku z motywem 42 RODO. 3.1.2. Podstawy prawne przetwarzania danych osobowych wymieniono w Rejestrze. 3.1.3 Rzetelność i przejrzystość przetwarzania danych osobowych zagwarantowano poprzez wdrożenie Rejestru oraz zapewniając osobom, których dane dotyczą informacje wymagane na podstawie art. 13, 14 i 21. ust. 4. RODO. Informacje udzielane na podstawie art. 13 i 14 RODO, a także art. 4 ust 11 RODO zostały przygotowane i są aktualizowane w oparciu o wytyczne Grupy Roboczej art. 29 zawarte w Guidelines on transparency under Regulation 2016/679.
3.2 Zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”).
3.2.1 Cele przetwarzania danych osobowych przez GGS opisano w Rejestrze. 3.2.2 W przypadku danych osobowych pozyskiwanych przez GGS nie od osób, których one dotyczą (dane osób bliskich pracowników do ubezpieczeń społecznych, a także dane przedstawicieli i pracowników kontrahentów, klientów oraz dostawców) – w myśl art. 6 ust. 4 RODO GGS, ustaliła, że przetwarzanie danych osobowych tych odbiorców odbywa się w tym samym celu, dla którego zostały pierwotnie zebrane. Nie ma więc potrzeby dokonywania oceny zgodnie z art. 6 ust. 4 RODO. 3.2.3 Informacje udzielane odbiorcom zgodnie z art. 14 RODO obejmują m.in. treść ust. 3.2.2. powyżej. 3.2.4 W przypadku przetwarzania danych osobowych przez Administratora w charakterze podmiotu przetwarzającego Administrator działa wyłącznie w zakresie celów i środków określonych przez administratora danych osobowych.
3.3 Adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”).
3.3.1 W zakresie w jakim dane osobowe przetwarzane są dla innych celów niż realizacja obowiązków nałożonych przez przepisy prawa, GGS regularnie (nie rzadziej niż raz na 12 miesięcy) dokonuje przeglądu tych danych i – w razie takiej możliwości – ich minimalizacji (przez zaprzestanie zbierania, usunięcie lub anonimizację). 3.3.2 GGS nie dokonuje żadnych operacji na danych osobowych i nie przetwarza żadnych danych osobowych, które nie są konieczne dla założonych celów i w sposób z gruntu nieuczciwy, nawet na podstawie zgody osoby, której dane dotyczą (w myśl wytycznych Grupy Roboczej art. 29 zawartych w pkt 1 Guidelines on Consent under Regulation 2016/679 oraz w Opinion 15/2011 on the definition of consent).
3.4 Prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”).
3.4.1 GGS przetwarza dane osobowe w sposób regularny, są one wiec aktualizowane i poprawiane na bieżąco.
3.5 Przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”).
3.5.1 Okresy przechowywania danych osobowych opisano w Rejestrze. 3.5.2 Retencja znacznej części danych osobowych kontrahentów oraz pracowników GGS wynika z przepisów prawa. Pozostałe dane dotyczące tych osób przetwarzane są przez okres (i w zakresie) niezbędnym dla realizacji umowy, w tym wynikających z niej roszczeń, pozostających w mocy również po wygaśnięciu samej umowy (np. o zapłatę wynagrodzenia, roszczeń regresowych, odszkodowawczych, kar umownych, związanych z zawartą umową o poufności), do upływu przedawnienia tych roszczeń.
3.6 Przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
3.6.1 Opis środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i możliwości rozliczenia przetwarzanych danych zawarto w Rejestrze.
GGS wprowadza następujące procedury pozwalające na zgodną z prawem i przejrzystą realizację uprawnień osób, których dane dotyczą:
4.1 Reagowanie na żądanie udzielenia dostępu do danych osobowych, zgłoszone na podstawie art. 15 RODO.
4.1.1. Osoba, której dane dotyczą, jest uprawniona do uzyskania od GGS, jako administratora danych osobowych lub podmiotu przetwarzającego dane osobowe na polecenie administratora, potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz do informacji przewidzianych przepisami prawa. 4.1.2 GGS dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, GGS może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną (np. za pośrednictwem poczty elektronicznej). Przy czym prawo do uzyskania takiej kopii nie może niekorzystnie wpływać na prawa i wolności innych osób. 4.1.3 Osoba uprawniona może zgłosić, żądanie o którym mowa w pkt. 4.1.1. powyżej w dowolnej formie, przy czym szczegółowe informacje co do możliwych form zgłoszenia takiego żądania znajdują się we właściwej polityce prywatności. 4.1.4 GGS, po weryfikacji, czy zapytanie pochodzi od uprawnionej osoby, tak by wykluczyć uzyskanie informacji przez osobę nieuprawnioną, udzieli takiej informacji w formie oczekiwanej przez osobę uprawnioną, w szczególności w takiej samej w jakiej zgłoszono żądanie.
4.2 Reagowanie na żądanie sprostowania danych osobowych, zgłoszone na podstawie art. 16 RODO.
4.2.1 Osoba, której dane dotyczą, ma prawo żądania od GGS, jako administratora danych osobowych, niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. 4.2.2 Podobnie, z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania od GGS, jako administratora danych osobowych, uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia. 4.2.3 Osoba uprawniona może zgłosić, żądanie o którym mowa w pkt. 4.2.1. powyżej w dowolnej formie, przy czym szczegółowe informacje co do możliwych form zgłoszenia takiego żądania znajdują się we właściwej polityce prywatności. 4.2.4 GGS, po weryfikacji, czy żądanie pochodzi od uprawnionej osoby, tak by wykluczyć dokonanie zmian na żądanie osoby nieuprawnionej, dokona takiego sprostowania we wszystkich systemach.
4.3 Reagowanie na żądanie zaprzestania przetwarzania danych (w tym skorzystania z prawa do bycia zapomnianym), zgłoszone na podstawie art. 17 RODO.
4.3.1 Osoba, której dane dotyczą, ma prawo żądania od GGS niezwłocznego usunięcia dotyczących jej danych osobowych, a GGS bez zbędnej zwłoki usunie jej dane osobowe, jeżeli istnieją ku temu przyczyny przewidziane w przepisach prawa oraz gdy nie ma podstaw prawnych do dalszego ich przetwarzania. 4.3.2 Jeżeli GGS udostępnia dane osobowe innym podmiotom, a ma obowiązek usunąć te dane osobowe, to podejmie wszelkie dostępne działania, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje. Biorąc pod uwagę fakt, że GGS zna wszystkie podmioty, którym dane osobowe udostępnia, poinformowanie tych podmiotów nastąpi niezwłocznie. 4.3.3 Osoba uprawniona może zgłosić, żądanie o którym mowa w pkt. 4.3.1. powyżej w dowolnej formie, przy czym szczegółowe informacje co do możliwych form zgłoszenia takiego żądania znajdują się we właściwej polityce prywatności. 4.3.4 GGS, po weryfikacji, czy żądanie pochodzi od uprawnionej osoby, tak by wykluczyć naruszenie praw lub wolności innych osób, natychmiast zaprzestanie przetwarzania danych osobowych żądającego oraz usunie wszystkie jego dane osobowe ze wszystkich systemów oraz wykona działania wskazane w pkt 4.3. powyżej, zgodnie z przepisami prawa.
4.4 Reagowanie na żądanie ograniczenia przetwarzania danych, zgłoszone na podstawie art. 18 RODO.
4.4.1 Osoba, której dane dotyczą, ma prawo żądania od GGS jako administratora danych osobowych, ograniczenia przetwarzania jej danych osobowych w przypadkach przewidzianych w przepisach prawa. 4.4.2 Jeżeli przetwarzanie zostało ograniczone zgodnie z przepisami prawa, takie dane osobowe GGS może przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego. 4.4.3 Przed uchyleniem ograniczenia przetwarzania GGS informuje o tym osobę, która żądała ograniczenia. 4.4.4 GGS niezwłocznie dokona ograniczenia przetwarzania danych osobowych osoby, która zgłosiła żądanie o którym mowa w pkt. 4.4.1. powyżej, przy czym uprzednio zweryfikuje, czy żądanie pochodzi od uprawnionej osoby, tak by wykluczyć naruszenie praw lub wolności innych osób. 4.4.5 Osoba uprawniona może zgłosić, żądanie o którym mowa w pkt. 4.4.1. powyżej w dowolnej formie, przy czym szczegółowe informacje co do możliwych form zgłoszenia takiego żądania znajdują się we właściwej polityce prywatności.
4.5 Reagowanie na żądanie przeniesienia danych, zgłoszone na podstawie art. 20 RODO.
4.5.1 GGS na żądanie osoby, której dane dotyczą, dostarczy jej w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła GGS. 4.5.2 GGS będzie dostarczać dane w formie plików XML, JSON, CSV, docx, pdf lub xml i nie będzie czynić żadnych przeszkód by dane, dostarczone zgodnie z pkt 4.5.1. powyżej, zostały przekazane innemu administratorowi przez uprawnioną osobę. 4.5.3 Ponadto, GGS wykonując prawo do przenoszenia danych, o którym mowa w pkt. 4.5.1. powyżej, na żądanie osoby, której dane dotyczą prześle te dane bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe. 4.5.4 Osoba uprawniona może zgłosić, żądanie o którym mowa w pkt. 4.5.1. powyżej w dowolnej formie, przy czym szczegółowe informacje co do możliwych form zgłoszenia takiego żądania znajdują się we właściwej polityce prywatności. 4.5.6GGS, po weryfikacji, czy żądanie pochodzi od uprawnionej osoby, tak by wykluczyć naruszenie praw lub wolności innych osób, niezwłocznie dostarczy żądane dane, zgodnie z pkt. 4.5.1.-4.5.3. powyżej, w sposób indywidualnie ustalony z osobą uprawnioną.
4.6 Reagowanie na sprzeciw co do przetwarzania danych, zgłoszony na podstawie art. 21 RODO.
4.6.1 Jeśli osoba uprawniona wniesie sprzeciw wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f) RODO, w tym profilowania na podstawie tych przepisów, GGS zaprzestanie przetwarzania tych danych, chyba że będą istniały ważne, prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń. 4.6.2 GGS zaprzestanie również przetwarzania (w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim) danych osobowych, które były przetwarzane na potrzeby marketingu bezpośredniego (w tym profilowania), jeśli osoba, której dane dotyczą, wniesie sprzeciw wobec ich przetwarzania. 4.6.3 GGS wyraźnie, jasno i odrębnie od wszelkich innych informacji, informuje, najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, o prawie do wniesienia sprzeciwu, o którym mowa w pkt. 4.6.2. powyżej. 4.6.4 Osoba uprawniona może zgłosić, żądanie o którym mowa w pkt. 4.6.1. lub 4.6.2. powyżej w dowolnej formie, przy czym szczegółowe informacje co do możliwych form zgłoszenia takiego żądania znajdują się we właściwej polityce prywatności.
4.7 GGS informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Przy czym ze względu na fakt, że GGS zna odbiorców danych osobowych powyższy obowiązek informacyjny nie powinien nastręczać problemów. Ponadto, GGS informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.
4.8 GGS zapewnia wsparcie osoby, której zadaniem jest dbanie o zachowanie zasad i wymogów ochrony danych osobowym, w tym wypełnianie obowiązków, o których mowa w pkt. 4.1.-4.6. powyżej. Osoba ta posiada odpowiednią wiedzę z zakresu ochrony danych osobowych i jest odpowiednio przeszkolona w tym zakresie.
4.9 Osoba, o której mowa w pkt. 4.8. powyżej, na bieżąco dba by żądania osób uprawnionych były weryfikowane i wykonywane zgodnie z przepisami prawa oraz wewnętrznymi politykami.
4.10 Oprogramowanie służące do przetwarzania danych osobowych w GGS posiada narzędzia umożliwiające spełnienie wymogów RODO, w szczególności w zakresie wyszukiwania danych osobowych, ich zmiany, generowania informacji dla uprawnionych i skutecznego usunięcia.
4.11 Wszystkie działania, o których mowa pkt. 4.1.-4.6. powyżej, będą stosowane do wszystkich nośników danych – zarówno elektronicznych (w tym backupów danych), jak i w formie wydruków, przetwarzanych przez GGS oraz podmioty przetwarzające dane dla GGS (w trybie art. 28 RODO). Odpowiednie umowy z podmiotami przetwarzającymi dane osobowe dla GGS w trybie art. 28 RODO uprawniają GGS do żądania podjęcia analogicznych działań również przez te podmioty.
4.12 Do danych osobowych, co do których GGS jest jedynie podmiotem przetwarzającym (w trybie art. 28 RODO), niniejszy rozdział nie stosuje się. W razie zgłoszenia któregokolwiek z opisanych powyżej żądań GGS dokonuje niezwłocznego zawiadomienia administratora danych osobowych o zgłoszeniu, i postępuje zgodnie z procedurą przewidzianą w odpowiedniej umowie zawartej z danym administratorem. Ponadto, w przypadku, w którym GGS działa jako podmiot przetwarzający, GGS zgodnie z art. 28 ust. 3 lit. e) RODO, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw.
5.1 Stosując niniejszy rozdział Polityki ochrony danych osobowych, powinno się zawsze na pierwszym miejscu stawiać ochronę osób, których dane przetwarzane są przez GGS. Na potrzeby niniejszego rozdziału przez „pracownika” rozumie się osobę zatrudnioną w GGS, niezależnie od podstawy prawnej zatrudnienia.
5.2 Zgodnie z wytycznymi Grupy Roboczej art. 29, zawartymi we wstępie do Guidelines on Personal data breach notification under Regulation 2016/679, rozdział został podzielony na podrozdziały omawiające wykrycie, ograniczenie, ocenę ryzyka naruszenia praw i wolności osób, podejmowanie decyzji nt. zgłoszenia naruszenia organowi nadzorczemu oraz zawiadomienia osób, których dane dotyczą, a także procedurę dokonywania zgłoszenia i zawiadomienia.
5.3 Wykrycie naruszenia.
5.3.1 W rozdziale I lit. B pkt 2 Guidelines on personal data breach notification under Regulation 2016/679 zawarto ogólną klasyfikację rodzajów naruszeń ochrony danych. I tak, Grupa Robocza art. 29 wyróżnia:
5.3.2 GGS dokłada starań, aby wykrycie naruszenia danych osobowych było możliwe w jak najkrótszym czasie od chwili naruszenia. I tak:
5.4 Ograniczenie zasięgu naruszenia.
5.4.1 Każdy pracownik GGS, który wykryje naruszenie ochrony danych osobowych informuje bezpośredniego przełożonego. 5.4.2 W razie gdy naruszenie danych zostaje wykryte przez pracownika poza godzinami pracy (w tym np. w trakcie urlopu), obowiązek natychmiastowego poinformowania przełożonego obwiązuje bez zmian. 5.4.3 GGS niezwłocznie, jednak nie później niż w ciągu 24 godzin, zwołuje Zespół do Spraw Naruszeń Ochrony Danych. W skład zespołu wchodzi każdorazowo członek zarządu GGS sp. z o.o. oraz – jeśli to możliwe – przedstawiciel kancelarii prawnej obsługującej GGS. 5.4.4 GGS identyfikuje zdarzenie, jako należące do jednej z trzech kategorii:
5.4.6 GGS zapewni, aby jak najmniej osób w ramach GGS miało dostęp do informacji zebranych zgodnie z ust. 5.4.5. powyżej. 5.4.7 Ograniczenie zasięgu naruszenia ochrony danych osobowych obejmuje natychmiastowe zakończenie trwania zdarzenia oraz jak najszybszą minimalizację jego zakresu i wpływu na osoby, których dane dotyczą. W tym celu Zespół do Spraw Naruszeń Ochrony Danych podejmuje wiążące dla GGS decyzje w najszybszym możliwym czasie i przystępuje do ich realizacji.
5.5 Ocena ryzyka naruszenia praw i wolności osób, których dane dotyczą.
5.5.1 Zespół do Spraw Naruszeń Ochrony Danych wydaje opinię, czy zdarzenie stanowi naruszenie ochrony danych osobowych. W tym celu Zespół do Spraw Naruszeń Ochrony Danych posiłkuje się przede wszystkim wytycznymi Grupy Roboczej art. 29 zawartymi m.in. w Annex B do Guidelines on Personal data breach notification under Regulation 2016/679. Opinia ma formę pisemną. 5.5.2 W razie gdy zdarzenie zostaje zakwalifikowane jako naruszenie ochrony danych osobowych, Zespół do Spraw Naruszeń Ochrony Danych przeprowadza dochodzenie mające na celu ustalenie:
5.5.3 Dochodzenie powinno być zakończone nie później niż w 36 (trzydzieści sześć) godzin od chwili wykrycia naruszenia. Rezultaty dochodzenia są dokumentowane na piśmie. 5.5.4 Biorąc pod uwagę wyniki dochodzenia Zespół do Spraw Naruszeń Ochrony Danych wydaje w terminie 60 (sześćdziesięciu) godzin od wykrycia naruszenia opinię, czy naruszenie ochrony danych osobowych wymaga zgłoszenia organowi nadzorczemu właściwemu zgodnie z art. 55 RODO lub zawiadomienia osób, których dane dotyczą. Opinia ma formę pisemną. 5.5.5 Przy wydawaniu opinii Zespół do Spraw Naruszeń Ochrony Danych kieruje się przede wszystkim tym, czy zaistniałe naruszenie może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne (zgodnie z motywem 85 RODO). Ponadto Zespół do Spraw Naruszeń Ochrony Danych kieruje się wytycznymi Grupy Roboczej art. 29 zawartymi w rozdziale II lit. A oraz D, jak też w rozdziale III lit. A oraz w rozdziale IV lit. A i B, a także w Annex B do Guidelines on Personal data breach notification under Regulation 2016/679. 5.5.6 Ilekroć Zespół do Spraw Naruszeń Ochrony Danych poweźmie wątpliwości, czy naruszenie ochrony danych wymaga zgłoszenia organowi nadzorczemu, albo gdy nie jest w tym zakresie jednomyślny – należy przyjąć, że zgłoszenie jest wymagane. W razie wątpliwości, czy naruszenie ochrony danych wymaga zawiadomienia osób nim dotkniętych – GGS bezwzględnie zastosuje się w tym zakresie do rekomendacji organu nadzorczego. 5.5.7 W zakresie w jakim stwierdzone naruszenie dotyczy danych osobowych, co do których GGS jest jedynie podmiotem przetwarzającym (zgodnie z art. 28 RODO), pkt. 5.5.4.-5.5.6. powyżej a także pkt. 5.6. i 5.7. nie stosują się. W takim wypadku GGS dokonuje niezwłocznego zawiadomienia administratora o naruszeniu i postępuje zgodnie z procedurą przewidzianą w odpowiedniej umowie zawartej z administratorem.
5.6 Procedura dokonywania zgłoszenia i zawiadomienia.
5.6.1 W przypadku stwierdzenia zgodnie z niniejszym rozdziałem, że doszło do naruszenia ochrony danych osobowych podlegającego zgłoszeniu, GGS bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 (siedemdziesięciu dwóch) godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 (siedemdziesięciu dwóch) godzin dołącza się wyjaśnienie przyczyn opóźnienia. 5.6.2 Zgłoszenie naruszenia musi co najmniej:
5.6.3 W razie, gdyby informacje wymagane zgodnie z ust. 5.6.2. tiret pierwszy powyżej nie były dostępne, GGS dokonuje zgłoszenia z podaniem danych przypuszczalnych lub przybliżonych. Przy dokonywaniu zgłoszenia należy koncentrować się na odwróceniu lub ograniczeniu skutków naruszenia, raczej niż na badaniu dokładnych liczb. 5.6.4 Jeżeli – i w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki. 5.6.5 Wzór zgłoszenia stanowi Załącznik nr 1 do niniejszej Polityki ochrony danych osobowych. 5.6.6 W przypadku stwierdzenia zgodnie z niniejszym rozdziałem, że doszło do naruszenia ochrony danych osobowych wymagającego zawiadomienia osób, których dane dotyczą – GGS niezwłocznie zawiadamia takie osoby. 5.6.7 Zawiadomienie zawiera przynajmniej następujące informacje (art. 34 ust. 2 RODO oraz motyw 86. RODO):
5.6.8 Zawiadomienie jest dokonywane jasnym i prostym językiem. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. Na przykład potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym lub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie (motyw 86 RODO). 5.6.9 GGS zawiadamia osoby dotknięte naruszeniem ochrony danych osobowych w sposób bezpośredni, chyba że wymagałoby to niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób. 5.6.10 W przypadku wyboru drogi elektronicznej (np. e-mail czy sms) w celu dokonania zawiadomienia, wiadomość taka będzie wysłana odrębnie (i będzie się wyraźnie różnić) od innych, regularnie wysłanych, standardowych wiadomości (np. newslettera). Ma to zapewnić, że zawiadomienie nie pozostanie niezauważone przez odbiorcę. GGS w uzasadnionych wypadkach może zdecydować o zastosowaniu kilku sposobów zawiadomień jednocześnie (np. za pośrednictwem wiadomości e-mail i równolegle poczty tradycyjnej). 5.6.11 Gdy z ustaleń danego zdarzenia wynika, że adresatami zawiadomienia mogą być osoby nieznające języka polskiego, każde zawiadomienie takie powinno być dokonane – obok języka polskiego – co najmniej również w języku angielskim.
5.7 GGS dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja obejmuje również zdarzenia, które nie zostały zakwalifikowane jako naruszenia ochrony danych osobowych po przeprowadzeniu procedury przewidzianej w niniejszym rozdziale, a także takie naruszenia ochrony danych osobowych, które nie zostały zgłoszone do organu nadzorczego. Dokumentacja obejmuje w szczególności rezultaty dochodzenia zgodnie z ust. 5.5.3. powyżej, jak też opinie wydane przez Zespół do Spraw Naruszeń Ochrony Danych zgodnie z ust. 5.5.1. i 5.5.4 powyżej. Dokumentacja pozwala organowi nadzorczemu na weryfikowanie przestrzegania art. 33 RODO przez GGS. Wzór raportu z naruszenia ochrony danych osobowych stanowi Załącznik nr 2 do niniejszej Polityki ochrony danych osobowych, a wzór ewidencji naruszeń ochrony danych osobowych stanowi Załącznik nr 3 do niniejszej Polityki ochrony danych osobowych.
Mając na uwadze, że dane osobowe należy usuwać w razie ustania ich przydatności do celu przetwarzania, a także m.in. w razie skutecznego zgłoszenia sprzeciwu lub żądania „bycia zapomnianym” przez osobę, której dane dotyczą, jak też w razie zgłoszenia do GGS takiego żądania przez administratora powierzającego GGS przetwarzanie danych w trybie art. 28 RODO – wprowadza się następującą procedurę gwarantującą pełne i bezpowrotne usunięcie danych:
6.1 W GGS wyznaczona jest osoba, której zadaniem jest dbanie o zachowanie zasad i wymogów ochrony danych osobowym, w tym wypełnianie obowiązku zmiany bądź usunięcia danych osobowych. Osoba ta posiada odpowiednią wiedzę z zakresu ochrony danych osobowych i jest odpowiednio przeszkolona w tym zakresie.
6.2 Osoba, o której mowa w pkt. 6.1. powyżej, na bieżąco dba by dane osobowe były usuwane w razie ustania ich przydatności do celu przetwarzania, a także m.in. w razie skutecznego zgłoszenia sprzeciwu lub żądania „bycia zapomnianym” przez osobę, której dane dotyczą.
6.3 Wszystkie działania, o których mowa pkt. 6. będą stosowane do wszystkich nośników danych – zarówno elektronicznych (w tym backupów danych), jak i w formie wydruków, przetwarzanych przez GGS oraz podmioty przetwarzające dane dla GGS (w trybie art. 28 RODO). Odpowiednie umowy z podmiotami przetwarzającymi dane osobowe dla GGS w trybie art. 28 RODO uprawniają GGS do żądania podjęcia analogicznych działań również przez te podmioty.
6.4 Oprogramowanie służące do przetwarzania danych osobowych w GGS posiada narzędzia umożliwiające spełnienie wymogów RODO, w szczególności w zakresie wyszukiwania danych osobowych, ich zmiany, generowania informacji dla uprawnionych i skutecznego usunięcia.
GGS rozważyła istnienie obowiązku powołania inspektora ochrony danych osobowych i uznała, że nie dotyczy jej ten obowiązek. Podejmując tę decyzję kierowała się tym, że:
7.1 GGS nie jest organem ani podmiotem publicznym.
7.2 główna działalność GGS nie polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.
7.3 Główna działalność GGS nie polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10. RODO.
7.4 Szczegółowe uzasadnienie znajduje się w odrębnym dokumencie pn. „Informacja w przedmiocie braku istnienia obowiązku powołania na podstawie art. 37 RODO inspektora ochrony danych osobowych”.
8.1 GGS rozważyła stworzenie i prowadzenia oceny skutków przetwarzania danych osobowych i uznała, że nie dotyczy jej ten obowiązek.
8.2 Dokonując tego ustalenia jak w pkt. 8.3. powyżej, wzięto pod uwagę w szczególności to, że pozostałe operacje wymienione w niniejszej Polityce ochrony danych:
8.2.1 nie są operacjami, które wchodzą w zakres wskazany w art. 35. ust. 3. RODO; 8.2.2 nie są operacjami, które wskazał Prezes Urzędu Ochrony Danych Osobowych w „Wykazie rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony”, a który to wykaz dostępny był w październiku 2022 roku na stronach: http://monitorpolski.gov.pl/MP/2019/666 oraz https://uodo.gov.pl/424 8.2.3 nie są operacjami, które wskazała Grupa Robocza art. 29 na stronie 13. i 14. „Wytycznych dotyczących oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679” jako takie dla których istnieje prawdopodobieństwo, że wymagane będzie przeprowadzenie oceny skutków przetwarzania; 8.2.4 zgodnie z Wytycznymi dotyczącymi oceny skutków dla ochrony danych oraz pomagającymi ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679 przygotowanymi przez Grupę Roboczą art. 29 nie spełniają kryteriów wskazanych w tych wytycznych, a to: 8.2.4.1 Ocena lub punktacja, w tym profilowanie i prognozowanie w szczególności na podstawie „aspektów dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą” (motywy 71 i 91). Żadna z operacji nie spełnia tego kryterium. 8.2.4.2 Automatyczne podejmowanie decyzji o skutku prawnym lub podobnie znaczącym skutku: przetwarzanie mające na celu podjęcie decyzji w sprawie osób, których dane dotyczą, wywołujących „skutki prawne wobec osoby fizycznej” lub decyzji, które „w podobny sposób istotnie na nią wpływają” (art. 35 ust. 3 lit. a). Żadna z operacji nie spełnia tego kryterium. 8.2.4.3 Systematyczne monitorowanie: przetwarzanie wykorzystywane do obserwacji, monitorowania lub kontrolowania osób, których dane dotyczą, w tym danych gromadzonych za pośrednictwem sieci lub ramach „systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie” (art. 35 ust. 3 lit. c). Żadna z operacji nie spełnia tego kryterium. 8.2.4.4 Dane wrażliwe lub dane o charakterze wysoce osobistym: obejmują szczególne kategorie danych osobowych określone w art. 9 (np. informacje o poglądach politycznych obywateli) oraz dane osobowe dotyczące wyroków skazujących za przestępstwo lub naruszeń prawa zdefiniowane w art. 10 RODO, a także inne dane wrażliwe zgodne z powszechnym rozumieniem tego terminu, czyli powiązane z gospodarstwem domowym i działalnością prywatną lub dotyczące wykonania prawa podstawowego (np. dane o lokalizacji mają związek z prawem do swobodnego poruszania się), lub dane których naruszenia może mieć wyraźny wpływ na codzienne życie osoby, której one dotyczą (np. dane finansowe, które mogą zostać wykorzystane do oszustw płatniczych). Cześć operacji spełnia to kryterium, w tym operacje dotyczące przetwarzania danych o zdrowiu kontrahentów oraz pracowników lub zleceniobiorców kontrahentów Klienta GGS, a także pracowników lub zleceniobiorców GGS i członków ich rodzin (przy czym w ostatnim przypadku nie przetwarza się danych o charakterze wysoce osobistym, a jedynie np. dane związane ze stanem zdrowia na potrzeby zabezpieczenia społecznego na podstawie obowiązku nałożonego na GGS przez przepisy prawa). 8.2.4.5 Dane przetwarzane na dużą skalę. Przepisy rozporządzenia 2016/679 nie definiują pojęcia dużej skali, jednak pewną wskazówkę interpretacyjną stanowi motyw 91 RODO, zgodnie z którym operacje przetwarzania o dużej skali to operacje, które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko. Grupa Robocza Art. 29 podkreśliła, że nie jest możliwe wskazanie konkretnej wartości, czy to rozmiaru zbioru danych, czy liczby osób, których dane dotyczą, która determinowałaby dużą skalę, dlatego przy analizowaniu pojęcia przetwarzania na dużą skalę powinno się uwzględniać kilka elementów: liczbę osób, których dane są przetwarzane, zakres przetwarzanych danych osobowych, obszar, na którym dane są przetwarzane, czy też czas, przez jaki są przetwarzane. Jeśli chodzi o kryterium liczby osób, których dane są przetwarzane, wskazać należy, że może ono odnosić się zarówno do konkretnie określonej liczby, jak i też do proporcji (procentu) grupy w stosunku do określonej części społeczeństwa. Jeśli przetwarzanie danych ma charakter wyłącznie regionalny, przesłankę dużej skali będą wypełniały dane mniejszej liczby osób niż w sytuacji, gdy ma ono charakter międzynarodowy. Istotne dla oceny, czy przetwarzanie danych spełnia warunek dużej skali, są ilość i zakres danych, które są przetwarzane przez administratora lub procesora, podobnie jak okres, przez jaki dane osobowe będą przetwarzane. Dla oceny dużej skali większe znaczenie będzie miało przetwarzanie przez dłuższy czas niż przetwarzanie sporadyczne. Czynnikiem, który należy także uwzględnić przy ocenie dużej skali, jest obszar, na którym następować będzie przetwarzanie danych – im większe terytorium, tym większa liczba danych będzie podstawą uznania, że przetwarzanie odbywa się na dużą skalę. W takim ujęciu należy stwierdzić, że działalność GGS może spełniać kryterium „dużej skali”. 8.2.4.6 Dopasowywanie lub łączenie zbiorów danych np. pochodzących z co najmniej dwóch operacji przetwarzania danych przeprowadzonych w różnych celach lub przez różnych administratorów danych w sposób wykraczający poza uzasadnione oczekiwania osób, których dane dotyczą. Żadna z operacji nie spełnia tego kryterium. 8.2.4.7 Dane dotyczące osób wymagających szczególnej opieki, których dane dotyczą: przetwarzanie tego rodzaju danych stanowi jedno z kryteriów ze względu na zwiększoną nierównowagę sił między osobami, których dane dotyczą, a administratorem danych, co oznacza, że osoby fizyczne mogą mieć trudności z wyrażeniem zgody na przetwarzanie swoich danych lub z wyrażeniem sprzeciwu wobec ich przetwarzania, lub mogą mieć trudności z korzystaniem z przysługujących im praw. Do osób wymagających szczególnej opieki, których dane dotyczą, można zaliczyć dzieci (można je uznać za niezdolne do świadomego i przemyślanego sprzeciwienia się przetwarzaniu danych lub do wyrażenia zgody na przetwarzanie danych), pracowników, bardziej wrażliwe grupy społeczne wymagające szczególnej ochrony (osoby chore psychicznie, osoby ubiegające się o azyl lub osoby starsze, pacjenci itp.) oraz w każdej sytuacji, gdy można stwierdzić brak równowagi między stanowiskiem osoby, której dane dotyczą, a stanowiskiem administratora. Część z operacji spełnia to kryterium, w tym operacje dotyczące przetwarzania danych o zdrowiu pracowników i zleceniobiorców GGS oraz danych dostarczonych przez Klienta GGS w związku ze świadczonymi przez GGS usługami. Przetwarzanie danych osobowych pracowników GGS nie jest oparte o zgodę, a w większości są one wymagane powszechnie obowiązującymi przepisami prawa pracy i prawa ubezpieczeń społecznych, które mają chronić tego pracownika, więc są przetwarzane na rzecz tego pracownika – by mógł np. otrzymać zabezpieczenie socjalne lub emerytalno-rentowe i nie ma tu możliwości narzucenia czegokolwiek pracownikowi, bowiem ani pracodawca ani pracownik nie mogą zmienić powszechnie obowiązujących wymogów związanych z zabezpieczeniem społecznym lub powszechnie obowiązującymi normami prawa pracy. 8.2.4.8 Innowacyjne wykorzystanie lub stosowanie nowych rozwiązań technologicznych lub organizacyjnych, takich jak połączenie technologii rozpoznającej odcisk palca i twarz w celu poprawy fizycznej kontroli dostępu itd. Żadna z operacji nie spełnia tego kryterium. 8.2.4.9 Gdy samo przetwarzanie „uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy” (art. 22 i motyw 91). Obejmuje to operacje przetwarzania, których celem jest umożliwienie osobom, których dane dotyczą, uzyskania dostępu do usługi lub zawarcia umowy, zmiana tego dostępu lub odmówienie dostępu. Żadna z operacji nie spełnia tego kryterium.
1.1 Pomimo, że operacje przetwarzania danych szczególnych kategorii dotyczących pracowników mogą spełniać jednocześnie dwa kryteria (dane wrażliwe i osoby szczególne chronione), to po dodatkowej analizie, popartej udostępnionym przez UODO wzorem „Rejestru czynności przetwarzania danych” dostępnym na stronie: https://uodo.gov.pl/pl/123/214, GGS uznaje, że operacje polegające na przetwarzaniu danych osobowych pracowników w związku z ich zatrudnieniem, a w szczególności na potrzeby wykonania obowiązków pracodawcy wynikających z przepisów prawa, nie są podstawą do sporządzenia oceny skutków przetwarzania danych osobowych. Analogicznie, niektóre operacje przetwarzania danych szczególnych kategorii dostarczonych przez Klienta GGS w związku ze świadczonymi przez GGS usługami mogą spełniać jednocześnie dwa kryteria (dane wrażliwe i osoby szczególne chronione), to po dodatkowej analizie, GGS uznaje, że ww. operacje nie są podstawą do sporządzenia oceny skutków przetwarzania danych osobowych (w tym ze względu na sposób zabezpieczenia tych danych oraz ograniczony dostęp).
8.3 Zgodnie z art. 35 ust. 1. i 11. RODO oraz z wytycznymi Grupy Roboczej art. 29 i UODO, w GGS na bieżąco analizuje się ryzyko przetwarzania danych osobowych i w razie potrzeby sporządza ocenę skutków przetwarzania dla odpowiednich operacji, gdy wystąpią ku temu podstawy, a zwłaszcza:
8.3.1 przed rozpoczęciem nowej operacji przetwarzania – w szczególności z użyciem nowych technologii – która ze względu na swój charakter, zakres, kontekst i cele może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, 8.3.2 po wystąpieniu naruszenia ochrony danych osobowych, 8.3.3 po zmianie przepisów prawa, dotyczącej ochrony danych osobowych, jak też po wydaniu przez Grupę Roboczą art. 29 lub krajowy organ nadzorczy wytycznych dotyczących prowadzenia oceny skutków przetwarzania danych lub oceny ryzyka przetwarzania.