Celebrating

7

years

of expertise

in software

development

RODO

RODO POLICY
RODO

Polityka ochrony danych osobowych

Niniejszy dokument zatytułowany „Polityka ochrony danych osobowych” (dalej: „Polityka”) ma za zadanie stanowić mapę wymogów , zasad i regulacji ochrony w spółce Milo Solutions sp. z o.o. sp.k.

Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu RODO – rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r., w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s.1)

Polityka zawiera:

  1. Opis zasad ochrony danych obowiązujących w spółce Milo Solutions sp. z o.o. sp.k;
  2. Odwołania do załączników uszczegóławiających (wzorcowe procedury lub instrukcje dotyczące poszczególnych obszarów z zakresu ochrony danych osobowych wymagających doprecyzowania w odrębnych dokumentach).

Odpowiedzialny za wdrożenie i utrzymanie niniejszej Polityki jest Prezes Zarządu Milo Solutions sp. z o.o. sp.k. – Kacper Gazda oraz osoba przez niego wyznaczona do zapewnienia zgodności z ochroną danych osobowych. Za nadzór i monitorowanie przestrzegania Polityki odpowiadają Inspektor Ochrony Danych powołany decyzją z dnia 22.05.2018 roku.

Inspektorem Ochrony Danych jest Dyrektor Biura spółki Milo Solutions sp. z o.o. sp.k. – Kamil Mroczek  z którym kontaktować można się za pośrednictwem adresu mailowego: kmroczek@milosolutions.com

Za zastosowanie niniejszej Polityki odpowiedzialni są:

  1. Prezes Zarządu
  2. Inspektor Danych Osobowych
  3. Wszyscy członkowie personelu spółki

Spółka zapewnia również zgodność postępowania kontrahentów spółki z niniejszą Polityką 
w odpowiednim zakresie, gdy dochodzi do przekazania im danych osobowych przez spółkę.

Skróty i Definicje

Polityka oznacza niniejszą Politykę ochrony danych osobowych, o ile co innego nie wynika wyraźnie z kontekstu.
RODO oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r., 
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 65/46/WE (ogólne rozporządzenie 
o ochrony danych) (Dz. Urz. UE L 119, s. 1).
Dane oznaczają dane osobowe, o ile co innego nie wynika wyraźnie z kontekstu.
Dane szczególnych kategorii oznaczają dane wymienione w art. 9 ust. 1 RODO, tj. dane osobowe, ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
Dane karne oznaczają dane wymienione w art. 10 RODO, tj. dane dotyczące wyroków skazujących 
i naruszeń prawda.
Dane dzieci oznaczają dane osób poniżej 16. roku życia.
Osoba oznacza osobę, której dane dotyczą, o ile co innego nie wynika wyraźnie z kontekstu.
Podmiot przetwarzający oznacza organizację lub osobę, której spółk powierzyła przetwarzanie danych osobowych (np. usługodawca IT, zewnętrzna księgowość).
Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Eksport danych oznacza przekazanie danych do państwa trzeciego lub organizacji międzynarodowej.
IOD lub Inspektor oznacza Inspektora Ochrony Danych Osobowych.
RCPD lub Rejestr oznacza Rejestr Czynności Przetwarzania Danych Osobowych.
Spółka oznacza spółkę Milo Solutions sp. z o.o. sp.k..

Ochrona Danych Osobowych w Spółce

Spółka Milo Solutions sp. z o.o. sp.k. dba o ochronę prywatności i przetwarza dane zgodnie 
z prawem, zachowując odpowiedni poziom bezpieczeństwa danych, oraz podejmując działania zmierzające do rozwoju wiedzy i procedur w zakresie bezpieczeństwa przetwarzania 
i przechowywania danych. Umożliwia też prawo dostępu do treści udostępnionych danych osobowych ich wycofania lub poprawiania. Spółka Milo Solutions sp. z o.o. sp.k. dokumentuje to w jaki sposób spełnia powyższe obowiązki, aby w każdej chwili móc wykazać zgodność procedur 
z obowiązującymi przepisami.

Spółka Milo Solutions sp.z o.o. sp.k. posługuje się zasadami legalizmu, rzetelności, transparentności, minimalizacji, adekwatności, prawidłowości, czasowości i bezpieczeństwa.

System ochrony danych:
  1. Inwentaryzacja danych przebiega poprzez identyfikację zasobów danych osobowych 
    w spółce, kataloguje dane, zachowując zależność pomiędzy zasobami danych oraz identyfikacją sposobu ich wykorzystania, w tym w przypadkach:
    1. przetwarzania danych szczególnych kategorii i danych karnych;
    2. przetwarzania danych osób, których spółka nie identyfikuje (dane niezidentyfikowane);
    3. przetwarzania danych dzieci;
    4. profilowania;
    5. współ administrowania danymi.
  2. Rejestr/katalogowanie spółka opracowuje, prowadzi i utrzymuje w systemie katalogowym Rejestr Czynności Danych Osobowych, który jest narzędziem rozliczania zgodności z ochroną danych w spółce.
  3. Spółka zapewnia, identyfikuje, a także weryfikuje podstawy prawne przetwarzania danych 
    i odnotowuje je w Rejestrze Czynności Danych Osobowych, a w tym przyporządkowuje do katalogu zgodę na przetwarzanie danych osobowych i komunikację na odległość. Oraz inwentaryzuje i uszczegóławia uzasadnienie przypadków, gdy dane przetwarzane są na podstawie prawnie uzasadnionego interesu spółki.
  4. Spółka spełnia obowiązki informacyjne względem osób, których dane przetwarza, oraz zapewnia obsługę ich praw, realizując otrzymane w tym zakresie żądania. Co oznacza, że:
    1. Spółka przekazuje osobom prawem wymagane informacje przy zbieraniu danych 
      i w innych sytuacjach oraz organizuje i zapewnia udokumentowanie realizacji tych obowiązków.  
    2. Spółka weryfikuje i zapewnia możliwość efektywnego wykonania każdego typu żądania przez siebie i swoich przetwarzających, a także zapewnia odpowiednie nakłady 
      i procedury, aby żądania osób były realizowane w terminach i w sposób wymagany RODO i dokumentowane.
    3. Spółka stosuje procedury pozwalające na ustalenie konieczności zawiadomienia osób dotkniętych zidentyfikowanym naruszeniem ochrony danych.
  5. Spółka zapewnia, że posiada zasady i metody zarządzania minimalizacją danych, w tym również adekwatnością, reglamentacją i zarządzaniem dostępem do danych, oraz okresem przechowywania danych i weryfikacji danych pod kątem dalszej przydatności.
  6. Spółka zapewnia odpowiedni poziom bezpieczeństwa danych, w tym także przeprowadza analizy ryzyka dla czynności przetwarzania danych lub ich kategorii, przeprowadza oceny skutków dla ochrony danych, tam gdzie ryzyko naruszenia praw i wolności osób jest wysokie, tym samym dostosowuje środki ochrony danych do ustalonego ryzyka. Posiada również system zarządzania bezpieczeństwem informacji i stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych.
  7. Spółka posiada zasady doboru przetwarzających dane na rzecz spółki, wymogów co do warunków przetwarzania, zasad weryfikacji wykonywania umów powierzenia.
  8. Spółka zarządza zmianami wpływającymi na prywatność, nowe projekty realizowane przez spółkę uwzględniają konieczność oceny wpływu zmiany procedur ochrony danych, analizę ryzyka, zapewnienie prywatności już w fazie planowej podejmowanego projektu.
  9. Spółka posiada zasady weryfikacji, kiedy zachodzą przypadki przetwarzania transgranicznego oraz zasady ustalania wiodącego organu nadzorczego i głównej jednostki organizacyjnej 
    w rozumieniu RODO.

Inwentaryzacja

Dane szczególnych kategorii i dane karne
Spółka identyfikuje przypadki, w których przetwarza lub może przetwarzać dane szczególnych kategorii lub dane karne, oraz utrzymuje dedykowane mechanizmy zapewnienia zgodności z prawem przetwarzania takich danych. W przypadku zidentyfikowania przypadków przetwarzania danych szczególnych kategorii lub danych karnych spółka postępuje zgodnie z przyjętymi zasadami w tym zakresie.

Dane niezidentyfikowane

Spółka identyfikuje przypadki, w których przetwarza lub może przetwarzać dane niezidentyfikowane, i utrzymuje mechanizmy ułatwiające realizację praw osób, których dotyczą dane niezidentyfikowane.

Profilowanie

Spółka identyfikuje przypadki, w których dokonuje profilowania przetwarzanych danych, i utrzymuje mechanizmy zapewniające zgodność tego procesu z prawem. W przypadku zidentyfikowania przypadków profilowania i zautomatyzowanego podejmowania decyzji spółka postępuje zgodnie z przyjętymi zasadami 
w tym zakresie.

Współadministrowanie

Spółka identyfikuje przypadki współ administrowania danymi i postępuje w tym zakresie zgodnie z przyjętymi zasadami.

Rejestr czynności Przetwarzania Danych

RCPD stanowi formę dokumentowania czynności przetwarzania danych, pełni rolę mapy przetwarzania danych i jest jednym z kluczowych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności. Spółka  prowadzi Rejestr Czynności Przetwarzania Danych, w którym inwentaryzuje i monitoruje sposób, w jaki wykorzystuje dane osobowe.

Rejestr jest jednym z podstawowych narzędzi umożliwiających spółka rozliczanie większości obowiązków ochrony danych. W Rejestrze dla każdej czynności przetwarzania danych, którą spółka uznała za odrębną dla potrzeb Rejestru, spółka odnotowuje:

  • nazwę czynności,
  • cel przetwarzania,
  • opis kategorii osób,
  • opis kategorii danych,
  • podstawę prawną przetwarzania,

wraz z wyszczególnieniem kategorii uzasadnionego interesu spółki, jeśli podstawą jest uzasadniony interes, sposób zbierania danych, opis kategorii odbiorców danych (w tym przetwarzających), informację o przekazaniu poza EU/EOG; ogólny opis technicznych i organizacyjnych środków ochrony danych.
Wzór Rejestru stanowi Załącznik nr 1 do Polityki – „Wzór Rejestru Czynności Przetwarzania Danych”. Wzór Rejestru zawiera także kolumny nieobowiązkowe. W kolumnach nieobowiązkowych
Spółka rejestruje informacje w miarę potrzeb i możliwości, z uwzględnieniem tego, że pełniejsza treść Rejestru ułatwia zarządzanie zgodnością ochrony danych i rozliczenie się z niej.

Sposób Obsługi Praw Jednostki i Obowiązków Informacyjnych

  1. Spółka dba o czytelność i styl przekazywanych informacji i komunikacji z osobami, których dane przetwarza, oraz ułatwia osobom korzystanie z ich praw poprzez różne działania, w tym o sposobie korzystania z nich w spółce. Informuje również osoby o planowanej zmianie celu przetwarzania danych.
  2. Spółka dba o dotrzymywanie prawnych terminów realizacji obowiązków względem osób.
  3. Spółka wprowadza adekwatne metody identyfikacji i uwierzytelniania osób dla potrzeb realizacji praw jednostki i obowiązków informacyjnych.
  4. W celu realizacji praw jednostki spółka zapewnia procedury i mechanizmy pozwalające zidentyfikować dane konkretnych osób przetwarzane przez spółkę, zintegrować te dane, wprowadzać do nich zmiany i usuwać w sposób zintegrowany, oraz  dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań osób.
  5. Spółka informuje odbiorców danych o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych (chyba że będzie to wymagało niewspółmiernie dużego wysiłku lub będzie niemożliwe), a także o prawie sprzeciwu względem przetwarzania danych najpóźniej przy pierwszym kontakcie z tą osobą.
  6. Spółka bez zbędnej zwłoki powiadamia osobę o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby.

Żądania Osób

Realizując prawa osób trzecich, których dane dotyczą, spółka Milo Solutions sp. z o.o. sp.k. wprowadza proceduralnie gwarancję ochrony praw i wolności osób trzecich. W szczególności w przypadku powzięcia wiarygodnej wiadomości o tym,  że wykonane żądania osoby o wykorzystanie kopii danych lub innych osób lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób, prawa własności intelektualnej, tajemnicę handlową, czy dobra osobiste. Spółka może zwrócić się do osób w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia w żądaniu.

Spółka informuje osobę o tym, że nie przetwarza danych jej dotyczących, jeśli taka osoba zgłosiła żądanie dotyczące jej praw.

Spółka informuje osobę, w ciągu 30 dni od otrzymania żądania, o odmowie rozpatrzenia żądania 
i o prawach osoby z tym związanych.

Na żądanie osoby dotyczące dostępu do jej danych spółka w pierwszej kolejności informuje osobę, czy przetwarza jej dane, oraz o szczegółach przetwarzania, zgodnie z RODO, a także udziela osobie dostępu do danych jej dotyczących. Dostęp ten może być zrealizowany przez wydanie nieodpłatnej kopii danych. Wydanie kopii danych przez spółkę zostanie odnotowane.

Spółka dokonuje sprostowania nieprawidłowych danych na żądanie osoby, mając jednocześnie prawo do odmowy sprostowania, chyba, że osoba wykaże w rozsądny sposób nieprawidłowości danych, których sprostowania się domaga.

Spółka dokonuje aktualizacji i uzupełnienia danych na żądanie osoby, mając prawo do odmowy aktualizacji i uzupełnienia danych jeżeli uzupełnienie lub aktualizacja byłyby niezgodne z celami przetwarzania danych lub byłyby w spółce zbędne. Spółka polega na oświadczeniach osób co do uzupełnienia niezbędnych danych.

Usunięcie danych przetwarzanych przez spółkę może nastąpić na wyraźne żądanie osoby, której dane dotyczą, gdy:

  1. Dane nie są niezbędne do celów w których zostały zebrane, ani przetwarzane w innych celach zgodnie z prawem.
  2. Zgoda na ich przetwarzanie została cofnięta.
  3. Osoba, której dane dotyczą wniosła skuteczny sprzeciw względem przetwarzania tych danych.
  4. Dane były przetwarzane niezgodnie z prawem.
  5. Konieczność danych wynika z obowiązku prawnego.
  6. Żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku – przykładem może być udział w konkursie na portalu społecznościowym.

Spółka zapewni efektywne usunięcie danych, w poszanowaniu prawa oraz wszelkich zasad ochrony danych, w tym bezpieczeństwa, a także podejmie starania w kierunku sprawdzenia, czy nie zachodzą wyjątki o których mowa w art. 17. ust. 3 RODO.

Jeżeli dane podlegające usunięciu zostały upublicznione przez spółkę, jest ona zobowiązana do podjęcia rozsądnych działań, w tym także środków technicznych, aby poinformować innych administratorów przetwarzających te dane osobowe o potrzebie ich usunięcia.

W przypadku usunięcia danych spółka informuje osobę o odbiorcach danych na jej wyraźne żądanie.

Spółka dokonuje ograniczenia przetwarzania danych w poszczególnych przypadkach:

  1. Gdy osoba kwestionuje prawdziwość danych
  2. Przetwarzanie jest niezgodne z prawem, a osoba której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystania.
  3. Spółka nie potrzebuje już danych osobowych, ale są one potrzebne osobie której one dotyczą, do ustalenia, dochodzenia czy obrony roszczeń.
  4. Osoba, której dane dotyczą wniosła skuteczny sprzeciw względem ich przetwarzania.

W trakcie ograniczenia przetwarzania,spółka przechowuje dane, jednak ich nie przetwarza, bez zgody osoby, której dane dotyczą.

Przekazanie danych, powierzonych formie, przez osobę odbywa się na żądanie osoby w formie nadającej się do odczytu.

Sprzeciw wobec przetwarzania danych może wystąpić w następujących sytuacjach:

  1. Wobec marketingu bezpośredniego – spółka uwzględni sprzeciw i zaprzestanie takiego przetwarzania
  2. W szczególnej sytuacji – jeżeli złożony sprzeciw zostanie umotywowany szczególną sytuacją osoby, spółka uwzględni sprzeciw jeżeli nie narusza on prawnie umotywowanych podstaw do jego odrzucenia. Za nadrzędne wobec interesów spółki uznaje się prawo wolności osoby zgłaszającej sprzeciw.

Minimalizacja

Spółka zadba o minimalizację przetwarzania danych pod kątem adekwatności danych do celów – ilości danych oraz zakresu ich przetwarzania, dostępu do danych, oraz czasu przechowywania danych. Zakres pozyskiwania danych oraz ich przetwarzania został przeanalizowany pod kątem adekwatności do celów w ramach wdrożenia RODO. Spółka zobowiązuje się również do przeglądu ilości przetwarzanych danych i zakresu ich przetwarzania nie rzadziej niż raz do roku.

Spółka stosuje zasady ograniczenia dostępu do danych osobowych:
Prawne – zobowiązania do poufności/zakresy upoważnień
Fizyczne – strefy dostępu oraz zamykane pomieszczenia w których przechowywane są dane
Logiczne – ograniczenia uprawnień do systemów przetwarzających dane osobowe.

Spółka prowadzi kontrolę dostępu fizycznego, oraz dokonuje aktualizacji uprawnień dostępowych przy zmianach w składzie personelu i zmianach ról osób oraz zmianach podmiotów przetwarzających. Wdrożone zostają również mechanizmy kontroli cyklu życia danych osobowych,w tym weryfikacja ich przydatności względem terminów i punktów wykazanych w Rejestrze. Dane których przydatność ulega ograniczeniu są przez spółkę skutecznie usuwane.
Spółka prowadzi archiwizację danych na zasadach ogólnych.

Bezpieczeństwo 

Spółka zapewnia stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania danych osobowych.
Administrator oraz osoby, którym na gruncie Umowy Administrator powierza dane posiadają odpowiedni stan wiedzy o bezpieczeństwie informacji i cyberbezpieczeństwie. Dane powierzone spółce są kategoryzowane oraz analizowane pod kątem ryzyka, które przedstawiają.
Analizy ryzyka naruszenia praw lub wolności osób fizycznych dla czynności przetwarzania danych lub ich kategorii są przeprowadzane przez spółke. Możliwe sytuacje i scenariusze naruszenia danych osobowych, uwzględniają charakter, zakres, kontekst i cel przetwarzania danych. W tym celu spółka stosuje środki takie jak:

  1. Pseudonimizacja
  2. Szyfrowanie danych osobowych
  3. Inne środki zmierzające do zapewnienia poufności, integralności , dostępności i odporności systemów i usług przetwarzania.

Zastosowane przez spółkę środki bezpieczeństwa wynikają z analizy ryzyka i adekwatności oraz oceny skutków dla ochrony danych, stanowią element środków bezpieczeństwa informacji i zapewnienia cyberbezpieczeństwa.
Spółka stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych w terminie 72 godzin od ustalenia naruszenia.

Przetwarzający

Spółka przyjęła minimalne wymagania co do Umowy Powierzenia przetwarzania danych, stanowiącej załącznik do niniejszej Polityki, jednocześnie spółka zapewnia, że rozlicza przetwarzających z wykorzystania powierzonych danych.

Eksport Danych

Spółka rejestruje w Rejestrze przypadki eksportu danych, czyli przekazywania danych poza Europejski Obszar Gospodarczy (EOG w 2017 r. = Unia Europejska, Islandia, Liechtenstein i Norwegia). Aby uniknąć sytuacji nieautoryzowanego eksportu danych w szczególności w związku z wykorzystaniem publicznie dostępnych usług chmurowych (shadow IT), spółka okresowo weryfikuje zachowania użytkowników oraz w miarę możliwości udostępnia zgodne z prawem ochrony danych rozwiązania równoważne.

Projektowanie Przydatności

Spółka zarządza zmianą mającą wpływ na prywatność w taki sposób, aby umożliwić zapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz minimalizacji ich przetwarzania. W tym celu zasady prowadzenia projektów i inwestycji przez spółkę odwołują się do zasad bezpieczeństwa danych osobowych i minimalizacji, wymagają oceny wpływu na prywatność i ochronę danych, uwzględnienia i zaprojektowana bezpieczeństwa i minimalizacji przetwarzania danych od początku projektu lub inwestycji.