Polityka ochrony danych osobowych w Grupie Tree

Informacje wstępne

1. Zastosowane skróty i definicje

1. Administrator – patrz: Podmiot przetwarzający.
2.
Dane – dane osobowe, na podstawie których możliwe jest zidentyfikowanie osoby fizycznej.
3. Dane dzieci – oznaczają dane osób poniżej 16. roku życia.
4. Dane karne –  dane dotyczące wyroków skazujących i naruszeń prawa danej osoby fizycznej.
5. Dane specjalne – dane wymienione w art. 9 ust. 1 RODO: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne i biometryczne pomocne w  jednoznacznym zidentyfikowaniu osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
6. Dane wrażliwe – patrz: dane specjalne i dane karne.
7. Eksport danych – przekazanie danych do państwa trzeciego lub organizacji międzynarodowej.
8. IOD lub Inspektor – inspektor ochrony danych.
9. Osoba – oznacza osobę, której dane dotyczą, o ile co innego nie wynika wyraźnie z kontekstu.
10. Podmiot przetwarzający – oznacza organizację lub osobę, przetwarzające dane osobowe. Może to być pracownik lub komórka organizacyjna Spółki, albo organizacja zewnętrzna, której Spółka powierzyła przetwarzanie danych osobowych (np. usługodawca IT, zewnętrzna księgowość).
11. Profilowanie – dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych do oceny niektórych czynników charakterystycznych danej osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub parametrów przemieszczania się.
12. RCPD lub Rejestr – Rejestr Czynności Przetwarzania Danych Osobowych.
13. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zamieszczone w Dz.Urz. UE L 119, s. 1.

2. Niniejsza „Polityka ochrony danych osobowych” [dalej „Polityka”] stanowi zapis bazowych zasad ochrony danych osobowych, przyjętych w spółce pod firmą Tree Polska sp. z o.o. pod adresem Łubna 50C, 05-552 Baniocha, wpisanej do rejestru przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy dla m.st. Warszawy, XIV Wydział Gospodarczy pod numerem KRS 0000240107 [dalej „Spółka“], w związku z obowiązywaniem Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE [ogólne rozporządzenie o ochronie danych], zamieszczonego w Dz. Urz. UE L119, s. 1.

3. Polityka, w tym samym brzmieniu, została wprowadzona do spółek-córek podmiotu Tree Polska, stanowiących nieformalną Grupę Tree [dalej „Grupa”]. W skład Grupy wchodzą następujące spółki prawa handlowego:

a. Construction Group Sp. z o.o.
b. Faktum Sp. z o.o.
c. MB Piaseczno Sp. z o.o.
d. Media Piaseczno Sp. z o.o.
e. Przedsiębiorstwo Inwestycyjne Energia Sp. z o.o.
f. Terra Polska Sp. z o.o.
g. Tree Capital. Sp. z o.o.
h. Tree Diament Sp. z o.o.
i. Tree HR Sp. z o.o.
j. Tree Ochrona Sp. z o.o.
k. Tree Polska Sp. z o.o.
l. Tree Recykling Sp. z o.o.
m. Tree Serwis Sp. z o.o.
n. Tree Silesia Sp. z o.o.
o. Tree Spedycja Sp. z o.o.
p. Tree Team Sp. z o.o.
q. Wer-Syl Sp. z o.o.

4. Spółka jest samoistnym administratorem danych przetwarzanych w jej zasobach, a także administratorem danych z podmiotów Grupy.

Za bezpieczeństwo przetwarzania danych elektronicznych odpowiedzialne są następujące podmioty:

a. strona internetowa www.tree.com.pl – Agencja Interaktywna Sodova, ul. Kazimierza Puławskiego 92, 05-510 Konstancin-Jeziorna;

b. administrowanie systemem informatycznym Spółki i Grupy Tree – B2B Trade Sp. z o.o., ul. X. Dunikowskiego 13, 05-501 Piaseczno.

Za stosowanie niniejszej Polityki odpowiedzialni są: Spółka jako podmiot prawa, osoba funkcyjna odpowiedzialna za obszar bezpieczeństwa informacji, komórki organizacyjne przetwarzające dane osobowe, wszyscy członkowie personelu Spółki.

Spółka przyjęła zasadę  zgodności postępowania swoich kontrahentów z niniejszą Polityką w zakresie przekazania im danych osobowych będących w jej administrowaniu.

5. Polityka zawiera:

a. opis zasad ochrony danych obowiązujących w Spółce;

b. procedury i instrukcje dotyczące poszczególnych obszarów z zakresu ochrony danych osobowych, doprecyzowanych w odrębnych regulacjach wewnętrznych Spółki i Grupy.

6. Polityka została przyjęta:

a. uchwałą zarządu podmiotu Tree Polska Sp. z o.o. z dnia 16 maja 2018 r.;

b. umowami dwustronnymi o powierzeniu przetwarzania danych osobowych, zawartymi 17 maja 2018 r. pomiędzy podmiotem Tree Polska Sp. z o.o. a wszystkimi pozostałymi spółkami Grupy Tree.

7.  Za wdrożenie, nadzór i monitorowanie przestrzegania Polityki w Grupie Tree odpowiada inspektor ochrony danych osobowych.

8. Podstawowe zasady ochrony danych osobowych w Spółce:

a. Legalność − Spółka dba o ochronę prywatności i przetwarza dane osobowe zgodnie z prawem.

b. Bezpieczeństwo − Spółka zapewnia odpowiedni poziom bezpieczeństwa danych, prowadząc stały monitoring oraz optymalizując rozwiązania organizacyjne i techniczne w tym zakresie.

c. Prawa Jednostki − Spółka umożliwia osobom, których dane przetwarza, pełne wykonywanie ich praw przewidzianych w RODO i prawa te realizuje.

d. Transparentność − Spółka dokumentuje to, w jaki sposób spełnia obowiązki w zakresie ochrony danych osobowych, aby w każdej chwili móc wykazać zgodność z RODO.

9. Podstawowe zasady przetwarzania danych osobowych przez Spółkę:

a. Legalizm – działania wyłącznie na bazie aktualnych regulacji prawnych.

b. Rzetelność – procedowanie zgodne z regulacjami wewnętrznymi Grupy oraz

c. Minimalizacja – ograniczenie zakresu przetwarzanych danych do niezbędnego minimum i w precyzyjnie dedykowanych celach.

d. Prawidłowość – przetwarzanie w sposób wykluczający pomyłki.

e. Periodyzacja – przetwarzanie i przechowywanie w okresach nie dłuższych, niż wymagane dla utrzymania standardu relacji biznesowych.

10. Podstawowe prawa osób, których dane podlegają przetwarzaniu
Osobom, których dane osobowe podlegają przetwarzaniu w Grupie Tree, przysługują fundamentalne prawa:

a. prawo dostępu;

b. prawo do sprostowania,

c. prawo do przenoszenia,

d. prawo do usunięcia;

e. prawo sprzeciwu wobec przetwarzania.

11. System ochrony danych

System ochrony danych osobowych w Spółce składa się z następujących elementów:

a. Inwentaryzacja danych – Spółka dokonuje identyfikacji zasobów danych osobowych,  klas danych oraz zależności między poszczególnymi zasobami danych.

b. Rejestr – Spółka opracowuje, prowadzi i utrzymuje Rejestr Operacji na Danych Osobowych. Rejestr jest narzędziem rozliczania zgodności stanu faktycznego z przyjętymi zasadami, określonymi w niniejszej polityce i regulaminach.

c. Podstawy prawne – Spółka identyfikuje i weryfikuje podstawy prawne przetwarzania danych, jak też dba o zgodność wewnętrznych regulacji z prawem powszechnym dotyczącym ochrony danych osobowych, szczególnie w kwestiach przetwarzania danych na podstawie prawnie uzasadnionego interesu Spółki.

d. Obsługa praw jednostki – Spółka spełnia obowiązki informacyjne względem osób, których dane przetwarza oraz zapewnia obsługę ich praw, realizując otrzymane w tym zakresie dyspozycje szczegółowe w zakresie obowiązków informacyjnych i żądań.

e. Zawiadamianie o naruszeniach – Spółka opracuje i wdroży procedury pozwalające na sprawne, zgodne z prawem informowanie osób poszkodowanych oraz organów nadzoru o ewentualnych przypadkach naruszenia zasad ochrony danych lub utraty danych.

f. Minimalizacja – Spółka dostosuje zasady zarządzania operacyjnego usługami, procedurami i bieżącym funkcjonowaniem wewnętrznym do zasady ograniczania poboru i przetwarzania danych osobowych do niezbędnego minimum.

g. Analiza ryzyka – Spółka jest przygotowana do okresowej analizy ryzyka związanego z wytwarzaniem, przetwarzanie, przechowywaniem i archiwizacją danych.

12. Rodzaje danych przetwarzanych w Grupie Tree

Na potrzeby realizacji statutowych celów gospodarczych, w tym należytej realizacji zawartych kontraktów, podmioty Grupy zbierają i przetwarzają następujące grupy danych:

a. dane kontaktowe: imię, nazwisko, adres, adres e-mail, numer telefonu, podpis elektroniczny, data i miejsce urodzenia, dane dotyczące dowodu tożsamości, numer PESEL, numer identyfikacji podatkowej, numer statystyczny [REGON];

b. dane dotyczące uprawnień zawodowych: lekarskie poświadczenia dopuszczenia do pracy, prawa jazdy określonej kategorii, uprawnienia obsługi maszyn budowlanych i wykonywania określonych funkcji zawodowych;

c. dane finansowe: informacje o rachunkach bankowych, dokumenty potwierdzające zobowiązania wobec Grupy Tree, komornicze i sądowe nakazy zajęcia oraz płatności.

13. Źródła pozyskiwania danych osobowych

Spółka pozyskuje dane od kontrahentów [klientów aktualnych i potencjalnych – w czasie negocjacji, kooperantów – podwykonawców usług, dostawców materiałów, maszyn i wyposażenia, personelu serwisowego] oraz pracowników własnych w toku:

1. realizacji umów handlowych z klientami;

2. realizacji umów z kooperantami;

3. nawiązywania, obsługi i rozwiązywania stosunków pracy.

14. Uwarunkowania specjalne przekazywania danych

We wszystkich przypadkach, gdy dla wykonania umów handlowych w zgodzie z obowiązującym prawem, nasi kooperanci – będący administratorami danych osobowych – dostarczą podmiotom Grupy Tree dane osobowe swoich pracowników lub osób współpracujących z nimi, są oni zobowiązani do zapewnienia Grupy Tree, że pracownicy, których dane przekazano zostali należycie poinformowani i udzielili na przekazanie stosownych zgód, jeśli były wymagane prawem oraz że na Grupie Tree nie ciąży żaden dodatkowy obowiązek dotyczący oddelegowanych pracowników lub osób współpracujących.

15. Cele zbierania i przetwarzania danych

Zebrane dane osobowe są przetwarzane w celu:

a.  zarządzania umowami handlowymi

– przygotowania ofert handlowych
– obsługi kontraktów w relacjach z klientami i kooperantami;
– realizacji wzajemnych zobowiązań finansowych z klientami i kooperantami;

b. udzielania informacji handlowych na zapytania dotychczasowych i potencjalnych klientów;

c. przekazania ofert na temat produktów i usług oferowanych przez podmioty Grupy Tree;

d. zgodnej z prawem realizacji stosunków pracy;

e. zarządzania dodatkowymi usługami wynikającymi z klauzul umownych, to jest serwisem gwarancyjnym i pogwarancyjnym naszych usług i produktów o ile wynikają one z umów finansowych;

f. usuwania nieprawidłowości i egzekucji przysługujących nam roszczeń w przypadku niewywiązywania się klientów lub pracowników z zawartych umów o wymiarze finansowym, włączając wystąpienie na drogę sądową;

g. zapewnienia zgodności z wymogami prawnymi i regulacjami mającymi zastosowanie w zakresie działalności prowadzonej przez podmioty Grupy Tree, w tym dotyczących;

h. wypełniania obowiązku identyfikacji i weryfikacji klientów na podstawie przepisów dotyczących przeciwdziałania praniu pieniędzy i finansowania terroryzmu;

i. identyfikacji i zapobiegania oszustw;

j. wypełnienia obowiązków sprawozdawczych prawem nakazanych;

k. realizacji obowiązków prawnych wobec uprawnionych instytucji państwowych, w tym organów wymiaru sprawiedliwości, podatkowych, porządku publicznego;

l. Współpraca z podmiotami przetwarzającymi dane.

16. Okres retencji

Dane są przechowywane w formie spersonalizowanej przez okres realizacji zawartej umowy, a po jej wygaśnięciu lub rozwiązaniu, przez okres przewidziany przepisami prawa, które mają zastosowanie dla poszczególnych grup danych.

Zgodnie z wymogami prawa podatkowego i przepisów księgowych, dane winny być przechowywane przez okres 5 lat.

Zgodnie z przepisami dotyczącymi przeciwdziałania praniu pieniędzy dane winny być przechowywane przez okres 10 lat.

W przypadku, gdy podstawą przetwarzania danych osobowych jest zgoda udzielona przez osoby fizyczne w trybie określonym przepisami, osoby te mogą wycofać zgodę w każdym czasie, używając danych kontaktowych uwidocznionych w tej informacji.

17. Odbiorcy informacji stanowiących dane osobowe

Dane osobowe przetwarzane przez Grupę Tree mogą być udostępnione następującym odbiorcom:

a. służby wewnętrzne podmiotów Grupy Tree, odpowiedzialne za realizację zawartych umów;

b. zewnętrzni podwykonawcy i dostawcy, realizujący usługi w imieniu podmiotów Grupy Tree, na podstawie zawartych umów;

c. doradcy, w tym kancelarie prawne i podatkowe w toku postępowań dotyczących sporów prawnych toczonych przez podmioty Grupy Tree;

d. sądy i trybunały w przypadku postępowań sądowych i działań prawnych;

e. organy publiczne, gdy istnieje obowiązek prawny przekazania im danych osobowych;

f. banki i instytucje finansowe w toku realizacji Państwa wniosków finansowych;

g. notariusze w przypadku gdy jest to niezbędne do zawarcia umowy.

18. Metodyka kontroli podmiotów przetwarzających dane

Mając na uwadze obowiązki ustawowe Spółka wprowadza następujące metody ochrony danych we współpracujących podmiotach przetwarzających:

a. okresowa analizy ryzyka dla czynności przetwarzania danych lub ich kategorii, zwłaszcza przy wprowadzaniu nowych procedur, usług i technologii;

b. optymalizacja metod bezpieczeństwa, zwłaszcza w sferze elektronicznego przetwarzania danych i procedur wewnętrznych;

c. planowe i doraźne kontrole metodyki przetwarzania i ochrony danych u kontrahentów mających dostęp do danych, których administratorem wiodącym jest Spółka.

d. wdrożenie zasad doboru podmiotów przetwarzających dane na rzecz Spółki, z uwzględnieniem wiarygodności tych podmiotów,  ich wewnętrznych system bezpieczeństwa i     definiowanych gwarancji ochrony danych.

19. Przetwarzanie transgraniczne

Spółka, działając na rynkach zagranicznych, wprowadza zgodne z RODO zasady przetwarzania transgranicznego, w tym przede wszystkim:

a. wprowadzenie zasad weryfikacji przypadków przetwarzania transgranicznego oraz ustalania wiodącego organu nadzorczego i głównej jednostki organizacyjnej w przypadku gdy takie przetwarzanie transgraniczne ma miejsce.

b. bieżące weryfikowanie w zakresie nie przekazywania danych do państw trzecich, to jest poza Europejski Obszar Gospodarczy, czyli państwa członkowskie Unii Europejskiej, Norwegii, Lichtensteinu i Islandii lub do organizacji międzynarodowych oraz zapewnienia zgodnych z prawem warunków takiego przekazywania, jeśli ma ono miejsce.

c. optymalizowanie usług chmurowych [shadow IT] w celu uniknięcia ryzyka nieautoryzowanego eksportu danych, zwłaszcza przez okresowe weryfikowanie zachowania użytkowników oraz udostępnianie rozwiązań równoważnych.

20. Czynności rejestrowe

Spółka prowadzi Rejestr Operacji na Danych Osobowych

a. w Rejestrze, dla każdej czynności przetwarzania danych, którą procedury wewnętrzne traktują jako czynność odrębną, odnotowuje się co najmniej następujące działania:
– nazwę czynności,
– cel przetwarzania,
– opis kategorii osób, których dane dotyczą,
– opis kategorii danych,
– opis kategorii odbiorców danych [w tym przetwarzających]
– informację o przekazaniu poza Europejski Obszar Gospodarczy,
– ogólny opis technicznych i organizacyjnych środków ochrony danych.

b. Rejestr jest kluczowym elementem systemu ochrony danych osobowych w Spółce i jako taki objęty jest bazowym systemem ochrony, dotyczącym kluczowych struktur organizacyjnych Spółki i Grupy.

c. Rejestr jest narzędziem rozliczania ustawowych obowiązków ochrony danych osobowych.

21. Prawne i organizacyjne podstawy przetwarzania

Spółka, odnosząc to zadanie do własnych struktur organizacyjnych, jak też podmiotów Grupy, traktuje proces wdrożenia RODO jako nową jakość funkcjonowania. W związku z tym wprowadza się następujące przedsięwzięcia towarzyszące:

a. wprowadza się nowe regulacje wewnętrzne, dotyczące przetwarzania danych osobowych, w tym przede wszystkim Regulamin ochrony danych osobowych i związane z nim instrukcje stanowiskowe;

b. wprowadza się funkcję inspektora ochrony danych osobowych dla wszystkich podmiotów Grupy;

c. wprowadza się obowiązek okresowego szkolenia personelu, zwłaszcza związanego bezpośrednio z przetwarzaniem danych, z zakresu tych czynności i ich uwarunkowań prawnych. Szkolenia są obowiązkowe dla pracowników nowo zatrudnianych;

d. ustanawia się obowiązek kontrolny, realizowany przez IODO, w ramach kontroli planowych i doraźnych.

e. kontrole, o których mowa w pkt. 15.d, dotyczą także, na mocy oddzielnych umów dwustronnych, kontrahentów i kooperantów mających dostęp do danych administrowanych przez Spółkę.

22. Sposób obsługi praw jednostki i realizacji obowiązków informacyjnych

Spółka, realizując postanowienia RODO, kieruje się następującymi zasadami:

a. dba o czytelność przekazywanych informacji i funkcjonalność w relacjach z osobami, których dane przetwarza;

b. ułatwia osobom, których dane przetwarza, korzystanie z ich praw, tak w uregulowanej wewnętrznie metodyce, jak też w sferze informacyjnej, a to przez otwartą na stronie www.tree.com.pl/rodo zakładkę dedykowaną problematyce ochrony danych w Grupie – treść zakładki winna być aktualizowana, stosownie do działań optymalizacyjnych podejmowanych przez Spółkę w zakresie wdrażania RODO;

c. z poszanowaniem podchodzi do terminów zawitych, wynikających z obowiązków ustawowych względem osób, których dane przetwarza;’

d. wprowadza adekwatne metody identyfikacji i uwierzytelniania osób, których dane przetwarza, w celu ułatwienia realizacji praw jednostki i obowiązków informacyjnych.

23. Obowiązki informacyjne

Obowiązki informacyjne, dotyczące Spółki w relacjach z osobami, których dane są przetwarzane, jak też w odniesieniu do danych niezidentyfikowanych, to jest pozyskiwanych w wyniku monitoringu wizyjnego, są doprecyzowane – zgodnie z obowiązującymi przepisami prawa powszechnego – w regulacjach wewnętrznych Spółki i podmiotów Grupy.

Spółka, bez wezwania, realizuje obowiązki informacyjne w zakresie powiadamiania:

a. osoby, od której pozyskuje dane osobowe o fakcie poddania ich procesowi przetwarzania;

b. osób o przetwarzaniu ich danych w przypadku pozyskania tych danych nie bezpośrednio od     nich;

c. jeżeli dane mają być udostępnione innemu podmiotowi w celu dalszego przetwarzania;

d. o zmianie celu przetwarzania danych;

e. o wprowadzeniu sprostowań danych, ich usunięciu lub ograniczeniu zakresu ich    przetwarzania;

f. o naruszeniu ochrony danych, zwłaszcza jeżeli może ono spowodować wysokie ryzyko    naruszenia praw lub wolności danej osoby.

Na żądanie osób zainteresowanych Spółka realizuje obowiązki informacyjne w zakresie powiadamiania o:

a. nieprzetwarzaniu danych osoby występującej z zapytaniem;

b. odmowie uwzględnienia żądania związanego z przetwarzaniem danych oraz o prawach osoby z tym związanych.

24. Warunki dodatkowe zobowiązań informacyjnych

W poszanowaniu praw osób trzecich Spółka wprowadza proceduralne gwarancje ich praw i wolności. Dotyczy to przypadków powzięcia wiarygodnego przekonania o tym, że wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób. Dotyczy to szczególnie praw związanych z ochroną danych innych osób, prawem własności intelektualnej, tajemnicą handlową, dobrami osobistymi. Spółka może zwrócić się do osoby występującej z żądaniem wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia żądaniu.

Spółka wydaje osobom, których dane przetwarza, bezpłatną kopię ich danych i odnotowuje fakt wydania pierwszej kopii.

Spółka wprowadza i utrzymuje cennik kopii danych, zgodnie z którym pobiera opłaty za drugą i kolejne kopie danych. Cena kopii danych skalkulowana jest w oparciu o oszacowany jednostkowy koszt obsługi żądania wydania kopii.

25. Prostowanie danych

Spółka dokonuje sprostowania nieprawidłowych danych na uzasadnione żądanie osoby, która z takim wnioskiem wystąpi.

Spółka ma prawo odmówić sprostowania danych, jeśli osoba nie wykaże nieprawidłowości danych, których sprostowania się domaga.

Spółka informuje o sprostowaniu danych każdego odbiorcę, któremu wcześniej ujawniono dane osobowe, chyba że okaże się to niemożliwe z przyczyn obiektywnych. Spółka informuje osobę, której sprostowane dane dotyczą, o tych odbiorcach, jeżeli osoba ta tego zażąda.

26. Uzupełnianie danych

Spółka uzupełnia i aktualizuje dane na żądanie osoby, której dane dotyczą.

Spółka ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych

W procedurze uzupełniania danych Spółka może polegać na oświadczeniu osoby wnioskującej o uzupełnienie, co do prawidłowości żądanych danych, chyba że będzie to niewystarczające w świetle przyjętych przez Spółkę regulacji wewnętrznych, obowiązujących przepisów prawa powszechnego lub uzasadnionych podstaw uznania oświadczenia za niewiarygodne.

27. Usuwanie danych

Na żądanie osoby Spółka usuwa dane, gdy:

a. dane nie są niezbędne do celów, dla których zostały zebrane lub przetwarzane,

b. zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania,

c. osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych,

d. konieczność usunięcia wynika z obowiązku prawnego,

Spółka określa sposób obsługi prawa do usunięcia danych w taki sposób, aby zapewnić efektywną realizację tego prawa przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpieczeństwa, a także weryfikację, czy nie zachodzą wyjątki, o których mowa w art. 17. ust. 3 RODO.

Jeżeli dane podlegające usunięciu zostały przekazane przez Spółkę innym administratorom, Spółka jest zobowiązana powiadomić ich o konieczności usunięcia tych rekordów także z ich zasobów.

28. Ograniczenie przetwarzania

Spółka dokonuje ograniczenia przetwarzania danych na żądanie osoby, gdy:

a. osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość,

b. przetwarzanie jest obarczone błędami, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,

c. Spółka nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,

d. osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie Spółki zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.

W trakcie ograniczenia przetwarzania Spółka przechowuje dane, natomiast nie przetwarza ich, to jest nie wykorzystuje i nie przekazuje, bez zgody osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, ochrony praw innej osoby fizycznej lub prawnej, bądź też z uwagi na ważne względy interesu publicznego.

Spółka informuje osobę przed uchyleniem ograniczenia przetwarzania.

W przypadku ograniczenia przetwarzania danych Spółka informuje osobę, na jej żądanie, o dotychczasowych odbiorcach tych danych.

29. Przenoszenie danych

Na żądanie osoby, której dane przetwarza, Spółka wydaje w ustrukturyzowanym, powszechnie używanym formacie elektronicznym, nadającym się do odczytu maszynowego, dane dotyczące tej osoby, które dostarczyła ona Spółce, przetwarzane w systemach informatycznych Spółki na podstawie wcześniejszej zgody tej osoby.

30. Sprzeciwy

Jeżeli osoba zgłosi umotywowany sprzeciw wobec przetwarzania jej danych, a dane przetwarzane są przez administratora w związku z  o uzasadnionym interesem Spółki lub  powierzone Spółce zadanie w interesie publicznym, Spółka uwzględni sprzeciw, o ile nie zachodzą po stronie Spółki ważne i prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.

31. Minimalizacja

Spółka wpisała trwale minimalizację w swój system bezpieczeństwa ochrony danych osobowych [Polityka – pkt 10.f]. Dotyczy to trzech zakresów tego procesu:

a. minimalizacja zakresu – w ramach wdrożenia RODO Spółka zweryfikowała zakres pozyskiwanych danych, zakres ich przetwarzania oraz ilość przetwarzanych danych pod kątem adekwatności do celów przetwarzania. Spółka dokonuje okresowych przeglądów ilości przetwarzanych danych i zakresu ich przetwarzania, nie rzadziej niż raz na rok. Spółka przeprowadza weryfikację zmian co do ilości i zakresu przetwarzania danych w ramach procedur optymalizacji zarządzania procesami.

b. minimalizacja dostępu – Spółka stosuje ograniczenia dostępu do danych osobowych:

– prawne [zobowiązania do poufności, zakresy upoważnień],

– fizyczne [strefy kontroli dostępu do pomiesczeń],

– logiczne [ograniczenia uprawnień do systemów przetwarzających dane    osobowe i zasobów sieciowych, w których rezydują dane osobowe].

Szczegółowe zasady kontroli procedur zawarte są regulacja wewnętrznych Spółki, a ich zapisy są sukcesywnie dostosowywane do zmian organizacyjnych i rozwoju technologicznego Spółki oraz Grupy.

c. minimalizacja czasu – Spółka wdraża mechanizmy kontroli cyklu funkcjonowania danych osobowych w Spółce, w tym weryfikacji dalszej przydatności danych względem terminów i punktów kontrolnych wskazanych w Rejestrze.

Dane, których zakres przydatności ulega ograniczeniu wraz z upływem czasu są usuwane z systemów produkcyjnych Spółki, jak też z akt podręcznych i głównych. Dane takie mogą być archiwizowane oraz znajdować się na kopiach zapasowych systemów i informacji przetwarzanych przez Spółkę. Procedury archiwizacji, korzystania z archiwów oraz tworzenia i wykorzystania kopii zapasowych uwzględniają wymagania regulacji ustawowych co do czasu wykorzystywania danych.

32. Bezpieczeństwo przetwarzania danych osobowych

Spółka zapewnia stopień bezpieczeństwa danych odpowiadający potencjalnemu ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania danych osobowych przez Spółkę. Przyjęty w Spółce i Grupie system bezpieczeństwa bazuje na następujących procedurach:

a. analizie ryzyka i adekwatności środków bezpieczeństwa – Spółka   przeprowadza i dokumentuje analizy adekwatności środków bezpieczeństwa danych osobowych, zarówno w sferze bezpieczeństwa fizycznego, jak   informatycznego. W tym celu wykonywane są okresowe badania szczelności zastosowanych systemów. W razie konieczności zmian rekomendowane są one wraz z metodyką i harmonogramem ich wdrażania.

b.  kategoryzacji danych osobowych przetwarzaniu ich pod kątem ryzyka, które niesie ich obróbka.

c. uwzględnianiu zagadnień ochrony danych osobowych w przyjętym planie utrzymania   ciągłości działania, na wypadek zdarzeń losowych, mogących dotknąć administratora [pożar, zaniki dostaw energii elektrycznej, katastrofa klimatyczna – powódź, huragan itp.].

33. Zgłaszanie naruszeń bezpieczeństwa danych

Spółka stosuje procedury pozwalające na identyfikację, ocenę skali i zgłoszenie zdiagnozowanego naruszenia bezpieczeństwa ochrony danych osobowych przewidzianemu ustawowo organowi kontrolnemu, to jest Urzędowi Ochrony Danych w terminie 72 godzin od ustalenia naruszenia.

34. Postanowienia końcowe

Postanowienia Polityki mogą być zmieniane jedynie w formie podjętej uchwały zarządu Spółki.

Treść zmian winna być w trybie doraźnym opublikowana w systemie informacyjnym Spółki, to jest w zakładce „RODO” na stronie internetowej www.tree.com.pl/rodo

Polityka wchodzi w życie z dniem 25 maja 2018 roku