RODO

Procedura przetwarzania i ochrony danych

osobowych obowiązująca w
MOV Cezary Wdowiak

Dokument został sporządzony na podstawie przepisów Rozporządzenia Parlamentu
Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób
fizycznych w związku z przetwarzaniem danych osobowych i w sprawie
swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz
przepisów ustawy o ochronie danych osobowych oraz ustawy wprowadzającej
ustawę o ochronie danych osobowych. Dokument ten stanowi efekt
przeprowadzonej analizy procesów przetwarzania danych osobowych i ich ochrony i
został oparty na dokonanej ocenie ryzyka stanowiącej załącznik do procedury.

Strona 2 z 53

Spis treści:

A. Definicje i wyjaśnienia. 3
B. Administrator i jego obowiązki. 4
C. Dane osobowe i ich zbiory. 5
D. Pozyskiwanie danych osobowych. 8
E. Przetwarzanie danych osobowych u Administratora. 9
F. Udostępnianie danych i powierzanie ich przetwarzania. 11
G. Zaprzestanie przetwarzania danych osobowych. 12
H. Kontrola przetwarzania i ocena ryzyka. 13
I. Działania w przypadku naruszenia zasad przetwarzania danych. 15
J. Realizacja uprawnień osób, których dane są przetwarzane. 16
K. Postanowienia końcowe. 17
Formularz zgody na przetwarzanie danych. 18
Wzór klauzuli informacyjnej. 19
Wzór upoważnienia do przetwarzania danych. 20
Oświadczenia pracownika. 21
Umowa o powierzeniu przetwarzania danych 22
osobowych. 22
Rejestr czynności przetwarzania. 25
Wzór Rejestru kategorii czynności przetwarzania. 37
Formularz oceny ryzyka przetwarzania danych w zbiorze
………………………………………….. 38

Strona 3 z 53

Szanowni Państwo,
w dniu 25 maja 2018 roku wchodzi w życie Rozporządzenie Parlamentu
Europejskiego i Rady (2016/78) z dnia 27 kwietnia 2016 roku w sprawie ochrony
osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie
swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
W związku z tym przygotowaliśmy dla Państwa niezbędne informacje, w jaki sposób
Państwa dane będą przetwarzane po 25 maja 2018 r. Możecie Państwo zapoznać
się z nimi poniżej.

A. Definicje i wyjaśnienia.

Procedura Przetwarzania nadaje następującym pojęciom poniższe znaczenie:
dane osobowe - oznaczają informacje o zidentyfikowanej lub możliwej do
zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do
zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio
zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i
nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub
jeden bądź kilka szczególnych czynników
przetwarzanie - oznacza operację lub zestaw operacji wykonywanych na danych
osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub
niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie,
przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie,
wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego
rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub
niszczenie;
zbiór danych - oznacza uporządkowany zestaw danych osobowych dostępnych
stosownie do określonych kryteriów;
Administrator - oznacza MOV Cezary Wdowiak
podmiot przetwarzający - oznacza osobę fizyczną lub prawną, organ publiczny,
jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu
Administratora.

Strona 4 z 53

B. Administrator i jego obowiązki.
Do obowiązków Administratora w związku z przetwarzaniem i ochroną danych
należy:
a) analizowanie procesów przetwarzania danych osobowych,
b) identyfikowanie zagrożeń i niezgodności w procesach przetwarzania danych
osobowych,
c) opracowanie procedur przetwarzania o ochrony danych osobowych w oparciu o
ocenę ryzyk i zastosowaniem zasady privacy by default i privacy by design,
d) wdrożenie procedury przetwarzania i ochrony danych osobowych,
e) kontrolowanie stosowania przepisów o ochronie danych osobowych oraz
procedury przetwarzania i ochrony danych osobowych w firmie,
f) wprowadzenie i stosowanie mechanicznych i elektronicznych środków ochrony
danych osobowych zapewniających ochronę przed dostępem osób
niepowołanych oraz przed utratą danych osobowych,
g) szkolenie pracowników i wydawaniem im upoważnień do przetwarzania danych,
h) powoływanie osób odpowiedzialnych za przetwarzanie,
i) powoływanie Inspektora Ochrony Danych Osobowych,
j) zgłaszanie do Prezesa Urzędu Ochrony Danych Osobowych naruszenia ochrony
danych osobowych,
k) prowadzenie polityki informacyjnej wobec podmiotów, których dane są
przetwarzane,
l) badanie zgodności przetwarzania danych z przepisami prawa i procedurą,
m) podpisywanie umów o powierzeniu przetwarzania danych osobowych,
n) archiwizowanie danych osobowych w przypadkach przewidzianych prawem.

Administrator powołuje osobę, która w strukturze Administratora odpowiada za
realizację jego obowiązków w zakresie przetwarzania i ochrony danych. W tym celu
Administrator może powołać pracownika albo osobę niezatrudnioną na umową o
pracę. Powołanie osoby wymaga uprzedniego przeszkolenia oraz podpisania przez
nią klauzuli o zachowaniu poufności. Osoba taka nie będzie uprawniona na tej
podstawie udzielać dalszych upoważnień, za wyjątkiem upoważnień udzielanych
pracownikom do przetwarzania danych osobowych. Osoba upoważniona nie może
również powoływać IODO, gdyż kompetencja ta stanowi wyłączne uprawnienie
Administratora.

Strona 5 z 53

Administrator może powołać, a jeżeli przepisy nakładają obowiązek, powołuje
IODO. Administrator może powołać na IODO pracownika albo inną osobę, na
podstawie zawartej z nią umowy cywilnoprawnej. W przypadku powołania u
Administratora IODO, wykonuje on obowiązki osoby upoważnionej i zadania
wyznaczone IODO w przepisach prawa. Powołanie IODO nie zwalnia w żaden
sposób Administratora od odpowiedzialnością za przetwarzanie oraz ochronę
danych zgodnie z przepisami prawa.

C. Dane osobowe i ich zbiory.

Administrator przetwarzane dane osobowe w uporządkowanych zbiorach.
Zbiory danych osobowych występujące u Administratora mają formę:
papierową,
cyfrową na trwałych nośnikach,
cyfrową w chmurze obliczeniowej.
Wszystkie zbiory danych osobowych występujące u Administratora przed ich
przetwarzaniem muszą zostać zidentyfikowane i opisane.
Administrator prowadzi rejestr zbiorów danych, w którym opisuje:
nazwę zbioru,
formę zbioru,
miejsce położenia zbioru.
Jeżeli przepisy prawa tego wymagają, Administrator prowadzi też rejestr czynności
przetwarzania danych w zbiorze.
Rejestr czynności przetwarzania danych prowadzony jest odrębnie dla każdego
zbioru.
Przetwarzanie danych w zbiorze wymaga uprzedniego zidentyfikowania:
rodzaju danych, które są przetwarzane w zbiorze,
celu, w którym są przetwarzane,
podstawy prawnej przetwarzania,
czasu przetwarzania,
szczególnych zasad przetwarzania, jeżeli są to dane szczególne.
Administrator obecnie przetwarza dane w następujących zbiorach:
Zbiór danych osobowych pracowników;

Strona 6 z 53
Zbiór danych osobowych kandydatów do pracy;
Zbiór danych osobowych klientów;
Zbiór danych osobowych - kontaktowych;
Zbiór danych osobowych - książka nadawcza.

W Zbiorze danych osobowych pracowników przetwarzane są:
imię i nazwisko pracownika,
PESEL albo numer dokumentu tożsamości,
adres zamieszkania,
numer telefonu,
dane dotyczące wykształcenia i przebiegu wcześniejszego zatrudnienia,
dane dotyczące zdolności do pracy,
numer rachunku bankowego,

W zbiorze danych osobowych kandydatów do pracy przetwarzane są:
imię i nazwisko kandydata,
adres do korespondencji,
numer telefonu lub adres poczty elektronicznej,
dane dotyczące wykształcenia i przebiegu wcześniejszego zatrudnienia.
W zbiorze danych osobowych klientów przetwarzane są:

imię i nazwisko,
nazwa firmy
numer NIP
adres,
numer telefonu kontaktowego
adres poczty elektronicznej
nick z serwisu allegro

W zbiorze danych osobowych - kontaktowych przetwarzane są:
imię i nazwisko,
numer telefonu,
adres poczty elektronicznej,

W zbiorze danych osobowych - książka nadawcza przetwarzane są:

Strona 7 z 53

imię i nazwisko,
adres do korespondencji.

Dane osobowe w zbiorach przetwarzane są w następujących celach:
Zbiór danych osobowych pracowników:
realizacja obowiązków stron wynikających z umowy o pracę,
obowiązki pracodawcy wynikające z przepisów prawa podatkowego,
obowiązki pracodawcy wynikające z przepisów o ubezpieczeniach społecznych,

Zbiór danych osobowych kandydatów do pracy:
prowadzenie rekrutacji do pracy,
Zbiór danych osobowych klientów:
realizacja umów zawartych z klientami,
prowadzenie marketingu produktów i usług w formie newsletter.

Zbiór danych osobowych - kontaktowych:
prowadzenia marketingu produktów i usług w formie newsletter,
składanie ofert i zapytań ofertowych w formie wiadomości poczty elektronicznej,

Zbiór danych osobowych - książka nadawcza:
imię i nazwisko odbiorcy,
adres odbiorcy,

Administrator udostępnia dane ze zbiorów następującym podmiotom:
Zbiór danych osobowych pracowników:
organy podatkowe,
Państwowa Inspekcja Pracy,
Zakład Ubezpieczeń Społecznych,
bank pracodawcy i bank pracownika,

Podstawą prawną przetwarzania danych w zbiorach jest:
Zbiór danych osobowych pracowników - art. 22 1 § 1, 2 i 4 Kodeksu pracy i ustawy o
podatku dochodowym od osób fizycznych i ustawy o systemie ubezpieczeń
społecznych w związku z art. 6 ust. 1 lit A, B, C i F RODO;

Strona 8 z 53

Zbiór danych osobowych kandydatów do pracy - art. 22 1 § 1 Kodeksu pracy w
związku z art. 6 ust. 1 lit A RODO;
Zbiór danych osobowych klientów - art. 6 ust. 1 lit A, B i F RODO;
Zbiór danych osobowych - kontaktowych - art. 6 ust. 1 lit A RODO;
Zbiór danych osobowych - książka nadawcza - art. 6 ust. 1 lit A, B i F RODO;

Dane osobowe nie mogą być przekazywane pomiędzy zbiorami, chyba że wynika to
z upoważnienia od Administratora i jest niezbędne dla realizacji celów
przetwarzania.
W przypadku przekazywania danych pomiędzy zbiorami fakt ten należy odnotować
w zbiorze, z którego dane są przekazywane, ze wskazaniem celu przekazania i
zakresu przekazanych danych.
W przypadku udostępniania danych innym podmiotom, niż te, które ujęto w
procedurze lub w rejestrze czynności przetwarzania, należy odnotować ten fakt
przed udostępnieniem danych.

D. Pozyskiwanie danych osobowych.

Administrator przetwarza dane osobowe:
na podstawie uprawnienia wynikającego z przepisu prawa,
na podstawie zgody udzielonej przez osobę, której dane dotyczą.
W przypadku przetwarzania danych na podstawie zgody Administrator:
formułuje zgodę na przetwarzanie danych osobowych jasnym językiem,
umieszcza klauzule zgody w sposób wyraźnie wyodrębniony od innych treści,
formułuje zgodę na przetwarzanie odrębnie dla każdego celu umożliwiając
wybór celów, przez osobę, której dane mają być przetwarzane,
informuje o prawie do cofnięcia zgody i sposobie jej cofnięcia.
Cofnięcie zgody nie może być trudniejsze, niż jej udzielenie.
Zgody udziela się i cofa ją w formie:

pisemnej
elektronicznej w formie wiadomości poczty elektronicznej przesłanej na adres

Strona 9 z 53

serwisu biuro@swiatmasazu.pl
telefonicznie.

Wzór zgody stanowi załącznik do Procedury.
Zgody są przechowywane przez Administratora.
W przypadku pozyskiwania danych osobowych, od osoby, której dane te
dotyczą,niezależnie od podstawy przetwarzania tych danych osobowych,
Administrator informuje tę osobę o:
danych Administratora (w tym o jego adresie, numerze telefonu i adresie
poczty elektronicznej),
danych osoby odpowiedzialnej u Administratora za przetwarzanie,
danych Inspektora Ochrony Danych Osobowych (jeżeli powołano),
celu albo celach przetwarzania danych,
podstawie prawnej przetwarzania,
szacowanym czasie przetwarzania,
podmiotach, którym dane są udostępnianie,
prawach osoby, które dane są przetwarzane,
prawie do wniesienia skargi do organu.
Dane osobowe pozyskują wyłącznie pracownicy upoważnieni do operacji
przetwarzania danych lub podmioty trzecie, z którymi została zawarta w
ramach umowy cywilnoprawnej umowa o powierzeniu przetwarzania.
Administrator pozyskuje wyłącznie dane niezbędne do realizacji celów, do
których zostały pozyskane i przetwarza je tylko przez czas niezbędny do
osiągnięcia tych celów.

E. Przetwarzanie danych osobowych u

Administratora.

1. Administrator przetwarza dane osobowe tylko w zakresie określonym w
przepisach oraz na ich podstawie.
2. Uprawnienie do przetwarzania danych osobowych przysługuje wyłącznie:
- osobom przeszkolonym z zasad przetwarzania i ochrony danych,

Strona 10 z 53

- osobom, które podpisały zobowiązanie do zachowania poufności.
3. Podstawą udzielenia upoważnienia do przetwarzania danych osobowych u
Administratora jest uprzednia realizacja obowiązków z ust. 2.
3. Administrator nie dopuszcza do przetwarzania danych osób, które nie są do
tego upoważnione.
4. Osoby upoważnione nie mogą udzielać dalszych upoważnień.
5. Administrator nie dopuszcza do przetwarzania danych osobowych poza
zakresem udzielonego upoważnienia.
6. Administrator udziela upoważnień wyłącznie w zakresie niezbędnym do
realizacji celów przetwarzania.
7. W przypadku naruszenia zasad przetwarzania danych Administrator cofa
upoważnienie udzielone osobie odpowiedzialnej za naruszenie.
8. Przetwarzanie danych odbywa się wyłącznie:
a) w pomieszczeniach do tego przeznaczonych.
b) na zabezpieczonym, dedykowanym sprzęcie elektronicznym,
c) w zabezpieczonej sieci przeznaczonej do przetwarzania.
10. Pomieszczenia przeznaczone do przetwarzania danych powinny mieć:
a) co najmniej wyodrębnione stanowisko do przetwarzania danych,
d) zabezpieczenia w postaci drzwi i zamków chroniących dostęp do niego,
e) wyposażenie w postaci zamykanych szafek, szuflad, sejfu etc. do których dostęp
mają wyłącznie upoważnione osoby.
11. Sprzęt elektroniczny przeznaczony do przetwarzania danych powinien mieć:
a) zawsze aktualne oprogramowanie, w tym antywirusowe,
f) firewall,
g) zabezpieczenie loginem i hasłem przypisanym do osoby upoważnionej.
12. Sieć przeznaczona do przetwarzania danych powinna być zabezpieczona przed
dostępem osób niepowołanych.
9. W celu zapewnienia bezpieczeństwa oraz rozliczalności w przetwarzaniu
danych osobowych przetwarzanie danych w systemach elektronicznych
wymaga uprzedniego zalogowania się do systemu unikalnym loginem i hasłem
przypisanym do konkretnej osoby.
10. Login i hasło ustala Administrator . Hasło musi liczyć co najmniej 8 znaków i
zawierać co najmniej jedną dużą literę, Hasło zmienia się nie rzadziej, niż raz na
rok

Strona 11 z 53

11. Zabronione jest logowanie się do systemu za pomocą loginu i hasła, które nie
jest przypisane do danej osoby.
12. Ujawnienie hasła stanowi poważne naruszenie zasad bezpieczeństwa.
13. Administrator w miarę możliwości technicznych zapewnia identyfikację operacji
wykonywanych w systemie przez poszczególne osoby.
14. Osoby upoważnione do przetwarzania danych zobowiązane są:
a) przetwarzać dane zgodnie z przepisami prawa i procedurą,
h) przetwarzać dane wyłącznie w zakresie udzielonego upoważnienia,
i) chronić dane przed utratą lub niepowołanym dostępem,
j) zachować w tajemnicy login i hasło do systemu elektronicznego,
k) nie ujawniać danych osobowych osobom nieupoważnionym,
l) informować o wszelkich przypadkach naruszenia zasad przetwarzania lub
bezpieczeństwa danych oraz o stwierdzonych zagrożeniach.
19. Osoby upoważnione do przetwarzania danych zobowiązane są ponadto:
a) przetwarzać dane osobowe w sposób uniemożliwiający dostęp do danych
osobom nieupoważnionym,
m) w przerwie albo po zakończeniu pracy zabezpieczać dane poprzez zamknięcie
dokumentów w szafach, szufladach, sejfach etc przeznaczonych do ich
przechowywania (tzw. polityka czystego biurka),
n) w przerwie albo po zakończeniu pracy wylogować się z systemu
elektronicznego, w którym przetwarzane są dane,
o) nie wynosić nośników danych poza obszar przeznaczonych do przetwarzania
danych,
p) szyfrować elektroniczne nośniki danych,
q) weryfikować tożsamość osób, którym dane są udostępniane,
r) nie przesyłać danych wrażliwych za pomocą poczty elektronicznej bez
uprzedniego zaszyfrowania.
20. Naruszenie któregokolwiek z obowiązków z pkt 19 lub pkt 20 stanowi poważne
naruszenie zasad bezpieczeństwa.

F. Udostępnianie danych i powierzanie ich

przetwarzania.

Strona 12 z 53
1. Administrator udostępnia dane osobowe w sytuacji, gdy:
a) obowiązek udostępnienia wynika z przepisów prawa,
s) osoba, której dane dotyczą wyraziła zgodę na udostępnienie jej danych.
2. Administrator odnotowuje w Rejestrze czynności przetwarzania kategorie
podmiotów lub podmioty, którym udostępniono dane ze zbioru.
15. Podczas pozyskiwania danych Administrator informuje o podmiotach lub
kategoriach podmiotów, którym dane będą udostępniane.
16. Jeżeli Administrator udostępnia dane innemu podmiotowi lub kategorii
podmiotów, które nie były ujęte w informacji dla osoby, której dane są
przetwarzane i udostępnienie nie następuje na podstawie powszechnie
obowiązujących przepisów prawa, Administrator informuje o potrzebie
udostępniania tych danych i w miarę możliwości pozyskuje zgodę osoby, które
dane są przetwarzane.
17. Jeżeli przetwarzanie danych osobowych następuje w imieniu i na zlecenie
Administratora, Administrator zobowiązany jest zawrzeć z podmiotem lub osobą
przetwarzającą dane w jego imieniu Umowę o powierzeniu przetwarzania
danych osobowych.
18. Umowa o powierzeniu przetwarzania danych osobowych zawiera:
- …
- …
7. Administrator kontroluje wykonanie Umowy o powierzeniu przetwarzania danych
osobowych zgodnie z zasadami przewidzianym w procedurze i w umowie.
19. Zasady przetwarzania danych osobowych przez osoby lub podmioty, którym
Administrator powierzył przetwarzanie danych muszą zapewniać co najmniej
taki sam standard ochrony, jaki stosuje Administrator.

G. Zaprzestanie przetwarzania danych

osobowych.

Administrator przetwarza dane osobowe przez czas:
wynikający z powszechnie obowiązujących przepisów prawa, lub
do momentu osiągnięcia celów, dla których dane są przetwarzane, lub
do czasu cofnięcia zgody, jeżeli podstawą przetwarzania danych była zgoda i nie

Strona 13 z 53
ma innej podstawy przetwarzania danych osobowych.
W przypadku zaistnienia podstaw do zaprzestania przetwarzania przez
Administratora danych osobowych, Administrator podejmuje czynności niezbędne
do zaprzestania przetwarzania.
Administrator usuwa dane, których zaprzestaje przetwarzania, w taki sposób, aby
uniemożliwić do nich dostęp osobom niepowołanym.
Usuwanie danych osobowych następuje w miejscach przeznaczonych do
przetwarzania tych danych.
Dokumenty papierowe zawierające dane Administrator niszczy zgodnie z normą
PN-EN ISO 9001:2001 oraz DIN 66399.
Nośniki cyfrowe zawierające dane osobowe Administrator niszczy metodą fizyczną,
lub chemiczną, lub elektromagnetyczną lub poprzez nadpisanie na nich informacji w
sposób uniemożliwiający ich odzyskanie.
Ze zniszczenia danych Administrator sporządza zbiorczy protokół.
Protokół zniszczenia zawiera:
zbiór danych, z którego dane usunięto
rodzaj danych,
datę i miejsce,
podpis osoby usuwającej dane.
Administrator może powierzyć usunięcie danych podmiotowi, który świadczy w tym
zakresie profesjonalne usługi. Powierzenie wymaga uprzedniego zawarcia Umowy o
powierzeniu przetwarzania danych.

H. Kontrola przetwarzania i ocena ryzyka.

Administrator cyklicznie weryfikuje zgodność procedury z:
aktualnie obowiązującymi przepisami prawa,
aktualnym stanem wiedzy technicznej,
rekomendacjami uprawnionych organów.
Administrator przeprowadza okresową kontrolę stosowania procedury przetwarzania
w przedsiębiorstwie.
Kontrola jest przeprowadzana nie rzadziej, niż raz 12 miesięcy.

W toku kontroli Administrator sprawdza:

Strona 14 z 53
podstawy przetwarzania danych osobowych,
prawidłowość udzielanych zgód,
zakres udostępnianych danych,
wykonanie Umów o powierzeniu przetwarzania danych,
wykonanie obowiązków informacyjnych,
stosowanie zasad bezpieczeństwa przez osoby przetwarzające,
skuteczność stosowanych środków technicznych.
Z kontroli Administrator sporządza protokół kontroli okresowej. Protokół zawiera:
datę i miejsce przeprowadzonej kontroli,
stwierdzony stan faktyczny,
stwierdzone uchybienia,
podpis osoby kontrolującej.
Na podstawie sporządzonego protokołu kontroli Administrator dokonuje okresowej
oceny ryzyka i sporządza pisemny raport.
W oparciu o protokół kontroli i raport oceny ryzyka Administrator, jeżeli zachodzi
taka potrzeba, wdraża zmiany techniczne i proceduralne w celu dostosowania
operacji przetwarzania do obowiązujących przepisów.
Administrator przechowuje protokoły kontroli i raporty oceny ryzyka.
W przypadku rozpoczęcia przez Administratora nowych operacji przetwarzania
danych osobowych, Administrator dokonuje uprzedniej oceny ryzyka w odniesieniu
do stosowanych procedur i zabezpieczeń technicznych, biorąc pod uwagę:
cel przetwarzania danych,
rodzaj przetwarzanych danych,
skalę przetwarzania danych,
udostępnianie danych lub powierzenie ich przetwarzania.
W przypadku stwierdzenia wyższego, niż przeciętne ryzyka dla nowych operacji
przetwarzania danych, Administrator wprowadza uprzednio zmiany techniczne i
proceduralne w celu zmniejszenia tego ryzyka.
Ocena ryzyka jest obowiązkowym procesem przeprowadzanym przez
Administratora.

Strona 15 z 53

I. Działania w przypadku naruszenia zasad

przetwarzania danych.

1. W przypadku stwierdzenia przez Administratora:
a) zagrożenia dla integralności danych osobowych,
t) zagrożenia bezpieczeństwa danych osobowych,
u) przetwarzania danych niezgodnie z przepisami, to jest:
- bez podstawy prawnej,
- w zakresie szerszym, niż dopuszczalny,
- ponad dopuszczalny okres,
- bez spełnienia obowiązków informacyjnych,
- pomimo uzasadnionego żądania zaprzestania lub ograniczenia przetwarzania,
d) naruszenia integralności danych, ich utraty lub uzyskania do nich dostępu przez
osoby nieuprawnione,
Administrator niezwłocznie rozpoczyna postępowanie kontrolne zmierzające do
zidentyfikowania istniejących zagrożeń, naruszeń i ich wyeliminowania.
2. Administrator podczas kontroli:
a) weryfikuje zgodność procedur z obowiązującymi przepisami,
v) sprawdza stosowanie procedur w strukturze przedsiębiorstwa,
w) analizuje zabezpieczenia techniczne i informatyczne.
3. Z kontroli Administrator sporządza raport, w którym umieszcza:
a) informacje pozyskane od osób biorących udział w procesie przetwarzania,
x) ocenę procesów przetwarzania i stosowanych procedur, ze wskazaniem
wykrytych zagrożeń i przyczyn ich wystąpienia,
y) ocenę stanu technicznego zabezpieczeń, ze wskazaniem wykrytych zagrożeń i
przyczyn ich wystąpienia,
z) doraźne zalecenia w celu wyeliminowania lub zminimalizowania zagrożeń.
4. Na podstawie sporządzonego raportu Administrator opracowuje i wdraża
rozwiązania organizacyjne oraz techniczne w celu usunięcia zagrożeń i
niezgodności stwierdzonych w toku kontroli.
20. Po wdrożeniu rozwiązań organizacyjnych i technicznych Administrator dokonuje
ewaluacji tych rozwiązań w celu ustalenia ich skuteczności.
21. W przypadku utraty danych osobowych lub uzyskania do nich dostępu przez
osoby niepowołane Administrator niezwłocznie zawiadamia o tym fakcie

Strona 16 z 53

Prezesa Urzędu Ochrony Danych Osobowych, nie później, niż 72 godziny od
wystąpienia zdarzenia.
22. Administrator może odstąpić od informowania o zaistniałym zdarzeniu, jeżeli
zdarzenie to wiąże się z małym ryzykiem naruszenia praw lub wolności osób,
których dane są przetwarzane.
23. W zgłoszeniu do organu Administrator podaje:
a) charakter naruszenia, w tym rodzaj danych i kategorie osób, których dotyczy
naruszenie oraz przybliżoną liczbę,
aa) dane kontaktowe,
bb) możliwe konsekwencje zdarzenia,
cc) podjęte środki zaradcze.
9. Jeżeli naruszenie powoduje wysokie ryzyko naruszenia praw lub wolności osób
fizycznych, których dane są przetwarzane, Administrator informuje te osoby o
zdarzeniu, jego potencjalnych skutkach i podjętych krokach zaradczych.
24. Administrator dokumentuje wszystkie przypadki naruszenia, niezależnie od
tego, czy występuje obowiązek zawiadomienia organu o naruszeniu.

J. Realizacja uprawnień osób, których dane są

przetwarzane.

1. W przypadku zgłoszenia przez osobę, której dane są przetwarzane przez
Administratora, żądania:
a) dostępu do danych,
dd) poprawienia danych,
ee) ograniczenia przetwarzania danych,
ff) usunięcia danych,
Administrator przekazuje to żądanie do osoby odpowiedzialnej u niego za
przetwarzanie danych osobowych celem jego rozpoznania.
2. Administrator, przed przystąpieniem do oceny zgłoszonego żądania, weryfikuje
tożsamość osoby kierującej żądanie celem potwierdzenia przysługującego jej
uprawnienia i ochrony danych osobowych.

Strona 17 z 53

25. W przypadku zgłoszenia żądania dostępu do danych Administrator w terminie
nie dłuższym, niż 14 dni przesyła zestawienie danych osobowych do osoby
składającej żądanie. Przekazanie następuje za potwierdzeniem odbioru.
26. Udostępnienie pierwszej kopii następuje nieodpłatnie. Uzyskanie kolejnej kopii
wymaga uiszczenia opłaty odpowiadającej kosztowi sporządzenia tej kopii.
27. W przypadku żądania poprawienia danych Administrator weryfikuje treść
posiadanych danych ze zgłoszonym żądaniem i w przypadku stwierdzenia
niezgodności aktualizuje dane.
28. W przypadku zgłoszenia żądania:
a) ograniczenia przetwarzania danych,
gg) zaprzestania przetwarzania danych,
Administrator weryfikuje zgłoszone żądanie, a w szczególności, jakie istnieją
podstawy przetwarzania tych danych.
7. Jeżeli Administrator stwierdzi, że przetwarzanie danych wynika:
a) z obowiązku prawnego nałożonego na Administratora, lub
hh) z uzasadnionego interesu prawnego Administratora,
Administrator odmawia ograniczenia albo zaprzestania przetwarzania danych i
informuje o tym fakcie żądającego wskazując na przyczynę odmowy oraz na
możliwość wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
8. Jeżeli żądanie ograniczenia albo zaprzestania przetwarzania jest zasadne,
Administrator niezwłocznie ogranicza albo zaprzestaje przetwarzania.
29. Do rozpatrywania żądań uprawniony jest wyłącznie Administrator albo osoba
upoważniona przez Administratora. Pracownicy przekazują takie żądanie
niezwłocznie do wskazanych w strukturze osób.

K. Postanowienia końcowe.

1. Niniejsza procedura wchodzi w życie z dniem 24-05-2017.
30. W przypadku zmian w procedurze Administrator sporządza jednolity tekst nowej
procedury.
31. Administrator przechowuje wszystkie wersje procedury i udostępnia je na
żądanie uprawnionych organów.
32. W przypadku zmiany procedury Administrator przeprowadza szkolenie dla
wszystkich osób przetwarzających dane z jego upoważnienia.

Strona 18 z 53

Formularz zgody na przetwarzanie danych.
Wyrażam zgodę / nie wyrażam zgody na przetwarzanie danych osobowych wymienionych w
formularzu zamówienia / wskazanych poniżej:
- Imię i nazwisko,
- nazwa firmy,
- adres,
- adres poczty elektronicznej,
- numer telefonu kontaktowego.
w celu realizacji zamówień klientów.

Wyrażam zgodę / nie wyrażam zgody na przetwarzanie danych osobowych wymienionych w
formularzu zamówienia / wskazanych poniżej:
- Imię i nazwisko,
- nazwa firmy,
- adres,
- adres poczty elektronicznej,
- numer telefonu kontaktowego.
w celu prowadzenia marketingu elektronicznego za pomocą newsletter.

Wyrażam zgodę / nie wyrażam zgody na przetwarzanie danych osobowych wymienionych w
kwestionariuszu osobowym / wskazanych poniżej:
- Imię i nazwisko,
- Pesel,
- adres,
- adres poczty elektronicznej,
- numer telefonu kontaktowego,
- numer konta bankowego.
w celu prowadzenia zbioru informacji pracowników.
Oświadczam, że zapoznałem się z Klauzulą informacyjną udostępnioną przez Administratora
danych.

………………………………………………

Strona 19 z 53

Wzór klauzuli informacyjnej.
1. Administratorem danych osobowych jest MOV Cezary Wdowiak adres: Akacjowa 30, 76-251
Bolesławice, Polska.
33. Osobą odpowiedzialną za przetwarzanie danych osobowych Cezary Wdowiak (e-mail
biuro@swiatmasazu.pl ; tel: 690 080 080)
34. Dane osobowe będą przetwarzane w celu:
a) Prowadzenia sprzedaży i realizacji zamówień z serwisu swiatmasau.pl;
ii) Realizacji zamówień składanych przez poczte elektroniczną;
jj) Realizacji procedur gwarancyjnych i reklamacyjnych,
kk) Prowadzenia ewidencji pracowników.
Podstawą prawną przetwarzania danych jest
Zbiór danych osobowych pracowników - art. 22 1 § 1, 2 i 4 Kodeksu pracy i ustawy o podatku
dochodowym od osób fizycznych i ustawy o systemie ubezpieczeń społecznych w związku z
art. 6 ust. 1 lit A, B, C i F RODO;
Zbiór danych osobowych kandydatów do pracy - art. 22 1 § 1 Kodeksu pracy w związku z art.
6 ust. 1 lit A RODO;
Zbiór danych osobowych klientów - art. 6 ust. 1 lit A, B i F RODO;
Zbiór danych osobowych - kontaktowych - art. 6 ust. 1 lit A RODO;
4. Zbiór danych osobowych - książka nadawcza - art. 6 ust. 1 lit A, B i F RODO;
35. Dane osobowe nie będą udostępniane innym odbiorcom:

6. Dane osobowe nie będą przekazywane do innych państw.
7. Dane osobowe będą przetwarzane przez
- dane pracownicze przez okres 50 lat od zakończenia stosunku pracy (wynika z przepisów),
- dane związane z relizacją umowy 5 lat od zakończenia roku podatkowego, w którym wystawiono fakturę,
- dane przetwarzane w celach maretkingowych - do czasu cofnięcia zgody.
36. Jeżeli przetwarzanie danych wynika z udzielonej zgody, zgoda taka może zostać cofnięta w
każdym czasie.
37. W związku z przetwarzaniem danych przysługuje prawo do:
a) dostępu do danych,
ll) poprawiania danych,
mm) ograniczenia przetwarzania danych,
nn) usunięcia danych.
10. Przysługuje skarga do organu nadzorczego - Prezesa Urzędu Ochrony Danych Osobowych.

Strona 20 z 53

Wzór upoważnienia do przetwarzania danych.

…………………., dnia ……………………..

Pan/Pani
………………………………..
………………………………..

Upoważnienie

Niniejszym, stosownie do art. 29 Rozporządzenia Parlamentu Europejskiego i Rady
(UE) 2016/679, w związku z wykonywanymi obowiązkami upoważniam

…………………………………………..

do przetwarzania następujących danych osobowych:

Zbiór danych osobowych klientów;
Zbiór danych osobowych - kontaktowych;
Zbiór danych osobowych - książka nadawcza.

w okresie od dnia ……………………………………… do odwołania.

……………………………………
/ADMINISTRATOR/

Strona 21 z 53
Oświadczenia pracownika.

……………….., dnia ……………………….

OŚWIADCZENIA

Oświadcza, że zapoznałem się:
Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27
kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem
danych osobowych i w sprawie swobodnego przepływu takich danych oraz
uchylenia dyrektywy 95/46/WE.
Procedurą przetwarzania i ochrony danych osobowych obowiązującą w firmie MOV
Cezary Wdowiak

…………………………………..
/podpis pracownika/

Oświadczam, że zobowiązuje się zachować w tajemnicy wszelkie dane osobowe,
które będę przetwarzał/a. Danych tych nie będą ujawniał/a osobom lub podmiotom
nieuprawnionym. Zobowiązuję się również nie przetwarzać danych osobowych, co
do których nie mam upoważnienia. Oświadczam, że wiem, że obowiązek

zachowania tajemnicy nie jest ograniczony w czasie.

……………………………………
/podpis pracownika/

Umowa o powierzeniu przetwarzania danych
osobowych.

Strona 22 z 53

Umowa o powierzeniu przetwarzania danych osobowych

Zawarta dnia …………………………………………. w ………………………………
pomiędzy
………………………………………………………….. adres ………………………….
………………………………………………………….. KRS ……………………………
NIP ……………………………………….. REGON ……………………………………..
zwanym dalej Administratorem,
a pomiędzy

………………………………………………………….. adres ………………………….
………………………………………………………….. KRS ……………………………
NIP ………………………………………… REGON …………………………………….
zwanym dalej Podmiotem.

§ 1.

1. W dniu ……………………. Strony zawarły umowę …………………………….
……………………………… zwaną dalej Umową.

38. Administrator powierzył do przetwarzania Podmiotowi dane osobowe z następujących
zbiorów:

- ………………………………
- ………………………………

3. Powierzone dane osobowe dotyczą następujących kategorii osób:

a) ……………………………..
oo) …………………………….

Strona 23 z 53

4. Podmiot może powierzyć innym podmiotom przetwarzanie powierzonych wyłącznie w
sytuacji, gdy jest to niezbędne dla wykonania przedmiotowej umowy lub Umowy.
39. W sytuacji opisanej w ust. 4 Podmiot informuje Administratora o:
a) planowanym zakresie powierzenia,
pp) osobie lub podmiocie, którym dane mają być powierzone
6. Podstawą dalszego powierzenia jest umowa o powierzeniu przetwarzania danych
osobowych, która musi spełniać co najmniej wymogi określone w niniejszej umowie.
40. Podmiot okazuje umowę wskazaną w ust. 6 Administratorowi.
41. Administrator może sprzeciwić się powierzeniu przetwarzania.

§ 2.

1. Podmiot w swojej działalności stosuje przepisy dotyczące przetwarzania i ochrony
danych osobowych.
42. Podmiot zobowiązany jest prowadzić rejestr osób upoważnionych u niego do
przetwarzania danych osobowych.
43. Podmiot odbiera od pracowników oświadczenia o zachowaniu wszystkich
przetwarzanych danych w poufności i to bez ograniczenia w czasie.

§ 3.

1. Podmiot niezwłocznie informuje Administratora o naruszeniu poufności, integralności
lub dostępności przekazanych przez Administratora danych lub o stwierdzonym
zagrożeniu dla tych danych.
44. W zgłoszeniu podaje się:
a) jakie dane zostały naruszone,
qq) kogo dotyczy naruszenie,
rr) ilu danych dotyczy naruszenie.

§ 4.

1. W chwili wygaśnięcia Umowy Podmiot przestaje przetwarzać dane, które zostały mu
powierzone przez Administratora.
45. Podmiot zobowiązany usuwa przekazane dane lub zwraca je niezwłocznie
Administratorowi.
46. Administrator w każdym czasie może ograniczyć upoważnienie udzielone do
przetwarzania w wybranej przez siebie części.

§ 5.

1. Administrator może skontrolować Podmiot w zakresie:

Strona 24 z 53

a) przestrzegania przepisów prawa o ochronie danych osobowych,
ss) przestrzegania niniejszej umowy.
2. Podczas kontroli Administrator w szczególności żąda:
a) okazania dokumentacji dotyczącej przetwarzania,
tt) oświadczeń o zachowaniu poufności,
uu) okazania zabezpieczeń technicznych.
3. Kontrolę przeprowadza Administrator albo upoważniona osoba.
2. Po kontroli Administrator sporządza zarządzenia pokontrolne, do których Podmiot musi
się dostosować.

§ 6.

Podmiot odpowiada za:
a) zgodność z prawem przetwarzania powierzonych danych,
vv) integralność danych,
ww) bezpieczeństwo i poufność danych.
W tym celu Podmiot wdraża adekwatne środki bezpieczeństwa.

§ 7.
1. Umowa zostaje zawarta na czas nieokreślony.
47. Każda Strona może wypowiedzieć niniejszą umowę z zachowaniem 6 miesięcznego
wypowiedzenia.
48. Sądem właściwym miejscowo dla rozpoznawania sporów wynikających z niniejszej
umowy jest sąd miejsca siedziby Administratora.
49. Zmiany wymagają zachowania formy pisemnej pod rygorem nieważności.
50. Umowę sporządzono w dwóch egzemplarzach, po jednym dla każdej ze Stron.

Rejestr czynności przetwarzania.

Strona 25 z 53
Zbiór danych Zbiór danych osobowych pracowników

Administrator Cezary Wdowiak

Przedstawiciel
Administratora / IODO Cezary Wdowiak

Podstawa prawna

Zbiór danych osobowych pracowników - art. 221 § 1, 2 i
4 Kodeksu pracy i ustawy o podatku dochodowym od
osób fizycznych i ustawy o systemie ubezpieczeń
społecznych w związku z art. 6 ust. 1 lit A, B, C i F
RODO;

Cele przetwarzania Cele związane z obsługą kadrowo – płacowa

pracowników.

Kategorie przetwarzanych
danych Dane osobowe pracowników

Kategorie osób, których
dane są przetwarzane Pracownicy

Kategorie odbiorców,
którym udostępniono dane Urząd skarbowy, ZUS

Kategorie podmiotów,
którym powierzono dane

Biuro księgowe, specjalista BHP, zakład medycyny pracy

Strona 26 z 53

Przekazanie danych do
innego państwa brak

Okres przetwarzania
danych 50 lat

Opis środków
organizacyjnych

- ustalona procedura bezpieczeństwa,
- okresowe kontrole,
- szkolenia dla pracowników

Opis środków technicznych

- programy antywirusowe,
- monitoring zachowań w sieci

Strona 27 z 53
Rejestr czynności przetwarzania.

Zbiór danych Zbiór danych osobowych kandydatów do pracy;

Administrator Cezary Wdowiak

Przedstawiciel
Administratora / IODO Cezary Wdowiak

Podstawa prawna Zbiór danych osobowych kandydatów do pracy - art. 221
§ 1 Kodeksu pracy w związku z art. 6 ust. 1 lit A RODO;

Cele przetwarzania Cele związane z pozyskiwaniem nowych pracowników.

Strona 28 z 53

Kategorie przetwarzanych
danych Dane osobowe pracowników

Kategorie osób, których
dane są przetwarzane Kandydaci do pracy

Kategorie odbiorców,
którym udostępniono dane brak

Kategorie podmiotów,
którym powierzono dane Biuro księgowe, specjalista BHP, zakład medycyny pracy

Przekazanie danych do
innego państwa brak

Okres przetwarzania
danych 5 lat

Opis środków
organizacyjnych

- ustalona procedura bezpieczeństwa,
- okresowe kontrole,
- szkolenia dla pracowników

Strona 29 z 53

Opis środków technicznych

- programy antywirusowe,
- monitoring zachowań w sieci

Rejestr czynności przetwarzania.

Zbiór danych Zbiór danych osobowych klientów;

Administrator Cezary Wdowiak

Przedstawiciel
Administratora / IODO Cezary Wdowiak

Podstawa prawna Zbiór danych osobowych klientów - art. 6 ust. 1 lit A, B i

F RODO;

Cele przetwarzania Cele związane realiyacją zamówień.

Kategorie przetwarzanych
danych Dane adresowe klientów

Kategorie osób, których klienci

Strona 30 z 53

dane są przetwarzane

Kategorie odbiorców,
którym udostępniono dane brak

Kategorie podmiotów,
którym powierzono dane brak

Przekazanie danych do
innego państwa brak

Okres przetwarzania
danych Do odwołania

Opis środków
organizacyjnych

- ustalona procedura bezpieczeństwa,
- okresowe kontrole,
- szkolenia dla pracowników

Opis środków technicznych - programy antywirusowe,
- monitoring zachowań w sieci

Strona 31 z 53
Rejestr czynności przetwarzania.

Zbiór danych Zbiór danych osobowych - kontaktowych;

Administrator Cezary Wdowiak

Przedstawiciel
Administratora / IODO Cezary Wdowiak

Podstawa prawna Zbiór danych osobowych - kontaktowych - art. 6 ust. 1 lit

A RODO;

Cele przetwarzania Cele związane realizacją procesów produkcyjnych.

Kategorie przetwarzanych
danych Dane adresowe podwykonawców.

Kategorie osób, których
dane są przetwarzane Współpracownicy, podwykonawcy

Kategorie odbiorców, brak

Strona 32 z 53

którym udostępniono dane

Kategorie podmiotów,
którym powierzono dane brak

Przekazanie danych do
innego państwa brak

Okres przetwarzania
danych Do odwołania

Opis środków
organizacyjnych

- ustalona procedura bezpieczeństwa,
- okresowe kontrole,
- szkolenia dla pracowników

Opis środków technicznych - programy antywirusowe,
- monitoring zachowań w sieci

Strona 33 z 53
Rejestr czynności przetwarzania.

Zbiór danych Zbiór danych osobowych - książka nadawcza.

Administrator Cezary Wdowiak

Przedstawiciel
Administratora / IODO Cezary Wdowiak

Podstawa prawna Zbiór danych osobowych - książka nadawcza - art. 6 ust.

1 lit A, B i F RODO;

Cele przetwarzania Cele związane realizacją procesów produkcyjnych oraz

realizacją zamówień.

Kategorie przetwarzanych
danych

Dane adresowe podwykonawców, klientów,
dystrybutorów.

Kategorie osób, których
dane są przetwarzane Współpracownicy, podwykonawcy, klienci

Kategorie odbiorców,
którym udostępniono dane brak

Kategorie podmiotów, brak

Strona 34 z 53

którym powierzono dane

Przekazanie danych do
innego państwa brak

Okres przetwarzania
danych Do odwołania

Opis środków
organizacyjnych

- ustalona procedura bezpieczeństwa,
- okresowe kontrole,
- szkolenia dla pracowników

Opis środków technicznych

- programy antywirusowe,
- monitoring zachowań w sieci

Administrator i jego
dane kontaktowe

Współadministrator i
jego dane kontaktowe

Przedstawiciel /
IODO

Przekazanie danych
do państwa
trzeciego

art. 49
ust. 1 RODO

Strona 35 z 53

1. Cezary
Wdowiak

brak Cezary Wdowiak brak brak

2.

OPIS KATEGORII PRZETWARZANIA DANYCH: prowadzenie dokumentacji kadrowej,
prowadzenie dokumentacji księgowej, przewóz towarów na zlecenie, świadczenie usługi
archiwizowania dokumentów, asysta techniczna i aktualizacje systemów komputerowych

OPIS ŚRODKÓW BEZPIECZEŃSTWA: stosowanie loginów i haseł, oprogramowanie
antywirusowe, szyfrowanie korespondencji elektronicznej, zamykane na klucz
pomieszczenia, zamykane na klucz szafy, szkolenia pracowników, procedury ochrony
danych

Wzór Rejestru kategorii czynności przetwarzania.

Strona 36 z 53

Formularz oceny ryzyka przetwarzania danych w
zbiorze „Zbiór danych osobowych pracowników”

Strona 37 z 53
I. Ryzyko wystąpienia zdarzeń niepożądanych.

a) dane przetwarzane automatycznie:

TAK ………. (4pkt) NIE 0 (0pkt)
xx) dane przetwarzane w systemie z dostępem do sieci:
TAK ………. (3pkt) NIE 0(0pkt)

yy) krąg osób przetwarzających dane:

1 osoba 1 (1pkt) 2-10 osób … (2pkt)
11-20 osób … (3pkt) powyżej 20 osób … (5pkt)

zz) dane przetwarzane na serwerach zewnętrznych:
TAK ………. (2pkt) NIE 0 (0pkt)
aaa) dostęp do systemu zabezpieczony loginem i hasłem:
TAK ………. (0pkt) NIE 1. (1pkt)

bbb) dokumenty z danymi zamykane na klucz:

TAK 0 (0pkt) NIE ………. (1pkt)

ccc) opisane zbiory danych i procedury:

TAK 0 (0pkt) NIE ………. (1pkt)

ddd) wdrożona procedura ochrony:

TAK 0 (0pkt) NIE ………. (1pkt)

eee) przeszkolenie osób przetwarzających:

TAK ………. (0pkt) NIE 1 (1pkt)

fff) cykliczne kontrole:

TAK 0 (0pkt) NIE ………. (1pkt)

ggg) powierzanie danych:

TAK ………. (1pkt) NIE 1 (0pkt)

hhh) zawarte umowy o powierzenie:

Strona 38 z 53
TAK 0 (0pkt) NIE ………. (1pkt)

iii) szyfrowanie danych:

TAK ………. (-2pkt) NIE 0 (0pkt)

jjj) anonimizacja danych:

TAK ………. (-2pkt) NIE 0 (0pkt)

kkk) powołanie IODO:

TAK ………. (-1pkt) NIE 0 (0pkt)

lll) przetwarzanie wyłącznie w obszarach niedostępnych dla osób trzecich:

TAK -1 (-1pkt) NIE ………. (0pkt)

mmm) niestandardowe rozwiązania techniczne w zakresie bezpieczeństwa:

TAK ………. (-2pkt) NIE 0 (0pkt)

NISKIE 3 pkt (od 0 do 3 pkt)
ŚREDNIE …. (od 4 do 7)
WYSOKIE …. (od 8 do 12)
BARDZO WYSOKIE …. (od 13 do 22 pkt)

II. Potencjalne skutki wystąpienia działań niepożądanych.
a) przetwarzanie danych wrażliwych:

TAK ………. (5pkt) NIE 0 (0pkt)

nnn) przetwarzanie danych może skutkować kradzieżą tożsamości:

TAK ………. (4pkt) NIE 0 (0pkt)

ooo) przetwarzanie danych majątkowych:

TAK ………. (3pkt) NIE 0 (0pkt)

ppp) przetwarzanie danych na dużą skalę:

Strona 39 z 53
TAK ………. (3pkt) NIE 0 (0pkt)
qqq) przetwarzanie danych może wywołać szkodę majątkową:
TAK ………. (2pkt) NIE 0(0pkt)
rrr) przetwarzanie danych może naruszyć dobra osobiste:
TAK ………. (2pkt) NIE 0 (0pkt)

sss) przetwarzanie danych może spowodować publiczne ich ujawnienie:

TAK ………. (2pkt) NIE 0 (0pkt)
ttt) utrata danych może uniemożliwić korzystanie z uprawnień:
PERMANENTNE ……… (3pkt) CZASOWE …….. (1pkt) NIE 0 (0pkt)

MINIMALNE 0 pkt (od 0 do 1 pkt)
ZAUWAŻALNE … (od 2 do 5 pkt)
POWAŻNE … (od 6 do 10 pkt)
B. POWAŻNE … (od 11 do 24 pkt)

Formularz oceny ryzyka przetwarzania danych w
zbiorze „Zbiór danych osobowych kandydatów do
pracy”

Strona 40 z 53
II. Ryzyko wystąpienia zdarzeń niepożądanych.

b) dane przetwarzane automatycznie:

TAK ………. (4pkt) NIE 0 (0pkt)
uuu) dane przetwarzane w systemie z dostępem do sieci:
TAK ………. (3pkt) NIE 0(0pkt)

vvv) krąg osób przetwarzających dane:

1 osoba 1 (1pkt) 2-10 osób … (2pkt)
11-20 osób … (3pkt) powyżej 20 osób … (5pkt)

www) dane przetwarzane na serwerach zewnętrznych:
TAK ………. (2pkt) NIE 0 (0pkt)
xxx) dostęp do systemu zabezpieczony loginem i hasłem:
TAK ………. (0pkt) NIE 1. (1pkt)

yyy) dokumenty z danymi zamykane na klucz:

TAK 0 (0pkt) NIE ………. (1pkt)

zzz) opisane zbiory danych i procedury:

TAK 0 (0pkt) NIE ………. (1pkt)

aaaa) wdrożona procedura ochrony:

TAK 0 (0pkt) NIE ………. (1pkt)

bbbb) przeszkolenie osób przetwarzających:

TAK ………. (0pkt) NIE 1 (1pkt)

cccc) cykliczne kontrole:

TAK 0 (0pkt) NIE ………. (1pkt)

dddd) powierzanie danych:

TAK ………. (1pkt) NIE 1 (0pkt)

Strona 41 z 53

eeee) zawarte umowy o powierzenie:

TAK 0 (0pkt) NIE ………. (1pkt)

ffff) szyfrowanie danych:

TAK ………. (-2pkt) NIE 0 (0pkt)

gggg) anonimizacja danych:

TAK ………. (-2pkt) NIE 0 (0pkt)

hhhh) powołanie IODO:

TAK ………. (-1pkt) NIE 0 (0pkt)

iiii) przetwarzanie wyłącznie w obszarach niedostępnych dla osób trzecich:

TAK -1 (-1pkt) NIE ………. (0pkt)

jjjj) niestandardowe rozwiązania techniczne w zakresie bezpieczeństwa:

TAK ………. (-2pkt) NIE 0 (0pkt)

NISKIE 3 pkt (od 0 do 3 pkt)
ŚREDNIE …. (od 4 do 7)
WYSOKIE …. (od 8 do 12)
BARDZO WYSOKIE …. (od 13 do 22 pkt)

III. Potencjalne skutki wystąpienia działań niepożądanych.
b) przetwarzanie danych wrażliwych:

TAK ………. (5pkt) NIE 0 (0pkt)

kkkk) przetwarzanie danych może skutkować kradzieżą tożsamości:

TAK ………. (4pkt) NIE 0 (0pkt)

llll) przetwarzanie danych majątkowych:

TAK ………. (3pkt) NIE 0 (0pkt)

Strona 42 z 53
mmmm) przetwarzanie danych na dużą skalę:
TAK ………. (3pkt) NIE 0 (0pkt)
nnnn) przetwarzanie danych może wywołać szkodę majątkową:
TAK ………. (2pkt) NIE 0(0pkt)
oooo) przetwarzanie danych może naruszyć dobra osobiste:
TAK ………. (2pkt) NIE 0 (0pkt)

pppp) przetwarzanie danych może spowodować publiczne ich ujawnienie:

TAK ………. (2pkt) NIE 0 (0pkt)
qqqq) utrata danych może uniemożliwić korzystanie z uprawnień:
PERMANENTNE ……… (3pkt) CZASOWE …….. (1pkt) NIE 0 (0pkt)

MINIMALNE 0 pkt (od 0 do 1 pkt)
ZAUWAŻALNE … (od 2 do 5 pkt)
POWAŻNE … (od 6 do 10 pkt)
B. POWAŻNE … (od 11 do 24 pkt)

Formularz oceny ryzyka przetwarzania danych w
zbiorze „Zbiór danych osobowych klientów”

Strona 43 z 53
III. Ryzyko wystąpienia zdarzeń niepożądanych.

c) dane przetwarzane automatycznie:

TAK 4 (4pkt) NIE … (0pkt)
rrrr) dane przetwarzane w systemie z dostępem do sieci:
TAK 3 (3pkt) NIE … (0pkt)

ssss) krąg osób przetwarzających dane:

1 osoba … (1pkt) 2-10 osób 2 (2pkt)
11-20 osób … (3pkt) powyżej 20 osób … (5pkt)

tttt) dane przetwarzane na serwerach zewnętrznych:
TAK 2 (2pkt) NIE … (0pkt)
uuuu) dostęp do systemu zabezpieczony loginem i hasłem:
TAK 0 (0pkt) NIE … (1pkt)
vvvv) dokumenty z danymi zamykane na klucz:

TAK 0 (0pkt) NIE ………. (1pkt)

wwww) opisane zbiory danych i procedury:

TAK 0 (0pkt) NIE ………. (1pkt)

xxxx) wdrożona procedura ochrony:

TAK 0 (0pkt) NIE ………. (1pkt)

yyyy) przeszkolenie osób przetwarzających:

TAK ………. (0pkt) NIE 1 (1pkt)

zzzz) cykliczne kontrole:

TAK 0 (0pkt) NIE ………. (1pkt)

aaaaa) powierzanie danych:

TAK ………. (1pkt) NIE 1 (0pkt)

bbbbb) zawarte umowy o powierzenie:

Strona 44 z 53
TAK … (0pkt) NIE 1 (1pkt)

ccccc) szyfrowanie danych:

TAK -2 pkt (-2pkt) NIE … (0pkt)

ddddd) anonimizacja danych:

TAK ………. (-2pkt) NIE 0 (0pkt)

eeeee) powołanie IODO:

TAK ………. (-1pkt) NIE 0 (0pkt)

fffff) przetwarzanie wyłącznie w obszarach niedostępnych dla osób trzecich:

TAK -1 (-1pkt) NIE ………. (0pkt)

ggggg) niestandardowe rozwiązania techniczne w zakresie bezpieczeństwa:

TAK -2 pkt (-2pkt) NIE … (0pkt)

NISKIE … (od 0 do 3 pkt)
ŚREDNIE …. (od 4 do 7)
WYSOKIE 9 pkt (od 8 do 12)
BARDZO WYSOKIE …. (od 13 do 22 pkt)

IV. Potencjalne skutki wystąpienia działań niepożądanych.
c) przetwarzanie danych wrażliwych:

TAK ………. (5pkt) NIE 0 (0pkt)

hhhhh) przetwarzanie danych może skutkować kradzieżą tożsamości:

TAK ………. (4pkt) NIE 0 (0pkt)

iiiii) przetwarzanie danych majątkowych:

TAK ………. (3pkt) NIE 0 (0pkt)

jjjjj) przetwarzanie danych na dużą skalę:

TAK ………. (3pkt) NIE 0 (0pkt)

Strona 45 z 53

kkkkk) przetwarzanie danych może wywołać szkodę majątkową:
TAK ………. (2pkt) NIE 0(0pkt)
lllll) przetwarzanie danych może naruszyć dobra osobiste:
TAK ………. (2pkt) NIE 0 (0pkt)

mmmmm) przetwarzanie danych może spowodować publiczne ich ujawnienie:

TAK ………. (2pkt) NIE 0 (0pkt)

nnnnn) utrata danych może uniemożliwić korzystanie z uprawnień:
PERMANENTNE ……… (3pkt) CZASOWE …….. (1pkt) NIE 0 (0pkt)

MINIMALNE 0 pkt (od 0 do 1 pkt)
ZAUWAŻALNE … (od 2 do 5 pkt)
POWAŻNE … (od 6 do 10 pkt)
B. POWAŻNE … (od 11 do 24 pkt)

Formularz oceny ryzyka przetwarzania danych w
zbiorze „Zbiór danych osobowych - kontaktowych”

IV. Ryzyko wystąpienia zdarzeń niepożądanych.

Strona 46 z 53

d) dane przetwarzane automatycznie:

TAK ………. (4pkt) NIE 0 (0pkt)
ooooo) dane przetwarzane w systemie z dostępem do sieci:
TAK ………. (3pkt) NIE 0(0pkt)

ppppp) krąg osób przetwarzających dane:

1 osoba 1 (1pkt) 2-10 osób … (2pkt)
11-20 osób … (3pkt) powyżej 20 osób … (5pkt)
qqqqq) dane przetwarzane na serwerach zewnętrznych:
TAK ………. (2pkt) NIE 0 (0pkt)
rrrrr) dostęp do systemu zabezpieczony loginem i hasłem:
TAK ………. (0pkt) NIE 1. (1pkt)

sssss) dokumenty z danymi zamykane na klucz:

TAK 0 (0pkt) NIE ………. (1pkt)

ttttt) opisane zbiory danych i procedury:

TAK 0 (0pkt) NIE ………. (1pkt)

uuuuu) wdrożona procedura ochrony:

TAK 0 (0pkt) NIE ………. (1pkt)

vvvvv) przeszkolenie osób przetwarzających:

TAK ………. (0pkt) NIE 1 (1pkt)

wwwww) cykliczne kontrole:

TAK 0 (0pkt) NIE ………. (1pkt)

xxxxx) powierzanie danych:

TAK ………. (1pkt) NIE 1 (0pkt)

yyyyy) zawarte umowy o powierzenie:

TAK 0 (0pkt) NIE ………. (1pkt)

zzzzz) szyfrowanie danych:

Strona 47 z 53
TAK ………. (-2pkt) NIE 0 (0pkt)

aaaaaa) anonimizacja danych:

TAK ………. (-2pkt) NIE 0 (0pkt)

bbbbbb) powołanie IODO:

TAK ………. (-1pkt) NIE 0 (0pkt)

cccccc) przetwarzanie wyłącznie w obszarach niedostępnych dla osób
trzecich:

TAK -1 (-1pkt) NIE ………. (0pkt)

dddddd) niestandardowe rozwiązania techniczne w zakresie bezpieczeństwa:

TAK ………. (-2pkt) NIE 0 (0pkt)

NISKIE 3 pkt (od 0 do 3 pkt)
ŚREDNIE …. (od 4 do 7)
WYSOKIE …. (od 8 do 12)
BARDZO WYSOKIE …. (od 13 do 22 pkt)

V. Potencjalne skutki wystąpienia działań niepożądanych.
d) przetwarzanie danych wrażliwych:

TAK ………. (5pkt) NIE 0 (0pkt)

eeeeee) przetwarzanie danych może skutkować kradzieżą tożsamości:

TAK ………. (4pkt) NIE 0 (0pkt)

ffffff) przetwarzanie danych majątkowych:

TAK ………. (3pkt) NIE 0 (0pkt)
gggggg) przetwarzanie danych na dużą skalę:
TAK ………. (3pkt) NIE 0 (0pkt)

hhhhhh) przetwarzanie danych może wywołać szkodę majątkową:

Strona 48 z 53
TAK ………. (2pkt) NIE 0(0pkt)
iiiiii) przetwarzanie danych może naruszyć dobra osobiste:
TAK ………. (2pkt) NIE 0 (0pkt)

jjjjjj) przetwarzanie danych może spowodować publiczne ich ujawnienie:

TAK ………. (2pkt) NIE 0 (0pkt)

kkkkkk) utrata danych może uniemożliwić korzystanie z uprawnień:
PERMANENTNE ……… (3pkt) CZASOWE …….. (1pkt) NIE 0 (0pkt)

MINIMALNE 0 pkt (od 0 do 1 pkt)
ZAUWAŻALNE … (od 2 do 5 pkt)
POWAŻNE … (od 6 do 10 pkt)
B. POWAŻNE … (od 11 do 24 pkt)

Formularz oceny ryzyka przetwarzania danych w
zbiorze „Zbiór danych osobowych - książka
nadawcza”

V. Ryzyko wystąpienia zdarzeń niepożądanych.

Strona 49 z 53

e) dane przetwarzane automatycznie:

TAK ………. (4pkt) NIE 0 (0pkt)
llllll) dane przetwarzane w systemie z dostępem do sieci:
TAK ………. (3pkt) NIE 0(0pkt)

mmmmmm) krąg osób przetwarzających dane:

1 osoba 1 (1pkt) 2-10 osób … (2pkt)
11-20 osób … (3pkt) powyżej 20 osób … (5pkt)
nnnnnn) dane przetwarzane na serwerach zewnętrznych:
TAK ………. (2pkt) NIE 0 (0pkt)
oooooo) dostęp do systemu zabezpieczony loginem i hasłem:
TAK ………. (0pkt) NIE 1. (1pkt)
pppppp) dokumenty z danymi zamykane na klucz:
TAK 0 (0pkt) NIE ………. (1pkt)

qqqqqq) opisane zbiory danych i procedury:

TAK 0 (0pkt) NIE ………. (1pkt)

rrrrrr) wdrożona procedura ochrony:

TAK 0 (0pkt) NIE ………. (1pkt)
ssssss) przeszkolenie osób przetwarzających:
TAK ………. (0pkt) NIE 1 (1pkt)

tttttt) cykliczne kontrole:

TAK 0 (0pkt) NIE ………. (1pkt)

uuuuuu) powierzanie danych:

TAK ………. (1pkt) NIE 1 (0pkt)

vvvvvv) zawarte umowy o powierzenie:

TAK 0 (0pkt) NIE ………. (1pkt)

Strona 50 z 53

wwwwww) szyfrowanie danych:

TAK ………. (-2pkt) NIE 0 (0pkt)

xxxxxx) anonimizacja danych:

TAK ………. (-2pkt) NIE 0 (0pkt)

yyyyyy) powołanie IODO:

TAK ………. (-1pkt) NIE 0 (0pkt)

zzzzzz) przetwarzanie wyłącznie w obszarach niedostępnych dla osób
trzecich:

TAK -1 (-1pkt) NIE ………. (0pkt)

aaaaaaa) niestandardowe rozwiązania techniczne w zakresie bezpieczeństwa:

TAK ………. (-2pkt) NIE 0 (0pkt)

NISKIE 3 pkt (od 0 do 3 pkt)
ŚREDNIE …. (od 4 do 7)
WYSOKIE …. (od 8 do 12)
BARDZO WYSOKIE …. (od 13 do 22 pkt)

VI. Potencjalne skutki wystąpienia działań niepożądanych.
e) przetwarzanie danych wrażliwych:

TAK ………. (5pkt) NIE 0 (0pkt)

bbbbbbb) przetwarzanie danych może skutkować kradzieżą tożsamości:

TAK ………. (4pkt) NIE 0 (0pkt)
ccccccc) przetwarzanie danych majątkowych:
TAK ………. (3pkt) NIE 0 (0pkt)
ddddddd) przetwarzanie danych na dużą skalę:
TAK ………. (3pkt) NIE 0 (0pkt)

Strona 51 z 53

eeeeeee) przetwarzanie danych może wywołać szkodę majątkową:

TAK ………. (2pkt) NIE 0(0pkt)
fffffff) przetwarzanie danych może naruszyć dobra osobiste:
TAK ………. (2pkt) NIE 0 (0pkt)

ggggggg) przetwarzanie danych może spowodować publiczne ich ujawnienie:

TAK ………. (2pkt) NIE 0 (0pkt)

hhhhhhh) utrata danych może uniemożliwić korzystanie z uprawnień:
PERMANENTNE ……… (3pkt) CZASOWE …….. (1pkt) NIE 0 (0pkt)

MINIMALNE 0 pkt (od 0 do 1 pkt)
ZAUWAŻALNE … (od 2 do 5 pkt)
POWAŻNE … (od 6 do 10 pkt)
B. POWAŻNE … (od 11 do 24 pkt)

Ryzyko
Skutki

Niskie Średnie Wysokie B. Wysokie

Minimalne A A A B
Zauważalne

A A B C

Strona 52 z 53

Poważne A B C D

B. Poważne B C D D

Ocena A - Przetwarzanie związane z akceptowalnym stopniem ryzyka. Nie wymaga wdrażania
dodatkowych rozwiązań. Wymaga okresowego monitorowania.
Ocena B - Przetwarzane związane z podwyższonym stopniem ryzyka.

      Twój stół do masażu!

                       infolinia - 690 080 080

do góry
Sklep jest w trybie podglądu
Pokaż pełną wersję strony
Sklep internetowy Shoper.pl