1.         Źródło wymagań.

1.1       Realizując postanowienia Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i wsprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz stworzonych w oparciu o nie aktów prawnych w zakresie ochrony danych osobowych (dalej RODO) wprowadza się w PAPROCKI&BRZOZOWSKI zestaw reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji informacji wrażliwej pozwalający na zapewnienie ochrony danych osobowych.

 

2.         Cel Polityki Bezpieczeństwa Danych Osobowych.

2.1.      Celem niniejszego dokumentu jest zapewnienie ochrony danych osobowych przed wszelkiego rodzaju zagrożeniami, tak wewnętrznymi jak i zewnętrznymi, świadomymi lub nieświadomymi.

 

3.         Definicje.

3.1.      Przez użyte w niniejszym dokumencie określenia należy rozumieć:

3.1.1.   Polityka – rozumie się przez to Politykę bezpieczeństwa przetwarzania danych osobowych w PAPROCKI&BRZOZOWSKI;

3.1.2.   Administrator Danych Osobowych – PAPROCKI&BRZOZOWSKI decydujący o celach i środkach przetwarzania danych osobowych;

3.1.3.        Inspektor ochrony danych osobowych – podmiot powołany przez Administratora danych;

3.1.4.        Ustawa – rozumie się przez to krajową regulację w zakresie ochronie danych osobowych;

3.1.5.        RODO – rozumie się przez to Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;

3.1.6.        dane osobowe (dane) – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

3.1.7.        dane szczególnej kategorii – wszelkie informacje o przekonaniach filozoficznych, przynależności wyznaniowej, przynależności partyjnej, dane biometryczne, genetyczne, o preferencjach seksualnych i stanie zdrowia. 

3.1.8.        osoba uprawniona – osoba, której dane są przetwarzane,

3.1.9.        zbiór danych – zestaw danych osobowych posiadający określoną strukturę, prowadzony według określonych kryteriów oraz celów;

3.1.10.    usuwanie danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;

3.1.11.    zgoda osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana na podstawie oświadczenia woli o innej treści;

3.1.12.    baza danych osobowych – zbiór uporządkowanych i powiązanych ze sobą tematycznie zapisanych w systemie danych. Baza danych jest złożona z elementów o określonej strukturze – rekordów lub obiektów, w których są zapisane dane osobowe;

3.1.13.    przetwarzanie danych – wykonywanie jakichkolwiek operacji na danych osobowych np. zbieranie, utrwalanie, opracowywanie, udostępnianie, zmienianie, usuwanie;

3.1.14.    prawo do bycia zapomnianym – prawo do zgłoszenia Administratorowi wniosku w przedmiocie trwałego usunięcia danych osobowych z systemu;

3.1.15.    system informatyczny (system) – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;

3.1.16.    administrator systemu – osoba nadzorująca pracę systemu informatycznego oraz wykonująca w nim czynności wymagające specjalnych uprawnień;

3.1.17.    użytkownik – osoba posiadająca uprawnienia do pracy w systemie informatycznym zgodnie ze swoim zakresem obowiązków;

3.1.18.    zabezpieczenie systemu informatycznego – należy przez to rozumieć wdrożenie stosownych środków administracyjnych, technicznych i fizycznych w celu zabezpieczenia zasobów technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem, także pozyskaniem danych osobowych lub ich utratą;

3.1.19.    nośnik komputerowy (wymienny) – nośnik służący do zapisu i przechowywania informacji np. CD, dyskietki, dyski twarde;

3.1.20.    Instrukcja – rozumie się przez to Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

3.1.21.    incydent – naruszenie bezpieczeństwa informacji ze względu na poufność, dostępność i integralność;

3.1.22.    zagrożenie – potencjalna możliwość wystąpienia incydentu;

3.1.23.    korekcja – działanie w celu wyeliminowania skutków incydentu;

3.1.24.    działanie korygujące – jest to działanie przeprowadzane w celu wyeliminowania przyczyny incydentu lub innej niepożądanej sytuacji;

3.1.25.    działanie zapobiegawcze – jest to działanie, które należy przedsięwziąć, aby wyeliminować przyczyny zagrożenia lub innej potencjalnej sytuacji niepożądanej;

3.1.26.    kontrola – systematyczna, niezależna i udokumentowana ocena skuteczności systemu ochrony danych osobowych, na podstawie wymagań ustawowych, niniejszej Polityki i Instrukcji.

 

4.         Dokumenty powiązane.

4.1.      Jako załącznik do niniejszej Polityki opracowano i wdrożono Instrukcję Zarządzania Systemem Informatycznym. Określa ona sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem zapewnienia ich bezpieczeństwa.

 

5.         Bezpieczeństwo przetwarzania danych osobowych.

5.1.      Ochrona danych osobowych jest realizowana poprzez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz przez samych użytkowników systemu.

5.2.      Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:

5.2.1.   integralność i poufność danych – rozumianą jako właściwość zapewniającą, że dane osobowe przetwarzane są w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych;

5.2.2.   rozliczalność danych – rozumianą jako właściwość zapewniającą, że Administrator Danych Osobowych jest w stanie wykazać przestrzeganie zasad dotyczących ochrony danych osobowych;

5.2.3.   integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji nim, zarówno zamierzonej, jak i przypadkowej;

5.2.4.   zgodność z prawem, rzetelność i przejrzystość – rozumianą jako właściwość zapewniającą, że przetwarzanie następuje zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;

5.2.5.   ograniczenie celu – rozumiane jako zbieranie danych osobowych w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzanie dalej w sposób niezgodny z tymi celami;

5.2.6.   minimalizację danych – rozumianą jako właściwość zapewniającą, że zbierane dane osobowe są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;

5.2.7.   prawidłowość danych – rozumianą jako właściwość zapewniającą, że zbierane dane osobowe są prawidłowe i w razie potrzeby uaktualniane;

5.2.8.   ograniczenie przechowywania – rozumiane jako przechowywanie danych osobowych w formie umożliwiającą identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane są przetwarzane.

5.3.      W zakresie przedmiotowym Politykę niniejszą stosuje się do danych osobowych przetwarzanych w systemie informatycznym PAPROCKI&BRZOZOWSKI danych osobowych zapisanych na zewnętrznych nośnikach informacji oraz informacji dotyczących bezpieczeństwa przetwarzania danych osobowych, w szczególności dotyczących wdrożonych zabezpieczeń technicznych i organizacyjnych.

5.4.      W zakresie podmiotowym, Polityka obowiązuje wszystkich pracowników oraz inne osoby mające dostęp do danych osobowych, w tym osoby współpracujące z  PAPROCKI&BRZOZOWSKI na podstawie innej umowy cywilnoprawnej.

 

6.         Poziom bezpieczeństwa.

6.1.      Przy przetwarzaniu danych osobowych należy stosować wysoki poziom bezpieczeństwa w rozumieniu art. 32 RODO, ponieważ urządzenia systemu służącego do przetwarzania danych osobowych połączone są z siecią publiczną.

 

7.         Zarządzanie ochroną danych osobowych.

7.1.      Podstawowe zasady.

7.1.1.   Za bieżącą, operacyjną ochronę danych osobowych odpowiada każda osoba przetwarzająca te dane w zakresie zgodnym z obowiązkami służbowymi oraz rolą sprawowaną w procesie przetwarzania danych.

7.1.2.   Każda z osób mająca styczność z danymi osobowymi jest zobowiązana do ochrony danych osobowych oraz przetwarzania ich w granicach udzielonego jej upoważnienia.

7.1.3.   Należy zapewnić poufność, integralność i rozliczalność przetwarzanych danych osobowych.

7.1.4.   Należy stosować adekwatny do zmieniających się warunków i technologii poziom bezpieczeństwa przetwarzania danych osobowych.

7.2.      Procedury postępowania z danymi osobowymi.

7.2.1.   Dane osobowe powinny być chronione przed nieuprawnionym dostępem i        modyfikacją.

7.2.2.   Dane osobowe należy przetwarzać wyłącznie za pomocą autoryzowanych urządzeń służbowych.

7.3.      Upoważnienie do przetwarzania danych osobowych.

7.3.1.   Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby o których mowa w treści art. 4 pkt. 10 RODO, posiadające upoważnienie nadane na mocy art. 28 ust. 3 lit. b w zw. z art. 32 ust.4 RODO.

7.3.2.   Upoważnienia są wydawane indywidualnie przed rozpoczęciem przetwarzania danych osobowych przez Administratora Danych Osobowych.

7.3.3.   W celu upoważnienia do przetwarzania danych osobowych należy dostarczyć do Administratora Danych Osobowych podpisane oświadczenie, którego wzór stanowią Załączniki: nr 5 lub nr 6, nr 7 oraz nr 8 – Wzory oświadczeń pracowników, współpracowników, zleceniobiorców, wykonawców dzieła oraz Prezesa Zarządu/Członka Zarządu Spółki.

7.3.4.   Na podstawie otrzymanego oświadczenia Administrator Danych Osobowych upoważnia formalnie wnioskującego do przetwarzania danych osobowych i wydaje upoważnienie sporządzane wg wzoru stanowiącego załącznik nr 4 do niniejszej Polityki.

7.3.5.   Upoważnienia, o których mowa powyżej przechowywane są w aktach osobowych pracownika i obowiązują do czasu ustania stosunku pracy lub obowiązków związanych z przetwarzaniem danych osobowych (Załącznik nr 16 Archiwum upoważnień, oświadczeń pracowników oraz zmian w ewidencjach).

7.2.      Ewidencja osób upoważnionych.

7.2.1.   Ewidencja osób upoważnionych do przetwarzania danych osobowych jest prowadzona przez Administratora Danych Osobowych w postaci dokumentu - Załącznik nr 9 Ewidencja osób upoważnionych do przetwarzania danych osobowych.

7.2.2.   Przełożeni osób upoważnionych odpowiadają za natychmiastowe zgłoszenie do Administratora Danych Osobowych osób, które utraciły uprawnienia dostępu do danych osobowych.

7.3.      Zachowanie danych osobowych w tajemnicy.

7.3.1.   Osoby upoważnione do przetwarzania danych osobowych są zobowiązane do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, do których uzyskały dostęp w trakcie zatrudnienia, również po ustaniu zatrudnienia.

7.4.      Znajomość regulacji wewnętrznych.

7.4.1.   Osoby upoważnione do przetwarzania danych osobowych zobowiązane są zapoznać się z regulacjami wewnętrznymi dotyczącymi ochrony danych osobowych w PAPROCKI&BRZOZOWSKI w szczególności z Polityką oraz Instrukcją.

7.5.      Zgodność.

7.5.1.   Niniejsza Polityka powinna być aktualizowana w ramach PAPROCKI&BRZOZOWSKI wraz ze zmieniającymi się przepisami prawnymi o ochronie danych osobowych oraz zmianami faktycznymi, które mogą powodować, że zasady ochrony danych osobowych określone w obowiązujących dokumentach będą nieaktualne lub nieadekwatne.

7.5.2.   Okresowy przegląd Polityki powinien mieć na celu stwierdzenie czy postanowienia Polityki odpowiadają aktualnej i planowanej działalności PAPROCKI&BRZOZOWSKI oraz stanowi prawnemu aktualnemu w momencie dokonywania przeglądu.

7.5.3.   Zmiany niniejszej Polityki wymagają przeglądu innych dokumentów dotyczących ochrony danych osobowych obowiązujących w PAPROCKI&BRZOZOWSKI.

 

8.         Ewidencja obszarów przetwarzania, zbiorów danych oraz oprogramowania.

8.1.      Prowadzona jest ewidencja obszarów przetwarzania, zbiorów danych i oprogramowania, i składa się z:

8.1.1.   wykazu budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w których przetwarzane są dane osobowe,

8.1.2.   wykazu zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,

8.1.3.   opisu przepływu danych pomiędzy poszczególnymi systemami,

8.1.4.   opisu struktury zbiorów danych wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi, stanowi Załącznik nr 14.

 

9.         Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych.

9.1.      Zabezpieczenia organizacyjne:

9.1.1.   została opracowana i wdrożona Polityka;

9.1.2.   została opracowana i wdrożona Instrukcja;

9.1.3.   do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające ważne upoważnienia nadane przez Administratora Danych Osobowych;

9.1.4.   prowadzona jest ewidencja osób upoważnionych do przetwarzania danych;

9.1.5.   osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego;

9.1.6.   osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy;

9.1.7.   przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych;

9.1.8.   przebywanie osób nieupoważnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności i pod nadzorem osoby upoważnionej do przetwarzania danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych;

9.1.9.   stosuje się pisemne umowy powierzenia przetwarzania danych dla współpracy z podwykonawcami przetwarzającymi dane osobowe;

9.1.10. prowadzony jest rejestr czynności przetwarzania (Załącznik nr 11 - Rejestr czynności przetwarzania danych osobowych).

9.2.      Zabezpieczenia ochrony fizycznej danych osobowych.

9.2.1.   Zabezpieczenia fizyczne opisane są w Załączniku nr 10 - Ewidencja zbiorów, pomieszczeń i przepływów do niniejszej Polityki.

9.3.      Zabezpieczenia sprzętowe infrastruktury informatycznej i telekomunikacyjnej.

9.3.1.   Zabezpieczenia sprzętowe stosuje się dla fizycznych elementów systemu, ich połączeń oraz systemów operacyjnych. Szczegółowy opis zabezpieczeń zawarty jest w Instrukcji.

9.4.      Zabezpieczenia narzędzi programowych i baz danych.

9.4.1.   Zabezpieczenia (techniczne i programowe) stosuje się dla procedur, aplikacji, programów i innych narzędzi programowych przetwarzających dane osobowe. Szczegółowy opis zabezpieczeń zawarty jest w Instrukcji.

 

10.       Szkolenia użytkowników.

10.1.    Każdy użytkownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej winien być poddany przeszkoleniu w zakresie ochrony danych osobowych zgodnie z nadawanym upoważnieniem.

10.2.    Za przeprowadzenie szkolenia odpowiada Administrator Danych Osobowych, a za jego zorganizowanie odpowiada przełożony szkolonych użytkowników.

10.3.    Zakres szkolenia powinien obejmować zaznajomienie użytkownika z przepisami Ustawy oraz wydanymi na jej podstawie aktami wykonawczymi oraz Polityką i Instrukcją obowiązującymi u Administratora Danych Osobowych, a także o zobowiązaniu się do ich przestrzegania.

10.4.    Szkolenie zostaje zakończone podpisaniem przez słuchacza Oświadczenia o wzięciu udziału w szkoleniu i jego zrozumieniu oraz zobowiązaniu się do przestrzegania przedstawionych w trakcie szkolenia zasad ochrony danych osobowych.

10.5.    Dokument ten jest przechowywany w aktach osobowych użytkowników i stanowi podstawę do podejmowania działań w celu nadania im uprawnień do korzystania z systemu informatycznego przetwarzającego dane osobowe.

 

11.       Zarządzanie usługami zewnętrznymi.

11.1.    Bezpieczeństwo usług zewnętrznych.

11.1.1. Należy zapewnić, aby usługi zewnętrzne były prowadzone wyłącznie zgodnie z wymaganiami bezpieczeństwa przetwarzania danych osobowych obowiązującymi w PAPROCKI&BRZOZOWSKI oraz wymaganiami powszechnie obowiązującego prawa.

11.1.2. Wymagania bezpieczeństwa przetwarzania danych osobowych, zakres usług oraz poziom ich dostarczania należy określić w umowie świadczenia usług.

11.2.    Powierzanie przetwarzania danych osobowych może mieć miejsce wyłącznie na podstawie umowy określającej w szczególności zakres i cel przetwarzania danych. Umowa musi określać również zakres odpowiedzialności podmiotu, któremu powierzono przetwarzanie danych z tytułu niewykonania lub nienależytego wykonania umowy. Co więcej, Umowa określa przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa Administratora Danych Osobowych.

11.2.1. Powierzenie przetwarzania danych osobowych musi uwzględniać wymogi określone w art 5 i 32 RODO. W szczególności podmiot zewnętrzny, któremu ma zostać powierzone przetwarzanie danych osobowych, jest obowiązany przed rozpoczęciem przetwarzania danych do podjęcia środków zabezpieczających dane osobowe zgodnie z art. 28 RODO oraz uwzględniać zobowiązanie podmiotu zewnętrznego do zastosowania odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo oraz odpowiedni poziom ochrony danych. 

11.2.2. Powierzenie przetwarzania danych osobowych nie oznacza zwolnienia z odpowiedzialności PAPROCKI&BRZOZOWSKI za zgodne z prawem przetwarzanie powierzonych danych, co wymaga w umowach stanowiących podstawę powierzenia przetwarzania danych umieszczenia prawa PAPROCKI&BRZOZOWSKI do kontroli wykonania przedmiotu umowy w siedzibie podmiotu zewnętrznego m. in. w zakresie przestrzegania obowiązujących regulacji wewnętrznych, umów i właściwych przepisów prawa.

11.2.3. Umowa powierzenia (stanowi Załącznik nr 17) przetwarzania danych osobowych przez PAPROCKI&BRZOZOWSKI stanowi w szczególności, że podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie PAPROCKI&BRZOZOWSKI, co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba, że obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje PAPROCKI&BRZOZOWSKI o tym obowiązku prawnym, o ile prawo to nie zabrania udzielenia takiej informacji z uwagi na ważny interes publiczny.

11.3.    Podmiot przetwarzający:

a/         zapewnia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,

b/         podejmuje wszelkie środki wymagane na mocy powszechnie obowiązujących przepisów prawa,

c/         biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga PAPROCKI&BRZOZOWSKI, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw,

d/        uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga PAPROCKI&BRZOZOWSKI wywiązać się z obowiązków nałożonych na PAPROCKI&BRZOZOWSKI przez powszechnie obowiązujące przepisy prawa,

e/         po zakończeniu świadczenia usług związanych z przetwarzaniem, zależnie od decyzji PAPROCKI&BRZOZOWSKI, usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazuje przechowywanie danych osobowych,

f/         udostępnia PAPROCKI&BRZOZOWSKI wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w powszechnie obowiązujących przepisach prawa oraz umożliwia PAPROCKI&BRZOZOWSKI lub audytorowi upoważnionemu przez PAPROCKI&BRZOZOWSKI przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich,

g/         dokonuje powierzenia przetwarzania danych osobowych w oparciu o pisemną zgodę PAPROCKI&BRZOZOWSKI zarówno w przypadku zgody blankietowej jak i w przypadku zgody udzielonej przez PAPROCKI&BRZOZOWSKI na korzystanie z usług określonym podmiotom; informuje PAPROCKI&BRZOZOWSKI o wszelkich zmianach w tym zakresie,

h/        prowadzi rejestr przetwarzania powierzonych danych osobowych (Załącznik nr 2 rejestr podmiotów, którym zostało powierzone przetwarzanie danych osobowych),

i/          prowadzi rejestr incydentów (Załącznik nr 15 - Ewidencja naruszeń ochrony danych osobowych oraz ocenę skutków przetwarzania w szczególności w związku z sytuacji z przetwarzaniem danych z użyciem nowych technologii oraz w sytuacji przetwarzania danych w ramach profilowania.

 

12.       Udostępnianie danych osobowych.

12.1.    PAPROCKI&BRZOZOWSKI udostępnia dane osobowe na wniosek osoby uprawnionej lub innych podmiotów w wypadkach w określonych przepisami prawa.

12.2.   Zgłoszenie wniosku w przedmiocie udostępnienia danych osobowych może być złożone drogą:

a/          elektroniczną na adres: butik@paprockibrzozowski.com,

b/          drogą telefoniczną pod numerem telefonu: 22 623 82 49,

c/          drogą listowną na adres: ul. Wiejska 17/20, 00-480 Warszawa.

12.3.   Osoba uprawniona, wnosząc o realizację prawa do udostępnienia danych wskazuje czy chce:

a/          uzyskać informację o fakcie przetwarzania jej danych osobowych,

b/          skorzystać ze swojego prawa w zakresie dostępu do danych osobowych,

c/          otrzymać kopię swoich danych osobowych.

12.4.    PAPROCKI&BRZOZOWSKI po otrzymaniu zgłoszenia:

a/         może zwrócić się o uzupełnienie wniosku w terminie 2 dni,

b/         potwierdza otrzymanie wniosku odnośnie dostępu do danych oraz informuje, w jakim terminie prawo dostępu do danych zostanie zrealizowane,

c/         dokonuje weryfikacji tożsamości żądającej dostępu osoby, której dane dotyczą, w szczególności w kontekście usług internetowych i identyfikatorów internetowych.

12.4.1. PAPROCKI&BRZOZOWSKI w ramach realizacji prawa dostępu do danych, na wniosek osoby uprawnionej, zapewnia:

a/         zdalny dostęp do danych,

b/         możliwość uzyskania kopii danych, w tym kopii elektronicznych,

c/         selekcjonowanie danych, zgodnie z wnioskiem uprawnionego.

12.5.    Realizacja prawa dostępu do danych przez PAPROCKI&BRZOZOWSKI nie może naruszać tajemnicy handlowej lub własności intelektualnej, w szczególności praw autorskich chroniących oprogramowanie.

12.6.    PAPROCKI&BRZOZOWSKI, udostępnia dane osobowe, zgodnie ze zgłoszonym wnioskiem w zakresie:

a/         celów przetwarzania,

b/         kategorii odnośnych danych osobowych,

c/         informacji o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych,

d/        informacji o planowanym okresie przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu,

e/         informacji o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania,

f/         informacji o prawie wniesienia skargi do organu nadzorczego,

g/         informacji o źródle, z którego zostały zebrane dane w przypadku, uzyskania danych osobowych od podmiotu innego niż osoba uprawniona,

h/        informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą (Załącznik nr 13 – Klauzula informacyjna związana z przetwarzaniem danych w ramach profilowania),

i/          informacji o stosowanych zabezpieczeniach w zakresie przetwarzania danych osobowych w przypadku, gdy dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej.

12.7.    PAPROCKI&BRZOZOWSKI udostępniając dane osobowe osobie uprawnionej oraz innym podmiotom odnotowuje fakt udostępnienia bezpośrednio w systemie informatycznym z którego udostępniono dane lub w inny zatwierdzony sposób.

12.8.    Odnotowaniu podlegają informacje odnośnie odbiorcy danych, dacie i zakresie udostępnionych danych osobowych Załącznik nr 3 – Ewidencja udostępniania danych osobowych.

12.9.    Udostępniając dane osobowe innym podmiotom należy zaznaczyć, że można je wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.

12.10.  Monitorowanie i przegląd usług strony trzeciej.

12.10.1. Monitorowanie usług strony trzeciej powinno być udokumentowane i powinno zawierać informacje o:

a/         poziomie wykonania usługi,

b/         incydentach bezpieczeństwa teleinformatycznego,

c/         ochronie danych osobowych,

d/         śladach audytowych,

e/         problemach operacyjnych,

f/          awariach, błędach i zakłóceniach.

 

13.       Prawo do bycia zapomnianym i prawo do ograniczenia przetwarzania danych oraz przenoszenia danych.

13.1.    PAPROCKI&BRZOZOWSKI, na wniosek osoby uprawnionej, w określonych przypadkach, jest zobowiązany do usunięcia jej danych osobowych (prawo do bycia zapomnianym).

13.2.    Zgłoszenie wniosku w przedmiocie usunięcia danych osobowych może być złożone drogą:

a/         elektroniczną na adres: butik@paprockibrzozowski.com,

b/        drogą telefoniczną pod numerem telefonu: 22 623 82 49,

c/         drogą listowną na adres: ul. Wiejska 17/20, 00-480 Warszawa.

13.3.    Przesłanka dla usunięcia danych osobowych przez PAPROCKI&BRZOZOWSKI na wniosek, może być fakt, iż:

a/         dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,

b/         osoba, której dane dotyczą, cofnęła zgodę, na której opierało się przetwarzanie i nie ma innej podstawy prawnej przetwarzania,

c/         osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania dotyczących jej danych osobowych,

d/        wniosek o usuniecie danych wynika z przyczyn związanych ze szczególną sytuacją osoby uprawnionej – wobec przetwarzania dotyczących jej danych osobowych opartego na interesie publicznym lub prawnie uzasadnionych interesach i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania,

e/         przetwarzanie danych osobowych obywało się w ramach marketingu bezpośredniego,

f/         dane osobowe były przetwarzane niezgodnie z prawem,

g/         dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator,

h/        dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 RODO,

i/          zgoda wyrażona została przez podmiot, który już nie jest dzieckiem.

13.4.    PAPROCKI&BRZOZOWSKI, po otrzymaniu wniosku o usuniecie danych może zwrócić się do osoby uprawnionej o uzupełnienie wniosku w terminie 2 dni. Potwierdza także otrzymanie wniosku o usunięciu danych oraz informuje w jakim terminie prawo do bycia zapomnianym zostanie zrealizowane.

13.5.    PAPROCKI&BRZOZOWSKI weryfikuje wskazane przez osobę uprawnioną podstawy prawne jak i samą osobę wnioskodawcy i w razie potrzeby zwraca się o wyjaśnienie.

13.6.    Po pozytywnej analizie PAPROCKI&BRZOZOWSKI usuwa dane osobowe osoby uprawnionej zarówno z systemu informatycznego jak i z istniejących i dokonywanych kopii zapasowych.

13.7.    W przypadku, gdy dane osobowe, które zostały objęte procedurą prawa do bycia zapomnianym zostały upublicznione PAPROCKI&BRZOZOWSKI podejmie działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe, że został zgłoszony wniosek o usuniecie danych, celem usunięcia przez administratorów wszelkich łączy do tych danych, kopii lub ich replikacji.

13.8.    PAPROCKI&BRZOZOWSKI odmawia uwzględnienia wniosku w zakresie usunięcia danych wówczas, gdy dalsze przetwarzanie danych jest niezbędne:

a/         do korzystania z prawa do wolności wypowiedzi i informacji,

b/         do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,

c/         z uwagi na cele zdrowotne,

d/        z uwagi na interes publiczny w dziedzinie zdrowia publicznego,

e/         do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych,

f/         do ustalenia, dochodzenia lub obrony roszczeń.

13.9.    PAPROCKI&BRZOZOWSKI realizuje także na wniosek osoby uprawnionej prawo do ograniczenia przetwarzania danych osobowych.

13.9.1. Zgłoszenie wniosku w przedmiocie ograniczenia przetwarzania danych osobowych może być złożone drogą:

a/         elektroniczną na adres: butik@paprockibrzozowski.com,

b/         drogą telefoniczną pod numerem telefonu: 22 623 82 49,

c/         drogą listowną na adres: ul. Wiejska 17/20, 00-480 Warszawa.

13.9.2. Przesłanką dla ograniczenia przetwarzania danych osobowych przez PAPROCKI&BRZOZOWSKI może być fakt, iż:

a/         osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;

b/         przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;

c/         administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;

d/         osoba, której dane dotyczą, wniosła sprzeciw z przyczyn związanych z jej szczególną sytuacją, wobec przetwarzania dotyczących jej danych osobowych opartego na interesie publicznym lub prawnie uzasadnionych interesach.

13.9.3. Fakt ograniczenia przetwarzania danych osobowych przez PAPROCKI&BRZOZOWSKI zostanie wyraźnie zaznaczony w systemie PAPROCKI&BRZOZOWSKI.

13.9.4. W przypadku, gdy przetwarzanie zostało ograniczone PAPROCKI&BRZOZOWSKI, przetwarza takie dane osobowe, z wyjątkiem przechowywania:

a/         za zgodą osoby, której dane dotyczą,

b/         w celu ustalenia, dochodzenia lub obrony roszczeń,

c/         w celu ochrony praw innej osoby fizycznej lub prawnej,

d/         z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.

13.9.5. PAPROCKI&BRZOZOWSKI wprowadzając ograniczenie w zakresie przetwarzania danych osobowych stosuje:

a/         czasowe przeniesienie wybranych danych osobowych do innego systemu przetwarzania,

b/         środki uniemożliwiające użytkownikom dostępu do wybranych danych,

c/         dokonuje czasowego usunięcie opublikowanych danych ze strony internetowej.

13.10.  Na wniosek osoby uprawnionej PAPROCKI&BRZOZOWSKI gwarantuje realizację prawa do przenoszenia danych osobowych, w przypadku, gdy podstawą przetwarzania danych osobowych jest:

a/         zgoda,

b/         umowa,

c/         okoliczność przetwarzania danych osobowych w sposób zautomatyzowany.

13.10.1.Zgłoszenie wniosku w przedmiocie przeniesienia danych osobowych może być złożone drogą:

a/         elektroniczną na adres: butik@paprockibrzozowski.com,

b/         drogą telefoniczną pod numerem telefonu: 22 623 82 49,

c/         drogą listowną na adres: ul. Wiejska 17/20, 00-480 Warszawa.

13.10.2.Wniosek o przeniesienie danych złożony przez osobę uprawnioną może dotyczyć:

a/         wydania osobie uprawnionej zgromadzonych na jej temat danych osobowych w ustrukturyzowanym, powszechnie używanym formacie, nadającym się do odczytu maszynowego, celem samodzielnego przekazania danych przez osobę uprawnioną innemu administratorowi,

b/         przekazania zgromadzonych danych osobowych osoby uprawnionej innemu administratorowi.

13.10.3.PAPROCKI&BRZOZOWSKIpo otrzymaniu wniosku o przeniesienie danych realizuje uprawnienie na rzecz osoby uprawnionej w terminie 1 miesiąca, jeśli jest to technicznie możliwe lub odmawia w sytuacji, gdyby łączyło się to z nadmiernymi kosztami lub prowadziłoby do naruszenia praw innych osób uprawnionych.

 

14.       Obowiązki informacyjne.

14.1.    PAPROCKI&BRZOZOWSKI dokonując przetwarzania danych zgodnie z art. 13 ust. 1 i 2 RODO przed dokonaniem przetwarzania przekazuje podmiotom uprawnionym informacje odnośnie:

a/         nazwy i formy prawnej PAPROCKI&BRZOZOWSKI jako administratora danych osobowych (dalej ADO), w tym dane dotyczące numeru KRS, numeru NIP, numeru REGON,

b/         danych Inspektora Danych osobowych, w tym numeru telefonu oraz adresu e-mail,

c/         informacje odnośnie podstawy przetwarzania danych osobowych, np.:

(i)         zgody przetwarzanego,

(ii)        decyzji organu,

(iii)       uzasadnionego interesu ADO,

(iv)      inne.

d/        celu przetwarzania danych osobowych,

e/         odbiorców danych osobowych,

f/         możliwości uzyskania dostępu do danych,

g/         możliwości uzyskania kopii w zakresie danych osobowych przekazywanych do Państw trzecich,

h/        prawa dostępu do swoich danych, poprawiania, zmienia ich i uzupełniania, prawa do wniesienia sprzeciwu w zakresie przetwarzania, prawa do przenoszenia danych, prawa do cofnięcia zgody na przetwarzanie., złożenia wniosku o usunięcie danych,

i/          czasu przez jaki dane będą przetwarzane lub przez czas objęty określonym zdarzeniem,

j/          przysługującego uprawnienia w przedmiocie wniesienia skargi do organu nadzoru, w przypadku zaistnienia zagrożenia przetwarzane danych osobowych niezgodnie z prawem,

k/         obowiązku przekazania danych osobowych wraz z informacją prawa odmowy w tym zakresie (ustawa/umowa/ warunek zawarcia umowy),

l/          przetwarzania danych w sposób zautomatyzowany w formie profilowania,

ł/          przekazywania danych osobowych do Państwa trzecich.

14.2.    Treść danych przekazywanych osobie uprawnionej w ramach Klauzuli informacyjnej stanowi załącznik nr 12 do Polityki.

15.       Obowiązek informacyjny związany z profilowaniem.

15.1.    PAPROCKI&BRZOZOWSKI w przypadku przetwarzaniem danych osobowych w związku z profilowaniem realizuje wymagane przez RODO obowiązki informacyjne wobec osoby uprawnionej.

15.2.    PAPROCKI&BRZOZOWSKI w przypadku dokonywania  profilowania informuje osobę, której dane dotyczą, o fakcie profilowania oraz o konsekwencjach takiego profilowania, a także o możliwości złożenia sprzeciwu wobec profilowania przed przystąpieniem do profilowania

15.3.    Stosowana przez PAPROCKI&BRZOZOWSKI klauzula informacyjna stanowi Załącznik nr 13.

 

16.       Ocena ryzyka i przeglądy.

16.1.    Ocena ryzyka.

16.1.1  Systemy informatyczne i aplikacje powinny być poddawane ocenie ryzyka pod kątem identyfikacji zagrożeń dla bezpieczeństwa przetwarzania danych osobowych nie rzadziej niż jeden raz w miesiącu.

16.1.2. Narzędzia informatyczne służące do oceny ryzyka bezpieczeństwa przetwarzania danych powinny być chronione przed nieautoryzowanym lub nieuprawnionym dostępem a ich użycie odpowiednio kontrolowane.

16.2.    Przeglądy bezpieczeństwa.

16.2.1  Przeglądy bezpieczeństwa przetwarzania danych osobowych powinny być przeprowadzane okresowo, nie rzadziej niż jeden raz w miesiącu w celu określenia wymaganego poziomu zabezpieczeń pozwalającego na ograniczenie ryzyka do poziomu akceptowalnego.

16.3.    Narzędzia informatyczne służące do przeprowadzania przeglądów bezpieczeństwa przetwarzania danych osobowych powinny być chronione przed nieautoryzowanym lub nieuprawnionym dostępem a ich użycie odpowiednio kontrolowane.

16.4.    PAPROCKI&BRZOZOWSKI przeprowadzi ocenę skutków przetwarzania danych przetwarzania w sytuacji:

a/  podejmowania działań związanych z prowadzeniem systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osoby uprawnione,

b/ przetwarzania na dużą skalę szczególne kategorii danych osobowych - danych wrażliwych lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa,

c/  systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie,

d/ prowadzenia cen lub punktacji, w tym profilowania i prognozowania w szczególności na podstawie „aspektów dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą,

e/  automatycznego podejmowania decyzji o skutku prawnym lub podobnie znaczącym skutku,

f/  dopasowywania lub łączenia zbiorów danych np. pochodzących z, co najmniej dwóch operacji przetwarzania danych przeprowadzonych w różnych celach lub przez różnych administratorów danych w sposób wykraczający poza uzasadnione oczekiwania osób, których dane dotyczą

g/  innowacyjnego wykorzystania lub stosowania nowych rozwiązań technologicznych lub organizacyjnych, takich jak połączenie technologii

16.5.    PAPROCKI&BRZOZOWSKI stosuje następujące kryteria oceny skutków ochrony danych dopuszczalnych (w zależności od sytuacji) poprzez:

a/    zapewnienie systematycznego opisu operacji przetwarzania z uwzględnieniem charakteru, zakresu, kontekstu oraz celów przetwarzania,

b/    prowadzenie rejestru przetwarzania zawierającego dane osobowe, informacje o odbiorcach i okresie przechowywania danych osobowych,

c/    sporządzanie funkcjonalnych opisów operacji przetwarzania oraz identyfikacji zasobów, z którymi styczność mają dane osobowe (m.in. sprzęt komputerowy, oprogramowanie, sieci, osoby, opracowania lub kanały transmisji opracowań),

d/    wskazanie środków, których podjęcie jest planowane w celu zapewnienia przestrzegania warunków związanych z bezpieczeństwem przetwarzania danych osobowych w związku z oceną skutków przetwarzania,

e/    wprowadzenie środków przyczyniających się do proporcjonalności i niezbędności przetwarzania z zachowaniem prawnie uzasadnionych celów,

f/     zapewnienie zgodności przetwarzania danych z prawem,

g/    wprowadzenie ograniczenia w zakresie czasu przechowywania danych,

h/    wprowadzenie środków przyczyniających się do zachowania praw osób, których dane dotyczą, poczynając od poinformowania osoby, której dane dotyczą, o prawie dostępu i prawie do przenoszenia danych, prawie do sprostowania i do usunięcia danych, prawie do sprzeciwu i prawo do ograniczenia przetwarzania,

i/     zapewnienie wysokich standardów w zakresie powierzenia przetwarzania danych oraz przy międzynarodowym przekazywaniu danych,

j/     prowadzenie niezbędnych konsultacji,

k/    przeprowadzenie działania w zakresie zarządzania ryzykiem naruszenia praw i wolności osób, których dane dotyczą, z uwzględnieniem źródła, charakteru, specyfiki, powagi i ryzyka,

l/     zidentyfikowanie możliwych skutków dla praw i wolności osób, których dane dotyczą, w przypadku zdarzeń takich jak bezprawny dostęp, niepożądane zmiany i zniknięcie danych,

ł/     zidentyfikowanie oraz oszacowanie prawdopodobieństwa i powagi zagrożenia, które mogłyby doprowadzić do bezprawnego dostępu, niepożądanych zmian i zniknięcia danych,

m/   stosowanie środków, których podjęcie jest planowane w celu zaradzenia ryzykom.

 

17.       Zarządzanie incydentami.

17.1     Monitorowanie incydentów.

17.1.1. Incydenty związane z bezpieczeństwem przetwarzania danych osobowych powinny być wykrywane, rejestrowane i monitorowane w celu ich zidentyfikowania i zapobiegania ich wystąpieniu w przyszłości. Ewidencja naruszeń ochrony danych osobowych stanowi Załącznik nr 15 do Polityki.

17.2.    Zdarzenia systemowe powinny być przechowywane jako materiał dowodowy

zaistniałych incydentów związanych z bezpieczeństwem przetwarzania danych osobowych.

17.2.1  Użytkownicy systemów powinni znać i przestrzegać zasad zgłaszania incydentów związanych z bezpieczeństwem przetwarzania danych osobowych.

17.3.    Zgłaszanie incydentów.

17.3.1. Zaistniałe zdarzenia związane z naruszeniem lub podejrzeniem naruszenia bezpieczeństwa przetwarzania danych osobowych takie jak np. utrata integralności, niedostępność, awarie, uszkodzenia, ostrzeżenia i alarmy bezpieczeństwa systemów informatycznych, urządzeń teleinformatycznych oraz danych powinny być niezwłocznie zgłaszane do Administratora Danych Osobowych oraz do organu nadzoru w terminie 72 godzin od wykrycia, w przypadku incydentów powodujących ryzyko naruszenia ochrony danych oraz takich które mają wysoki stopień ryzyka naruszenia ochrony danych.

17.3.2. W przypadku, gdy incydent zagraża prawom i wolnościom osoby lub osób uprawnionych o fakcie tym należy poinformować osoby uprawnione.

17.4.    Dokonanie przez PAPROCKI&BRZOZOWSKI zgłoszenie incydentu do organu nadzoru musi być przeprowadzone zgodnie z przyjętą w przedsiębiorstwie procedurą i musi zawierać opis charakteru naruszenia, imię i nazwisko IDO, opis samego incydentu oraz informacje o podjęte lub planowanych przez PAPROCKI&BRZOZOWSKI środkach organizacyjno-technicznych pozwalających na wyeliminowanie zagrożeń, w tym wprowadzone mechanizmy zabezpieczające oraz inne narzędzia bezpieczeństwa mające zagwarantować ochronę danych osobowych.

17.5.    PAPROCKI&BRZOZOWSKI monitoruje fakt zgłaszania informacji odnośnie zaistniałych incydentów przez podmioty przetwarzające dane osobowe w jego imieniu dane osobowe.

 

18.     Transfer danych osobowych do państw trzecich.

18.1   PAPROCKI&BRZOZOWSKI w przypadku prowadzenia transferu danych osobowych do państw trzecich zachowuje wszystkie wymagania określone RODO.

18.2   Podmioty z USA, które będą przetwarzać dane osobowe przekazywane przez PAPROCKI&BRZOZOWSKI gwarantują przestrzeganie:

a/           prawa do informacji,

b/           obowiązku zapewnienia integralności danych oraz ograniczenia celu przetwarzania,

c/           prawa wyboru,

d/           zapewnienia bezpieczeństwa przetwarzania,

e/           zapewnienia dostępu do danych.

18.3.    PAPROCKI&BRZOZOWSKI w razie braku stwierdzenia odpowiedniego stopnia ochrony danych przekazywanych do państw trzecich jest zobowiązany zastosować środki rekompensujące brak ochrony danych w państwie trzecim, zapewniając osobie, której dane dotyczą, odpowiednie zabezpieczenia w postaci skorzystania z:

a/         wiążących reguł korporacyjnych,

b/         standardowych klauzul ochrony danych przyjętych przez Komisję Europejską,

c/         standardowych klauzul ochrony danych przyjętych przez krajowy organ nadzorczy,

d/        klauzul umownych dopuszczonych przez organ nadzorczy.

18.4.    Dodatkowo transfer danych do państw trzecich będzie możliwy również wtedy, gdy:

a/         przekazanie jest niezbędne do zawarcia umowy,

b/         transfer jest konieczny dla ochrony żywotnych interesów osoby, której dane dotyczą,

c/         przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń.

 

19.       Postanowienia końcowe.

19.1.    Polityka jest dokumentem wewnętrznym i nie może być udostępniania osobom postronnym w żadnej formie.

19.2.    PAPROCKI&BRZOZOWSKI obowiązany jest zapoznać z treścią Polityki każdego Użytkownika danych.

19.3.    Wszystkie regulacje dotyczące systemów informatycznych określone w Polityce Bezpieczeństwa dotyczą również przetwarzania danych osobowych w bazach danych osobowych prowadzonych w jakiejkolwiek innej formie.

19.4.    Użytkownicy zobowiązani są do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszej Polityce.

19.5.    Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu potraktowane będą jako ciężkie naruszenie obowiązków pracowniczych lub, odpowiednio, nienależytego wykonania zobowiązania.

19.6.    Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także, gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, można wszcząć postępowanie dyscyplinarne.

19.7.    Kara dyscyplinarna, orzeczona wobec osoby uchylającej się od powiadomienia nie wyklucza odpowiedzialności karnej tej osoby zgodnie z Ustawą oraz możliwości wniesienia wobec niej powództwa cywilnego przez pracodawcę o zrekompensowanie poniesionych strat.

19.8.    W sprawach nieuregulowanych w niniejszej Polityce bezpieczeństwa mają zastosowanie przepisy Ustawy oraz wydane na jej podstawie akty wykonawcze.

Nasze butiki

Warszawa

Warszawa

Warszawa

FLAGSHIP STORE BUTIK PAPROCKI&BRZOZOWSKI
  • ulica Wiejska 17
  • Poniedziałek - Piątek: 11.00 - 19:00
  • Sobota: 11.00 - 15.00
  • Telefon: +48 535 702 008

Wrocław

Wrocław

Wrocław

BUTIK LOUVE - PASAŻ 13
  • ulica Świdnicka 33
  • Poniedziałek - Sobota: 11.00 - 20.00
  • Niedziela: 11.00 - 17.00
  • Telefon: +48 717 723 632

Kraków

Kraków

Kraków

BUTIK LOUVE - PASAŻ 13
  • Rynek Główny 13
  • Poniedziałek - Piątek: 11.00 - 21.00
  • Sobota: 11.00 - 21.00
  • Niedziela: 10.00 - 20.00
  • Telefon: 12 617 02 20

Poznań

Poznań

Poznań

BUTIK TUTU - STARY BROWAR ATRIUM poziom 2
  • ulica Półwiejska 42
  • Poniedziałek - Sobota: 09.00 - 21.00
  • Niedziela: 10.00 - 20.00
  • Telefon: +48 606 293 624

Białystok

Białystok

Białystok

LINIA PLANTS BY PAPROCKI&BRZOZOWSKI BUTIK POLKA
  • ulica Kaczorowskiego 7 lok.9
  • Poniedziałek - Piątek: 10.00 - 18.00
  • Sobota: 10.00 - 14.00
  • Telefon: +48 600 085 765

Radom

Radom

Radom

LINIA PLANTS BY PAPROCKI&BRZOZOWSKI 
BUTIK DIAMONDS
  • ulica 25 Czerwca 75
  • Poniedziałek - Piątek: 10.00 - 18.00
  • Sobota: 10.00 - 15.00
  • Telefon: +48 696 078 930

Piła

Piła

Piła

LINIA PLANTS BY PAPROCKI&BRZOZOWSKI
 BUTIK LOFT POLSCY PROJEKTANCI - GALERIA IBI
  • Aleja Powstańców Wielkopolskich 162
  • Poniedziałek - Sobota: 11.00 - 20.00
  • Niedziela: 11.00 - 18.00
  • Telefon: +48 883 099 666

Radomsko

Radomsko

Radomsko

LINIA PLANTS BY PAPROCKI&BRZOZOWSKI
 BUTIK LATTE
  • ulica Reymonta 9
  • Poniedziałek - Piątek: 10.00 - 18.00
  • Sobota: 10.00 - 14.00
  • Telefon: +48 792 345 820

Jarocin

Jarocin

Jarocin

LINIA PLANTS BY PAPROCKI&BRZOZOWSKI
 BUTIK HAGART
  • ulica Śródmiejska 2
  • Poniedziałek - Piątek: 10.00 - 18.00
  • Sobota: 10.00 - 13.00
  • Telefon: +48 627 472 486

Toruń

Toruń

Toruń

LINIA PLANTS BY PAPROCKI&BRZOZOWSKI
 BUTIK U PROJEKTANTÓW - CH ATRIUM COPERNICUS
  • ulica Żółkiewskiego 15
  • Poniedziałek - Sobota: 9.00 - 21.00
  • Niedziela: 10.00 - 20.00
  • Telefon: +48 728 581 986

Kielce

Kielce

Kielce

BUTIK RAUT - GALERIA ECHO
  • ulica Świętokrzyska 20
  • Poniedziałek - Sobota: 9.00 - 21.00
  • Niedziela: 10.00 - 21.00
  • Telefon: +48 666 976 978

Gliwice

Gliwice

Gliwice

LINIA PLANTS BY PAPROCKI&BRZOZOWSKI BUTIK CONCEPT STORY
  • ulica Plebańska 11
  • Poniedziałek - Piątek: 11.00 - 18.00
  • Sobota: 10.00 - 14.00
  • Telefon: +48 883 866 833

SKARŻYSKO-KAMIENNA

SKARŻYSKO-KAMIENNA

SKARŻYSKO-KAMIENNA

LINIA PLANTS BY PAPROCKI&BRZOZOWSKI BUTIK STUDIO MODY - C.H. ARKADIA
  • ulica Niepodległości 123
  • Poniedziałek - Piątek: 10.00 - 18.00
  • Sobota: 10.00 - 15.00
  • Telefon: +41 2511287

TARNOWSKIE GÓRY

TARNOWSKIE GÓRY

TARNOWSKIE GÓRY

LINIA PLANTS BY PAPROCKI&BRZOZOWSKI BUTIK SZAFA
  • ulica Gliwicka 1
  • Poniedziałek - Piątek: 10.00 - 18.00
  • Sobota: 10.00 - 14.00
  • Telefon: +48 601 422 354, +48 886 253 565

Płock

Płock

Płock

LINIA PLANTS BY PAPROCKI&BRZOZOWSKI BUTIK ME LIKE YOU
  • ulica Kwiatka 36/pawilon 1
  • Poniedziałek - Piątek: 10.00 - 18.00
  • Sobota: 10.00 - 14.00
  • Telefon: +48 609 141 049

Gostyń

Gostyń

Gostyń

LINIA PLANTS BY PAPROCKI&BRZOZOWSKI BUTIK HAGART
  • ulica 1 Maja 7
  • Poniedziałek - Piątek: 10.00 - 18.00
  • Sobota: 10.00 - 13.00
  • Telefon: +48 655 720 483

WODZISŁAW ŚLĄSKI

WODZISŁAW ŚLĄSKI

WODZISŁAW ŚLĄSKI

LINIA PLANTS BY PAPROCKI&BRZOZOWSKI BUTIK STYLEROOM
  • ulica Pszowska 288
  • Poniedziałek - Piątek: 10.00 - 18.00
  • Sobota: 10.00 - 13.00
  • Telefon: +48 501 709 580

WOLSZTYN

WOLSZTYN

WOLSZTYN

LINIA PLANTS BY PAPROCKI&BRZOZOWSKI BUTIK STYLOWA SZAFA
  • ulica Roberta Kocha 5
  • Poniedziałek - Piątek: 10.00 - 18.00
  • Sobota: 10.00 - 13.00
  • Telefon: +48 534 641 939

RZESZÓW

RZESZÓW

RZESZÓW

BUTIK LOUVE - GALERIA RZESZÓW
  • Al. Piłsudskiego 44
  • Poniedziałek - Piątek: 09.00 - 21.00
  • Sobota: 10.00 - 21.00
  • Niedziela: 10.00 - 20.00
  • Telefon: 17 7771852

WROCŁAW

WROCŁAW

WROCŁAW

BUTIK JOLLI - GALERIA SKY TOWER
  • ulica Powstańców Śląskich 93
  • Poniedziałek - Sobota: 09.00 - 21.00
  • Niedziela: 10.00 - 20.00
  • Telefon: 71 7383166

KATOWICE

KATOWICE

KATOWICE

JUSTselect concept store
  • ul. Porcelanowa 23, budynek B
  • Wtorek - Piątek: 10.00 - 18.00
  • Sobota: 10.00 - 15.00
  • Telefon: +48 602 47 47 82

KATOWICE

KATOWICE

KATOWICE

ModoMania
  • ulica Kościuszki 8
  • Poniedziałek - Piątek: 10.00 - 18.00
  • Sobota: 10.00 - 14.00
  • Telefon: +48 602 466 834

BIELSKO-BIAŁA

BIELSKO-BIAŁA

BIELSKO-BIAŁA

My Bag - Galeria SFERA
  • ulica Mostowa 5
  • Poniedziałek - Niedziela: 9.00 - 21.00
  • Telefon: +48 883 277 107

KRAKÓW

KRAKÓW

KRAKÓW

MOTIVE&MORE - Galeria Kazimierz
  • ulica Podgórska 34
  • Poniedziałek - Sobota: 10.00 - 21.00
  • Niedziela: 10.00 - 20.00
  • Telefon: +48 733 550 559

KRAKÓW

KRAKÓW

KRAKÓW

MOTIVE&MORE - Galeria Krakowska
  • ulica Pawia 5
  • Poniedziałek - Sobota: 9.00 - 22.00
  • Niedziela: 10.00 - 21.00
  • Telefon: +48 531 122 419

SZCZECIN

SZCZECIN

SZCZECIN

Butik Fiu Fiu
  • ulica Księcia Bogusława X 13
  • Poniedziałek - Piątek: 11.00 - 19.00
  • Sobota: 11.00 - 15.00
  • Telefon: +48 513 850 056
x