Warszawa, 24 październik 2023r.

§ 1

Postanowienia ogólne

1. Polityka Ochrony Danych Osobowych, zwana dalej Polityką, określa zasady i wymagania w zakresie bezpieczeństwa danych osobowych, których Administratorem jest Solarius Technology sp. z o.o..

2. Niniejsza Polityka wraz z powiązanymi z nią dokumentami, dotyczącymi ochrony danych, stanowi Politykę ochrony danych osobowych w rozumieniu art. 24 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych, Dz. Urz. UE L 119 s. 1), zwanego dalej RODO oraz wynika z realizacji art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U z 2015 r., poz. 2135 z późn. zm.).

3. Przyjęte zasady ochrony danych i procedury, które zostały opisane w powiązanej dokumentacji, będącej integralną częścią niniejszej Polityki, stanowią dowody rozliczalności, o których mowa w art. 5 ust. 2 RODO.

4. Polityka Ochrony Danych Osobowych obowiązuje wszystkie osoby świadczące na rzecz Solarius Technology sp. z o.o. pracę lub usługi oraz praktykantów i stażystów, jeżeli do realizacji ich zadań konieczne jest przetwarzanie danych osobowych.

5. Dane osobowe przetwarzane są w celach dotyczących realizacji przedmiotu działalności Solarius Technology sp. z o.o. a także w celu wykonywania obowiązków, wynikających z powszechnie obowiązujących przepisów prawa.

6. Zakres przetwarzanych danych osobowych musi być merytorycznie poprawny i adekwatny w stosunku do celów, dla jakich Dane te są przetwarzane, zgodnie z następującymi zasadami wynikającymi z powszechnie obowiązujących przepisów prawa i dokumentów wewnętrznych:

1. zgodność z prawem, rzetelności i przejrzystości (przetwarzanie Danych musi mieć podstawę prawną, odbywać się z poszanowaniem interesów i praw osób, których dane dotyczą, być czytelne i zrozumiałe);

2. minimalizacja Danych (dane osobowe powinny być adekwatne i w zakresie jedynie niezbędnym do realizacji celu przetwarzania);

3. integralności, poufności i dostępności (Dane muszą być przetwarzane w sposób zapewniający im spójność, bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, przypadkową utratą, zniszczeniem, uszkodzeniem lub nieuprawnionym ujawnieniem oraz umożliwiać ich monitorowanie);

4. rozliczalności (przy przetwarzaniu Danych wymagane jest przestrzeganie zasad wskazanych w ust. a)-c) powyżej i możliwości wykazania ich przestrzegania).

7. Polityka Ochrony Danych Osobowych w Solarius Technology sp. z o.o. ma odpowiednie zastosowanie do przetwarzania Danych, których Administratorami są również inne podmioty, chyba że umowy zawarte z tymi podmiotami stanowią inaczej.

8. Integralną i komplementarną dokumentacją do niniejszej Polityki stanowią następujące akty wewnętrzne:

1. Polityka prywatności,

2. Procedura oceny ryzyka utraty bezpieczeństwa danych osobowych,

3. Rejestr czynności przetwarzania danych osobowych,

4. Ewidencja osób upoważnionych do przetwarzania danych osobowych,

5. Rejestr umów powierzenia przetwarzania danych osobowych,

6. Instrukcja zarządzania systemem informatycznym ochrony danych osobowych,

7. Procedura postępowania w razie incydentu lub naruszenia bezpieczeństwa ochrony danych osobowych,

8. Rejestr incydentów i naruszeń bezpieczeństwa danych osobowych,

9. Wykaz środków organizacyjnych i technicznych ochrony danych osobowych,

10. Rejestr wniosków podmiotów danych,

11. Zasady realizacji praw podmiotów danych,

12. Instrukcja pseudonimizacji danych osobowych,

13. Wykaz stosowanych klauzul informacyjnych oraz klauzul zgód,

14. Instrukcja szyfrowania i ochrony danych,

15. Zasady ochrony fizycznej i zabezpieczenia technicznego danych osobowych.

§ 2

Definicje

1. Administrator danych osobowych (Administrator) – podmiot, ustalający cele i sposoby przetwarzania danych osobowych, którym jest Solarius Technology sp. z o.o..

2. Dane osobowe (Dane) – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy albo jeden bądź kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

3. Za dane osobowe w rozumieniu RODO uważa się także dane osoby fizycznej prowadzącej działalność gospodarczą, zgodnie z interpretacją Europejskiej Rady Ochrony Danych Osobowych (dawniej Grupa Robocza art. 29).

4. Dostęp do danych osobowych w zbiorze – umożliwienie wglądu lub bezpośredniego wykonywania operacji na danych osobowych zawartych w zbiorach Danych.

5. Odbiorca danych osobowych – każdy, komu udostępnia się dane osobowe, z wyłączeniem:

1. osoby, której Dane dotyczą,

2. osoby upoważnionej do przetwarzania Danych,

3. podmiotu, któremu powierzono Dane do przetwarzania,

4. przedstawiciela wyznaczonego przez Administratora Danych, mającego siedzibę w Państwie trzecim, przetwarzającego dane osobowe na terenie Europejskiego Obszaru Gospodarczego,

5. organów państwowych lub organów samorządu terytorialnego, którym Dane są udostępniane w związku z prowadzonym postępowaniem.

6. Osoby trzecie – osoby fizyczne, osoby prawne lub jednostki organizacyjne nie posiadające osobowości prawnej, współpracujące z Administratorem na podstawie odrębnej pisemnej umowy, z wyjątkiem osób, których dane osobowe są przetwarzane w Zbiorach Danych.

7. Państwo trzecie – kraj nie należący do Europejskiego Obszaru Gospodarczego, który obejmuje państwa członkowskie Unii Europejskiej oraz Norwegię, Islandię i Liechtenstein.

8. Podmiot przetwarzający – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza Dane w imieniu Administratora.

9. Powierzenie przetwarzania danych osobowych – przekazanie Zbioru Danych, jego fragmentu lub przyznanie dostępu do Danych w Zbiorze Danych na mocy umowy zawartej przez Administratora z Osobą Trzecią, na podstawie art. 31 Ustawy, w celu ich przetwarzania w imieniu i na rzecz Administratora Danych.

10. Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które podlega wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

11. Przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, opracowywanie, ograniczanie, zmienianie, usuwanie lub niszczenie, a zwłaszcza te, które wykonuje się w Systemach Teleinformatycznych.

12. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

13. Rozporządzenie – rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004 nr 100, poz. 1024).

14. System Teleinformatyczny – zespół współpracujących ze sobą środków technicznych i oprogramowania (infrastruktury i aplikacji), stanowiący integralną i logiczną całość wyodrębnioną ze względu na dostarczaną funkcjonalność przy założeniu, że głównym jego celem jest przetwarzanie informacji.

15. Szczególne kategorie danych osobowych (Dane wrażliwe) – dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące wyroków skazujących, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

16. Transgraniczne przetwarzanie danych osobowych – operacje wykonywane na danych osobowych, które odbywają się w Unii Europejskiej w ramach działalności:

1. jednostek organizacyjnych w więcej niż jednym państwie członkowskim Administratora lub Podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim albo

2. pojedynczej jednostki organizacyjnej Administratora lub Podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których Dane dotyczą, w więcej niż jednym państwie członkowskim.

17. Ustawa – ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2015 poz. 2135 z późn. zm.).

18. Zbiór Danych – każdy posiadający strukturę zestaw Danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

19. Zgoda – dobrowolne, konkretne, świadome i jednoznaczne wyrażenie woli, którą osoba fizyczna w formie oświadczenia lub wyraźnego działania potwierdzającego, zezwala na przetwarzanie dotyczących jej danych osobowych.

§ 3

Zasady ochrony Danych i odpowiedzialności

1. Za opracowanie i wdrożenie Polityki odpowiedzialny jest Administrator, który nadzoruje i monitoruje jej przestrzeganie oraz przyjętych zasad ochrony danych osobowych.

2. Administrator przetwarza Dane na podstawie zasad określonych w art. 5 RODO.

3. Wszystkie osoby dokonujące przetwarzania Danych mogą wykonywać to wyłącznie na podstawie oraz w zakresie polecenia i upoważnienia wydanego przez Administratora.

Upoważnienie do przetwarzania Danych zawarte jest w umowie o pracę, kontrakcie, umowie zleceniu, innego rodzaju umowie o współpracy zawartej bezpośrednio pomiędzy Administratorem a osobą wykonującą pracę/świadczącą usługi. Warunki dostępu do Danych, których Administratorem jest Solarius Technology sp. z o.o., przez pracowników i współpracowników podmiotu przetwarzającego określone mogą być w umowie Powierzenia przetwarzania danych osobowych zawartej z podmiotem przetwarzającym. Administrator prowadzi rejestr upoważnień do przetwarzania Danych.

4. Podmioty przetwarzające, dokonują operacji na Danych wyłącznie na podstawie oraz w zakresie umowy powierzenia przetwarzania danych osobowych zawartych z Administratorem, który prowadzi rejestr umów powierzenia.

§ 4

Realizacja praw osób, których Dane są przetwarzane

1. Przetwarzanie Danych przez lub w imieniu Administratora odbywa się jedynie na podstawie prawnej gdy:

1. osoba, której Dane dotyczą, wyraziła na to zgodę,

2. przetwarzanie jest niezbędne do wykonania umowy, gdzie stroną jest osoba, której Dane dotyczą lub do podjęcia działań na żądanie tej osoby w celu zawarcia umowy,

3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze,

4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,

5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy powierzonej Administratorowi,

6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają podstawowe prawa i wolności osoby, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą jest dzieckiem,

7. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez Administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej,

8. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do wykonywania pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej oraz zabezpieczenia społecznego.

2. Administrator spełnia względem osób, których Dane przetwarza, obowiązek informacyjny – przekazuje wymagane prawem informacje, szczególnie przy zbieraniu Danych (tzw. klauzule informacyjne). Klauzule informacyjne należy stosować również w sytuacjach gdy przetwarzanie jest dopuszczalne z innego tytułu, zwłaszcza jako niezbędne do wykonania umowy lub do podjęcia działań – na żądanie osoby – w celu zawarcia umowy.

2. Należy uzyskać wyraźną zgodę osoby, której Dane mają być profilowane. Przez profilowanie rozumie się dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu tych danych do oceny czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów jej pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

2. Osoba, której Dane są przetwarzane, może w każdej chwili odwołać zgodę na przetwarzanie Danych. Odwołanie zgody wywołuje wyłącznie skutki na przyszłość. W przypadku osób, które związane były z Administratorem umową, można przechowywać ich odpowiednio zabezpieczone Dane w odpowiednim zakresie niezbędnym do dochodzenia roszczeń z zawartej umowy, nie dłużej niż do czasu przedawnienia roszczeń lub przepisów podatkowych.

2. W razie naruszenia ochrony danych osobowych polegającego w szczególności na:

1. naruszeniu bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia lub zmodyfikowania danych osobowych,

2. naruszeniu bezpieczeństwa prowadzącym do nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych

obowiązuje, określona w RODO, procedura zgłaszania naruszenia danych oraz zawiadamiania osób, których Dane dotyczą.

6. Solarius Technology sp. z o.o. realizuje prawa osób, których Dane dotyczą tj.:

1. prawo do informacji oraz uzyskania potwierdzenia Przetwarzania Danych przez Administratora, i dostępu do Danych,

2. prawo do wycofania zgody,

3. prawo do sprostowania/uzupełnienia Danych,

4. prawo do usunięcia Danych („prawo do bycia zapomnianym”),

5. prawo do ograniczenia Przetwarzania,

6. prawo do przenoszenia Danych,

7. prawo do sprzeciwu wobec Przetwarzania Danych,

8. prawo do niepodlegania decyzjom podjętym w warunkach zautomatyzowanego przetwarzania Danych, w tym profilowania.

7. Jeżeli podstawą przetwarzania Danych jest wykonanie umowy, wtedy Dane te mogą być przetwarzane tak długo, jak jest to niezbędne do wykonania umowy, a po tym czasie przez okres wynikający z obowiązku przechowywania danych księgowych i rachunkowych (na podstawie obowiązujących przepisów) lub przez okres niezbędny do dochodzenia lub przedawnienia roszczeń, jakie może wnosić Administrator lub jakie mogą być wnoszone w stosunku do Administratora. W pozostałych kwestiach okres przechowywania Danych uregulowany jest osobnymi przepisami, które są respektowane przez Administratora.

§ 5

Udostępnianie i powierzanie przetwarzania Danych

1. Solarius Technology sp. z o.o. jako Administrator może powierzyć przetwarzanie Danych innemu podmiotowi (podmiotowi przetwarzającemu) na podstawie pisemnej umowy zawartej z tym podmiotem, przy czym może nim być wyłącznie podmiot, który daje gwarancje prawidłowego i bezpiecznego przetwarzania Danych.

2. W przypadku kiedy Administrator wspólnie z innymi podmiotami ustala cele i sposoby Przetwarzania Danych, należy zawrzeć umowę, która będzie regulowała zakresy odpowiedzialności każdego ze współadministratorów oraz relacje pomiędzy nimi a podmiotami Danych.

3. Decyzję w sprawie udostępnianie Danych wnioskodawcy podejmuje Administrator wyłącznie na podstawie pisemnego, umotywowanego obowiązującymi przepisami prawa wniosku (określającego zakres żądanych informacji) lub na podstawie umowy. Udostępnianie Danych na wniosek uprawnionych organów państwa jest realizowane zgodnie z obowiązującymi przepisami prawa.

4. Solarius Technology sp. z o.o. jako Administrator Danych może powierzać do przetwarzania lub/i udostępniać Dane do Państwa trzeciego na zasadach określonych w RODO oraz Ustawie i Rozporządzeniu.

§ 6

Warunki dostępu do Danych

1. Miejsca przetwarzania Danych tj. budynki, pomieszczenia lub części pomieszczeń tworzące obszar, w którym przetwarzane są Dane, podlegają ochronie poprzez zastosowanie środków ochrony fizycznej oraz przyjęcie odpowiednich rozwiązań organizacyjnych, chroniących przed nieuprawnionym dostępem do Danych.

2. Miejsca o których mowa w pkt. 1 muszą być zabezpieczone na czas nieobecności w nich osób upoważnionych do przetwarzania Danych, w sposób uniemożliwiający dostęp fizyczny do nich nieuprawnionych.

3. Z wyjątkiem miejsc dedykowanych do spotkań z osobami trzecimi, przebywanie osób nieuprawnionych w miejscach, o których mowa w pkt. 1, jest dopuszczalne tylko za zgodą Administratora i w obecności osoby upoważnionej do przetwarzania Danych.

4. Osoby upoważnione do przetwarzania Danych zobowiązane są do kontrolowania, czy w miejscach, o których mowa w pkt. 1, nie pozostały niezabezpieczone dokumenty lub materiały zawierające Dane.

5. Wszystkie urządzenia i Systemy Teleinformatyczne służące do przetwarzania Danych muszą spełniać wymagania techniczne i organizacyjne określone w Ustawie oraz Rozporządzeniu.

6. Przetwarzanie Danych za pomocą urządzeń mobilnych musi być ograniczone tylko do niezbędnych przypadków i musi wynikać z realizacji zadań Administratora.

7. Przetwarzanie Danych za pomocą urządzeń mobilnych musi być poprzedzone zgodą przełożonego.

8. Zabrania się wyświetlania Danych na urządzeniach mobilnych w bezpośredniej obecności osób nieuprawnionych, w szczególności w miejscach publicznych.

9. Zabrania się współdzielenia urządzenia mobilnego z osobami nieuprawnionymi.

10. Przetwarzanie Danych wrażliwych na urządzeniu mobilnym musi być poprzedzone zgodą Administratora.

§ 7

Przepisy końcowe

1. W sprawach nieuregulowanych postanowieniami Polityki mają zastosowanie przepisy RODO, Ustawy oraz aktów wykonawczych do Ustawy.

2. Decyzje w sprawie odstępstw i wyjątków od niniejszej Polityki podejmuje Administrator.

3. Nieprzestrzeganie postanowień niniejszej Polityki przez pracowników Solarius Technology sp. z o.o. skutkować będzie podjęciem działań dyscyplinujących, wynikających z przepisów Regulaminu Pracy i Kodeksu Pracy.