Polityka Ochrony Danych Osobowych

POLITYKA OCHRONY DANYCH OSOBOWYCH
w Geotechnology IT Group Sp. z o.o. z siedzibą w Warszawie

Zapewniając środki organizacyjne ochrony danych osobowych zgodnie z art. 24 ust. 1 Rozporządzenia Parlamentu i Rady Europejskiej (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Geotechnology IT Group Sp. z o.o. z siedzibą w Warszawie wprowadza Politykę ochrony danych osobowych.

POSTANOWIENIA OGÓLNE

§ 1 Definicje

Terminy używane w dalszej treści Polityki mają następujące znaczenie:

Dane osobowe	Informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Dane osobowe szczególnej kategorii	Dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby fizycznej.
Dane osobowe dotyczące wyroków skazujących	Dane osobowe dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa.
Geotechnology	Geotechnology spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie.
Inspektor	Inspektor ochrony Danych osobowych.
Klienci	Podmioty, na rzecz których Geotechnology świadczy prowadzoną działalność gospodarczą.
Forma elektroniczna	Forma prowadzenia dokumentów zawierających Dane osobowe w systemie informatycznym, w sposób pozwalający na ustalenie osoby składającej oświadczenie oraz zapoznanie się z treścią oświadczenia; forma dokumentowa w rozumieniu kodeksu cywilnego.
Naruszenie danych osobowych	Naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Obszar przetwarzania	Obszar wskazany w Załączniku nr 1 do Polityki.
Ocena skutków dla ochrony danych	Kwalifikowana analizy ryzyka i ocena adekwatności środków ochrony Danych osobowych dla planowanych procesów przetwarzania Danych osobowych.
Odbiorca danych	Osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się Dane osobowe.
Organ nadzorczy	Organ właściwy w sprawie ochrony danych osobowych na terenie Rzeczpospolitej Polskiej.
Osoba, której dane dotyczą	Osoba, która jest możliwa do zidentyfikowania na podstawie przetwarzanych Danych osobowych.
Osoba działająca z upoważnienia	Osoba fizyczna wykonująca wewnątrz organizacji Geotechnology działania na jego rzecz niezależnie od formy prawnej jej zatrudnienia, przetwarzająca Dane osobowe na podstawie upoważnienia (pracownicy, zleceniobiorcy, osoby wykonujące jednoosobową działalność gospodarczą u Geotechnology).
Personel	Osoby fizyczne wykonujące wewnątrz organizacji działania na rzecz Geotechnology niezależnie od formy prawnej ich zatrudnienia.
Podmiot przetwarzający	Osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza Dane osobowe w imieniu Geotechnology na podstawie umowy powierzenia przetwarzania danych osobowych.
Podręcznik	Podręcznik przeznaczony dla Personelu zawierający najważniejsze zasady przetwarzania Danych Osobowych u Geotechnology.
Polityka	Niniejsza Polityka ochrony danych osobowych.
Portale społecznościowe	Portale społecznościowe, z których Geotechnology korzysta promując swoją działalność tj. Facebook, LinkedIn.
RODO	Rozporządzenia Parlamentu i Rady Europejskiej (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Strona internetowa	https://www.geotechnology.pl/
System informatyczny	Sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów, zasad przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania Danych osobowych.
Użytkownik	Osoba działająca z upoważnienia uprawniona do dostępu do Systemów informatycznych.
Zarząd

§ 2 Działalność Geotechnology a Dane osobowe

Geotechnology jest spółką z .o.o. prowadzącą działalność gospodarczą w zakresie świadczenia usług wdrożeniowych systemów informatycznych oraz ich serwisowania, a także w zakresie dostarczania infrastruktury informatycznej.
W ramach prowadzonej działalności gospodarczej Geotechnology wykonuje operacje na Danych osobowych (przetwarza Dane osobowe):
1. jako administrator:
  1. gdy decyduje o celach i sposobach przetwarzania danych osobowych;
  2. gdy wymagają tego powszechnie obowiązujące przepisy prawa.
2. jako podmiot przetwarzający – Dane osobowe powierzone przez Klientów w ramach świadczenia usług przez Geotechnology;
Geotechnology gwarantuje, aby Dane osobowe były przetwarzane:
1. w oparciu o podstawę prawną i zgodnie z prawem (legalizm);
2. rzetelnie i uczciwie (rzetelność);
3. w sposób przejrzysty dla osoby, której dane dotyczą (transparentność);
4. w konkretnych celach i nie „na zapas” (minimalizacja);
5. nie więcej niż potrzeba (adekwatność);
6. z dbałością o prawidłowość danych (prawidłowość);
7. nie dłużej niż potrzeba (czasowość);
8. zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo);
9. w sposób umożliwiający wykazanie spełniania obowiązków wynikających z RODO (rozliczalność).
Geotechnology przetwarza Dane osobowe w sposób tradycyjny (papierowy) oraz w sposób częściowo zautomatyzowany tj. przy użyciu Systemów informatycznych.
Geotechnology przekazuje Dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie w przypadkach określonych w RODO oraz dbając o to, by nie został naruszony stopień ochrony Osób, której dane dotyczą.

§3 Zasady Polityki

Polityka została sporządza uwzględniając charakter, zakres, kontekst i cele przetwarzania Danych osobowych przez Geotechnology oraz ryzyko naruszenia praw lub wolności Osób, której dane dotyczą o różnym prawdopodobieństwie i wadze zagrożenia.
Polityka została opracowana na podstawie analizy dotychczasowego przetwarzania Danych osobowych przez Geotechnology.
Polityka określa zasady przetwarzania Danych osobowych przez Geotechnology, w tym określa obowiązki Geotechnology w zakresie przetwarzania Danych osobowych.

ŚRODKI ORGANIZACYJNE I TECHNICZNE

§4 Środki organizacyjne

Geotechnology stosuje następujące środki organizacyjne, aby przetwarzanie Danych osobowych odbywało się zgodnie z powszechnie obowiązującymi przepisami prawa, w tym RODO:
1. Geotechnology opracował i wdrożył Politykę;
2. Polityka jest stosowana i aktualizowana zgodnie z jej postanowieniami;
3. do przetwarzania danych są dopuszczone wyłącznie Osoby działające z upoważnienia i na polecenie Geotechnology;
4. Osoby działające z upoważnienia zostały przeszkolone lub zapoznane w zakresie powszechnie obowiązujących przepisów prawa dotyczących ochrony danych osobowych oraz Polityki, w tym poprzez zapoznanie się z Podręcznikiem;
5. Osoby działające z upoważnienia zostały zobowiązane do zachowania Danych osobowych w tajemnicy;
6. Podmioty przetwarzające Dane osobowe gwarantują ochronę Danych osobowych zgodnie
  z powszechnie obowiązującymi przepisami prawa oraz zasadami przetwarzania Danych Osobowych obowiązującymi u Geotechnology;
7. w ramach świadczenia usług na rzecz Klientów Geotechnology dąży do ograniczenia powierzenia przetwarzania Danych osobowych od Klientów;
8. Geotechnology zawiera pisemne umowy powierzenia przetwarzania Danych Osobowych w ramach współpracy z Podmiotami przetwarzającymi i Klientami;
9. przetwarzanie Danych osobowych dokonywane jest w warunkach zabezpieczających Dane osobowe przed dostępem osób nieupoważnionych,
10. przetwarzanie Danych osobowych dokonywane jest w warunkach zabezpieczających Dane osobowe przed ich utratą,
11. przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są Dane osobowe jest dopuszczalne tylko w obecności Osoby działającej z upoważnienie oraz w warunkach zapewniających bezpieczeństwo Danych osobowych,
12. Geotechnology prowadzi rejestr czynności przetwarzania oraz rejestr kategorii czynności przetwarzania, zgodnie z RODO;
13. Geotechnology monitoruje Naruszenia ochrony danych osobowych i dokonuje wymaganych przez przepisy prawa zgłoszeń i zawiadomień;
14. Geotechnology analizuje przetwarzania Danych Osobowych w Geotechnology;
15. Geotechnology przeprowadza Ocenę skutków dla ochrony danych osobowych;
16. Geotechnology współpracuje z Organem nadzorczym;
17. przekazywanie Danych osobowych do podmiotów trzecich (udostępnianie i powierzanie) jest nadzorowane oraz odbywa się na zasadach zgodnych z przepisami prawa.
Przetwarzanie Danych osobowych odbywa się w Obszarze przetwarzania Danych osobowych, którego wykaz stanowi Załącznik nr 1 do Polityki.
Obszar przetwarzania Danych osobowych, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim Osób działających z upoważnienia.
Przebywanie osób nieuprawnionych w Obszarze przetwarzania Danych osobowych jest dopuszczalne za zgodą Geotechnology lub Osób działających z upoważnienia
Wzór zgody do przebywania w Obszarze przetwarzania Danych osobowych stanowi Załącznik nr 2 do Polityki.

§5 Dostęp do Danych osobowych Osoby działające z upoważnienia

Przed rozpoczęciem przetwarzania Danych osobowych Osoby działające z upoważnienia:
1. zostają zapoznane z ochronną Danych osobowych u Geotechnology, w tym poprzez zapoznanie
  z Polityką i Podręcznikiem;
2. otrzymują upoważnienie do przetwarzania Danych osobowych u Geotechnology, którego wzór stanowi Załącznik nr 3 do Polityki;
3. zobowiązują się do zachowania tajemnicy przetwarzanych Danych osobowych, zgodnie z Załącznik nr 4 do Polityki.
Upoważnienia udziela się w formie pisemnej. Upoważnienie może zawierać również upoważnienie do przetwarzania Danych osobowych w Systemach Informatycznych.
Osoby działające z upoważnienia przetwarzają Dane osobowe wyłącznie na polecenie Geotechnology, które zostało określone w upoważnieniu.
Osoby działające z upoważnienia wykorzystują oddane im do dyspozycji Systemy informatyczne zgodnie
z Polityką, poleceniem oraz zachowując wymogi należytej staranności.
Geotechnology anuluje udzielone upoważnienie w przypadku:
1. nieobecności Osoby działającej z upoważnienia dłuższej niż 6 miesięcy dni lub w czasie wprowadzania zmian w zakresie ochrony Danych osobowych u Geotechnology;
2. zaprzestania wykonywania przez Osobę działającą z upoważnienia obowiązków uzasadniających potrzebę upoważnienia jej do przetwarzania Danych osobowych;
3. rozwiązania stosunku prawnego łączącego Osobę działającą z upoważnienia z Geotechnology;
4. naruszenia zasad ochrony Danych osobowych określonych w Polityce lub obowiązujących przepisach prawa.
Geotechnology prowadzi ewidencję upoważnień, której wzór stanowi Załącznik nr 5 do Polityki.
Geotechnology prowadzi ewidencję upoważnień w Formie elektronicznej. Ewidencja jest archiwizowana przed każdą aktualizacją.
Ewidencja upoważnień jest aktualizowana niezwłocznie po każdej zmianie informacji w niej zawartych.
W przypadku zmian przepisów dotyczących ochrony Danych osobowych osoba wyznaczona przez Geotechnology niezwłocznie organizuje szkolenie dla Personelu w zakresie zmian przepisów.
Osoby działające z upoważnienia są zobowiązane do wykorzystywania do przetwarzania Danych osobowych wyłączenie sprzętu udostępnionego przez Geotechnology. W szczególnie uzasadnionych przypadkach Osoba działające z upoważnienia może korzystać ze sprzętu prywatnego do przetwarzania Danych osobowych za uprzednią zgodą Geotechnology oraz na zasadach ustalonych przez Geotechnology. Korzystanie ze sprzętu prywatnego nie może wpływać na zabezpieczenie ochrony Danych Osobowych.
Zarząd jest uprawniony do przetwarzania Danych osobowych na podstawie wykonywanej funkcji w Geotechnology.

§6 Środki techniczne

Geotechnology stosuje następujące środki techniczne ochrony Danych osobowych:
1. zabezpieczenia dostępu oraz pomieszczeń, w których przetwarzane są Dane osobowe;
2. zabezpieczenia sprzętowe infrastruktury informatycznej i telekomunikacyjnej;
3. zabezpieczenia narzędzi programowych i baz danych (techniczne i programowe).
Szczegółowy opis zabezpieczeń zawarty jest w Załączniku nr 6 do Polityki.
Geotechnology zarządza zmianą mającą wpływ na prywatność w taki sposób, aby umożliwić zapewnienie odpowiedniego bezpieczeństwa Danych osobowych oraz minimalizacji ich przetwarzania.
Prowadzenia projektów i inwestycji przez Geotechnology wymaga uwzględnienia zasad bezpieczeństwa Danych osobowych i minimalizacji oraz każdorazowej oceny wpływu projektu lub inwestycji na prywatność i ochronę danych oraz uwzględnienia i zaprojektowana bezpieczeństwa i minimalizacji przetwarzania Danych osobowych od początku projektu lub inwestycji.

PRZETWARZANIA DANYCH OSOBOWYCH W ROLI ADMINISTRATORA

§7 Rozpoczęcie przetwarzania Danych Osobowych

Geotechnology przed rozpoczęciem przetwarzania Danych osobowych jako administrator:
1. przeprowadza Ocenę skutków dla ochrony danych, gdy jest to wymagane przepisami prawa;
2. określa cel przetwarzania Danych osobowych;
3. określa zakres Danych osobowych koniecznych do osiągnięcia celu przetwarzania Danych osobowych;
4. określa okres przetwarzania Danych osobowych niezbędnych do osiągnięcia celu przetwarzania Danych osobowych lub okres wymagany przez powszechnie obowiązujące przepisy prawa;
5. określa podstawę prawną przetwarzania Danych osobowych.
Podstawę przetwarzania Danych osobowych może stanowić:
1. zgoda Osoby, której dane dotyczą;
2. wykonanie umowy, której stroną jest Osoba, której dane dotyczą, lub podjęcie działań na żądanie Osoby, której dane dotyczą, przed zawarciem umowy;
3. wypełnienie obowiązku prawnego ciążącego na Geotechnology;
4. ochrona żywotnych interesów Osoby, której dane dotyczą, lub innej osoby fizycznej;
5. prawnie uzasadnione interesy realizowane przez Geotechnology lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności Osoby, której dane dotyczą, wymagające ochrony Danych osobowych.
W przypadku przetwarzania Danych osobowych na podstawie zgody Osoby, której dane dotyczą Geotechnology zapewnia, aby wyrażona zgoda była dobrowolna, a Osoba, której dane dotyczą mogła ją w dowolnym momencie wycofać w taki sam sposób, w jaki nastąpiło jej wyrażenie. Geotechnology w jasny i przejrzysty sposób informuje osobę, której Dane dotyczą, o możliwości wycofania zgody. W przypadku wycofania zgody Geotechnology niezwłocznie zaprzestaje przetwarzania Danych Osobowych Osoby, której dane dotyczą.
Jeżeli Osoba, której Dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
Wyrażenie zgody na przetwarzanie Danych nie może stanowić warunku zawarcia umowy lub świadczenia usługi.
Wzór formularza zgody stanowi Załącznik nr 7 do Polityki.
Geotechnology jako administrator nie korzysta z automatycznych systemów, które zbierają dane osobowe lub na podstawie których buduje się profile osoby czy analizuje takie profile z wyłączeniem czynnika ludzkiego, a następnie w oparciu o nie podejmuje się decyzji wywołującej skutki prawne lub istotnie wpływającą na nią w podobny sposób.
Podstawę przetwarzania Danych osobowych szczególnej kategorii stanowi:
1. wyraźna zgoda Osoby, której dane dotyczą na przetwarzanie tych Danych osobowych w jednym lub kilku konkretnych celach, chyba że obowiązujące przepisy prawa stanowi, iż Osoba, której dane dotyczą, nie może uchylić zakazu przetwarzania Danych osobowych szczególnej kategorii;
2. wypełnienie obowiązków i wykonywanie szczególnych praw przez Geotechnology lub Osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone powszechnie obowiązującymi przepisami prawa;
3. ochrona żywotnych interesów Osoby, której dane dotyczą, lub innej osoby fizycznej, a Osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
4. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń;
5. cel – profilaktyka zdrowotna lub medycyna pracy, do oceny zdolności pracownika do pracy.
Przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa Geotechnology dokonuje wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone przez powszechnie obwiązujące przepisy prawa.

§8 Zakończenie przetwarzania Danych osobowych

Geotechnology kończy przetwarzanie Danych osobowych po ustaniu celu, dla którego Dane osobowe były przetwarzane lub w przypadku otrzymania zasadnego, zgodnego z prawem wniosku o usunięcie Danych osobowych. Zakończenie przetwarzania Danych osobowych odbywa się poprzez:
1. trwałe i nieodwracalne usunięcie Danych osobowe z Systemów informatycznych lub
2. likwidację nośników informacji zawierających Dane osobowe poprzez pozbawienia wcześniej zapisu tych Danych osobowych, a w przypadku, gdy nie jest to możliwe, uszkodzenie w sposób uniemożliwiający ich odczytanie lub
3. zniszczenie dokumentów zawierających Dane osobowe w sposób trwały i nieodwracalny, uniemożliwiający ich ponowny odczyt.
Z przeprowadzenia zakończenia przetwarzania Danych osobowych sporządza się protokół.
Geotechnology wyznaczy osobę odpowiedzialną za dokonanie czynności koniecznych do zakończenia przetwarzania Danych osobowych.
Geotechnology każdorazowo w umowach z Podmiotami przetwarzającymi reguluje okresy retencji Danych osobowych.

§9 Obowiązki Administratora wobec Osoby, której dane dotyczą

Geotechnology gwarantuje poszanowanie praw Osób, których dane dotyczą, a w szczególności prawa do uzyskania informacji.
Podczas zbierania danych osobowych od Osoby, której dane dotyczą Geotechnology podaje Osobie, której dane dotyczą informacje, o których mowa w Załączniku nr 7 do Polityki.
W przypadku zbierania Danych osobowych przez Geotechnology bezpośrednio od Osoby, której dane dotyczą:
1. w Obszarze przetwarzania – Geotechnology informuje o przetwarzaniu Danych osobowych w informacji umieszczonej na Recepcji;
2. poprzez Stronę internetową – Geotechnology informuje o przetwarzaniu Danych osobowych na odpowiedniej podstronie internetowej;
3. poprzez korespondencję pocztową – Geotechnology informuje o przetwarzaniu Danych osobowych w osobnym dokumencie stanowiącym Załącznik do korespondencji pocztowej;
4. poprzez korespondencję mailową – Geotechnology informuje o przetwarzaniu Danych osobowych w stopce oraz odesłaniu do podstrony internetowej;
5. poprzez telefon – Geotechnology informuje o przetwarzaniu Danych osobowych na początku rozmowy oraz odsyła do podstrony internetowej;
6. będącej Personelem lub podmiotem świadczącym usługi na rzecz Geotechnology – Geotechnology informuje o przetwarzaniu Danych osobowych w osobnym dokumencie;
Jeżeli Geotechnology nie uzyskał danych bezpośrednio od Osoby, której dane dotyczą, Geotechnology przekazuje informacje, o których mowa w Załączniku nr 9 do Polityki:
1. najpóźniej w terminie miesiąca od dnia pozyskania Danych osobowych;
2. jeżeli Dane osobowe mają być stosowane do komunikacji z Osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z Osobą, której dane dotyczą; lub
3. jeżeli planuje się ujawnić Dane osobowe Odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
W przypadku zbierania Danych osobowych przez Geotechnology nie bezpośrednio od Osoby, której dane dotyczą
1. poprzez korespondencję mailową – Geotechnology informuje o przetwarzaniu Danych osobowych w stopce oraz odesłaniu do podstrony internetowej;
2. poprzez korespondencję pocztową – Geotechnology informuje o przetwarzaniu Danych osobowych w osobnym dokumencie stanowiącym Załącznik do korespondencji pocztowej.
W przypadku zmiany celu przetwarzania Danych Osobowych Geotechnology informuje o tym Osobę, której Dane dotyczą.
Jeżeli Geotechnology nie ma pełnych informacji o Osobie, której dane dotyczą stanowiących Dane osobowe (np. tylko imię, tylko numer telefonu), a Geotechnology nie potrzebuje więcej informacji do wykonywania swojej działalności Geotechnology nie uzyskuje dodatkowych informacji w celu zidentyfikowania Osoby, której dane dotyczą, wyłącznie po to, by spełnić wymogi RODO.
Geotechnology jako administrator gwarantuje respektowanie praw Osób, których dane dotyczą w zakresie:
1. potwierdzenia przetwarzania Danych osobowych;
2. uzyskania dostępu do Danych osobowych;
3. uzyskania kopii Danych osobowych;
4. żądania uzupełnienia, sprostowania Danych osobowych;
5. prawa sprzeciwu wobec przetwarzania Danych osobowych;
6. prawa do usunięcia Danych osobowych;
7. prawa do ograniczenia Danych osobowych;
8. prawa do przenoszenia Danych osobowych.
Szczegółowe uprawnienia i obowiązki Geotechnology w zakresie realizacji praw Osób, której dane dotyczą zawiera Załącznik nr 10.

PRZETWARZANIA DANYCH OSOBOWYCH PRZEZ GEOTECHNOLOGY JAKO PODMIOT PRZETWARZAJĄCY

§10 Ograniczenie przetwarzania Danych osobowych od Klientów

Geotechnology świadcząc usługi na rzecz Klientów podejmuje działania celem ograniczenia przetwarzania Danych osobowych.

§11 Powierzenia przetwarzania Danych osobowych przez Klienta

W przypadku braku możliwości zastosowania ograniczenia przetwarzania Danych osobowych od Klientów Geotechnology zawiera z Klientami umowę powierzenia przetwarzania Danych osobowych w ramach świadczenia usług na rzecz Klienta.
Umowa powierzenia przetwarzania danych osobowych jest zawierana przed rozpoczęciem przetwarzania Danych osobowych.
Geotechnology nie przetwarza Danych osobowych od Klienta nie objętych umową powierzenia przetwarzania danych osobowych.
Umowa powierzenia przetwarzania danych osobowych może zostać zawarta w drodze umowy zawartej
w formie pisemnej lub Formie elektronicznej.
Geotechnology wykorzystuje powierzone mu Dane osobowe wyłącznie w celach i w zakresie, które zostały wskazane w zawartej z nim umowie, jak również zobowiązuje się zachować poufność Danych osobowych powierzonych mu do przetwarzania.
Geotechnology przetwarza Dane osobowe wyłącznie na udokumentowane polecenie Klienta. Geotechnology niezwłocznie informuje Klienta, jeżeli jego zdaniem wydane mu polecenie stanowi naruszanie RODO, innych przepisów Unii lub państwa członkowskiego o ochronie danych, Polityki lub umowy łączącej Geotechnology lub Klienta.
Geotechnology stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzania Danych osobowych odpowiednią do zagrożeń oraz kategorii Danych osobowych objętych ochroną, a w szczególności zabezpiecza Dane Osobowe przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem powszechnie obowiązujących przepisów prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Geotechnology zapewnia, że osoby, które przetwarzają Dane osobowe od Klienta są upoważnione do przetwarzania Danych osobowych oraz zobowiązały się do zachowania w tajemnicy tych danych oraz sposobów i zabezpieczania.
Geotechnology ustala z Klientem zasady postępowania z Danymi osobowymi od Klienta po zakończeniu świadczenia usług na rzecz Klienta.
Geotechnology umożliwia Klientowi lub audytorowi upoważnionemu przez Klientowi przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich, z zastrzeżeniem zachowania tajemnicy przedsiębiorstwa Geotechnology. W przypadku wykonywania przez Klienta audytów za pomocą audytorów upoważnionych przez Klienta, audytorzy nie mogą być pracownikami, współpracownikami lub właścicielami podmiotów świadczących usługi konkurencyjne wobec Geotechnology oraz zobowiązują się do zachowania w poufności wszelkich informacji uzyskanych podczas przeprowadzenia audytu.
Geotechnology umieszcza w rejestrze kategorii czynności przetwarzania, o którym mowa w § 12 ust. 1 Polityki informację o powierzeniu przetwarzania Danych osobowych od Klienta w zakresie określonym przez Politykę oraz RODO.
Geotechnology powierza Dane osobowe od Klienta innym podmiotom przetwarzającym tylko i wyłącznie
w przypadku ogólnej zgody Klienta zawartej w umowie powierzenia przetwarzania danych osobowych lub każdorazowo uzyskiwanej zgody na dany podmiot przetwarzający. W przypadku ogólnej pisemnej zgody Geotechnology informuje Klienta o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym Klientowi możliwość wyrażenia sprzeciwu wobec takich zmian.
Jeżeli do wykonania w imieniu Klienta konkretnych czynności przetwarzania Geotechnology korzysta z usług innego Podmiotu przetwarzającego, na ten inny Podmiot przetwarzający nałożone zostają – na mocy umowy z Geotechnology te same obowiązki ochrony danych jak w umowie pomiędzy Geotechnology a Klientem, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.
Geotechnology zgłasza Klientowi każdy przypadek Naruszenia ochrony danych dotyczący Danych osobowych od Klienta na zasadach określonych w umowie zawartej z Klientem, zgodnie z § 13 Polityki oraz zgodnie z RODO.

REJESTRY

§12 Rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania

Liczba osób zatrudnionych w Geotechnology nie przekracza 250 osób, jednak w związku z przetwarzaniem Danych osobowych Geotechnology od dnia 25 maja 2018 roku prowadzi rejestr czynności przetwarzania Danych osobowych, wobec których jest administratorem.
Geotechnology prowadzi rejestr, o których mowa w ust. 1 w Formie elektronicznej.
W związku powierzaniem przetwarzania Danych Osobowych Geotechnology prowadzi rejestr kategorii czynności przetwarzania.
Geotechnology prowadzi rejestr, o których mowa w ust. 3 w Formie elektronicznej.
Rejestry, o których mowa w ust. 1 i 3 powyżej, są aktualizowane regularnie, nie rzadziej niż co 1 miesiąc. Przed każdą aktualizacją Geotechnology archiwizuje ostatnią wersję rejestrów.
Na żądanie Organu nadzorczego Geotechnology udostępnia mu rejestry, o których mowa w ust. 1 i 3 powyżej.

NARUSZENIA OCHRONY DANYCH OSOBOWYCH

§13 Procedura postępowania w przypadku Naruszenia ochrony danych osobowych

W przypadku stwierdzenia Naruszenia ochrony danych osobowych lub prawdopodobieństwa Naruszenia ochrony danych osobowych, każdy członek Personelu jest zobowiązany niezwłocznie powiadomić o tym fakcie Zarząd lub Inspektora (jeżeli został wyznaczony), a następnie stosować się do podjętych przez tą osobę decyzji.
Personel do czasu przybycia na miejsce Zarządu lub Inspektora, a przed otrzymaniem polecenia od Zarządu lub Inspektora podejmuje tylko takie czynności, które zmierzają do:
1. zabezpieczenia śladów Naruszenia ochrony danych osobowych;
2. zapobieżenia dalszym zagrożeniom;
3. powstrzymania skutków Naruszenia ochrony danych osobowych;
4. ustalenia przyczyny i sprawcy Naruszenia ochrony danych osobowych;
5. rozważenia wstrzymania bieżącej pracy w celu zabezpieczenia miejsca zdarzenia;
6. przygotowania opisu Naruszenia.
Personel nie opuszcza bez uzasadnionej przyczyny miejsca zdarzenia do czasu przybycia Zarządu lub osoby przez niego wskazanej.
Geotechnology stwierdza Naruszenie ochrony danych osobowych w chwili, gdy ma wystarczający stopień pewności co do tego, że doszło do zdarzenia zagrażającego bezpieczeństwu, które doprowadziło w konsekwencji do naruszenia bezpieczeństwa Danych Osobowych.
W przypadku niestwierdzenia jeszcze Naruszenia ochrony danych osobowych, ale już po zdarzeniu, Geotechnology:
1. bada zdarzenie;
2. ocenienia jego skutki w celu stwierdzenia, czy rzeczywiście doszło do Naruszenia ochrony danych osobowych.
Geotechnology bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin od godziny stwierdzenia naruszenia – zgłasza je Organowi Nadzorczemu.
W przypadku dokonania zgłoszenia Organowi Nadzorczemu po upływie 72 godzin Geotechnology dołącza wyjaśnienie przyczyn opóźnienia.
Geotechnology nie jest zobowiązany do dokonania zgłoszenia w przypadku, gdy jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Zgłoszenie może zostać dokonane elektronicznie poprzez załączenie wypełnionego formularza (stanowiącego Załącznik nr 11 do Polityki) do pisma ogólnego dostępnego na platformie biznes.gov.pl.
Geotechnology dokonuje oceny możliwego ryzyka dla osób fizycznych, która pozwala stwierdzić, czy istnieje obowiązek zawiadomienia o Naruszeniu ochrony danych osobowych, Osób, których dane dotyczą.
Geotechnology bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą o Naruszeniu ochrony danych osobowych.
Wzór zawiadomienia osoby, której dane dotyczą stanowi Załącznik nr 12 do Polityki.
Geotechnology nie jest zobowiązany do dokonania zawiadomienia Osoby, której dane dotyczą w przypadku, gdy Naruszenie ochrony danych osobowych:
1. nie powoduje wysokiego ryzyka naruszenia praw lub wolności osób fizycznych;
2. Geotechnology wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
3. Geotechnology zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
4. zawiadomienie wymagałoby niewspółmiernie dużego wysiłku.
W przypadku, gdy zawiadomienie wymagałoby niewspółmiernie dużego wysiłku Geotechnology wyda komunikat na Portalach społecznościowych lub zastosuje podobny środek, za pomocą którego Osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
Geotechnology prowadzi postępowanie wyjaśniające, w toku, którego przeprowadza analizę ryzyka naruszenia praw lub wolności, ustala przyczynę zaistniałego zagrożenia lub incydentu, wskazuje jakie są jego potencjalne skutki oraz jakie działania zaradcze należy podjąć w celu naprawy tego stanu.
Geotechnology ustala również osoby odpowiedzialne za Naruszenie oraz zabezpiecza dowody w danej sprawie i dokumentuje swoje ustalenia.
Geotechnology jest także odpowiedzialny za analizę incydentów bezpieczeństwa lub zagrożeń ochrony danych osobowych w celu ustalenia, czy istnieje konieczność podjęcia działań korygujących lub zapobiegawczych.
Jeśli Geotechnology taką potrzebę stwierdza, określa źródło powstania incydentu lub zagrożenia, zakres działań korygujących lub zapobiegawczych, termin realizacji oraz osobę odpowiedzialną.
Geotechnology jest odpowiedzialny za nadzór nad poprawnością i terminowością wdrażanych działań korygujących lub zapobiegawczych.
Wszystkie powyższe czynności są przez Geotechnology rejestrowane w Rejestrze Naruszeń ochrony danych osobowych, które wzór stanowi Załącznik nr 13 do Polity Rejestr prowadzony jest w Formie elektronicznej.

RYZYKO

§14 Procedura analizy ryzyka.

Geotechnology zapewnia odpowiedni stan wiedzy o bezpieczeństwie informacji, cyberbezpieczeństwie i ciągłości działania wewnętrznie lub ze wsparciem podmiotów wyspecjalizowanych.
Geotechnology weryfikuje czy przetwarzane przez niego Dane osobowe są:
1. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach;
2. zbierane są zgodnie z przepisami prawa;
3. w przypadku zbierania Danych osobowy na podstawie zgody, czy są zbierane na podstawie wyraźnej zgody;
4. w przypadku zbierania Danych osobowy na podstawie zgody, czy są zbierane na podstawie zgody łatwej do wycofania;
5. nieprzetwarzane dalej w sposób niezgodny z prawnie uzasadnionymi celami;
6. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
7. prawidłowe i w razie potrzeby uaktualniane;
8. przechowywane w formie umożliwiającej identyfikację Osoby, której dane dotyczą;
9. przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;
10. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych;
11. przetwarzane na dużą skalę.

oraz dokonuje

1. analizy zagrożeń,
2. analizy podatności,
3. analizy skutków wystąpienia zagrożeń oraz
4. analizy istniejących zabezpieczeń.

Przy dokonywaniu analizy ryzyka Geotechnology jest uprawniony do skorzystania z pomocy audytorów, informatyków oraz prawników lub innymi osobami, których wiedza i doświadczenie jest niezbędne do przeprowadzenia analizy ryzyka.
Personel jest zobowiązany do współpracy z Geotechnology przy dokonywaniu analizy ryzyka.
Po dokonaniu analizy ryzyka Geotechnology podejmuje odpowiednie działania, w szczególności:
1. przeprowadza Ocenę skutków na ochronę danych osobowych;
2. wzmacnia i poprawia stosowane środki;
3. ogranicza przetwarzanie Danych osobowych;
4. aktualizuje Politykę;
5. wprowadza środki wymagane przez RODO zapewniające efektywność ekonomiczną oraz skutkować akceptowalnym ryzykiem szczątkowym.
Geotechnology ustala możliwe do zastosowanie organizacyjne i techniczne środki bezpieczeństwa i ocenia koszt ich wdrażania. Geotechnology ustala przydatność i stosuje takie środki i podejście jak:
1. pseudonimizacja;
2. szyfrowanie Danych osobowych;
3. inne środki bezpieczeństwa składające się na zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
4. środki zapewnienia ciągłości działania i zapobiegania skutkom katastrof, czyli zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.

§15 Procedura Oceny skutków dla ochrony danych osobowych

Geotechnology przed rozpoczęciem planowanego przetwarzania danych osobowych dokonuje Oceny skutków dla ochrony danych osobowych planowanych operacji przetwarzania Danych osobowych, gdy przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Ocena skutków dla ochrony danych osobowych wymagana jest w przypadku:
1. systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
2. przetwarzania na dużą skalę Danych osobowych szczególnej kategorii lub Danych osobowych dotyczących wyroków skazujących i naruszeń prawa;
3. systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie;
4. w sytuacjach wskazanych przez Organ Nadzorczy oraz Europejską Radę Ochrony Danych Osobowych.
Dokonując weryfikacji, czy dane przetwarzane są na dużą skalę, Geotechnology uwzględnia:
1. liczbę Osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa;
2. zakres przetwarzanych Danych osobowych;
3. okres, przez jaki Dane osobowe są przetwarzane;
4. zakres geograficzny przetwarzania Danych osobowych.
W przypadku rezygnacji z przeprowadzania oceny skutków dla ochrony Danych osobowych w przypadku planowanego przetwarzania Danych osobowych Geotechnology sporządza oświadczenie wraz
z uzasadnieniem dla niedokonania Oceny skutków na ochronę danych osobowych
Dokonując Oceny skutków dla ochrony danych osobowych Geotechnology konsultuje się z Inspektorem – w przypadku jego wyznaczenia.
Dokonując Oceny skutków dla ochrony danych osobowych, Geotechnology jest uprawniony do konsultacji
z Personelem, audytorami, prawnikami i informatykami lub innymi osobami, których wiedza i doświadczenie jest niezbędne do przeprowadzenia Oceny skutków dla ochrony danych osobowych.
Jeżeli dana operacja przetwarzania jest całkowicie lub częściowo realizowana przez Podmiot przetwarzający, Geotechnology jest uprawniony do konsultacji z Podmiotem przetwarzającym.
Geotechnology jest uprawniony do zlecenia podmiotom zewnętrznym przeprowadzenia Oceny skutków dla ochrony danych osobowych.
Metodyka prowadzenia Oceny skutków dla ochrony danych uwzględnia następujące elementy.
1. identyfikację czynności przetwarzania rodzącej wysokie ryzyko przetwarzania i osób odpowiedzialnych za dane procesy (czy zmiana skutkuje zmianą sposobu przetwarzania danych, następnie – czy rośnie ryzyko).
2. ustalenie osób zaangażowanych, w tym reprezentantów osób, których dane dotyczą, oraz ekspertów.
3. identyfikacja danych przetwarzanych w ramach danej czynności (w szczególności, czy są to dane zwykłe, szczególnej kategorii, osób małoletnich).
4. weryfikacja, w jakim celu Geotechnology przetwarza Dane osobowe.
5. weryfikacja legalności czynności przetwarzania (np. weryfikacja czy Geotechnology posiada odpowiednie klauzule zgody, czy przetwarza Dane osobowe w celu pierwotnym itp.).
6. weryfikacja adekwatności Danych osobowych (czy nie mamy za dużo danych niż potrzebujemy).
7. weryfikacja sposobu obsługi praw osób (informacji, zgód, żądań).
8. identyfikacja istniejących środków ochrony.
9. identyfikacja potencjalnych zagrożeń dla osób wskutek nieuprawnionego dostępu, nieautoryzowanej modyfikacji lub zniszczenia (np. brak możliwości czasowego dalszego leczenia pacjenta wskutek utraty wszelkich danych medycznych w szpitalu – ryzyko śmierci).
10. identyfikacja sytuacji grożących naruszeniem ochrony Danych osobowych, wraz ze źródłem (np. technologia – stare komputery, człowiek – słabo przeszkoleni pracownicy, zdarzenia – ataki hakerskie
  i in.).
11. ocena prawdopodobieństwa i powagi wystąpienia zagrożeń.
12. plan reakcji – identyfikacja i wdrożenie adekwatnych zabezpieczeń.
13. ocena ryzyka szczątkowego – czyli ryzyka, które nawet po zastosowaniu adekwatnych, w naszej ocenie, środków bezpieczeństwa pozostanie realne.
14. ustalenie sposobu pomiaru ryzyka w trakcie przetwarzania.
Raport podsumowujący dokonaną ocenę skutków dla ochrony danych osobowych przetwarzania zawiera co najmniej:
1. systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez Geotechnology;
2. charakter, kontekst, zakres i cele przetwarzania danych osobowych;
3. zidentyfikowane aktywa za pomocą, których przetwarzane są dane osobowe;
4. ocenę czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
5. zidentyfikowane źródła ryzyka;
6. ocenę ryzyka naruszenia praw lub wolności Osób, których dane dotyczą wraz z prawdopodobieństwem i powagą wystąpienia takiego ryzyka;
7. środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę Danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów Osób, których dane dotyczą, i innych osób, których sprawa dotyczy, w szczególności środki mające na celu zminimalizowanie ryzyka.
Ocena skutków dla ochrony Danych powinna rozpocząć się jak najwcześniej w fazie projektowania operacji przetwarzania Danych Osobowych. Jeżeli zachodzi taka potrzeba, w szczególności ze względu na zastosowane w projekcie środki techniczne lub organizacyjne, w miarę postępu procesu rozwoju lub
w związku z istotną modyfikacją procesu, poszczególne etapy oceny należy powtórzyć.
Geotechnology dokonuje przeglądu Ocen skutków dla ochrony danych osobowych, by stwierdzić, czy przetwarzanie Danych osobowych odbywa się zgodnie z Oceną skutków dla ochrony danych osobowych.
Geotechnology konsultuje się z Organem nadzorczym przed rozpoczęciem przetwarzania, jeżeli Ocena skutków dla ochrony danych osobowych, wykazała, że przetwarzanie powodowałoby wysokie ryzyko, w szczególności, gdy wystąpienie ryzyka może skutkować znaczącymi, a nawet nieodwracalnymi skutkami dla Osoby, której dane będą przetwarzane.
Geotechnology dokonuje ponownej Oceny skutków dla ochrony danych osobowych nie rzadziej niż raz na trzy lata, w szczególności w miarę postępów środków technologicznych stosowanych przez Geotechnology.
W celu przyczynienia się do zwiększenia zaufania, którym obdarza się Geotechnology, Geotechnology jest uprawniony do publikacji wniosków z Oceny skutków dla ochrony Danych na Stronie Internetowej.

INSPEKTOR OCHRONY DANYCH OSOBOWYCH

§16 Procedura powołania Inspektora

Geotechnology nie jest zobowiązany do wyznaczenia Inspektora.
W przypadku zmiany okoliczności prawnych lub faktycznych warunkujących wyznaczenie Inspektora zastosowanie znajdą postanowienia niniejszego paragrafu.
Geotechnology wyznaczy Inspektora na podstawie kwalifikacji zawodowych, a w szczególności:
1. odpowiedniej wiedzy z zakresu krajowych i europejskich przepisów o ochronie Danych osobowych
  i praktyk, jak również dogłębnej znajomość RODO;
2. wiedzy na temat danego sektora i Geotechnology;
3. wiedzy na temat operacji przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u Geotechnology i jego potrzeb w zakresie ochrony Danych osobowych;
4. wiedzy w zakresie procedur administracyjnych i funkcjonowania Geotechnology;
5. cech osobowych, w tym rzetelnego podejścia i wysokiego poziomu etyki zawodowej;
6. kwalifikacji, w tym umiejętności z zakresu skutecznego dzielenia się wiedzą, komunikacji, zarządzania projektami, negocjacji czy mediacji.
7. umiejętności wypełnienia zadań, o których mowa w ust. 13 poniżej.
Inspektor może być członkiem Personelu lub wykonywać zadania na podstawie umowy o świadczenie usług.
Inne zadania, które wykonuje Inspektor nie mogą powodować konfliktu interesów co do zadań o których mowa w ust. 13 poniżej.
W Geotechnology następujące stanowiska nie mogą być łączone z funkcją Inspektora:
1. Zarząd;
2. [-].
Geotechnology opublikuje dane kontaktowe Inspektora na Stronie internetowej i zawiadomi o jego wyznaczeniu Organ nadzorczy w terminie 14 dni do dnia wyznaczenia Inspektora drogą elektroniczną.
Geotechnology zapewnia, aby Inspektor był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych, w szczególności zapewnia:
1. Udział Inspektora w spotkaniach przedstawicieli wyższego i średniego szczebla u Geotechnology;
2. Udostępnianie Inspektora wszelkich informacji dotyczących planowanego przetwarzania danych osobowych odpowiednio wcześniej, umożliwiając Inspektorowi zajęcie stanowiska;
3. Uwzględnianie stanowiska Inspektora w decyzjach o przetwarzaniu Danych osobowych, a w przypadku postępowania niezgodnie z nim udokumentowanie przypadków i postępowania niezgodnego
  z zaleceniami Inspektora ochrony Danych osobowych.
4. Uczestnictwo Inspektora przy podejmowaniu decyzji dotyczących przetwarzania Danych osobowych.
Geotechnology oraz podmiot przetwarzający wspierają Inspektora w wypełnianiu przez niego zadań.
Geotechnology zapewnia Inspektora zasoby niezbędne do wykonania tych zadań oraz dostęp do Danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.
Geotechnology ani Członkowie Personelu nie są uprawnienia do wydawania instrukcji co do wykonywania zadań Inspektora tj. co do:
1. dotyczących sposobu rozpoznania sprawy;
2. środków jakie mają zostać podjęte;
3. celu jaki powinien zostać osiągnięty,
4. faktu, czy należy skontaktować się z organem nadzorczym;
5. przyjęcia określonego stanowiska w sprawie z zakresu prawa ochrony Danych osobowych.
Geotechnology jest zobowiązany do uwzględnienia stanowiska Inspektora. W przypadku nieuwzględnienia stanowiska Geotechnology jest zobowiązany do sporządzenia udokumentowania przypadków i powodów postępowania niezgodnie ze stanowiskiem Inspektora.
Inspektor ma następujące zadania:
1. informowanie Geotechnology, członków Personelu, którzy przetwarzają Dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie Danych osobowych i doradzanie im w tej sprawie;
2. monitorowanie przestrzegania RODO, Polityki, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty
3. udzielanie na żądanie zaleceń co do oceny oddziaływania na ochronę Danych osobowych oraz monitorowanie jej wykonania;
4. współpraca z Organem nadzorczym;
5. pełnienie funkcji punktu kontaktowego dla Organu nadzorczego w kwestiach związanych
  z przetwarzaniem, w tym z uprzednimi konsultacjami co do oceny skutków dla ochrony Danych osobowych oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
Inspektor wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

ORGAN NADZORCZY

§17 Procedura współpracy z Organem nadzorczym

Geotechnology współpracuje z Organem nadzorczym w ramach wykonywania przez niego swoich zadań
Geotechnology na żądanie Organu nadzorczego udostępnia mu rejestr czynności przetwarzania w celu monitorowania operacji przetwarzania.
Geotechnology umożliwia Inspektorowi- w przypadku jego wyznaczenia – kontakt z Organem nadzorczym.
Geotechnology konsultuje się z Organem Nadzorczym w przypadkach, o których mowa w § 15 Polityki.
Geotechnology zgłasza Organowi nadzorczemu Naruszenia ochrony danych osobowych, zgodnie z § 13 Polityki.
Geotechnology jest zobowiązany dostarczyć Organowi nadzorczy wszystkie informacje i dokumenty wymagane przez Organ nadzorczy.
Geotechnology oraz Personel na każde żądanie Organu nadzorczy są zobowiązani do złożenia zeznania, wydania opinii, okazania przedmiotu oględzin albo udziału w innej czynności urzędowej.
Geotechnology jest zobowiązany do współpracy z kontrolującym podczas przeprowadzonej kontroli.
Każdy członek Personelu po powzięciu informacji lub zawiadomienia o przeprowadzeniu kontroli przez Organ nadzorczy jest zobowiązany do niezwłocznego poinformowania Geotechnology.
Geotechnology jest zobowiązany zapewnić:
1. wstęp na grunt oraz do budynków, lokali lub innych pomieszczeń;
2. wgląd do wszelkich dokumentów i wszelkich informacji mających bezpośredni związek
  z przedmiotem kontroli;
3. przeprowadzanie oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
Geotechnology oraz Personel są zobowiązani do złożenia pisemnych lub ustnych wyjaśnień kontrolującemu.
Geotechnology zapewnia kontrolującemu oraz osobom upoważnionym do udziału w kontroli warunki i środki niezbędne do sprawnego przeprowadzenia kontroli, a w szczególności sporządza we własnym zakresie kopie lub wydruki dokumentów oraz informacji zgromadzonych na nośnikach, w urządzeniach lub w systemach informatycznych Geotechnology.
Geotechnology jest zobowiązany wykonywać zobowiązania nałożone przez Organ nadzorczy w wyniku natychmiastowo wykonalnych lub prawomocnych decyzji albo postanowień.

PAŃSTWA TRZECIE I ORGANIZACJE MIĘDZYNARODOWE

§18 Przekazywanie Danych osobowych do państw trzecich i organizacji międzynarodowych

Geotechnology przekazuje Dane osobowe do państw trzecich i organizacji międzynarodowych wyłącznie
w niezbędnych przypadkach i na podstawie przepisów określonych w RODO.
Geotechnology podejmuje wszelkie działania celem zabezpieczenia danych przekazywanych do państw trzecich
i organizacji międzynarodowych.
Geotechnology korzystając z Portali społecznościowych zamieszcza Dane osobowe, w tym wizerunek wyłącznie w przypadku posiadania zgody Osoby, której dane dotyczą. W przypadku braku takiej zgody Geotechnology na Portalach społecznościowych zamieszcza wyłącznie informacje zawierającą link do strony Geotechnology.

POSTANOWIENIA KOŃCOWE

§19 Aktualizacja środków ochrony danych osobowych

Odpowiedzialny za wdrożenie Polityki jest Zarząd.
Zarząd i Personel są odpowiedzialni za przestrzeganie Polityki.
Za nadzór i monitorowanie przestrzegania Polityki odpowiada Zarząd.
Geotechnology dokonuje przeglądu i sprawdzenia Polityki pod kątem zgodności:
1. z obowiązującymi przepisami prawa;
2. z organizacją przetwarzania danych osobowych u Geotechnology;
3. z wprowadzanymi zamianami w systemach informatycznych
4. z stosowanymi środkami technicznymi i organizacyjnymi ochrony danych osobowych;
5. z rekomendacjami Organu nadzorczego;
6. z wytycznymi, zaleceniami oraz najlepszymi praktykami określonymi przez Europejską Radę Ochrony Danych na podstawie art. 70 ust. 1 lit. d-j i m RODO
Geotechnology monitoruje rekomendacje Organu nadzorczego, wytyczne, zalecenia oraz najlepsze praktyki określone przez Europejską Radę Ochrony Danych na podstawie art. 70 ust. 1 lit. d-j i m RODO uwzględnia je w swoich działaniach.
Geotechnology dokonuje odpowiednich zmian Polityki wynikających z przeglądu i sprawdzenia Polityki.
Geotechnology informuje o zamianach Polityki Personel.
Geotechnology prowadzi rejestr zmian Polityki, który stanowi Załącznik 14 do Polityki

§20 Zasady stosowania Polityki

Polityka jest dokumentem wewnętrznym i nie może być udostępniania osobom nieupoważnionym w żadnej formie.
W sprawach nieuregulowanych w Polityce mają zastosowanie przepisy obowiązujących przepisów prawa.
Polityka wchodzi w życie w dniu [-] roku.
Załącznik do Polityki:
1. Obszary przetwarzania Danych osobowych.
2. Wzór Zgody do przebywania w Obszarze przetwarzania Danych osobowych.
3. Wzór Upoważnienia.
4. Wzór Oświadczenia.
5. Ewidencja udzielonych upoważnień.
6. Opis zabezpieczeń.
7. Wzór wyrażenia zgody.
8. Wzór klauzuli informacyjnej Geotechnology, gdy pozyskuje dane bezpośrednio od Osoby, której dane dotyczą.
9. Wzór klauzuli informacyjnej Geotechnology, gdy pozyskuje dane nie bezpośrednio od Osoby, której dane dotyczą.
10. Realizacja praw Osób, których dane dotyczą.
11. Wzór zgłoszenia Naruszenia ochrony danych osobowych do Organu Nadzorczego.
12. Wzór zawiadomienia Osoby, której dane dotyczą.
13. Rejestr Naruszeń ochrony danych osobowych.
14. Rejestr zmian Polityki.