POLITYKA PRZETWARZANIA I RETENCJI DANYCH OSOBOWYCH W ACENTRUM SZKOLENIA ANETA GICZEWSKA-SUJEWICZ WIOLETTA BARTKIEWICZ S.C.

W wykonaniu przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – dalej RODO).  ustanawia się Politykę przetwarzania i retencji danych w Acentrum Szkolenia Aneta Giczewska-Sujewicz Wioletta Bartkiewicz s.c. zwany dalej Polityką.

 § 1. Przedmiot Polityki

Polityka ustala w szczególności zasady przetwarzania i ochrony danych osobowych w Acentrum Szkolenia Aneta Giczewska-Sujewicz Wioletta Bartkiewicz s.c. (dalej „Acentrum”).Polityka ta określa obowiązki pracodawcy i pracowników związane z ochroną danych osobowych oraz zasady użytkowania sprzętu komputerowego powierzonego pracownikom przez Acentrum

§ 2. Znaczenie terminów

Ilekroć w Polityce jest mowa o:

1. administratorze danych, rozumie się przez to Acentrum,
2. danych osobowych, rozumie się przez to każdą informację dotyczącą osoby fizycznej pozwalającą na określenie w sposób pośredni lub bezpośredni tożsamość tej osoby,
3. Inspektorze Ochrony Danych – rozumie się przez to wyznaczoną przez Acentrum  odpowiedzialną za:
4. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
5. monitorowanie przestrzegania wymogów RODO, innych przepisów o ochronie danych
6. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
7. współpraca z organem nadzorczym;
8. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
9. odbiorca – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania, nie są jednak uznawane za odbiorców
10. przetwarzaniu danych osobowych, rozumie się jakiekolwiek operacje wykonywane na danych osobowych, a zwłaszcza zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych
11. podmiot przetwarzający – Podmiot przetwarzający dane osobowe w imieniu administratora
12. pracowniku, rozumie się osobę zatrudnioną w Acentrum bez względu na podstawę prawną nawiązania stosunku pracy,
13. pracowniku upoważnionym, rozumie się pracownika upoważnionego do przetwarzania danych osobowych,
14. naruszeniu przepisów ochrony danych osobowych, rozumie się przez to nielegalne lub niekontrolowane ujawnienie, pozyskanie danych przez osoby nie będące pracownikami, nieuzasadniona  modyfikacje lub zniszczenie danych osobowych,
15. systemie informatycznym, rozumie się przez to system informatyczny przetwarzania danych osobowych oraz urządzenia do niego przynależne
16. sprzęcie komputerowym, rozumie się przez to wszelkie urządzenia służące do przetwarzania danych w postaci elektronicznej, które stanowią własność Acentrum, bądź są użytkowane na podstawie odrębnej umowy w związku z realizacją celów Acentrum.
17. strona trzecia – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe
18. współadministratorzy – co najmniej dwóch administratorów wspólnie ustalających cele i sposoby przetwarzania danych osobowych.

§ 3. Inspektor Ochrony Danych

1. Inspektor Ochrony Danych powoływany jest decyzją Prezesa Zarządu, o ile jest to wymagane. W przypadku niewyznaczenia Inspektora Ochrony Danych jego obowiązki wykonuje Prezes Zarządu.
2. Inspektor Ochrony Danych (DPO) odpowiada za bezpieczeństwo danych osobowych.
3. Inspektor Ochrony Danych nadzoruje prawidłowość przetwarzania danych osobowych w Acentrum, a w szczególności pracę systemu informatycznego oraz pracę informatyków.
4. Inspektor ochrony danych ma następujące zadania:
5. informowanie Acentrum, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
6. monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk Acentrum lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
7. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
8. współpraca z organem nadzorczym;
9. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
10. Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

§ 4. Obsługa systemu informatycznego

1. System informatyczny może być obsługiwany wyłącznie przez pracowników upoważnionych do przetwarzania danych osobowych. Upoważnienia do przetwarzania danych osobowych w imieniu Acentrum wystawia Prezes Zarządu Acentrum. Upoważnienia są wystawiane pracownikom, współpracownikom (osobom świadczącym pracę na rzecz) Acentrum, które zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz z odpowiedzialnością za niezgodne z prawem przetwarzanie danych osobowych. 
2. Dostęp do systemów informatycznych nadawany jest wyłącznie osobom posiadającym uprawnienia do przetwarzania danych osobowych.
3. Zakres uprawnień poszczególnych użytkowników do przetwarzania danych osobowych (w tym szczególności w systemach informatycznych) określają osobne dokumenty (zależnie od formy świadczenia pracy) takie jak np:
4. zakres czynności,
5. umowa zlecenie,
6. umowa o dzieło.

§ 5. Zabezpieczenie i przechowywanie danych osobowych

1. Przebywanie osób nieuprawnionych do dostępu do danych osobowych wewnątrz obszaru przetwarzania danych osobowych jest dopuszczalne tylko w obecności pracownika upoważnionego.
2. Wszystkie pomieszczenia, w których są przetwarzane dane osobowe powinny być zamykane na czas nieobecności w nich pracowników upoważnionych, w sposób uniemożliwiający dostęp do nich osób nieuprawnionych.
3. Dokumenty, w których znajdują się dane osobowe należy przechowywać pod zamknięciem uniemożliwiającym dostęp do nich osób nieupoważnionych.
4. Dokumenty niepotrzebne powinny być niszczone w niszczarce w sposób zapobiegający ich odtworzeniu.
5. Dokumenty podlegające obowiązkowej archiwizacji należy niezwłocznie po zaprzestaniu ich przetwarzania przekazać do właściwego archiwum.
6. Zakazane jest sporządzanie podręcznych notatek lub innych zapisów zawierających dane osobowe.
7. Wszystkie osoby w Acentrum, których rodzaj wykonywanej pracy będzie wiązał się z dostępem do danych osobowych, przed przystąpieniem do pracy, podlegają przeszkoleniu w zakresie obowiązujących przepisów prawa dotyczących ochrony danych osobowych oraz obowiązujących w jednostce zasad ochrony danych osobowych. Wymagana częstotliwość szkoleń raz w roku.
8. Osobą odpowiedzialną za wdrożenie nowego pracownika, oraz zapoznanie go z obowiązujących przepisów prawa, jak również za nadzór i okresowe (minimum raz w roku) przypominanie o wymogach ochrony danych osobowych jest odpowiedzialny każdy kierownik jednostki organizacyjnej w której jest zatrudniana dana osoba.
9. Kadra kierownicza i menadżerska oraz pracownicy odpowiadają za bezpieczeństwo danych osobowych stosownie do powierzonych sobie zadań oraz do zakresu zadań, które ma nadzorować (w tym nadzór nad podwładnymi i podwykonawcami).
10. Wszystkie osoby realizujące zadania na rzecz Acentrum, na podstawie np.: umowy o pracę, umowy zlecenia, umowy o dzieło, umowy współpracy, powinni dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. W szczególności osoby te stosownie do zakresu swojej odpowiedzialności, są obowiązane zapewnić, aby przetwarzane dane osobowe były:
    1. zasada 1 – zgodność z prawem, rzetelność i przejrzystość (przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą), 
    1. zasada 2 – ograniczenie celu (zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami );
    1. zasada 3 – minimalizacja danych (adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane);
    1. zasada 4 – prawidłowość (inaczej aktualność danych) – prawidłowe i w razie potrzeby uaktualniane; Należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe, zostały niezwłocznie usunięte lub sprostowane, 
    1. zasada 5 – ograniczenie przechowywania (przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane); Dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne w celu ochrony praw i wolności osób, których dane dotyczą;  
    1. zasada 6 – integralność i poufność (zapewnienie odpowiedniego bezpieczeństwa danych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych).  

§ 6. Korzystanie ze sprzętu komputerowego, monitoring i kontrola

1. Sprzęt komputerowy przynależny do Acentrum jest przeznaczony wyłącznie do użytku służbowego dla realizacji celów firmy.
2. Dostępu do Internetu ze sprzętu komputerowego Acentrum nie można wykorzystywać z naruszeniem lub w celu naruszenia praw autorskich i pokrewnych, wyszukiwania informacji zakazanych na mocy prawa lub do celów komercyjnych. Każdy przypadek takiego dostępu jest ciężkim naruszeniem obowiązków pracowniczych.
3. Uprawnienia administracyjne do stacji roboczej i innych składników systemu informatycznego przyznaje się tylko na wniosek kadry menadżerskiej Acentrum.
4. Oprogramowanie sprzętu komputerowego może być instalowane tylko przez informatyków Acentrum. Zabrania się samodzielnego dokonywania zmian w zainstalowanym oprogramowaniu lub instalowania innych programów. Bez zgody Prezesa Zarządu Acentrum pracownik nie ma prawa do celów realizacji zadań  Acentrum używać oprogramowania komputerowego nie należącego do  Acentrum.
5. Wszystkie informacje zgromadzone w zasobach spółki zawartych w systemie informatycznym przynależą  do Acentrum i są w wyłącznej dyspozycji Acentrum.
6. Korzystanie ze sprzętu komputerowego może być monitorowane przez osoby upoważnione przez Zarząd Acentrum. W szczególności monitorowaniu podlega:
7. korzystanie ze sprzętu komputerowego,
8. korzystanie z poczty elektronicznej służbowej,
9. sposób wykorzystania  połączeń do Internetu,
10. korzystanie z powierzonego mienia stosownie do postanowień umowy o odpowiedzialności za powierzone mienie.
11. Informacje uzyskane w wyniku monitorowania są jedną z podstaw oceny jakości pracy świadczonej przez pracownika.
12. Do obowiązków pracowników zatrudnionych na stanowiskach kierowniczych niezależnie od innych obowiązków należy kontrola: sposobu wykorzystania zasobów Acentrum. (w tym ochrony dany osobowych), rozliczenia się pracownika z Acentrum, w związku z rozwiązaniem lub wygaśnięciem stosunku pracy oraz zabezpieczenia dokumentów związanych z pracą i zablokowania dostępu do systemów komputerowych, z których pracownik korzystał.
13. Jeżeli przetwarzanie ma być dokonywane w imieniu Acentrum, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
14. Acentrum może korzystać z usług wyłącznie takich podmiotów przetwarzających PP, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom RODO, w tym wymogom bezpieczeństwa przetwarzania.

§ 7. Udzielanie dostępu do systemów informatycznych

1. Zakres uprawnień jest jednoznacznie określony stanowiskiem. Jeżeli potrzebny jest szerszy zakres podaje się dokładny zakres uprawnień, o które się występuje. O przyznanie lub zmianę uprawnień dostępu poszczególnych składników systemu informatycznego dla uprawnionych pracowników mają prawo wnioskować na formularzu stanowiącym załącznik nr 1 do niniejszej Polityki przełożeni pracowników. Decyzję podejmuje Prezes Zarządu Acentrum wydając dyspozycję nadania uprawnień.
2. Dostęp do systemu informatycznego pracownika jest możliwy po zalogowaniu. Specjalista Informatyk przydziela każdemu pracownikowi upoważnionemu osobisty login dający, w połączeniu z hasłem ustalanym przez tego pracownika, dostęp do systemu informatycznego. Po założeniu konta, o ustawieniu uprawnień, informowany jest wnioskodawca.
3. Osoba, dla której nadano czy zmieniono uprawnienia dostaje informacje (login, hasło, identyfikator) drogą mailowa, o ile to jest możliwe. Jeżeli to nie jest możliwe to informacja ta przesyłana jest do wnioskodawcy. Wnioski o nadanie uprawnień są archiwizowane przez Informatyka.
4. Hasło dostępu do systemu ustalone przez pracownika upoważnionego podlega zmianie nie rzadziej niż raz na 30 dni. Długość hasła musi wynosić nie mniej niż 8 znaków i zawierać 3 grupy z 4 takich jak małe i duże litery, znaki specjalne, cyfry.
5. Każdy pracownik upoważniony winny jest zachować w tajemnicy indywidualne hasło oraz identyfikator i nie udostępniać go osobom nieuprawnionym do korzystania z systemu informatycznego.
6. Pracownik upoważniony jest zobowiązany zabezpieczyć dostęp do komputera hasłem oraz nie zezwalać na używanie komputera osobom nieupoważnionym do dostępu do danych osobowych.
7. Pracownik upoważniony korzystający z przenośnego komputera służącego do przetwarzania danych osobowych, zobowiązany jest zachować szczególną ostrożność podczas jego transportu i przechowywania poza obszarem przetwarzania danych osobowych zapobiegającej naruszeniu ochrony danych osobowych.
8. Wszystkie przenośne urządzenia służące do przetwarzania danych osobowych powinny zabezpieczać dane osobowe przed dostępem do nich osób nieuprawnionych za pomocą szyfrowania.

§ 8 Naruszenie ochrony danych

1. W przypadku stwierdzenia naruszenia ochrony danych osobowych użytkownicy systemu informatycznego mają obowiązek wstrzymania się z jakimikolwiek czynnościami dokonywanymi w systemie informatycznym, poza jego zabezpieczeniem przed dostępem osób nieuprawnionych oraz niezwłocznego zawiadomienia o naruszeniu przełożonego oraz Inspektora Ochrony Danych lub upoważnioną przez niego osobę. 
2. Postanowienia ust. 1 stosuje się również w przypadku, gdy stan urządzeń, zawartość zbioru danych osobowych, sposób działania systemu informatycznego lub jakość komunikacji w sieci telekomunikacyjnej mogą wskazywać na naruszenia ochrony danych osobowych.
3. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zobowiązany będzie zgłosić je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Zgłoszenie takie powinno:
4. opisywać charakter naruszenia, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych;
5. zawierać imię i nazwisko oraz dane kontaktowe IOD lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
6. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
7. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

§ 9 Inny sprzęt służbowy

1. Acentrum udostępnia pracownikom także inny sprzęt służbowy, a w szczególności telefony służbowe i samochody służbowe. 
2. Użytkownikowi telefonu służbowego jak również Pracodawcy przysługuje prawo wglądu w bilingi telefonu, który jest w posiadaniu użytkownika. Weryfikacja bilingów będzie przeprowadzona przez osobę upoważnioną przez właścicieli firmy.
3. Pracodawca zastrzega sobie prawo przekazania danych zebranych w pamięci telefonu oraz danych zawartych w książce telefonicznej nowemu użytkownikowi telefonu po rozwiązaniu z dotychczasowym użytkownikiem umowy o pracę.
4. Acentrum zastrzega sobie prawo przekazywania w związku z zaistniałym zdarzeniem drogowym, wykroczeniem drogowym lub podejrzeniem jego popełnienia, danych osobowych pracownika – użytkownika pojazdu służbowego organom min. tj. Policja, Prokuratura, Straż Miejska oraz innym uprawnionym do ich przetwarzania podmiotom na podstawie odrębnych przepisów prawa.

§ 10. Zasada „Czystego Biurka”

W Acentrum. wprowadza się zasadę „Czystego Biurka” tzn.

1. Wszyscy Pracownicy Acentrum są zobowiązani do dołożenia szczególnej staranności w celu ochrony danych osobowych osób, których dane są przetwarzane w Acentrum. 
2. W tym celu w momencie opuszczania stanowiska pracy zobowiązuje się pracowników do:
   1. zabezpieczania dostępu do systemów informatycznych przed dostępem osób nieupoważnionych poprzez blokowanie dostępu do systemów komputerowych.
   1. zabezpieczania wszelkich dokumentów zawierających dane osobowe przed dostępem osób nieupoważnionych poprzez zabezpieczanie ich (zamykanie) w szafach (biurkach, lub szufladach) zamykanych na klucz.
3. Wszyscy pracownicy zobowiązani są do niezwłocznego odbierania z drukarek wszystkich dokumentów, które skierowali do wydruku.
4. Każdy pracownik w trakcie realizacji swoich obowiązków odpowiada za zabezpieczenie przed dostępem do nich osób nieupoważnionych dokumentów i danych do których ma dostęp w czasie realizacji zadań. Jeżeli dokumenty nie podlegające archiwizacji, które zawierają dane podlegające ochronie utraciły użyteczność dla Acentrum to dokumenty takie należy zniszczyć w niszczarce.
5. Na koniec dnia pracy każdy Kierownik Biura zobowiązany jest przeprowadzić, minimum 1 raz w tygodniu, kontrolę stanu realizacji zasady czystego Biurka w odniesieniu do pracowników wpisując ten fakt do zeszytu „kontroli bieżącej” oraz wyniki kontroli.
6. Jeżeli w danej komórce organizacyjnej brak jest środków zabezpieczenia danych, czy dokumentów (np. szafek zamykanych na klucz, niszczarek, systemów kontroli dostępu to osoba kierująca komórką organizacyjną zobowiązany jest o wnioskowanie o zakup odpowiednich środków zabezpieczeń.
7. Za stosowanie i nadzór zasady „czystego biurka” w Acentrum odpowiada Prezes Zarządu Acentrum.

§ 11 Badanie poprawności danych

1. Podczas realizacji zadań pracownicy Acentrum są zobowiązani do badania poprawności danych tzn. realizując swoje zadania powinni sprawdzać czy dane osobowe używane do realizacji zadań są aktualne;
2. Każdy pracownik Acentrum zobowiązany jest podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe, zostały niezwłocznie usunięte lub sprostowane.

§ 12 Odpowiedzialność pracownicza

1. Oprogramowanie sprzętu komputerowego może być instalowane tylko przez informatyków  Acentrum. Zabrania się samodzielnego dokonywania zmian w zainstalowanym oprogramowaniu lub instalowania innych programów.
2. Obowiązek każdego pracownika Acentrum – natychmiastowe zgłoszenie zauważonych incydentów bezpieczeństwa bezpośredniemu przełożonemu lub Inspektorowi Ochrony Danych.
3. Pracownik ponosi odpowiedzialność porządkową i materialną na zasadach określonych Kodeksem pracy w przypadku:
4. stwierdzenia przez kontrolę wewnętrzną lub zewnętrzną zainstalowania na urządzeniach udostępnionych pracownikowi przez pracodawcę w celu wykonywania pracy oprogramowania komputerowego na które nie ma wymaganej licencji,
5. stwierdzenia użytkowania sprzętu komputerowego do celów niezgodnych z celami  Acentrum,
6. zainstalowania na udostępnionym pracownikowi sprzęcie komputerowym oprogramowania innego niż zainstalowany przez pracodawcę,
7. nie stosowania zasady „Czystego Biurka”.
8. W wypadku umyślnego uszkodzenia sprzętu użytkownik ponosi odpowiedzialność materialną za szkodę wyrządzoną Acentrum na zasadach określonych w Kodeksie Cywilnym.

§ 13. Bezpieczeństwo Informacji.

1. Odpowiedzialność za bezpieczeństwo informacji w Acentrum ponoszą wszyscy pracownicy zgodnie z posiadanymi zakresami obowiązków. Zabrania się przenoszenia niezabezpieczonych danych osobowych poza teren Acentrum. W szczególności zabrania się przenoszenia danych poufnych na nośnikach elektronicznych (np.: pendrive, nośniki CD) poza teren Acentrum.
2. Wszelkie zauważone uszkodzenia lub nieprawidłowości w pracy sprzętu komputerowego należy natychmiast zgłosić do Kierownika.
3. Obowiązek każdego pracownika Acentrum – natychmiastowe zgłoszenie zauważonych incydentów bezpieczeństwa bezpośredniemu przełożonemu lub IOD.

§ 14. Zasady retencji danych

1. Dane osobowe mogą być zbierane w Acentrum w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
2. Przetwarzanie danych osobowych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami.
3. Dane osobowe mogą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
4. Dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne w celu ochrony praw i wolności osób, których dane dotyczą
5. Dane osobowe mogą być przechowywane w Acentrum:
6. dane kandydatów (osób zainteresowanych pracą lub współpracą w charakterze zleceń) – przez okres maksymalnie 1 roku od ostatniego potwierdzenia zainteresowania świadczenia usług lub pracy na rzecz Acentrum,
7. dane pracowników – przez okres 50 lat po zakończeniu świadczenia pracy
8. dane klientów – prze okres 5 lat po zamknięciu roku obrachunkowego w którym zostało zakończone ostatnie zlecenie (zrealizowana umowa) ,
9. dane potencjalnych klientów przez okres 3 lat od uzyskania tych danych lub przez okres 10 lat jeżeli dana osoba wyraziła zgodę na przetwarzanie danych dla celów,
10. dane związane z dochodzeniem roszczeń przez okres w którym dochodzenia mogą być skuteczne, jednak nie dłużej niż 10 lat od czasu którego roszczenia dotyczą.

§ 15 Postanowienia końcowe

1. Postanowienia niniejszej Polityki stosuje się odpowiednio do przetwarzania danych osobowych na sprzęcie komputerowym powierzonym pracownikowi, w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych.
2. W sprawach nie objętych niniejszą Polityką mają zastosowanie przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych i inne przepisy prawne obowiązujące w Polsce.
3. Polityka wchodzi w życie z dniem ogłoszenia.

Warszawa, dnia 26 stycznia 2026 roku.