CORE CONSULTING
REGULAMIN PRZETWARZANIA
DANYCH OSOBOWYCH
REGULAMIN PRZETWARZANIA DANYCH OSOBOWYCH
PRZEZ CORE CONSULTING SP. Z O.O.
W CELU ŚWIADCZENIA USŁUG SZKOLENIOWYCH
§ 1
- Niniejszy regulamin przetwarzania danych osobowych przez CORE Consulting (dalej: Regulamin) stanowi „inny instrument prawny” w rozumieniu art. 28 ust. 3 RODO, na podstawie którego Klient powierza CORE Consulting dane osobowe do przetwarzania w związku ze świadczeniem na rzecz Klienta usług szkoleniowych.
- Ilekroć w Regulaminie jest mowa o:
- CORE Consulting – należy przez to rozumieć CORE Consulting sp. z o.o. z siedzibą w Poznaniu, ul. Wyłom 16, 61-671 Poznań, NIP 7811883221, kapitał zakładowy 5 000 zł, zarejestrowaną w rejestrze przedsiębiorców Krajowego Rejestru Sądowego VIII Wydział Gospodarczy KRS pod numerem 450388;
- Kliencie – należy przez to rozumieć administratora lub podmiot przetwarzający w rozumieniu Rozporządzenia, który powierza CORE Consulting dane osobowe do przetwarzania w związku z Umową;
- RODO lub Rozporządzeniu – należy przez to rozumieć Rozporządzenie Parlamentu Europejskiego i Rady UE z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;
- Umowie – należy przez to rozumieć umowę dotyczącą świadczenia usług szkoleniowych, obejmującą przeprowadzenie szkolenia stacjonarnego lub online dla pracowników Klienta, zapewnienia dostępu do dedykowanej platformy szkoleniowej oraz wystawienie imiennych certyfikatów potwierdzających udział w szkoleniu.
- Niniejszy Regulamin znajduje zastosowanie wyłącznie w tych przypadkach, gdy pomiędzy CORE Consulting a Klientem nie została zawarta indywidualnie wynegocjowana umowa powierzenia danych osobowych.
§ 2
- Zakres powierzonych danych obejmuje dane osobowe pracowników, współpracowników oraz innych osób związanych z organizacją Klienta, których przekazanie może okazać się niezbędne dla wykonywania Umowy na rzecz Klienta.
- Przetwarzanie powierzonych danych odbywa się w siedzibie CORE Consulting.
- CORE Consulting może przetwarzać powyższe dane osobowe wyłącznie w celu wynikającym z Umowy i wyłącznie na okres współpracy objętej Umową oraz jej rozliczenia finansowego z Klientem.
- Po zakończeniu współpracy wszelkie egzemplarze dokumentów zawierające dane osobowe zostaną przekazane Klientowi, a ich kopie oraz wersje elektroniczne na nośnikach CORE Consulting zostaną odpowiednio zniszczone lub usunięte, względnie poddane anonimizacji, chyba że prawo unijne lub prawo polskie nakazuje przechowywanie danych osobowych.
- W razie wpłynięcia stosownego żądania od Klienta CORE Consulting potwierdzi na piśmie czynności opisane w § 2 ust. 4 w terminie 7 dni.
- CORE Consulting może realizować na danych osobowych, o których mowa w ust. 2 niniejszego paragrafu następujące operacje:
- zbieranie,
- utrwalanie,
- przechowywanie,
- opracowywanie,
- usuwanie.
- CORE Consulting jest uprawnione do dalszego powierzenia przetwarzanych danych (podpowierzenie) następującym podmiotom:
- Microsoft w ramach systemu Office 365 – który świadczy dla nas usługi udostępniania oprogramowania oraz powierzchni dyskowej,
- Olicom Interactive Sp. z o.o. – który świadczy dla nas usługi IT
- IQ PL sp. z o.o. – który dostarcza dla naszej platformy szkoleniowej usługi serwerowe.
- Klient wyraża ogólną zgodę na dalsze powierzenie przetwarzania danych osobowych. CORE Consulting informuje Klienta o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym Klientowi możliwość wyrażenia sprzeciwu wobec takich zmian.
- W związku ze stosowaniem przez CORE Consulting wsparcia systemów informatycznych Office 365, których serwery są zlokalizowane w Stanach Zjednoczonych Ameryki, dane osobowe mogą zostać przekazane poza teren Europejskiego Obszaru Gospodarczego. Jeśli mogłoby dochodzić do przekazywania informacji poza Europejski Obszar Gospodarczy, będzie się to odbywać wyłącznie w ramach procedur wymaganych przez przepisy o ochronie danych osobowych, a więc:
- do takich krajów, co do których Komisja Europejska wydała decyzję stwierdzającą, że zapewniają one odpowiedni stopień ochrony, albo
- w razie braku ww. decyzji – po zapewnieniu odpowiednich zabezpieczeń, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej, np. na podstawie zawarcia z podmiotem, do którego dane mają zostać przekazane standardowych klauzul ochrony danych przyjętych przez Komisję Europejską, wyposażonych w dodatkowe środki zabezpieczające – o ile będzie to konieczne.
§ 3
- CORE Consulting zobowiązuje się do posiadania wdrożonych odpowiednich środków technicznych i organizacyjnych przetwarzania danych osobowych zapewniających odpowiedni stopień bezpieczeństwa przetwarzania danych, zgodnie z obowiązującym prawem, stanem wiedzy technicznej oraz charakterem, zakresem, kontekstem i celem przetwarzania.
- Środki, o których mowa w ustępie poprzednim, to co najmniej:
- zabezpieczenie dostępów do komputerów zawierających dane osobowe obowiązkiem podania loginu i hasła; każdy użytkownik powinien mieć swój indywidualny login i hasło; hasło powinno być odpowiednio złożone; stosowanie wygaszaczy ekranu;
- stosowanie oprogramowania antywirusowego i firewall;
- stosowanie wyłącznie systemów operacyjnych posiadających aktualne wsparcie producenta; dotyczy również oprogramowania open source posiadającego aktualne wsparcie;
- stosowanie protokołu szyfrowanego przy odbiorze i wysyłce korespondencji e-mail;
- w przypadku zastosowania telefonu do przetwarzania powierzonych danych – zabezpieczenie dostępu do telefonu hasłem lub kodem PIN oraz wprowadzenie opcji szyfrowania danych na urządzeniu;
- w przypadku przechowywania danych na serwerach, w tym w chmurze – korzystanie wyłącznie z rozwiązań tych podmiotów, znajdujących się w państwach, które przynależą do Europejskiego Obszaru Gospodarczego. W przypadku korzystania z usług podmiotów znajdujących się w Państwach trzecich – korzystanie z usług tych podmiotów, które znajdują się na terenie krajów, co do których Komisja Europejska wydała decyzję stwierdzającą, że zapewniają one odpowiedni stopień ochrony, albo w razie braku ww. decyzji – po zapewnieniu odpowiednich zabezpieczeń, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej, np. na podstawie zawarcia z podmiotem, do którego dane mają zostać przekazane standardowych klauzul ochrony danych przyjętych przez Komisję Europejską, wyposażonych w dodatkowe środki zabezpieczające – o ile będzie to konieczne.
- dla danych w systemach informatycznych – realizowanie kopii zapasowych baz danych;
- ograniczenie dostępu do dokumentów w formie papierowej wyłącznie do CORE Consulting; przechowywanie dokumentów w bezpieczny sposób (w biurze – w szafach zamykanych na klucz, poza biurem teczki na dokumenty w miejscu niedostępnym dla osób niepowołanych, zamykane pudła na przewożenie dokumentów z papierami w samochodzie);
- dostęp do poszczególnych powierzonych danych powinny mieć tylko te osoby w strukturze CORE Consulting, które realizują niezbędne działania na tych danych w ramach wykonywania Umowy;
- realizowanie okresowych szkoleń dla pracowników i współpracowników CORE Consulting.
- Przekazywanie danych pomiędzy CORE Consulting i Klientem dokonywane będzie w formie
papierowej lub elektronicznej (np. w formacie *doc, *xls, *xlsx, *pdf) jako webservices oraz e-mail.
§ 4
- CORE Consulting zobowiązuje się do zachowania w tajemnicy zarówno powierzonych danych, jak również informacji dotyczących sposobów ich zabezpieczenia. Obowiązek zachowania poufności obowiązuje bezterminowo.
- CORE Consulting oświadcza, że każda osoba przez nią zaangażowana mająca dostęp do danych osobowych uzyskała odrębne pisemne upoważnienie, zobowiązała się do zachowania poufności takich danych oraz będzie je przetwarzała wyłącznie na polecenie CORE Consulting, w granicach realizacji Umowy i niniejszego Regulaminu.
- CORE Consulting oświadcza, że w razie stwierdzenia:
- wycieku danych osobowych, w tym zagubienia nośnika danych osobowych;
- utraty danych osobowych;
- nieautoryzowanej zmiany danych osobowych;
- innego przypadku mogącego wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób, których dane dotyczą;
zawiadomi o takiej okoliczności Klienta niezwłocznie, jednak w każdym przypadku nie później niż w ciągu 36 godzin od daty stwierdzenia, podając przy tym wszystkie okoliczności zdarzenia.
- CORE Consulting niezwłocznie po stwierdzeniu zdarzenia, o którym mowa w ust. 3 niniejszego paragrafu zobowiązana jest:
- zabezpieczyć wszelkie dowody na okoliczność zdarzenia;
- wyeliminować przyczynę naruszenia, o ile jest to jeszcze możliwe;
- podjąć stosowne środki zaradcze dla ograniczenia skutków wystąpienia naruszenia.
- W przypadku naruszeń ochrony danych osobowych innych niż te określone w ust. 3 niniejszego paragrafu CORE Consulting zobowiązana jest poinformować o takiej okoliczności nie później niż w terminie 48 godzin od chwili ich stwierdzenia, podając przy tym wszystkie okoliczności zdarzenia. Postanowienia ust. 4 niniejszego paragrafu stosuje się odpowiednio.
- Niezależnie od powyższych obowiązków informacyjnych, CORE Consulting niezwłocznie powiadomi Klienta o wszelkich czynnościach i postępowaniach prowadzonych w zakresie powierzonych do przetwarzania danych osobowych przez organy administracji publicznej (w szczególności Prezesa Urzędu Ochrony Danych Osobowych) lub organy wymiaru sprawiedliwości.
§ 5
- CORE Consulting zobowiązana jest udzielać Klientowi wszelkich informacji dotyczących przetwarzania powierzonych jej przez Klienta danych osobowych i realizować niezbędne działania mające na celu zadośćuczynić prawom osoby, której dane dotyczą, w szczególności w zakresie określonym w Rozdziale III Rozporządzenia. CORE Consulting zobowiązana jest stosować odpowiednie środki organizacyjne oraz techniczne pozwalające na realizację ww. praw.
- Biorąc pod uwagę charakter przetwarzania danych oraz posiadane informacje, CORE Consulting zobowiązuje się do pomocy Klientowi w zakresie wywiązywania się z obowiązków wymienionych w art. 32-36 Rozporządzenia, tj. w szczególności dotyczących wdrażania odpowiednich środków technicznych i organizacyjnych, zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu oraz osobie, której dane dotyczą, co oznacza udzielenie Klientowi na każde jego żądanie i we wskazanym przez niego terminie wszelkich wyjaśnień i innych form wsparcia, w tym informacji o stanie faktycznym, które pomogą Klientowi w spełnieniu jego obowiązków wynikających z Rozporządzenia.
§ 6
- Klient ma prawo do kontroli przestrzegania niniejszego Regulaminu przez CORE Consulting odnośnie do zobowiązań, o których w nim mowa, w szczególności do:
- przeprowadzania bezpośredniej inspekcji przetwarzania danych osobowych w siedzibie CORE Consulting i innych miejscach, w których następuje przetwarzanie danych osobowych będące przedmiotem Regulaminu,
- zlecania podmiotom zewnętrznym prowadzenia audytu warunków przetwarzania danych osobowych.
- Warunkiem przeprowadzenia kontroli jest zawiadomienie CORE Consulting w terminie 14 dni przed planowanym terminem jej przeprowadzenia. CORE Consulting upoważniona jest odmówić przedstawicielom Klienta przeprowadzenia czynności kontrolnych, jeżeli pojawią się oni w siedzibie CORE Consulting bez zawiadomienia lub po zawiadomieniu, które nie uwzględnia terminu, o którym mowa w zdaniu poprzedzającym.
- Przedstawiciele Klienta uprawnieni do przeprowadzania czynności kontrolnych zobowiązani są powstrzymać się od działań mogących doprowadzić do naruszenia bezpieczeństwa przetwarzanych danych innych niż określone w Regulaminie.
- CORE Consulting udostępnia Klientowi wszelkie informacje niezbędne do wykazania spełnienia nałożonych na CORE Consulting zobowiązań wynikających z Regulaminu.
- Niezależnie od prawa do kontroli Klientowi przysługuje prawo kierowania zapytań do CORE Consulting w zakresie prawidłowości wykonania przez CORE Consulting obowiązków dotyczących zabezpieczenia powierzonych jej na podstawie Regulaminu danych, w szczególności może żądać przedstawienia dokumentacji ochrony danych osobowych obowiązujących w przedsiębiorstwie CORE Consulting, w tym dokumentu analizy ryzyka przetwarzania danych (lub co najmniej dowodu jej przeprowadzenia).
- CORE Consulting zobowiązuje się udzielić pisemnej odpowiedzi na zapytanie, o którym mowa w ust. 4 niniejszego paragrafu w terminie 3 dni od daty wpłynięcia zapytania.
§ 7
- CORE Consulting ponosi względem Klienta oraz względem osób trzecich pełną odpowiedzialność, w tym odpowiedzialność odszkodowawczą, za wszelkie stwierdzone naruszenia reguł ochrony danych osobowych na gruncie powszechnie obowiązującego prawa oraz Regulaminu, których dopuści się w związku z realizacją Regulaminu. CORE Consulting ponosi również taką odpowiedzialność względem Klienta za wszelkie podmioty, którymi posłuży się przy realizacji Regulaminu, w tym podmioty, o których mowa w § 2 ust. 7 Regulaminu, tak jakby sama tych naruszeń dokonała.
- W ramach odpowiedzialności, o której mowa w ust. 1 powyżej, na wypadek stwierdzenia jakichkolwiek naruszeń CORE Consulting będzie zobowiązana w szczególności, lecz nie wyłącznie:
- zapewnić przywrócenie stanu zgodnego z prawem;
- zapewnić wykonanie i pokrycie kosztów wszelkich powstałych zobowiązań względem osób trzecich, których prawa zostały naruszone i które zasadnie domagają się stosownych świadczeń, rekompensat lub innych działań;
- pokryć koszty wszelkich ewentualnych kar administracyjnych nałożonych na Klienta ostateczną decyzją administracyjną lub innym aktem organu administracji publicznej.
§ 8
- Regulamin obowiązuje do chwili zakończenia świadczenia przez CORE Consulting na rzecz Klienta usług na podstawie Umowy.
- Niezależnie od innych regulacji Klient ma prawo wypowiedzieć Umowę w trybie natychmiastowym, jeżeli CORE Consulting:
- wykorzystuje dane osobowe w sposób niezgodny z Regulaminem lub
- nie usunie w wyznaczonym terminie stwierdzonych przez Klienta naruszeń w CORE Consulting w zakresie zabezpieczenia przetwarzania danych osobowych.
§ 9
- Zmiana Regulaminu wymaga powiadomienia Klienta w formie dokumentowej pod rygorem nieważności.
- W sprawach nieuregulowanych Regulaminem mają zastosowanie przepisy Rozporządzenia.
- Postanowienia Regulaminu stosuje się od 14.09.2022 r.