RODO

I. Postanowienia ogólne.

1. Administratorem danych osobowych jest KRAFTCONTROL sp. z o.o., ul. Wyzwolenia 30 43-170 Łaziska Górne, zarejestrowana w rejestrze przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy Katowice-Wschód w Katowicach Wydział VIII Gospodarczy Krajowego Rejestru Sądowego pod numerem 0000560264, NIP 635 183 16 75, (dalej „Spółka”)
2. W Spółce może zostać powołany Inspektor Ochrony Danych Osobowych (dalej również „IOD”).
3. W Spółce przetwarzane są dane osobowe. Kategorie danych osobowych oraz sposoby ich przetwarzania określa Załącznik nr 1 do niniejszej polityki ochrony danych osobowych.
4. Podmiotom, których dane osobowe są przetwarzane przysługują uprawnienia określone w niniejszej Polityce oraz przepisach prawa powszechnie obowiązującego.
5. Spółka jest uprawniona do powierzenia przetwarzania danych osobowych. Spółka jest uprawniona do wyrażenia: (i) ogólnej zgody na dalsze powierzenie przetwarzania danych osobowych, z zachowaniem prawa do wyrażenia sprzeciwu na podpowierzenie przetwarzania danych w odpowiedniej procedurze, lub (ii) zgody szczególnej na przetwarzanie danych osobowych przez skonkretyzowany podmiot.
6. Przetwarzanie danych następuje na podstawie i w granicach wyznaczonych przez przepisy prawa powszechnie obowiązującego, a w szczególności w oparciu o:
   1. przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej również RODO)
   2. przepisy ustawy z z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej również Ustawa).
7. Przetwarzanie danych osobowych następuje niezależnie od podstawy lub źródła ich pozyskania, w tym w szczególności w stosunku do danych otrzymanych przez Spółkę na podstawie umowy o powierzenie przetwarzania danych, jak i dane Spółce udostępnione.
8. Przetwarzanie szczególnych kategorii danych osobowych następuje wyłącznie w zakresie i na warunkach przewidzianych przez przepisy prawa powszechnie obowiązującego.
9. Polityka ochrony danych osobowych ma na celu:
   1. określenie ogólnych zasad przetwarzania danych osobowych w Spółce, w tym zasad udzielania upoważnień do przetwarzania danych osobowych, zasad powierzenia przetwarzania danych osobowych, ich udostępniania,
   2. wskazanie praw osób, których dane dotyczą,
   3. wskazanie zasad postępowania w przypadku wystąpienia naruszenia bezpieczeństwa danych osobowych lub zagrożenia naruszenia bezpieczeństwa danych osobowych.
10. Każda osoba świadcząca pracę lub usługi na rzecz Spółki jest zobowiązana do przestrzegania zasad ochrony danych osobowych. Naruszenie zasad ochrony danych stanowi naruszenie istotnych obowiązków pracowniczych lub istotnych zobowiązań umownych, z wszelkimi
    tego skutkami przewidzianymi w przepisach prawa, obowiązujących w Spółce politykach lub w zobowiązaniach umownych.
11. Administrator zobowiązany jest do zapewnienia: (i) środków organizacyjnych i prawnych zapewniających bezpieczeństwo przetwarzania danych osobowych, (ii) zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu, (iii) zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, (iv) dokonywania oceny skutków podejmowanych działań dla ochrony danych osobowych oraz dokonywania, w razie potrzeby, konsultacji z organem nadzorczym. Administrator wykonuje również inne obowiązki, określone w przepisach prawa powszechnie obowiązującego.
12. Administrator zobowiązany jest do komunikowania się z podmiotem, którego dane dotyczą, w tym w szczególności do udzielania mu wszelkich informacji i wyjaśnień w przejrzystej i zrozumiałej dla niego formie, dostosowanej do podejmowanych działań oraz zapewniającej możliwość rozliczenia obowiązku ich udzielenia.

II. Dane osobowe

1. Dane osobowe podlegają przetwarzaniu przez Spółkę w zakresie dozwolonym przepisami prawa powszechnie obowiązującego.
2. Polityka ochrony danych ma zastosowanie do przetwarzania przez Spółkę wszelkich danych osobowych.
3. Polityka ochrony danych osobowych ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.
4. Spółka stosuje następujące zasady przetwarzania danych osobowych, określone szczegółowo w art. 5 RODO:
   1. zasadę zgodności z prawem, rzetelności i przejrzystości przetwarzania,
   2. zasadę ograniczenia celu przetwarzania,
   3. zasadę minimalizacji danych,
   4. zasadę prawidłowości przetwarzania,
   5. zasadę ograniczenia przechowywania,
   6. zasadę integralności i poufności przetwarzania,
   7. rozliczalności przetwarzania.
5.  Na warunkach i zasadach przewidzianych przepisami prawa powszechnie obowiązującego podmioty, których dane osobowe są przetwarzane, są uprawnione do:
   1. uzyskania informacji dotyczących przetwarzania danych osobowych w zakresie i formie prawem przewidzianej, w tym w szczególności w sposób przejrzysty dla niej i zrozumiały,
   2. prawo wglądu do danych, żądania poprawienia lub sprostowania danych,
   3. prawo żądania usunięcia danych w przypadkach prawem przewidzianych („prawo do bycia zapomnianym”),
   4. prawo do ograniczenia przetwarzania danych,
   5. prawo do przenoszenia danych,
   6. prawo sprzeciwu oraz niepodleganiu decyzji opartych na zautomatyzowanych przetwarzaniu danych,
   7. prawo do cofnięcia zgody na przetwarzanie danych osobowych,
   8. inne przewidziane w przepisach prawa powszechnie obowiązującego.
6. W Spółce przetwarzane są w szczególności następujące dane osobowe:
   1. pracowników oraz osób świadczących na rzecz Spółki usługi w oparciu o jakąkolwiek podstawę prawną oraz dane członków ich rodzin,
   2. klientów oraz potencjalnych klientów Spółki,
   3. wykonawców Spółki,
   4. dane powierzone przez kontrahentów Spółki.

III. Zasady przetwarzania danych osobowych

1. Dane osobowe mogą być przetwarzane wyłącznie w oparciu o podstawy przetwarzania wynikające z prawa powszechnie obowiązującego, z uwzględnieniem poniższych, szczegółowych zasad:
   1. w przypadku przetwarzania danych osobowych w celu realizacji prawnie uzasadnionego interesu Zarząd Spółki przed podjęciem decyzji dokonuje wyważenia interesów Spółki oraz osoby, której dane dotyczą. Dokumentacja działań jest przez Spółę archiwizowana,
   2. w przypadku, jeśli jedyną podstawą przetwarzania danych jest zgoda podmiotu, którego dane dotyczą, Spółka umożliwia temu podmiotowi cofnięcie zgody w sposób równie prosty, jak jej złożenie oraz co najmniej za pomocą tych samych środków komunikacji. O możliwości wycofania zgody Spółka informuje osobę, której dane dotyczą przed wyrażeniem zgody na przetwarzanie. Osoby zatrudnione w Spółce zobowiązane są do sprawdzenia w pierwszej kolejności, czy w danej sytuacji zastosowanie mogą znaleźć inne niż zgoda podstawy przetwarzania danych osobowych.
2. Spółka jest zobowiązana do stworzenia oraz aktualizacji wykazu zbiorów danych osobowych, których jest administratorem oraz do określenia procesów zachodzących w tych zbiorach. Wykaz zbiorów danych oraz związanych z nimi procesów przetwarzania stanowi Załącznik nr 1 do niniejszej Polityki.
3. Spółka prowadzi, w formie pisemnej, w tym elektronicznej, rejestr czynności przetwarzania danych osobowych („Rejestr czynności”), których jest administratorem, jak również rejestr czynności, których dokonuje jako podmiot, któremu zostało powierzone przetwarzanie danych („Procesor”). Rejestr czynności zawiera:
   1. imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych,
   2. cele przetwarzania,
   3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
   4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
   5. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
   6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
   7. jeżeli jest to możliwe, ogólny opis stosowanych technicznych i organizacyjnych środków bezpieczeństwa.
4. Spółka prowadzi, w formie elektronicznej, rejestr czynności , których dokonuje jako podmiot, któremu zostało powierzone przetwarzanie danych („Procesor”) – „Rejestr czynności procesora”. Rejestr czynności procesora zawiera:
   1. imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych,
   2. kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
   3. gdy ma to zastosowanie –przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
   4. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
5. Spółka wprowadza i aktualizuje środki techniczne i organizacyjne mające na celu zapewnienie bezpieczeństwa przetwarzania danych osobowych w stopniu odpowiednim do ryzyka naruszenia praw lub wolności osób fizycznych, których dane są przetwarzane. W szczególności:
   1. Spółka umożliwia dostęp do danych osobowych wyłącznie tym podmiotom, których dostęp jest konieczny, stosując formalne (upoważnienie) oraz techniczne (konfiguracja systemów informatycznych) środki kontroli dostępu do danych osobowych, w tym w szczególności zapewnia, że dostęp do danych chroniony jest hasłem, którego zmiana dokonywana jest nie rzadziej niż co 60 dni,
   2. Spółka powierza przetwarzanie danych osobowych jedynie tym podmiotom które ocenia jako dające rękojmię prawidłowego przetwarzania danych osobowych, przy czym dotyczy to w szczególności przetwarzania danych osób zatrudnionych i ich rodzin, jak również danych osobowych w dokumentach księgowych,
   3. Spółka zapewnia prawidłową archiwizację dokumentów zawierających dane osobowe, w tym dokumentów kadrowych i księgowych sporządzonych w jakiejkolwiek formie, w szczególności poprzez nadanie odpowiednich praw dostępu do systemów informatycznych i dokumentów archiwalnych i wyłącznie w zakresie w jakim jest to niezbędne dla ich prawidłowego przetwarzania,
   4. Spółka tam, gdzie to niezbędne zapewnia szyfrowanie, pseudonimizację lub anonimizację danych osobowych,
   5. Spółka zapewnia, że w pomieszczeniach, w których przetwarzane są dane osobowe mogą przebywać jedynie osoby upoważnione, zaś inne osoby jedynie pod nadzorem osób upoważnionych,
   6. każda osoba mająca dostęp do danych osobowych jest zobowiązana do ochrony danych osobowych zgodnie z niniejszą Polityką oraz przepisami prawa powszechnie obowiązującego. W przypadku zaobserwowania niezgodności przetwarzania danych jest zobowiązana do niezwłocznego poinformowania o tym IOD oraz Zarząd Spółki,
   7. osoby przetwarzające dane są zobowiązane do zachowania ich w tajemnicy, z uwzględnieniem zasad przewidzianych przepisami prawa, dotyczących ich ujawniania,
   8. osoby przetwarzające dane osobowe są zobowiązane do ich zabezpieczenia,
   9. Spółka wyklucza przenoszenie danych poza wyznaczone w Spółce miejsce ich przetwarzania, chyba, że za uprzednią pisemną zgodą Spółki lub jeśli wynika to z zakresu obowiązków służbowych osoby przetwarzającej dane osobowe, przy czym za bezpieczeństwo i zwrot danych osobowych odpowiada osoba, której zgoda została udzielona,
   10. Udostępnianie haseł lub innych danych umożliwiających dostęp do pomieszczeń lub systemów informatycznych jest wyłączone,
   11. Wysyłanie wiadomości seryjnych wymaga utajnienia listy adresatów,
   12. Spółka zapewnia, że pracownicy Spółki oraz osoby świadczące usługi są zobowiązane do niepozostawiania materiałów zawierających dane osobowe w sposób lub w miejscu umożliwiającym dostęp osób nieuprawnionych,
   13. niszczenie materiałów zawierających dane osobowe odbywa się na zasadach i w przypadkach prawem przewidzianych, w sposób uniemożliwiający odczytanie danych,
   14. Pomieszczenia, w których przetwarzane są dane osobowe powinny być zamykane na klucz, zabezpieczony przed dostępem osób nieuprawnionych,
   15. Systemy informatyczne powinny być zablokowane przed dostępem osób nieuprawnionych poprzez ustanowienie odpowiednich zabezpieczeń, w tym haseł, których zmiana dokonywana jest co 60 dni; osoby korzystające z systemów informatycznych są zobowiązane do wylogowania się oraz do odpowiedniego zablokowania systemu w każdym przypadku braku nadzoru lub kontroli nad urządzeniem, na którym przetwarzane są dane osobowe.
   16. Osoba korzystająca z urządzeń mobilnych, w tym komputera przenośnego (laptopa), tabletu lub telefonu komórkowego (w szczególności typu smartfon), jest zobowiązana do zachowania szczególnej ostrożności podczas jego transportu i korzystania poza obszarem przetwarzania danych osobowych, wykluczone jest pozostawianie wskazanych urządzeń bez nadzoru,
   17. Dane osobowe wysyłane elektronicznie powinny być zabezpieczone przed dostępem osób nieuprawnionych, w tym w szczególności poprzez szyfrowanie lub zabezpieczenie hasłem przesyłanym w odrębnej wiadomości lub z wykorzystaniem innego środka komunikacji,
   18. Zakazane jest usuwanie danych osobowych bez wyraźnej zgody IOD lub Członka Zarządu Spółki,
6. Każda osoba, której dane dotyczą jest uprawniona do przesyłania Spółce zgłoszeń dotyczących przetwarzania jej danych osobowych, niezależnie od formy przekazania zgłoszenia. Zgłoszenia rozpatrywane są przez IOD lub wyznaczonych przez Zarząd Spółki pracowników bez zbędnej zwłoki. W razie stwierdzenia zasadności zgłoszenia Zarząd Spółki niezwłocznie podejmuje działania odpowiednie ze względu na zakres i rodzaj zawartego w zgłoszeniu żądania, Każda osoba świadcząca na rzecz Spółki pracę lub usługi zobowiązana jest do niezwłocznego informowania IOD lub Członkowi Zarządu o wszelkich przypadkach zgłoszeń pochodzących osób, których dane dotyczą.
7. Dane osobowe przetwarzane są w Spółce: (i) w okresie niezbędnym dla prawidłowego wykonania zaciągniętych przez Spółkę zobowiązań (tj. np. w okresie trwania zobowiązania oraz okresie gwarancji lub rękojmi), lub (ii) w okresie, w jakim możliwe jest dochodzenie przysługujących Spółce roszczeń, lub (iii) okresie niezbędnym z uwagi na wykonanie obowiązków Spółki innych niż wynikające z zawartych umów, lub (iv) w innym okresie niezbędnym ze względu na cel, w którym dane osobowe są przetwarzane.

IV. Postępowanie w przypadku wystąpienia incydentów

1. Naruszenie bezpieczeństwa danych osobowych lub zagrożenie wystąpieniem takiego naruszenia zwane jest Incydentem. Do Incydentów zalicza się w szczególności:
   1. przełamanie zabezpieczeń technicznych, w tym zabezpieczeń stosowanych przez Spółkę lub podmiot przetwarzający dane osobowe systemów informatycznych,
   2. kradzież danych osobowych,
   3. uzyskanie nieautoryzowanego dostępu do danych osobowych tak w formie papierowej, jak i elektronicznej, w zbiorach lub poza zbiorami danych,
   4. umyślną lub nieumyślną zmianę lub usunięcie danych osobowych,
   5. jakąkolwiek forma przetwarzania danych osobowych niezgodnie z przepisami prawa powszechnie obowiązującego lub zasadami niniejszej Polityki lub zasadami wynikającymi z zawartych przez Spółkę umów.
2. Każdy pracownik Spółki i każda osoba świadcząca na rzecz Spółki usługi jest zobowiązana do natychmiastowego powiadomienia IOD lub Członka Zarządu Spółki o zaistnieniu Incydentu lub o podejrzeniu zaistnienia Incydentu.
3. Oceny Incydentu dokonuje IOD lub Zarząd Spółki.
4. W przypadkach prawem przewidzianych Spółka powiadamia organ nadzoru oraz osobę, której dane dotyczą o stwierdzonych naruszeniach bezpieczeństwa danych osobowych.

V. IOD

1. Inspektora Ochrony Danych Osobowych w Spółce wyznacza Zarząd Spółki w formie uchwały.
2. IODO jest podmiotem niezależnym, podległym bezpośrednio Zarządowi Spółki.
3. IODO jest zobowiązany do bieżącego nadzorowania sposobu przetwarzania danych osobowych w Spółce.
4. IOD jest wyznaczany przez Administratora Danych na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia swoich zadań.
5. Inspektor ochrony danych ma następujące zadania:
   1. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
   2. monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
   3. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;
   4. współpraca z organem nadzorczym;
   5. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
6. Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

VI. Upoważnienie do przetwarzania danych osobowych

1. Upoważnienia do przetwarzania danych osobowych w Spółce wydaje IOD lub każdy z Członków Zarządu Spółki samodzielnie. Każdy z Członków Zarządu Spółki samodzielnie jest uprawniony do przetwarzania wszelkich danych osobowych przetwarzanych w Spółce, w pełnym zakresie.
2. Upoważnienia do przetwarzania danych osobowych są wydawane jedynie tym osobom, których dostęp do danych jest konieczny lub uzasadniony dla prawidłowego działania Spółki. Spółka zobowiązana jest do prowadzenia rejestru upoważnień. Upoważnienia powinny być modyfikowane zgodnie z zakresem obowiązków osoby posiadającej dostęp do danych osobowych.
3. Upoważnienie jest wydawane osobom, które gwarantują, że dane będą przetwarzane w sposób prawidłowy. Spółka może zadecydować o przeszkoleniu osób otrzymujących upoważnienie, a w takim przypadku udział w szkoleniu jest obowiązkowy. Spółka zaznajamia każdą osobę upoważnioną z obowiązującymi w Spółce zasadami polityki ochrony danych osobowych.
4. Upoważnienie wydawane jest z inicjatywy każdego Członka Zarządu Spółki, IOD lub innych osób świadczących na rzecz Spółki pracę lub usługi.
5. Do przetwarzania danych osobowych może zostać dopuszczona jedynie osoba posiadająca stosowne upoważnienie.
6. Upoważnienie wskazuje kategorie i zakres danych, jakie mogą być przetwarzane, jak również sposób przetwarzania (tj. operacje na danych osobowych, jakie mogą być dokonywane przez osobę upoważnioną).
7. Upoważnienie wydawane jest w formie pisemnej lub elektronicznej (kwalifikowany podpis elektroniczny weryfikowany przy pomocy certyfikatu nie jest wymagany) oraz archiwizowany przez IOD lub inną wyznaczoną przez Zarząd Spółki osobę.
8. Osoba upoważniona do przetwarzania danych osobowych jest zobowiązana do zachowania ich w tajemnicy.
9. Upoważnienie może być w każdym czasie odwołane. Upoważnienie do przetwarzania danych osobowych wygasa najpóźniej z momentem wygaśnięcia stosunku prawnego łączącego Spółkę z osobą świadczącą pracę lub usługi. Fakt cofnięcia lub wygaśnięcia upoważnienia odnotowywany jest w rejestrze upoważnień.
10. Naruszenie zasad ochrony danych osobowych przewidzianych w przepisach prawa powszechnie obowiązującego, wynikających ze stosowanych w Spółce polityk lub z umowy stanowi naruszenie podstawowych obowiązków pracowniczych lub istotne naruszenie umowy o świadczenie usług i może skutkować rozwiązaniem umowy o pracę bez zachowania okresów wypowiedzenia z winy pracownika lub natychmiastowym zakończeniem umowy o świadczenie usług.

VII. Powierzenie przetwarzania danych osobowych oraz udostępnianie danych osobowych

1. Spółka jest uprawniona do powierzenia przetwarzania danych osobowych, w tym w szczególności w zakresie, w jakim przetwarzanie dotyczy obsługi kadrowej lub księgowej Spółki.
2. Spółka jest zobowiązana do powierzenia przetwarzania danych osobowych podmiotom, które gwarantują ich przetwarzanie zgodnie z przepisami prawa powszechnie obowiązującego, obowiązującymi w Spółce zasadami przetwarzania, jak również zawartymi umowami. W tym celu Spółka przeprowadza udokumentowaną procedurę sprawdzenia wiarygodności i rzetelności podmiotu, któremu dane osobowe powierza, zaś wyniki tych prac archiwizuje.
3. Powierzenie przetwarzania danych powinno zostać odnotowane w rejestrze czynności przetwarzania danych osobowych.
4. Spółka udostępnia dane osobowe w przypadkach i na zasadach wynikających z przepisów prawa powszechnie obowiązującego. Udostępnienie danych do przetwarzania powinno zostać odnotowane w rejestrze czynności przetwarzania danych osobowych.
5. Spółka, w zakresie prowadzonej przez siebie działalności może przetwarzać również dane osobowe powierzone przez podmioty, na rzecz których świadczy usługi. Przyjęcie danych osobowych do przetwarzania powinno zostać odnotowane w rejestrze czynności przetwarzania danych osobowych.

VIII. Prawo audytu

1. Spółka zapewnia sobie prawo audytu każdego podmiotu, z którym zawarła umowę powierzenia przetwarzania danych osobowych. Umowy powierzenia przetwarzania danych osobowych powinny przewidywać tryb i zasady przeprowadzania audytu, a w razie ich braku zastosowanie znajdują zasady określone w niniejszej Polityce.
2. Audyt przeprowadzany jest przez wyznaczonych przedstawicieli Spółki, w tym w szczególności przez IOD.
3. Spółka jest uprawniona do przeprowadzania audytu sposobu przetwarzania danych osobowych w każdym czasie za 48 godzinnym uprzedzeniem, które jednak nie jest wymagane w przypadku wystąpienia naruszenia lub zagrożenia naruszenia bezpieczeństwa danych osobowych (incydentu). Podmiot przetwarzający jest zobowiązany do udostępnienia Spółce każdej lokalizacji, w której przetwarzane są dane osobowe, jak również udzielenia dostępu do każdego systemu informatycznego, w którym dane są przetwarzane, z prawem jego testowania. Podmiot przetwarzający jest zobowiązany do współdziałania ze Spółką, rzetelnego i terminowego przekazywania jej wszelkich żądanych informacji, jak również udzielania wszelkiej pomocy niezbędnej dla wykonywania obowiązków Administratora.
4. W przypadku stwierdzenia przez Spółkę, że podmiot przetwarzający nie daje rękojmi prawidłowego przetwarzania danych osobowych, w tym stwierdzenia naruszenia bezpieczeństwa danych lub zaistnienia zagrożenia takiego naruszenia, Spółka, niezależnie od innych uprawnień, ma prawo rozwiązania umowy powierzenia przetwarzania danych osobowych ze skutkiem natychmiastowym, z zachowaniem prawa do żądania naprawienia szkody w pełnym zakresie, w tym w zakresie wszelkich poniesionych kosztów, kar i strat.

IX Postanowienia końcowe

1. Zmiany niniejszej Polityki wprowadzane są w drodze uchwały Zarządu Spółki, która określa moment wejścia w życie zmian.
2. Polityka podlega okresowej aktualizacji, nie rzadziej niż jeden raz w roku. Aktualizacja dotyczy w szczególności sprawdzenia aktualności Polityki pod względem jej adekwatności do procesów funkcjonujących w strukturach Spółki oraz zgodności z przepisami prawa powszechnie obowiązującego.
3. W przypadku sprzeczności pomiędzy treścią niniejszej Polityki a treścią przepisów prawa powszechnie obowiązującego, stosuje się bezpośrednio przepisy prawa.
4. Wszelkie wątpliwości dotyczące sposobu interpretacji zapisów Polityki powinny być rozstrzygane w sposób zapewniający możliwie najwyższy poziom ochrony danych osobowych oraz realizacji praw osób, których dane dotyczą.