• Godziny otwarcia: Pn - Pt 09:00 - 16:00

Polityka prywatności

 POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

W SPÓŁCE FREEDOM INVESTING SP. Z O.O.

Wstęp

Niemniejszy dokument stworzony został w celu wdrożenia Polityki Bezpieczeństwa: Freedom Investing sp. z o.o. („Freedom Investing”) występującej w roli Administratora Danych Osobowych bądź Podmiotu Przetwarzającego.

Przedmiotowe wdrożenie dokonane zostało w związku z obowiązywaniem Rozporządzenia 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych)- RODO (Dz.U.UE.L. z 2016 r. Nr 119), które wraz z towarzyszącymi mu krajowymi przepisami podkreśla znaczenie bezpieczeństwa danych osobowych.

Kluczowym celem polityki bezpieczeństwa jest zagwarantowanie bezpieczeństwa przetwarzania danych w strukturze Freedom Investing oraz dostosowanie struktury do standardów określonych Rozporządzeniem i przepisami powszechnie obowiązującymi. Polityka Bezpieczeństwa odpowiada wytycznym dotyczącym przetwarzania danych osobowych, które zawarto w Rozporządzeniu oraz Ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (tj. Dz.U. z 2018 r. poz. 1000 z późn. zm.).

                                                        I.      Zakres Polityki bezpieczeństwa

1.            Niniejszy dokument określa ogólne zasady i procedury przetwarzania danych osobowych oraz zasady stosowania zabezpieczeń przed udostępnieniem danych osobie nieuprawnionej.

2.            Szczegółowe zasady i procedury przetwarzania danych osobowych dotyczące poszczególnych obszarów prowadzonej przez Freedom Investing działalności mogą zostać doprecyzowane w dodatkowych politykach („Polityki Szczegółowe”). Do przetwarzania danych w poszczególnych obszarach działalności Freedom Investing,  stosuje się zasady określone w niniejszej Polityce bezpieczeństwa, o ile postanowienia Polityk Szczegółowych nie stanowią inaczej.

                                                                         II.      Definicje

1.            Rozporządzenie – Rozporządzenie 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) - RODO (Dz.U.UE.L. z 2016r. Nr 119).

2.            Administrator Danych Osobowych –osoba fizyczna lub prawna, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (dalej jako: „Administrator danych”, „Administrator”).

3.            Podmiot Przetwarzający - osoba fizyczna lub prawna, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

4.            Freedom Investing – Freedom Investing Sp. z o.o. z siedzibą w Warszawie przy ul. Stefana Batorego 18/108, 02-591 Warszawa, wpisaną do rejestru przedsiębiorców pod numerem KRS 0000962998, której akta rejestrowe prowadzi Sąd Rejonowy w Warszawie XII Wydział Gospodarczy Krajowego Rejestru Sądowego, NIP: 7011082382, REGON: 521662278.

5.            Ustawa - ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (tj. Dz.U. z 2018 r. poz. 1000 z późn. zm.).

6.            Polityka Bezpieczeństwa – niniejsza Polityka Bezpieczeństwa.

7.            Dane osobowe – informacje identyfikujące lub pozwalające zidentyfikować osobę fizyczną.

8.            Przetwarzanie danych osobowych – wszelkie operacje wykonywane na danych osobowych, innego rodzaju danych istotnych, polegające m.in. na zbieraniu, utrwalaniu, przechowywaniu, opracowaniu, dokonywaniu zmiany, udostępnianiu, usuwaniu, w szczególności wykonywane w systemach informatycznych.

9.            Poufność danych – szczególna cecha, obligująca nie udostępnianie danych osobowych nieupoważnionym podmiotom.

10.         Pracownik – pracownik zatrudniony w Freedom Investing na podstawie umowy o pracę lub osoba wchodząca w skład personelu Administratora danych, świadcząca na jego rzecz usługi na podstawie innego niż umowa o pracę stosunku prawnego.

11.         Współpracownik – inny niż wskazany z pkt. 10 podmiot świadczący usługi na rzecz Freedom Investing; szczegółowe prawa i obowiązki Współpracownika są uregulowane w umowie o powierzeniu przetwarzania danych; jeżeli w niniejszej Polityce bezpieczeństwa mowa jest jednak o obowiązkach pracownika należy przez to rozumieć także odpowiednio obowiązki Współpracownika.

                                                                III.      Informacje ogólne

1.            Osobami odpowiedzialnymi za przetwarzanie i zapewnienie ochrony danych osobowych są:

1)            Freedom Investing,

2)            podmioty, którym powierzono przetwarzanie danych osobowych,

3)            podmioty wykonujące pracę lub świadczące usługi na rzecz Freedom Investing.

2.            Pracownicy, w tym osoby niepozostające w stosunku pracy, ale wchodzące w skład personelu Freedom Investing przetwarzają i zapewniają ochronę danych osobowych na postawie stosownego upoważnienia, którego wzór stanowi Załącznik Nr 1A i 1B do Polityki Bezpieczeństwa. 

3.            Współpracownicy przetwarzają i zapewniają ochronę danych osobowych na postawie stosownej umowy o powierzeniu przetwarzania danych, której wzór stanowi Załącznik Nr 2 Polityki Bezpieczeństwa.

                               IV.      Freedom Investing jako Administrator danych osobowych

1.            Administratorem danych osobowych jest Freedom Investing.

2.            Freedom Investing przetwarza jako Administrator dane osobowe:  

a.    w związku z zatrudnieniem na podstawie stosunku pracy, świadczeniem na jego rzecz usług na podstawie umów cywilnoprawnych lub umów o współpracy, w szczególności w celach związanych z nawiązaniem stosunku pracy, zawarciem, wykonaniem i realizacją danej umowy, zarówno w okresie jej trwania oraz w czasie dokonywania rozliczeń po jej zakończeniu, realizacji obowiązków księgowych, przykładowo przy wystawianiu faktur, obowiązków związanych z realizacją przepisów ubezpieczeń społecznych, regulacji podatkowych i zabezpieczenia społecznego oraz przepisów dotyczących bezpieczeństwa i higieny pracy oraz w celach archiwalnych, w zakresie niezbędnym do ustalenia i dochodzenia roszczeń, w okresie kiedy roszczenia z danej umowy nie uległy przedawnieniu i w okresie 3 miesięcy po upływie terminu przedawnienia, zaś odnośnie danych przetwarzanych na podstawie udzielonej zgody - do cofnięcia zgody lub wniesienia sprzeciwu.

b.    w związku ze świadczeniem usług przez Freedom Investing na rzecz innych podmiotów, dotyczących w szczególności danych klientów, w tym w celu weryfikacji tożsamości klientów, reprezentantów klientów oraz beneficjentów rzeczywistych, a także w celu realizacji obowiązków księgowych, przykładowo przy wystawianiu faktur, regulacji podatkowych oraz w celach archiwalnych, w zakresie niezbędnym do ustalenia i dochodzenia roszczeń, w okresie kiedy roszczenia z danej umowy nie uległy przedawnieniu i w okresie 3 miesięcy po upływie terminu przedawnienia, zaś odnośnie danych przetwarzanych na podstawie udzielonej zgody - do cofnięcia zgody lub wniesienia sprzeciwu.

c.     w związku z funkcjonowaniem Freedom Investing jako spółki prawa handlowego, w szczególności dane osobowe prokurentów oraz wspólników, prowadzeniem dokumentacji wymaganej przez przepisy kodeksu spółek handlowych, wypełnianiem obowiązków rejestrowych wynikających z przepisów Ustawy o Krajowym Rejestrze Sądowym, w okresie pełnienia przez ww. osoby funkcji w spółce lub posiadania przymiotu wspólnika oraz w celach archiwalnych, w zakresie niezbędnym do ustalenia i dochodzenia roszczeń, w okresie kiedy roszczenia z danego stosunku prawnego nie uległy przedawnieniu i w okresie 3 miesięcy po upływie terminu przedawnienia.  

3.            Freedom Investing przetwarza dane osobowe na podstawie aktualnie obowiązujących przepisów prawa, na podstawie zgody osób przetwarzanych w zakresie danych osobowych przekazanych dobrowolnie, w przypadkach wykraczających poza obszar uregulowany w przepisach prawa.

                               V.      Osoby upoważnione do przetwarzania danych osobowych

1.            Zgodnie z przepisami Ustawy, RODO i postanowieniami Polityki Bezpieczeństwa, każda osoba, która uzyskała upoważnienie do przetwarzania danych osobowych zobowiązana jest podjąć wszelkie niezbędne czynności konieczne do ochrony danych osobowych.

2.            W trakcie trwania stosunku pracy oraz po ustaniu zatrudnienia lub po zakończeniu współpracy każda osoba upoważniona, zobowiązana jest zachować w tajemnicy dane osobowe, do których ma/miała dostęp oraz przestrzegać zasad ich zabezpieczania.

3.            Freedom Investing wydaje w formie pisemnej upoważnienie do przetwarzania danych osobowych oraz innych istotnych danych. Wzory upoważnień do przetwarzania danych osobowych stanowi Załącznik nr 1A i 1B do Polityki Bezpieczeństwa.

4.            Upoważnienie do przetwarzania danych osobowych zostanie cofnięte w przypadku ustania stosunku prawnego łączącego Freedom Investing z pracownikiem lub współpracownikiem oraz wskutek naruszenia przez osobę upoważnioną zasad bezpieczeństwa ochrony danych osobowych.

                 VI.      Umowy powierzenia i podpowierzenia przetwarzania Danych Osobowych

1.            Gdy jest to niezbędne do realizacji zadań Administratora, powierzenie lub podpowierzenie przetwarzania danych osobowych nastąpić może w formie pisemnej na podstawie umowy o powierzenie przetwarzania danych osobowych lub umowy o podpowierzenie przetwarzania danych osobowych. Wzór umowy powierzenia stanowi Załącznik nr 2 do Polityki Bezpieczeństwa.

2.            Współpracownicy przetwarzają i zapewniają ochronę danych osobowych na postawie stosownej umowy o powierzeniu przetwarzania danych, której wzór stanowi Załącznik Nr 2 do Polityki Bezpieczeństwa lub umowy podpowierzenia przetwarzania danych osobowych, której wzór stanowi Załącznik nr 2a do Polityki Bezpieczeństwa (w sytuacji, gdy Freedom Investing  nie jest Administratorem danych a jedynie podmiotem podpowierzającym dane).

                                           VII.      Zasady przetwarzania Danych osobowych

1.            Freedom Investing, jako Administrator prowadzi rejestr czynności przetwarzania danych osobowych, stanowiący Załącznik nr 3 do Polityki Bezpieczeństwa, w postaci elektronicznej. W Rejestrze czynności przetwarzania zamieszcza się informacje, o których mowa w art. 30 Rozporządzenia, w szczególności:

1)            imię i nazwisko lub nazwę oraz dane kontaktowe Administratora, a także gdy ma to zastosowanie - przedstawiciela Administratora,

2)            cele przetwarzania,

3)            opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,

4)            kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione,

5)            jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,

6)            jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 Rozporządzenia.

2.            Wszelkiego rodzaju komunikaty i pisma informacyjne dotyczące przetwarzania danych osobowych przygotowane są przez Administratora jasnym i prostym językiem oraz publikowane w sposób łatwo dostępny (zasada jasności). Obowiązki informacyjne Freedom Investing wypełnia przede wszystkim poprzez udostępnienie Polityki Prywatności, zamieszczonej na stronie internetowej Freedom Investing, stanowiącej Załącznik nr 4a do Polityki Bezpieczeństwa. W toku swojej działalności Freedom Investing stosuje następujące klauzule informacyjne:

a)      Klauzula informacyjna dla personelu i współpracowników Freedom Investing - Załącznik Nr 5a do Polityki Bezpieczeństwa;

b)      Klauzula informacyjna dla wspólników Freedom Investing - Załącznik Nr 5b do Polityki Bezpieczeństwa;

3.            Freedom Investing jako Administrator danych przetwarza dane wyłącznie na podstawie i w granicach przepisów powszechnie obowiązujących, na podstawie dobrowolnie udzielonej zgody, a w przypadkach wykraczających poza obszar uregulowany w przepisach prawa, w konkretnych, uzasadnionych i jasno określonych celach, przez okres niezbędny do realizacji ww. celów (zasada zgodności z prawem, adekwatności celu i ograniczenia przechowywania danych).

4.            Freedom Investing przetwarza dane w sposób zapewniający im odpowiednie bezpieczeństwo, poufność i ochronę przed dostępem osób nieuprawnionych do tego (zasada nienaruszalności danych osobowych).

5.            Osoba, której dane dotyczą ma prawo dostępu do danych, uzyskania stosownych informacji, sprostowania i uaktualnienia danych, usunięcia danych, ograniczenia przetwarzania, przenoszenia danych osobowych, wniesienia sprzeciwu wobec przetwarzania danych osobowych, prawa zapomnienia oraz wniesienia skargi do organu nadzorczego.

                          VIII.      Bezpieczeństwo w trakcie przetwarzania Danych osobowych

1.            Każdy pracownik lub współpracownik ponosi odpowiedzialność za bezpieczeństwo przetwarzania danych osobowych.

2.            Dane osobowe nie podlegają ujawnieniu w miejscu pracy oraz poza nim, w sposób przekraczający przetwarzanie w ramach obowiązków służbowych i w granicach udzielonego upoważnienia lub umowy o powierzeniu przetwarzania.

3.            Każdy z pracowników na swoim stanowisku pracy odpowiedzialny jest za to by wszelkie dane osobowe utrwalone w formie papierowej były zabezpieczane, poprzez nie pozostawianie dokumentacji na swoim biurku lub w innym w miejscu umożliwiającym dostęp do nich osobom nieupoważnionym.

4.            Po chwilowym opuszczeniu stanowiska pracy, dane osobowe przetwarzane na wyświetlaczu monitora czy za pośrednictwem innego rodzaju sprzętu elektronicznego należy zabezpieczyć w stosowny do tego sposób, np. poprzez ustawienie wygaszacza ekranu zabezpieczonego hasłem.

5.            Pracownicy zobowiązani są niszczyć wszelkiego rodzaju brudnopisy, zapiski, dodatkowe kopie dokumentów w sposób uniemożliwiający odczytanie ich treści.

6.            W miejscu, w którym dochodzi do przetwarzania danych osobowych przebywać mogą wyłącznie osoby trzecie w obecności osoby upoważnionej do przetwarzania danych. Nie dotyczy to sytuacji, kiedy Dane osobowe zostały zabezpieczone w odpowiedni sposób.

   IX.      Ogólne zasady postępowania w przypadku naruszenia ochrony danych osobowych i innych istotnych danych

1.            W razie naruszenia danych osobowych lub powzięcia informacji o okoliczności mającej wpływ na bezpieczeństwo danych osobowych należy niezwłocznie poinformować o tym fakcie Freedom Investing.

2.            Osoba, która zgłosiła Freedom Investing informacje, o których mowa w ust. 1 powyżej zobowiązana jest: nie opuszczać miejsca, w którym doszło do naruszenia danych osobowych do czasu przybycia przedstawiciela Administratora lub osoby przez niego upoważnionej, podjąć wszelkie czynności niezbędne do powstrzymania niepożądanych skutków czy ustalenia sprawcy naruszenia oraz zobowiązana jest nie podejmować żadnego rodzaju aktywności, która mogłaby utrudnić udokumentowanie danego naruszenia.

3.            W ciągu 48 godzin od zdarzenia Freedom Investing zobowiązany jest udokumentować całe zdarzenie, sporządzić stosowny protokół naruszenia, w treści którego wskazać należy osobę powiadamiającą o danym incydencie, lokalizację naruszenia oraz rodzaj naruszonych zasad bezpieczeństwa, opis przyczyn i przebiegu zdarzenia, wnioski wyciągnięte z incydentu oraz planowane działania, datę i podpis przedstawiciela Administratora lub osoby przez niego upoważnionej. Wzór Protokołu naruszenia stanowi Załącznik nr 6C do Polityki Bezpieczeństwa.

4.            W ciągu 72 godzin od naruszenia ochrony danych osobowych, których Freedom Investing jest Administratorem, zobowiązany jest on zgłosić zdarzenie do Prezesa Urzędu Ochrony Danych Osobowych. Wzory zgłoszeń stanowią Załącznik Nr 7A i Załącznik Nr 7B do Polityki Bezpieczeństwa.

5.            W sytuacji naruszenia ochrony danych osobowych, w odniesieniu do których Freedom Investing jest Administratorem, zobowiązany jest on do zawiadomienia osoby, której dane dotyczą, jeżeli doszło do naruszenia ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia praw lub wolności tej osoby. Wzór zgłoszenia stanowi Załącznik Nr 7D do Polityki Bezpieczeństwa.

6.            W przypadku gdy dojdzie do naruszenia danych osobowych przetwarzanych przez Freedom Investing jako podmiot przetwarzający dane na zlecenie innego podmiotu, Freedom Investing zgłasza zdarzenie danemu administratorowi danych. W tym celu stosuje się odpowiednio wzory zgłoszeń stanowiące Załącznik Nr 7C do Polityki Bezpieczeństwa praz wzór Protokoły naruszenia, stanowiący Załącznik nr 7A i B do Polityki Bezpieczeństwa.

7.            Po zakończeniu usunięcia doraźnych naruszeń Freedom Investing opracowuje postępowanie naprawcze, którego celem może być odtworzenie czy wznowienie przetwarzania danych osobowych.

8.            Freedom Investing prowadzi rejestr naruszeń ochrony danych, w których odnotowuje: okoliczności naruszeń ochrony danych osobowych, ich  skutki oraz podjęte działania zaradcze. Wzór rejestru naruszeń ochrony danych stanowi Załącznik nr 7F do Polityki bezpieczeństwa.

                          X.      Kontrola przetwarzania danych oraz stanu zabezpieczeń danych

1.            Nadzór i kontrolę nad ochroną danych osobowych w imieniu Freedom Investing sprawują Członkowie Zarządu Freedom Investing.

2.            Czynności kontrolne przeprowadza się nie rzadziej niż raz na pół roku.

3.            Z czynności kontrolnych, o których mowa w ust. 2 można sporządzić protokół, w którym wskazać należy oznaczenie oraz dane Freedom Investing, zbiór danych osobowych przetwarzanych, podlegających kontroli, datę przeprowadzenia czynności kontrolnych, krótki opis ustaleń dokonanych w trakcie czynności kontrolnych oraz wniosków i zaleceń pokontrolnych (o ile dotyczy).

                      XI.      Przetwarzanie powierzonych i podpowierzonych danych osobowych

1.      W ramach prowadzonej działalności, w celu realizacji świadczonych usług, Freedom Investing może przetwarzać dane osobowe powierzone przez inne podmioty będące ich administratorami. W takiej sytuacji Freedom Investing zawiera, jako podmiot przetwarzający dane umowę powierzenia przetwarzania danych osobowych według wzoru stanowiącego Załącznik nr 1D lub też zgodnie z brzmieniem Regulaminu korzystania z systemu Freedom Investing, świaczenia usług drogą elektroniczną oraz przetwarzania danych osobowych, dostępnego na stronie internetowej Administratora danych. Freedom Investing występując jako podmiot przetwarzający, przetwarza dane osobowe w imieniu innego podmiotu będącego administratorem wyłącznie na udokumentowane polecenie administratora tych danych.

2.      Freedom Investing występując jako podmiot przetwarzający, prowadzi rejestr kategorii czynności przetwarzania w formie elektronicznej, stanowiący Załącznik nr 6 do Polityki Bezpieczeństwa. Rejestr kategorii czynności przetwarzania zawiera informacje wskazane w art. 30 Rozporządzenia, w szczególności:

1)            nazwę oraz dane podmiotu przetwarzającego oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie - przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych,

2)            kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,

3)            jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

 

                                                           XII.      Postanowienia Ogólne

1.                Niniejsza Polityka Bezpieczeństwa wchodzi w życie z dniem wygenerowania pozwolenia czasowego przez Korzystającego.

2.                Postanowienia niniejszej Polityki Bezpieczeństwa (w tym treść Załączników do niej) mogą być w razie potrzeby zmienianie/uaktualniane tak, aby zapewnić pełną zgodność z aktualnie obowiązującymi przepisami prawa.