POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

obowiązująca w spółce
DJCHEM CHEMICALS POLAND S.A. z siedzibą w Wołominie

Warszawa, dnia 25 maja 2018 r.

SPIS TREŚCI

2
 Wstęp

Niniejsza Polityka Bezpieczeństwa Przetwarzania Danych Osobowych, dalej zwana „Polityką” określa
zasady bezpieczeństwa przetwarzania danych osobowych przez spółkę DJCHEM CHEMICALS POLAND
S.A. z siedzibą w Wołominie, adres: 05-200 Wołomin, ul. Łukasiewicza 11A, wpisaną do rejestru
przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m.st.
Warszawy w Warszawie, XVI Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem
KRS 000004262 („Spółka”), w związku z prowadzoną przez Spółkę działalnością gospodarczą.

Celem Polityki jest zapewnienie zgodności przetwarzania danych osobowych przez Spółkę z zasadami
i przepisami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016
r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie
swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: ogólne
rozporządzenie o ochronie danych, „Rozporządzenie”).

Rozporządzenie jest najwyższym aktem prawa w Unii Europejskiej, mającym zasięg ogólny, wiążącym
w całości i bezpośrednio stosowanym w każdym państwie członkowskim Unii Europejskiej od dnia 25
maja 2018 r. Wymagania przewidziane przez Rozporządzenie określają podstawowe zasady ochrony
danych osobowych, których przestrzeganie należy do obowiązków wszystkich podmiotów, które
przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą.

1. CHARAKTERYSTYKA SPÓŁKI
Głównym przedmiotem działalności Spółki jest produkcja wysoko wyspecjalizowanych wyrobów
chemicznych dla przemysłu. Spółka prowadzi zakład produkcyjny znajdujący się w Wołominie przy ul.
Łukasiewicza 11A.

Poza produkcją chemiczną Spółka świadczy także następujące usługi:

1. w zakresie działalności laboratorium chemicznego – wykonuje analizy chemiczne, pomiary

własności fizykochemicznych produktów oraz prowadzi prace rozwojowo – badawcze nad
nowymi substancjami i produktami dla przemysłu chemicznego,

2. w zakresie działalności Zakładowej Jednostki Ratownictwa Chemicznego – Spółka oferuje

doradztwo i pomoc w usuwaniu zagrożeń oraz skutków skażenia środowiska, szkolenia z
zakresu ratownictwa chemicznego oraz organizacji służb ratownictwa chemicznego.

Spółka nie prowadzi sprzedaży internetowej.

Spółka zatrudnia 83 pracowników na umowę o pracę, 3 osoby na umowę zlecenia i 2 osoby na

podstawie innych umów cywilnoprawnych o współpracy.

Spółka wprowadziła i utrzymuje System Zarządzania Jakością według wytycznych międzynarodowego

modelu zarządzania jakością PN–EN ISO 9001:2009.

3
 2. STRUKTURA ORGANIZACYJNA SPÓŁKI
Wewnętrzna struktura organizacyjna przedsiębiorstwa Spółki jest podzielona na trzy piony podległe
członkom Zarządu Spółki: Prezesowi Zarządu – Dyrektorowi ds. Handlu, Wiceprezesowi Zarządu –
Dyrektorowi ds. Administracji oraz Wiceprezesowi – Dyrektorowi ds. Produkcji. Ponadto w ramach
przedsiębiorstwa funkcjonują wyodrębnione jednostki organizacyjne – Jednostka Ratownictwa
Chemicznego oraz Dział Badań i Rozwoju.

Prezesowi Zarządu – Dyrektorowi ds. Handlu podlega Główny Księgowy wraz z Działem Księgowości,
Pełnomocnik ds. Jakości, Kierownik Kontroli Jakości wraz z Działem Kontroli Jakości, Kierownik
Magazynu, Dział Handlu i Marketingu oraz Sekretariat.

Wiceprezesowi Zarządu – Dyrektorowi ds. Administracji podlega wewnętrzna służba ochrony wraz z
Szefem Ochrony, Dział Prawny, Dział Osobowy i Płac, Dział Inwestycji, Dział BHP i PPOŻ, Dział
Gospodarczy oraz ambulatorium.

Prezesowi Zarządu – Dyrektorowi ds. Produkcji podlega Dyrektor Techniczny, Szef Produkcji, Szef
Utrzymania Ruchu oraz Główny Technolog.

Polityka bezpieczeństwa

I. Postanowienia ogólne

1. Stosowanie zasad określonych w Polityce ma na celu zapewnienie prawidłowego zarządzania

danymi osobowymi oraz ich ochrony, rozumianej jako ochronę danych osobowych przed
udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną,
przetwarzaniem z naruszeniem przepisów prawa oraz zmianą, utratą, uszkodzeniem lub
zniszczeniem.
2. Niniejsza Polityka ma zastosowanie do przetwarzania przez Spółkę danych osobowych w
sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż
zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających
stanowić część zbioru danych.
II. Definicje
Użyte w Polityce określenia oznaczają:

4
Administrator  spółka DJCHEM CHEMICALS POLAND S.A. z siedzibą w
Wołominie; Spółka;

Podmiot przetwarzający  osoba fizyczna lub prawna, organ publiczny, jednostka lub
inny podmiot, który przetwarza dane osobowe w imieniu
Administratora;

Dane Osobowe  informacje o zidentyfikowanej lub możliwej do

zidentyfikowania osobie fizycznej („osobie, której dane
dotyczą”); możliwa do zidentyfikowania osoba fizyczna to
osoba, którą można bezpośrednio lub pośrednio
zidentyfikować, w szczególności na podstawie identyfikatora
takiego jak imię i nazwisko, numer identyfikacyjny, dane o
lokalizacji, identyfikator internetowy lub jeden bądź kilka
szczególnych czynników określających fizyczną, fizjologiczną,
genetyczną, psychiczną, ekonomiczną, kulturową lub
społeczną tożsamość osoby fizycznej;
Przetwarzanie
 operacja lub zestaw operacji wykonywanych na danych
osobowych lub zestawach danych osobowych w sposób
zautomatyzowany lub niezautomatyzowany, takie jak
zbieranie, utrwalanie, organizowanie, porządkowanie,
przechowywanie, adaptowanie lub modyfikowanie,
pobieranie, przeglądanie, wykorzystywanie, ujawnianie
poprzez przesłanie, rozpowszechnianie lub innego rodzaju
udostępnianie, dopasowywanie lub łączenie, ograniczanie,
usuwanie lub niszczenie;

System Informatyczny  urządzenie lub zespół współpracujących ze sobą urządzeń,

programów, procedur przetwarzania informacji i narzędzi
programowych stosowanych przez Administratora w celu
przetwarzania Danych Osobowych;

System Tradycyjny  zespół procedur organizacyjnych, związanych z mechanicznym

przetwarzaniem informacji oraz środków trwałych,
związanych służących do przetwarzania Danych Osobowych w
formie tradycyjnego zapisu na dokumentach papierowych;

 uporządkowany zestaw danych osobowych dostępnych

Zbiór Danych według określonych kryteriów, niezależnie od tego, czy zestaw
ten jest scentralizowany, zdecentralizowany czy rozproszony
funkcjonalnie lub geograficznie; Zbiór Informatyczny lub Zbiór
Tradycyjny

 przechowywany i obsługiwany w Systemie Informatycznym,

Zbiór Informatyczny posiadający strukturę zestaw danych, zawierający między
innymi Dane Osobowe, które są dostępne według określonych

5
 kryteriów, niezależnie od tego czy zestaw ten jest rozproszony
lub podzielony funkcjonalnie;

Zbiór Tradycyjny  przechowywany i obsługiwany w Systemie Tradycyjnym,

posiadający strukturę zestaw danych, zawierający między
innymi Dane Osobowe, które są dostępne według określonych
kryteriów, niezależnie od tego czy zestaw ten jest rozproszony
lub podzielony funkcjonalnie;

Zgoda  dobrowolne, konkretne, świadome i jednoznaczne okazanie

woli, którym osoba, której dane dotyczą, w formie
oświadczenia lub wyraźnego działania potwierdzającego,
przyzwala na przetwarzanie dotyczących jej Danych
Osobowych;

Naruszenie ochrony Danych Osobowych  naruszenie bezpieczeństwa prowadzące do przypadkowego

lub niezgodnego z prawem zniszczenia, utracenia,
zmodyfikowania, nieuprawnionego ujawnienia lub
nieuprawnionego dostępu do Danych Osobowych
przesyłanych, przechowywanych lub w inny sposób
przetwarzanych;
Dane biometryczne
 Dane Osobowe, które wynikają ze specjalnego przetwarzania
technicznego, dotyczą cech fizycznych, fizjologicznych lub
behawioralnych osoby fizycznej oraz umożliwiają lub
potwierdzają jednoznaczną identyfikację tej osoby, takie jak
Organ nadzorczy wizerunek twarzy lub dane daktyloskopijne;

Instrukcja  Prezes Urzędu Ochrony Danych Osobowych;

 Instrukcja Zarządzania Systemem Informatycznym stanowiąca

Załącznik nr 1 do niniejszej Polityki.

III. Zasady przetwarzania Danych Osobowych

1. Dane Osobowe przetwarzane są przez Spółkę zgodnie z prawem, rzetelnie i w sposób

przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość").

2. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy spełniony jest co najmniej
jeden z poniższych warunków:

6
 a) osoba, której dane dotyczą wyraziła Zgodę na przetwarzanie swoich danych osobowych
w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane
dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem
umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na
Administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane
dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie
publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów
realizowanych przez Administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w
których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa
i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w
szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

3. Art. 9 ust. 1 Rozporządzenia wprowadza ogólny zakaz przetwarzania Danych Osobowych

ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub
światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych
genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby
fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby
(„Szczególne kategorie Danych Osobowych”).

4. Zakaz przetwarzania Szczególnych kategorii Danych Osobowych nie ma zastosowania, jeżeli

spełniony jest jeden z poniższych warunków:

a) osoba, której dane dotyczą, wyraziła wyraźną Zgodę na przetwarzanie tych Danych
Osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo
państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić
zakazu przetwarzania Danych Osobowych;
b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych
praw przez Administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy,
zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub
prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa
państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw
podstawowych i interesów osoby, której dane dotyczą;
c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane
dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie
niezdolna do wyrażenia Zgody;
d) przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z
zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny
niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub
związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych
członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego
celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób,
których dane dotyczą;
e) przetwarzanie dotyczy Danych Osobowych w sposób oczywisty upublicznionych przez
osobę, której dane dotyczą;

7
 f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w
ramach sprawowania wymiaru sprawiedliwości przez sądy;
g) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym,
na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do
wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują
odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której
dane dotyczą;
h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do
oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki
zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i
usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub
prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z
zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 9 ust. 3 Rozporządzenia;
i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w
dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi
zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i
bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów
medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które
przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane
dotyczą, w szczególności tajemnicę zawodową;
j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów
badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1,
na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do
wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują
odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której
dane dotyczą.

5. Jeżeli przetwarzanie przez Spółkę Danych Osobowych odbywa się na podstawie Zgody (vide pkt
[…] niniejszej Polityki), w tym również Zgody na przetwarzanie Szczególnych kategorii Danych
Osobowych (vide pkt […] niniejszej Polityki), przed rozpoczęciem przetwarzania Danych
Osobowych Spółka powinna uzyskać Zgodę w formie pisemnej lub elektronicznej, tak, aby była
w stanie wykazać, że osoba, której dane dotyczą, wyraziła Zgodę na przetwarzanie swoich
Danych Osobowych.

6. Jeżeli osoba, której dane dotyczą, wyrażą Zgodę w pisemnym oświadczeniu, które dotyczy
także innych kwestii, zapytanie o Zgodę musi zostać przedstawione w sposób pozwalający
wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i
prostym językiem.

7. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać Zgodę. Wycofanie
Zgody nie wpływa na zgodność z prawem przetwarzania, którego Spółka dokonała na
podstawie Zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana,
zanim wyrazi Zgodę. Wycofanie Zgody musi być równie łatwe jak jej wyrażenie. Wzór Zgody na
przetwarzanie Danych Osobowych stanowi Załącznik nr […] do niniejszej Polityki.

8. Przed rozpoczęciem przetwarzania Danych Osobowych osoby, której dane dotyczą, Spółka w
zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem ma

8
 obowiązek udzielić osobie, której dane dotyczą, informacji określonych w art. 13 i 14
Rozporządzenia, tj:

a) firmę, siedzibę i dane kontaktowe Spółki oraz, gdy ma to zastosowanie, tożsamość i dane
kontaktowe swojego przedstawiciela;
b) cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
c) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
np. w przypadku dalszego przekazywania przez Spółkę Danych Osobowych podmiotom
współpracującym ze Spółką;
d) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe,
kryteria ustalania tego okresu;
e) informacje o prawie do żądania od Spółki dostępu do Danych Osobowych dotyczących
osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania
lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do
przenoszenia danych;
f) jeżeli przetwarzanie odbywa się na podstawie Zgody - informacje o prawie do cofnięcia
Zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania,
którego dokonano na podstawie Zgody przed jej cofnięciem;
g) informacje o prawie wniesienia skargi do organu nadzorczego;
h) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym
lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana
do ich podania i jakie są ewentualne konsekwencje niepodania danych;
i) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym
mowa w art. 22 ust. 1 i 4 Rozporządzenia, oraz - przynajmniej w tych przypadkach -
istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych
konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą;
j) jeżeli Dane Osobowe Spółka pozyska nie od osoby, której dane dotyczą, obowiązana jest
wskazać osobie, której dane dotyczą źródło pochodzenia Danych Osobowych, a gdy ma
to zastosowanie, czy pochodzą one ze źródeł publicznie dostępnych.

- Ogólny wzór klauzuli informacyjnej stanowi Załącznik nr […] do niniejszej Polityki.

9. Do osób, których Dane Osobowe Spółka przetwarzała na podstawie przepisów prawa lub
Zgody przed i w dacie przyjęcia przez Spółkę niniejszej Polityki, Spółka zobowiązana jest
przesłać informacje wskazane w pkt 8 powyżej. Wzór dokumentu zawierającego te informacje
stanowi Załącznik nr […] do niniejszej Polityki.

10. Osoba, której dane dotyczą, jest uprawniona do uzyskania od Spółki w każdym czasie
potwierdzenia, czy przetwarzane są Dane Osobowe jej dotyczące, a jeżeli ma to miejsce, jest
uprawniona do uzyskania dostępu do nich oraz do następujących informacji:

a) celów przetwarzania;
b) kategorii odnośnych danych osobowych;
c) informacji o odbiorcach lub kategoriach odbiorców, którym Dane Osobowe zostały lub
zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach
międzynarodowych;
d) w miarę możliwości planowany okres przechowywania Danych Osobowych, a gdy nie jest to
możliwe, kryteria ustalania tego okresu;

9
 e) informacji o prawie do żądania od Administratora sprostowania, usunięcia lub ograniczenia
przetwarzania danych osobowych dotyczących osoby, której dane dotyczą, oraz do wniesienia
sprzeciwu wobec takiego przetwarzania;
f) informacji o prawie wniesienia skargi do organu nadzorczego;
g) jeżeli Dane Osobowe nie zostały zebrane od osoby, której dane dotyczą - wszelkie dostępne
informacje o ich źródle;
h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym
mowa w art. 22 ust. 1 i 4 Rozporządzenia oraz - przynajmniej w tych przypadkach - istotne
informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych
konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

11. Spółka dostarcza osobie, której dane dotyczą, kopię Danych Osobowych podlegających
przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, Spółka
może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli
osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej,
informacji udziela się powszechnie stosowaną drogą elektroniczną.

12. Osoba, której dane dotyczą, ma prawo żądania od Spółki niezwłocznego sprostowania
dotyczących jej Danych Osobowych, które są nieprawidłowe. Z uwzględnieniem celów
przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych
Danych Osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia („Prawo do
sprostowania Danych Osobowych”).

13. Osoba, której dane dotyczą, ma prawo żądania od Spółki niezwłocznego usunięcia dotyczących
jej Danych Osobowych, zarówno ze Zbioru Informatycznego, jak i ze Zbioru Tradycyjnego, a
Spółka ma obowiązek bez zbędnej zwłoki usunąć Dane Osobowe („Prawo do bycia
zapomnianym”), jeżeli zachodzi jedna z następujących okoliczności:

a) Dane Osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób
przetwarzane;
b) osoba, której dane dotyczą, cofnęła Zgodę i nie ma innej podstawy prawnej przetwarzania;
c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 Rozporządzenia wobec
przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub
osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 Rozporządzenia wobec
przetwarzania;
d) Dane Osobowe były przetwarzane niezgodnie z prawem;
e) Dane Osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego
przewidzianego w prawie Unii lub prawie polskim;
f) Dane Osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa
informacyjnego, o których mowa w art. 8 ust. 1 Rozporządzenia.

14. Jeżeli Spółka upubliczniła Dane Osobowe, które ma obowiązek usunąć, to - biorąc pod uwagę
dostępną technologię i koszt realizacji - podejmuje rozsądne działania, w tym środki
techniczne, by poinformować administratorów przetwarzających te Dane Osobowe, że osoba,
której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie
tych Danych Osobowych lub ich replikacje.

10
15. Pomimo wniosku osoby, której dane dotyczą, Spółka nie ma obowiązku usuwania Danych
Osobowych w zakresie, w jakim przetwarzanie tych Danych Osobowych jest niezbędne:

a) do korzystania z prawa do wolności wypowiedzi i informacji;

b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii
lub prawa polskiego lub do wykonania zadania realizowanego w interesie publicznym lub w
ramach sprawowania władzy publicznej powierzonej Spółce;
c) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego;
d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych
lub do celów statystycznych, o ile prawdopodobne jest, że usunięcie Danych Osobowych
uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;
e) do ustalenia, dochodzenia lub obrony roszczeń Spółki.

16. Osoba, której dane dotyczą, ma prawo żądania od Spółki ograniczenia przetwarzania jej
Danych Osobowych w następujących przypadkach:

a) osoba, której dane dotyczą, kwestionuje prawidłowość Danych Osobowych - na okres

pozwalający Spółce sprawdzić prawidłowość tych danych;
b) przetwarzanie jest niezgodne z prawem a osoba, której dane dotyczą, sprzeciwia się
usunięciu Danych Osobowych, żądając w zamian ograniczenia ich wykorzystywania;
c) Spółka nie potrzebuje już Danych Osobowych do celów przetwarzania, ale są one potrzebne
osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony jej roszczeń;
d) osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 Rozporządzenia wobec
przetwarzania - do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie Spółki
są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

17. Spółka informuje o sprostowaniu lub usunięciu Danych Osobowych lub ograniczeniu ich
przetwarzania każdego odbiorcę, któremu ujawniono Dane Osobowe, chyba że okaże się to
niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Spółka informuje osobę,
której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.

18. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść do Spółki sprzeciw - z
przyczyn związanych z jej szczególną sytuacją – w przypadku, gdy przetwarzanie dotyczących
jej Danych Osobowych jest niezbędne do wykonania zadania realizowanego w interesie
publicznym lub w ramach sprawowania władzy publicznej powierzonej Spółce lub
przetwarzanie tych danych jest niezbędne do celów wynikających z prawnie uzasadnionych
interesów realizowanych przez Spółkę lub przez stronę trzecią, z wyjątkiem sytuacji, w których
nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności
osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy
osoba, której dane dotyczą, jest dzieckiem. Spółce nie wolno już przetwarzać tych danych
osobowych, chyba że wykaże ona istnienie ważnych prawnie uzasadnionych podstaw do
przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub
podstaw do ustalenia, dochodzenia lub obrony roszczeń („Prawo do sprzeciwu”).

19. W przypadku, gdy Dane Osobowe przetwarzane są przez Spółkę na innych podstawach niż
wskazane w punkcie 18 powyżej, np. na podstawie przepisów prawa lub Zgody, osobie, której
dane te dotyczą prawo sprzeciwu nie przysługuje. W dacie przyjęcia przez Spółkę niniejszej

11
 Polityki, Dane Osobowe przetwarzane były wyłącznie na podstawie przepisów prawa lub
Zgody, w stosunku do przetwarzania których, prawo sprzeciwu nie przysługuje.

20. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się
wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej
osoby skutki prawne lub w podobny sposób istotnie na nią wpływa, chyba, że decyzja taka:

a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą a
Spółką;
b) jest dozwolona prawem Unii lub prawem polskim i przewiduje właściwe środki ochrony
praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą;
c) opiera się na wyraźnej Zgodzie osoby, której dane dotyczą.

IV. Dane Osobowe przetwarzane przez Spółk ę

1. Ze względu na kryterium przedmiotu Danych Osobowych, Spółka przetwarza Dane Osobowe

zwykłe oraz Dane biometryczne w postaci zapisu odcisku palców trzech upoważnionych osób
na potrzeby korzystania z zamka biometrycznego do drzwi pokoju Głównego Automatyka oraz
Szefa Produkcji, należące do Szczególnych kategorii Danych Osobowych wymienionych w art. 9
Rozporządzenia (vide pkt III. 3 i 4 niniejszej Polityki dotyczący Szczególnych kategorii Danych
Osobowych)

2. Podstawę przetwarzania przez Spółkę Danych biometrycznych stanowi pisemna Zgoda każdej z
trzech upoważnionych osób, spełniająca wymagania określone w art. 9 ust. 2 pkt a)
Rozporządzenia. Wzór Zgody na przetwarzanie Danych biometrycznych stanowi Załącznik nr
[…] do niniejszej Polityki.

3. Ze względu na kryterium osób, których dotyczą Dane Osobowe, Spółka przetwarza następujące
kategorie Danych Osobowych:

3.1. Dane Osobowe osób zatrudnianych przez Spółkę na podstawie umów o pracę, umów
cywilnoprawnych (w tym umów z osobami odbywającymi praktyki w zakładzie produkcyjnym
Spółki) oraz innych osób współpracujących ze Spółką na podstawie innych tytułów prawnych;

3.2. Dane Osobowe osób działających w imieniu lub na rzecz kontrahentów Spółki (klientów,
dostawców surowców do produkcji oraz innych podmiotów niż wymienione w pkt 1. powyżej
(np. świadczących usługi na rzecz Spółki, np. w zakresie utrzymania porządku). Podkreślić
należy, że w przypadku przedsiębiorców wykonujących jednoosobowo działalność
gospodarczą jako osoby fizyczne, to również ich nazwy (firmy) podlegają ochronie na
podstawie przepisów Rozporządzenia, jako dane osobowe;

3.3. Dane Osobowe innych osób – np. dane gości odwiedzających biuro lub zakład Spółki.

DANE OSOBOWE PRACOWNIKÓW SPÓŁKI

4. Spółka przetwarza Dane Osobowe pracowników zatrudnionych w ramach stosunku pracy na
podstawie przepisów prawa oraz na podstawie Zgody.

12
5. Dane Osobowe pracowników przetwarzane na podstawie przepisów prawa, tj. art. 22 1 Kodeksu
pracy obejmują: imię (imiona) i nazwisko; imiona rodziców; datę urodzenia; miejsce
zamieszkania (adres do korespondencji); wykształcenie; przebieg dotychczasowego
zatrudnienia oraz numer PESEL.

6. Spółka jako pracodawca jest ponadto uprawniona do przetwarzania innych Danych Osobowych
pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich
danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień
przewidzianych w prawie pracy.

7. Dane Osobowe pracowników przetwarzane przez Spółkę na podstawie przepisów prawa

innych niż przepisy Kodeksu pracy obejmują: numery rachunków bankowych pracowników.

8. Dane Osobowe pracowników przetwarzane przez Spółkę na podstawie Zgody obejmują:

8.1. numery telefonów pracowników, a także ich adresy e-mail;

8.2. imiona i nazwiska pracowników wraz z datą i godziną użycia elektronicznej karty dostępu do
pomieszczeń zakładu Spółki;

8.3. imiona i nazwiska pracowników wraz z kwotami zobowiązań w ramach kasy zapomogowo-
pożyczkowej;

8.4. Dane biometryczne – zapis elektroniczny odcisków palców trzech uprawnionych

pracowników;

8.5. wizerunek pracownika – w związku z zainstalowanym na terenie zakładu Spółki (z

wyłączeniem części biurowej) systemem telewizji przemysłowej oraz indywidualnymi
urządzeniami rejestrującymi obraz;

8.6. współrzędne geograficzne miejsca, w którym w danym momencie przebywa pracownik

Wewnętrznej Służby Ochrony;

8.7. imiona i nazwiska, adresy i numery PESEL pracowników wraz z dokumentacją medyczną
znajdującą się w ambulatorium znajdującym się na terenie zakładu Spółki;

8.8. imiona, nazwiska wraz z numerami PESEL, adresami, numerami telefonów i adresami e-mail
pracowników oraz danymi wskazanych przez nich osób, niebędących pracownikami Spółki, na
potrzeby usług ubezpieczeń osobowych dla pracowników oraz usług medycznych
świadczonych na ich rzecz przez spółkę Medicover Sp. z o.o. z siedzibą w Warszawie, z którą
Spółka podpisała umowę.

DANE OSOBOWE OSÓB DZIAŁAJĄCYCH W IMIENIU LUB NA RZECZ KONTRAHENTÓW

SPÓŁKI (KLIENTÓW, DOSTAWCÓW SUROWCÓW DO PRODUKCJI ITP.) PRZETWARZANE
PRZEZ SPÓŁKĘ ORAZ POZOSTAŁE DANE OSOBOWE

9. Spółka przetwarza Dane Osobowe osób działających w imieniu lub na rzecz kontrahentów
Spółki oraz Dane Osobowe innych osób na podstawie Zgody. Dane te obejmują:

9.1. imiona, nazwiska, numery PESEL, numery NIP, adresy zamieszkania osób fizycznych
wykonujących działalność gospodarczą lub wspólników spółek osobowych zawierających w
swoich nazwach dane osobowe wspólników;

13
9.2. imiona, nazwiska, adresy e-mail, numery telefonów osób będących przedstawicielami
handlowymi dostawców;

9.3. imiona, nazwiska, numery telefonów kierowców pojazdów dostarczających towary na teren
zakładu Spółki lub odbierających towary z magazynu Spółki;

9.4. imiona, nazwiska i wizerunek osób odwiedzających biuro lub zakład Spółki.

14
V. Administracja i organizacja bezpieczeństwa

1. Spółka jako Administrator, uwzględniając stan wiedzy technicznej oraz koszty, wdraża środki
techniczne i organizacyjne odpowiednie do charakteru, zakresu, kontekstu i celów
przetwarzania Danych Osobowych oraz do ryzyka naruszenia praw lub wolności osób
fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, tak aby zapewnić stopień
bezpieczeństwa przetwarzania Danych Osobowych odpowiadający temu ryzyku, w tym między
innymi:

a) pseudonimizację i szyfrowanie Danych Osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności
systemów i usług przetwarzania;
c) zdolność do szybkiego przywrócenia dostępności Danych Osobowych i dostępu do nich w
razie incydentu fizycznego lub technicznego;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i
organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

2. Spółka zapewnia pseudnimizację Danych Osobowych pracowników zatrudnionych w Dziale

Produkcji polegającą na zakodowaniu imion i nazwisk tych pracowników umieszczanych na
ogólnodost6ępnych arkuszach, wykazach i harmonogramach (vide pkt […] niniejszej Polityki).

3. Spółka prowadzi w formie elektronicznej rejestr czynności przetwarzania Danych Osobowych,

za który odpowiada i który zobowiązana jest na każde żądanie udostępnić Prezesowi Urzędu
Ochrony Danych Osobowych. W rejestrze tym zamieszcza się wszystkie następujące
informacje:

a) firmę, siedzibę i dane kontaktowe Spółki jako Administratora;

b) cele przetwarzania;
c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym
odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub
organizacji międzynarodowej;
f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa

- wzór rejestru czynności przetwarzania stanowi Załącznik nr […] do niniejszej Polityki.

4. W przypadku naruszenia bezpieczeństwa przetwarzania Danych Osobowych, polegającego w
szczególności na uzyskaniu dostępu do tych danych przez osoby nieuprawnione, Spółka jako
Administrator zgłasza naruszenie Prezesowi Urzędu Ochrony Danych Osobowych, chyba że jest

15
 mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności
osób fizycznych.

5. Zgłoszenie naruszenia bezpieczeństwa przetwarzania Danych Osobowych powinno nastąpić

niezwłocznie, w miarę możliwości nie później niż w terminie 72 godzin od stwierdzenia przez
Spółkę faktu naruszenia. Do zgłoszenia przekazanego Prezesowi Urzędu Ochrony Danych
Osobowych po upływie 72 godzin Spółka dołącza wyjaśnienie przyczyn opóźnienia.

6. Zgłoszenie naruszenia bezpieczeństwa przetwarzania Danych Osobowych w formie określonej

przez Prezesa Urzędu Ochrony Danych Osobowych, a jeżeli taka forma nie zostanie określona,
to w formie listu poleconego za potwierdzeniem odbioru wysłanego na adres Prezesa Urzędu
Ochrony Danych Osobowych. Zgłoszenie musi co najmniej:

a) opisywać charakter naruszenia, w tym w miarę możliwości wskazywać kategorie i

przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów
Danych Osobowych, których dotyczy naruszenie;
b) zawierać imię i nazwisko osoby wyznaczonej przez Spółkę do kontaktu w danej sprawie;
c) opisywać możliwe konsekwencje naruszenia bezpieczeństwa ochrony i przetwarzania
Danych Osobowych;
d) opisywać środki zastosowane lub proponowane przez Spółkę w celu zaradzenia
naruszeniu, w tym w stosownych przypadkach środki w celu zminimalizowania jego
ewentualnych negatywnych skutków.

7. Spółka prowadzi w formie elektronicznej rejestr naruszeń bezpieczeństwa przetwarzania

Danych Osobowych, w którym odnotowuje się okoliczności danego naruszenia, jego skutki,
podjęte przez Spółkę działania zaradcze. Wzór rejestru naruszeń bezpieczeństwa przetwarzania
Danych Osobowych stanowi Załącznik nr […] do niniejszej Polityki.

8. Jeżeli naruszenie bezpieczeństwa przetwarzania Danych Osobowych może powodować

wysokie ryzyko naruszenia praw lub wolności osób fizycznych, takich jak prawo do
prywatności, Spółka bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim
naruszeniu.

9. Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach:

a) Spółka wdrożyła odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały

zastosowane do Danych Osobowych, których dotyczy naruszenie;
b) Spółka zastosowała następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka
naruszenia praw lub wolności osoby, której dane dotyczą;
c) zawiadomienie wymagałoby niewspółmiernie dużego wysiłku. W takim przypadku wydany
zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego
osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób .

10. Jeżeli dany rodzaj przetwarzania Danych Osobowych, w szczególności przy zastosowaniu
nowych technologii, ze względu na swój charakter, zakres, kontekst i cele z dużym
prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób
fizycznych, Spółka przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych
operacji przetwarzania dla ochrony Danych Osobowych.

16
11. Ocena skutków planowanych operacji przetwarzania, o której mowa w punkcie 10 powyżej,
powinna zawierać co najmniej:

a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy

ma to zastosowanie - prawnie uzasadnionych interesów realizowanych przez Spółkę;
b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i
mechanizmy bezpieczeństwa mające zapewnić ochronę Danych Osobowych.

12. Spółka jako Administrator jest odpowiedzialna za przestrzeganie zasad przetwarzania Danych
Osobowych wynikających z Rozporządzenia oraz za zapewnienie bezpieczeństwa
przetwarzania tych danych i musi być w stanie wykazać ich przestrzeganie ("Rozliczalność").

17