Polityka przetwarzania danych osobowych

Postanowienia ogólne

  1. Niniejszy Polityka przetwarzania danych osobowych (dalej „Polityka”) określa stosowane w Fundacji Startup Hub Poland (dalej SHP lub Fundacja) zasady ochrony danych osobowych i projektowych.
  2. Polityka jest elementem dostosowanego do zapotrzebowań SHP systemu zarządzania bezpieczeństwem informacji, w ramach którego SHP określa środki techniczne i organizacyjne zapewniające m.in. ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń, ich kategori oraz wielkości i dostępności środków Fundacji.
  3. Sposób przetwarzania danych oraz środki techniczne i organizacyjne, o jakich mowa w ust. 1 i 2 powyżej zostały uwzględnione w instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych objętych projektem.

Definicje

Pojęcia użyte w Polityce mają następujące znaczenie:

  1. Ustawa – Ustawa z dnia 10 maja 2018  roku o ochronie danych osobowych (Dz.U. z 2018 r. poz.1000);
  2. RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;
  3. Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”), przy czym osobą możliwą do zidentyfikowania jest osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
  4. Przetwarzanie danych – jakiekolwiek operacje lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, opracowywanie, adaptowanie, zmienianie, pobieranie,  przeglądanie, wykorzystywanie, ujawnianie  poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
  5. Administrator danych – Fundacja Startup Hub Poland 
  6. Sprawdzenie – czynności mające na celu zweryfikowanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
  7. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych w Fundacji.
  8. Pozostałe pojęcia używane w Polityce mają znaczenie nadane im przez Ustawę, RODO lub regulamin organizacyjny SHP. 

Dane osobowe

  1. W SHP przetwarzane są dane osobowe, których Administratorem jest Fundacja Startup Hub Poland. Ponadto SHP przetwarza dane osobowe, które zostały jej powierzone przez podmioty trzecie zgodnie z zasadami określonymi niżej. 
  2. Administrator danych przetwarza wyłącznie dane osobowe, co do których posiada odpowiednią podstawę prawną, wynikającą z przepisów prawa, zgody osoby lub podmiotu, których dane dotyczą lub prawnie uzasadnionego interesu Administratora danych lub osoby trzeciej. W przypadku wątpliwości co do zakresu udzielonej zgody, wszelkie niejasności interpretowane są na korzyść osoby, która jej udzieliła. 
  3. Administrator danych przetwarza dane osobowe zgodnie z celem, w jakim zostały zebrane. Administrator danych dopuszcza przetwarzanie danych w celu innym niż ten, dla którego dane zostały zebrane, lecz wyłącznie po spełnieniu przesłanek określonych w RODO lub Ustawie oraz gdy przetwarzanie danych będzie odbywać się w sposób zgodny z Polityka SHP. 
  4. Administrator danych przetwarza dane osobowe na podstawie zgody osoby, lub podmiotu, których dane dotyczą, wyrażonej każdorazowo poprzez podpisanie odpowiedniego dokumentu i po zapoznaniu się z treścią Polityki SHP. Fundacja nie ponosi odpowiedzialności za dane osób realizujących projekt badawczo-rozwojowy lub technologiczny zgłaszanych do Fundacji celem ich analizy, selekcji i promocji danego projektu w relacji z Fundacja i jej partnerami, które trafiają do Fundacji poprzez formularz zgłoszeniowy projektu, a które odnoszą się od innych członków zgłaszanych projektów niż osoba, która akceptuje politykę (dotyczy to w szczególności podania danych osobowych członków zespołu badawczo-rozwojowego, w imieniu których występuje dany członek projekty badawczo rozwojowego, np. lider projektu prezentujący potencjał kadrowy swojego projektu).
  5. Dane osobowe są przetwarzane do momentu osiągnięcia wszystkich celów, dla których je przetwarzano. Dane osobowe, co do których ustał cel ich przetwarzania, są usuwane w trwały sposób, albo pozbawiane cech identyfikujących poprzez ich anonimizację lub pseudonimizację.
  6. Dane osobowe są przetwarzane zarówno w formie papierowej jak i w formie elektronicznej.

Bezpieczeństwo danych osobowych

  1.  W celu zapewnienia integralności i poufności danych Administrator wdrożył procedury umożliwiające dostęp do danych osobowych jedynie osobom upoważnionym i wyłącznie w zakresie, w jakim jest to niezbędne ze względu na wykonywane przez nie zadania. Administrator stosuje rozwiązania organizacyjne i techniczne w celu zapewnienia, że wszystkie operacje na danych osobowych są rejestrowane i dokonywane tylko przez osoby uprawnione. 
  2. Administrator podejmuje ponadto wszelkie niezbędne działania, by także jego podwykonawcy i inne podmioty współpracujące dawały gwarancję stosowania odpowiednich środków bezpieczeństwa w każdym przypadku, gdy przetwarzają dane osobowe na zlecenie Administratora. 
  3. Administrator prowadzi na bieżąco analizę ryzyka i monitoruje adekwatność stosowanych zabezpieczeń danych do zidentyfikowanych zagrożeń. W razie konieczności Administrator wdraża dodatkowe środki służące zwiększeniu bezpieczeństwa danych. 

Zasady udostępniania i powierzania przetwarzania danych 

  1. W przypadku zgłoszenia przez osobę trzecią żądania udostępnienia danych osobowych, Administrator danych bada zasadność żądania oraz cel dla jakiego dane osobowe mają być przetwarzane przez ubiegającego się o ich udostępnienie. 
  2. SHP może powierzyć innemu podmiotowi przetwarzanie danych osobowych. Powierzenie danych może nastąpić wyłącznie po zawarciu pisemnej umowy o powierzenie przetwarzania danych albo podpisaniu innej umowy zawierającej postanowienia regulujące kwestię powierzenia przetwarzania danych. Osoby i podmioty udzielające danych osobowych Fundacji zostają poinformowani o konieczności przekazania ich danych osobowych.
  3. Podmiot zewnętrzny, któremu ma być powierzone przetwarzanie danych musi zapewniać wystarczające gwarancje – w szczególności jeśli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO (zwłaszcza dotyczące bezpieczeństwa przetwarzania) i chroniło prawa osób, których dane dotyczą. Zasady te odnoszą się również do podmiotów którym dany podmiot trzy będzie udostępniał dane osobowe dalej.

Uprawnienia osób, których dane dotyczą


Osobom, których dane dotyczą, przysługują następujące prawa:

  1. prawo do informacji o przetwarzaniu danych osobowych – na tej podstawie osobie zgłaszającej żądanie Administrator przekazuje informację o przetwarzaniu danych, w tym przede wszystkim o celach i podstawach prawnych przetwarzania, zakresie posiadanych danych, podmiotach, którym są ujawniane, i planowanym terminie usunięcia danych;
  2. prawo uzyskania kopii danych – na tej podstawie Administrator przekazuje kopię przetwarzanych danych dotyczących osoby zgłaszającej żądanie;
  3. prawo do sprostowania – Administrator zobowiązany jest usuwać ewentualne niezgodności lub błędy przetwarzanych danych osobowych oraz uzupełniać je, jeśli są niekompletne;
  4. prawo do usunięcia danych – na tej podstawie można żądać usunięcia danych, których przetwarzanie nie jest już niezbędne do realizowania żadnego z celów, dla których zostały zebrane;
  5. prawo do ograniczenia przetwarzania – w razie zgłoszenia takiego żądania Administrator zaprzestaje wykonywania operacji na  danych osobowych – z wyjątkiem operacji, na które wyraziła zgodę osoba, której dane dotyczą – oraz ich przechowywania, zgodnie z przyjętymi zasadami retencji lub dopóki nie ustaną przyczyny ograniczenia przetwarzania danych (np. zostanie wydana decyzja organu nadzorczego zezwalająca na dalsze przetwarzanie danych);
  6. prawo do przenoszenia danych – na tej podstawie – w zakresie, w jakim dane są przetwarzane w związku z zawartą umową lub wyrażoną zgodą – Administrator wydaje dane dostarczone przez osobę, której one dotyczą, w formacie pozwalającym na ich odczyt przez komputer. Możliwe jest także żądanie przesłania tych danych innemu podmiotowi – jednak pod warunkiem, że istnieją w tym zakresie techniczne możliwości zarówno po stronie Administratora, jak również tego innego podmiotu;
  7. prawo sprzeciwu wobec przetwarzania danych w celach marketingowych – osoba, której dane dotyczą, może w każdym momencie sprzeciwić się przetwarzaniu danych osobowych w celach marketingowych, bez konieczności uzasadnienia takiego sprzeciwu;
  8. prawo sprzeciwu wobec innych celów przetwarzania danych – osoba, której dane dotyczą, może w każdym momencie sprzeciwić się przetwarzaniu danych osobowych, które odbywa się na podstawie uzasadnionego interesu Administratora (np. dla celów analitycznych lub statystycznych albo ze względów związanych z ochroną mienia); sprzeciw w tym zakresie powinien zawierać uzasadnienie
  9. prawo wycofania zgody – jeśli dane przetwarzane są na podstawie wyrażonej zgody, osoba, której dane dotyczą, ma prawo ją wycofać w dowolnym momencie, co jednak nie wpływa na zgodność z prawem przetwarzania dokonanego przed wycofaniem zgody.
  10. prawo do skargi – w przypadku uznania, że przetwarzanie danych osobowych narusza przepisy RODO lub inne przepisy dotyczące ochrony danych osobowych, osoba, której dane dotyczą, może złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych.

Zgłoszenie żądań w celu realizacji praw

Wniosek dotyczący realizacji praw podmiotów danych można złożyć:

  1. W formie pisemnej na adres: Fundacja SHP, Senatorska 2, 00-075 Warszawa
  2. Drogą e-mailową na adres: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.  
  3. Jeżeli Administrator nie będzie w stanie zidentyfikować osoby składającej wniosek na podstawie dokonanego zgłoszenia, zwróci się do wnioskodawcy o dodatkowe informacje.
  4. Wniosek może być złożony osobiście lub za pośrednictwem pełnomocnika (np. członka rodziny).
  5. Odpowiedź na zgłoszenie powinna zostać udzielona w ciągu miesiąca od jego otrzymania. W razie konieczności przedłużenia tego terminu Administrator informuje wnioskodawcę o przyczynach opóźnienia.
  6. Odpowiedź udzielana jest za pośrednictwem poczty tradycyjnej, chyba że wniosek został złożony drogą e-mailową lub zażądano przekazania odpowiedzi w formie elektronicznej. 

Postępowanie w sytuacji naruszenia ochrony danych osobowych

  1. W każdej sytuacji, w której naruszono lub zaistniało podejrzenie naruszenia ochrony danych osobowych, osoba, która wykryła incydent informuje członka Zarządu Fundacji.
  2. Dowolny członek Zarządu Fundacji w szczególności identyfikuje i analizuje zaistniałe fakty, w wyniku czego sporządza pisemne sprawozdanie lub notatkę zawierające: opis zaistniałych okoliczności, przyczyny zajścia zdarzenia, wskazanie osoby lub osób winnych zaniedbania lub naruszenia ochrony, sposoby naprawy ewentualnej szkody i przywrócenia prawidłowego działania. Poinformowany członek Zarządu Fundacji może prowadzić ewidencję, w której odnotowane zostaną wszystkie zgłoszenia przypadków naruszenia lub podejrzenia naruszenia bezpieczeństwa danych. 
  3. Poinformowany członek Zarządu Fundacji niezwłocznie podejmuje działania służące usunięciu skutków powstałego incydentu, przywróceniu – w miarę możliwości – stanu pierwotnego oraz zapobieżeniu dalszemu rozprzestrzenianiu się zagrożenia bezpieczeństwa przetwarzania danych. 
  4. Poinformowany członek Zarządu Fundacji podejmuje decyzję w zakresie powiadomienia organu nadzorczego w zakresie ochrony danych osobowych i ewentualnie organów policji lub prokuratury, oraz stosuje sankcje w stosunku do osób przyczyniających się bądź naruszających zasady ochrony danych osobowych na zasadach statutowych, to znaczy w porozumieniu z Zarządem Fundacji.