AKA Zamów Online B2B

Polityka prywatności

Jesteś tu:

 

Polityka Bezpieczeństwa
Danych Osobowych wraz z Instrukcją Zarządzania Systemem Informatycznym
w AKA SZCZERBICCY SPÓŁKA JAWNA


Wrocław, dnia 25-05-2018 r.

Polityka Bezpieczeństwa Danych Osobowych

 

Spis treści:

- § 1. Wstęp – s. 3

- § 2. Definicje – s. 3-4

- § 3. Postanowienia ogólne – s. 4

- § 4. Obowiązki Administratora Danych – s. 5

- § 5. Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem danych osobowych – s. 5-6

- § 6. Obszar przetwarzania danych – s. 7

- § 7. Zakres i cel zbieranych danych osobowych – s. 7

- § 8. Podstawa prawna przetwarzania danych osobowych – s. 7-8

- § 9. Okres przetwarzania danych osobowych – s. 8

- § 10. Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych osobowych – s. 8-10

- § 11. Szkolenie pracowników – s. 10-11

- § 12. Instrukcja alarmowa – s. 11-12

- § 13. Powierzenie przetwarzania danych osobowych – s. 12

- § 14. Postanowienia końcowe – s. 13



1. Wstęp

 

Niniejsza Polityka Bezpieczeństwa Danych Osobowych została opracowana w celu wykazania, że dane osobowe są przetwarzane i zabezpieczone w AKA Szczerbiccy Spółka Jawna zgodnie z wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczania danych osobowych, w tym przede wszystkim z Rozporządzeniem Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

 

2. Definicje

 

  1. Administrator Danych – AKA Szczerbiccy Spółka Jawna, ul. Jerzmanowska 15, 54-530 Wrocław, NIP: 8942777690, KRS: 0000181985;
  2. dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, w tym imię i nazwisko, PESEL, adres zamieszkania, numer telefonu, adres poczty e-mail;
  3. przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie – w formie tradycyjnej oraz w systemach informatycznych;
  4. Polityka – niniejsza Polityka Bezpieczeństwa Danych Osobowych;
  5. RODO - Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;
  6. system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji narzędzi programowych zastosowanych w celu przetwarzania danych;
  7. użytkownik – osoba upoważniona przez Administratora Danych do przetwarzania danych osobowych;
  8. zbiór danych – każdy uporządkowany zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
  9. identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym (użytkownika) w razie przetwarzania danych osobowych w takim systemie;
  10. hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym (użytkownikowi) w razie przetwarzania danych osobowych w takim systemie;
  11. uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu (użytkownika);

 

3. Postanowienia ogólne

 

  1. Polityka obejmuje wszystkie dane osobowe przetwarzane w AKA Szczerbiccy Spółka Jawna, niezależnie od formy ich przetwarzania (przetwarzane tradycyjnie zbiory ewidencyjne, systemy informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane w zbiorach danych.
  2. Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w siedzibie Administratora Danych.
  3. Polityka jest dokumentem wewnętrznym AKA Szczerbiccy Spółka Jawna i nie może być udostępniana osobom postronnym w żadnej formie.
  4. Polityka jest udostępniana do wglądu osobom posiadającym upoważnienie do przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma zostać nadane upoważnienie do przetwarzania danych osobowych, celem zapoznania się z jej treścią.
  5. Dla skutecznej realizacji Polityki Administrator Danych zapewnia:
  1. odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne,
  2. kontrolę i nadzór nad przetwarzaniem danych osobowych,
  3. monitorowanie zastosowanych środków ochrony.
  1. Administrator Danych zapewnia, że czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem danych osobowych są zgodne z niniejszą Polityką oraz odpowiednimi przepisami prawa.

 

4. Obowiązki Administratora Danych 

 

  1. Do najważniejszych obowiązków Administratora Danych należy:
  1. opracowanie i wdrożenie Polityki Bezpieczeństwa Danych Osobowych i Instrukcji Zarządzania Systemem Informatycznym;
  2. zabezpieczenie i ochrona danych osobowych oraz zbiorów danych osobowych powierzonych do przetwarzania;
  3. monitorowanie zastosowanych zabezpieczeń i środków ochrony, które obejmuje m.in. działania użytkowników, naruszanie zasad dostępu do danych, zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi;
  4. wydawanie i anulowanie upoważnień dla osób uprawnionych do przetwarzania danych osobowych;
  5. prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych;
  6. powołanie pełnomocnika działających w imieniu Administratora Danych w następujących oddziałach firmy AKA Szczerbiccy Spółka Jawna:
  1. AKA Wrocław – ul. Jerzmanowska 15, 54-530 Wrocław,
  2. AKA Nowa Sól – ul. Wrocławska 20, 67-100 Nowa Sól,
  3. AKA Żagań – ul. Spółdzielcza 2, 68-100 Żagań,
  4. AKA Jelenia Góra – ul. Wincentego Pola 45, 58-500 Jelenia Góra,
  5. AKA Lubin – ul. Rzeźnicza 4, 59-300 Lubin,
  6. AKA Wałbrzych – ul. Piotra Wysockiego 16E, 58-300 Wałbrzych,
  7. AKA Zielona Góra – ul. Elektronowa 16, 65-730 Zielona Góra.
  1. Szczegółowe obowiązki pełnomocnika Administratora Danych zostały określone w Załącznikach nr 1a-1g.

5. Obowiązki i odpowiedzialność w zakresie zarządzania  bezpieczeństwem danych osobowych

  1. Wszystkie osoby zobowiązane są do przetwarzania danych osobowych zgodnie z obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Danych Polityką Bezpieczeństwa, Instrukcją Zarządzania Systemem Informatycznym, a także innymi dokumentami wewnętrznymi i procedurami związanymi z przetwarzaniem danych osobowych w AKA Szczerbiccy Spółka Jawna.
  2. Wszystkie dane osobowe w AKA Szczerbiccy Spółka Jawna są przetwarzane z poszanowaniem zasad przetwarzania przewidzianych przez obowiązujące przepisy prawa, tj.:
  1. w każdym wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstawa dla przetwarzania danych osobowych,
  2. dane osobowe są przetwarzane w sposób rzetelny i przejrzysty,
  3. dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,
  4. dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu przetwarzania danych,
  5. dane osobowe są prawidłowe i w razie potrzeby uaktualniane,
  6. czas przechowywania danych osobowych jest ograniczony do okresu ich przydatności do celów, do których zostały zebrane, a po tym okresie są one anonimizowane bądź usuwane,
  7. wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie z treścią art. 13 i 14 RODO,
  8. dane osobowe są zabezpieczone przed naruszeniami zasad ich ochrony.
  1. Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych osobowych uważa się w szczególności:
  1. naruszenie bezpieczeństwa systemów informatycznych, w których przetwarzane są dane osobowe, w razie ich przetwarzania w takich systemach,
  2. udostępnianie lub umożliwienie udostępniania danych osobom lub podmiotom do tego nieupoważnionym,
  3. zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia danym osobowym ochrony,
  4. niedopełnienie obowiązku zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia,
  5. przetwarzanie danych osobowych niezgodnie z założonym zakresem i celem ich zbierania,
  6. spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie danych osobowych,
  7. naruszenie praw osób, których dane są przetwarzane.
  1. W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego powiadomienia Administratora Danych.


6. Obszar przetwarzania danych osobowych

Obszar, w którym przetwarzane są dane osobowe na terenie AKA Szczerbiccy Spółka Jawna obejmuje pomieszczenia biurowe i hale magazynowe zlokalizowane w siedzibie głównej spółki oraz w jej oddziałach wyszczególnionych w § 4 pkt. 1 ppkt. 6 (szczegółowy wykaz budynków i pomieszczeń tworzących obszar przetwarzania danych osobowych ujęto w załączniku nr 2a-2g).

7. Zakres i cel zbieranych danych osobowych

  1. Dane osobowe przetwarzane są przez Administratora Danych w celu: 
    1. zawarcia i realizacji umów (świadczenia usług), w tym za pośrednictwem platformy B2B,
    2. rejestracji na platformie B2B, 
    3. wykonania ciążących na Administratorze Danych obowiązków przewidzianych przepisami obowiązującego prawa, 
    4. ustalenia, obrony i dochodzenia ewentualnych roszczeń,
    5. marketingu bezpośredniego,
    6. tworzenia zestawień, analiz i statystyk (na potrzeby wewnętrzne Administratora Danych),
    7. weryfikacji wiarygodności płatniczej,
    8. prowadzenia działań związanych z zapewnieniem bezpieczeństwa przetwarzania danych osobowych. 
  2. Zakres przetwarzania danych uzależniony jest od celu ich przetwarzania. 
  3. Administrator Danych przetwarza dane osobowe jedynie w zakresie niezbędnym do zrealizowania z góry zamierzonych celów.
  4. Wykaz zbiorów danych osobowych przetwarzanych przez Administratora Danych ujęto w załączniku nr 3.


    8. Podstawa prawna przetwarzania danych osobowych

 

  1. Podstawą prawną przetwarzania danych osobowych przez Administratora Danych są:
  1. zgoda osoby, której dane dotyczą,
  2. konieczność wykonania umowy lub podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
  3. konieczność wypełnienia obowiązku prawnego ciążącego na Administratorze Danych,
  4. konieczność wynikająca z prawnie uzasadnionych interesów realizowanych przez Administratora Danych.
  1. Cofnięcie zgody na przetwarzanie danych osobowych przez osobę, której dane dotyczą, nie ma wpływu na zgodność z prawem przetwarzania jej danych osobowych, której dokonano na podstawie udzielonej zgody przed jej cofnięciem.

9. Okres przetwarzania danych osobowych 

  1. Dane osobowe zbierane przez Administratora Danych są przechowywane przez okres 5 lat, tj. do czasu upływu dla firmy AKA Szczerbiccy Spółka Jawna terminu przedawnienia zobowiązań podatkowych.
  2. W pozostałym zakresie uzasadnionym celami przetwarzania dane osobowe będą przechowywane tak długo, jak istnieć będzie podstawa prawna ich przetwarzania, chyba, że obowiązujące przepisy prawa wymagałyby dłuższego okresu ich przechowywania.
  3. Z końcem okresu przetwarzania dane osobowe zostaną usunięte lub zanonimizowane.


10. Środki techniczne i organizacyjne niezbędne dla zapewnienia 
poufności, integralności i rozliczalności przetwarzania danych osobowych

  1. Zabezpieczenia organizacyjne:
  1. została opracowana i wdrożona Polityka Bezpieczeństwa Danych Osobowych i Instrukcja Zarządzania Systemem Informatycznym,
  2. do przetwarzania danych osobowych zostały dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Administratora Danych,
  3. prowadzona jest ewidencja osób upoważnionych do przetwarzania danych (załącznik nr 5),
  4. osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego,
  5. osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy,
  6. do przebywania w pomieszczeniach, w których przetwarzane są dane osobowe, dopuszcza się osoby posiadające upoważnienie nadane przez Administratora Danych, ale nie posiadających upoważnienia do przetwarzania danych osobowych – dotyczy to personelu technicznego np. służba ochrony, konserwatorzy, personel sprzątający (wzór upoważnienia ujęto w załączniku nr 6)
  7. prowadzona jest ewidencja osób posiadających upoważnienie do przebywania w pomieszczeniach, w których przetwarza się dane osobowe (załącznik nr 7),
  8. przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych do ich przetwarzania,
  9. przebywanie osób nieuprawnionych w pomieszczeniach gdzie przetwarzane są dane osobowe dopuszczalne jest tylko w obecności i pod nadzorem osoby posiadającej upoważnienie do przebywania w obszarze przetwarzania danych osobowych, oraz w warunkach zapewniających bezpieczeństwo tych danych,
  10. w przypadku konieczności zniszczenia papierowych dokumentów zawierających dane osobowe, ich zniszczenie dokonuje się poprzez pocięcie w niszczarce,
  11. zostały zawarte pisemne umowy powierzenia przetwarzania danych dla współpracy z podmiotami zewnętrznymi przetwarzającymi dane osobowe,
  12. powierzono administrowanie systemami informatycznymi przedsiębiorstwa zewnętrznemu podmiotowi w ramach outsourcingu,
  1. Zabezpieczenia fizyczne pomieszczeń, gdzie są przetwarzane dane osobowe w wersji papierowej i elektronicznej:
  1. drzwi zamykane na klucz,
  2. szafy zamykane na klucz,
  3. polityka kluczy:
  1. obowiązuje 5 dniowy tydzień pracy,
  2. dostęp do budynków i pomieszczeń biurowych możliwy jest wyłącznie przez osoby upoważnione, które posiadają do nich klucze,
  3. klucze zapasowe przechowywane są w wyznaczonych i zabezpieczonych miejscach,
  4. wydawanie kluczy zapasowych upoważnionym pracownikom może odbywać się tylko w uzasadnionych sytuacjach oraz w przypadkach awaryjnych za zgodą bezpośredniego przełożonego,
  5. klucze zapasowe po ich wykorzystaniu należy niezwłocznie zwrócić do depozytu,
  6. klucze służące do zabezpieczenia biurek i szaf muszą być jednoznacznie opisane,
  7. w godzinach pracy klucze pozostają pod nadzorem pracowników, którzy ponoszą pełną odpowiedzialność za ich należyte zabezpieczenie,
  8. zabrania się pozostawiania kluczy w biurkach i szafach podczas chwilowej nieobecności osób upoważnionych w pomieszczeniu,
  9. po zakończeniu pracy, klucze służące do zabezpieczenia biurek i szaf muszą być przechowywane w zabezpieczonym miejscu,
  1. służba ochrony,
  2. monitoring kamer,
  3. system przeciwpożarowy/gaśnice.
  1. Zabezpieczenia sprzętowe infrastruktury informatycznej i telekomunikacyjnej:
  1. zastosowano UPS (zasilacz awaryjny) do serwera i komputerów, na których przetwarzane są dane osobowe, 
  2. dostęp do komputera/laptopa z danymi osobowymi odbywa się poprzez podanie loginu i hasła,
  3. w przypadku dostępu do danych osobowych przez Internet, stosuje się szyfrowanie tego połączenia (SSL lub VPN),
  4. zastosowano system antywirusowy na wszystkich komputerach i laptopach,
  5. użyto systemu Firewall do ochrony dostępu do sieci komputerowej,
  6. pracowników obowiązuje zakaz podłączania urządzeń prywatnych do komputerów i laptopów firmowych.
  1. Zabezpieczenia programów przetwarzających dane osobowe:
  1. dla osób upoważnionych określono zakres obowiązków i prawa dostępu do danych osobowych,
  2. dostęp do danych osobowych w systemach/programach informatycznych wymaga podania loginu/nazwy użytkownika oraz hasła, określonych w § 4 Instrukcji Zarządzania Systemem Informatycznym.
  3. użytkownicy systemów/programów informatycznych posiadają w nich konta z określonymi prawami dostępu,
  4. zmianę haseł wymusza system lub zmieniane są przez użytkownika zgodnie z Instrukcją Zarządzania Systemem Informatycznym.

11. Szkolenie pracowników

  1. Każdy pracownik, przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej, oraz pracownik wykonujący obowiązki służbowe w obszarze, w którym przetwarza się dane osobowe, zostaje przeszkolony w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych.
  2. Za przeprowadzenie i zorganizowanie szkolenia odpowiada pełnomocnik Administratora Danych wskazany dla danego oddziału AKA Szczerbiccy Spółka Jawna. 
  3. Zakres szkolenia powinien obejmować zaznajomienie użytkownika z przepisami RODO oraz wydanymi na jej podstawie aktami wykonawczymi, oraz instrukcjami i procedurami obowiązującymi w AKA Szczerbiccy Spółka Jawna, w tym w obowiązującej Polityce Bezpieczeństwa Danych Osobowych i Instrukcji Zarządzania Systemem Informatycznym.
  4. Szkolenie zostaje zakończone podpisaniem przez pracownika i pracodawcę upoważnienia do przetwarzania danych osobowych wraz oświadczenia o wzięciu udziału w szkoleniu i jego zrozumieniu, oraz o zobowiązaniu się do przestrzegania i zachowania w tajemnicy przedstawionych w trakcie szkolenia zasad ochrony danych osobowych w AKA Szczerbiccy Spółka Jawna oraz o zachowaniu w tajemnicy powierzonych danych osobowych (wzór upoważnienia wraz z oświadczeniami ujęto w załączniku nr 4).
  5. Dokument, o którym mowa w § 8 pkt 4, przechowywany jest w aktach osobowych pracownika i stanowi podstawę do podejmowania działań w celu nadania każdemu pracownikowi uprawnień do korzystania z systemu informatycznego przetwarzającego dane osobowe, lub umożliwienia wykonywania obowiązków służbowych w obszarze przetwarzania danych osobowych.


12. Instrukcja alarmowa

Instrukcja alarmowa opisuje możliwe zagrożenia i incydenty zagrażające bezpieczeństwu danych osobowych oraz opisuje sposoby odpowiedniego reagowania na nie. Celem instrukcji jest minimalizacja skutków wystąpienia incydentów bezpieczeństwa, ograniczenia ryzyka powstania zagrożeń i występowania incydentów w przyszłości.

 

  1. Każdy pracownik przedsiębiorstwa, w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych, zobowiązany jest niezwłocznie poinformować bezpośredniego przełożonego lub pełnomocnika Administratora Danych, wskazanego dla danego oddziału przedsiębiorstwa.
  2. Do typowych zagrożeń bezpieczeństwa danych osobowych należą:
  1. niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,
  2. niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych,
  3. nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasad czystego biurka/ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek),
  1. Do typowych incydentów bezpieczeństwa danych osobowych należą:
  1. zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności),
  2. zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków i użytkowników, utrata/zgubienie danych),
  3. umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania).
  1. W przypadku stwierdzenia incydentu (naruszenia), pełnomocnik Administratora Danych prowadzi postępowanie wyjaśniające w toku którego:
  1. ustala czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość zaistniałych szkód,
  2. zabezpiecza ewentualne dowody,
  3. ustala osoby odpowiedzialne za naruszenie,
  4. podejmuje działania naprawcze i zapobiegawcze,
  5. inicjuje działania dyscyplinarne,
  6. wyciąga wnioski i rekomenduje działania korygujące zmierzające do eliminacji podobnych incydentów w przyszłości,
  7. dokumentuje prowadzone postępowania w Załączniku nr 10 „Incydenty Bezpieczeństwa”.

13. Powierzenie przetwarzania danych osobowych

  1. Administrator Danych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO - wzór umowy powierzenia przetwarzania danych osobowych stanowi załącznik nr 8.
  2. Przed powierzeniem przetwarzania danych osobowych Administrator w miarę możliwości uzyskuje informacje o dotychczasowych praktykach podmiotu, któremu zamierza powierzyć przetwarzanie danych, dotyczących zabezpieczenia danych osobowych, w tym informacji o wdrożonej polityce bezpieczeństwa danych osobowych.
  3. Administrator Danych prowadzi rejestr podmiotów przetwarzających, którem powierzono przetwarzanie danych osobowych na podstawie umowy powierzenia, o której mowa w § 13 pkt 1 (rejestr podmiotów przetwarzających ujęto w załączniku nr 9).

14. Postanowienia końcowe

W sprawach nieuregulowanych w niniejszej Polityce zastosowanie mają przepisy z zakresu ochrony danych osobowych, w tym RODO oraz wydane na jego podstawie akty wykonawcze.