Wewnętrzna polityka prywatności

1. Wprowadzenie

Oto polityka prywatności kancelarii Joosten Advocaten. Niniejsza polityka prywatności dotyczy przetwarzania danych osobowych w ramach świadczenia usług prawnych oraz (wewnętrznej) działalności operacyjnej kancelarii Joosten Advocaten.

Kancelaria Joosten Advocaten jest administratorem danych. Joosten Advocaten określa cel i środki przetwarzania danych osobowych. Niniejszy dokument opisuje sposób, w jaki kancelaria Joosten Advocaten jako administrator danych przetwarza dane osobowe, tak aby spełniać wymogi ogólnego rozporządzenia o ochronie danych („RODO”).

Omówione zostaną następujące tematy:

1. Aktualizacja i kontrola zgodności z polityką prywatności;
2. Kategorie danych osobowych i cele;
3. Środki organizacyjne i techniczne / bezpieczeństwo;
4. Obowiązek informacyjny;
5. Rejestr przetwarzania danych;
6. Podmioty przetwarzające i odbiorcy;
7. Okresy przechowywania;
8. Ocena skutków dla ochrony danych (DPIA);
9. Przekazywanie danych poza UE;
10. Brak inspektora ochrony danych;
11. Incydenty związane z bezpieczeństwem;
12. Prawa osób, których dane dotyczą.

2. Aktualizacja i kontrola zgodności z polityką prywatności

Przetwarzanie danych osobowych w kancelarii Joosten Advocaten musi być zgodne z RODO oraz wszelkimi rozporządzeniami, przepisami i regulacjami, które uzupełniają, zmieniają lub zastępują RODO. Z tego powodu polityka prywatności będzie okresowo poddawana ocenie i w razie potrzeby modyfikowana. Również okresowo sprawdzane będzie, czy polityka prywatności jest faktycznie przestrzegana przez pracowników i podmioty przetwarzające dane w kancelarii Joosten Advocaten.

3. Kategorie danych osobowych i cele przetwarzania

Kancelaria Joosten Advocaten przetwarza dane osobowe następujących kategorii osób:

1. (potencjalni) klienci;
2. strony przeciwne, biegli, świadkowie, pełnomocnicy itp.;
3. odwiedzających biuro Joosten Advocaten;
4. odwiedzający strony www.joostenadvocaten.nl i usa-advocaten.nl;
5. odbiorcy (cyfrowych) biuletynów informacyjnych kancelarii Joosten Advocaten;
6. uczestnicy spotkań organizowanych przez kancelarię Joosten Advocaten;
7. akcjonariusze;
8. pracownicy;
9. Osoby prowadzące działalność gospodarczą;
10. studenci-stażyści;
11. kandydaci;
12. wszystkie inne osoby, które kontaktują się z kancelarią Joosten Advocaten lub których dane osobowe są przetwarzane przez kancelarię Joosten Advocaten.

3.1. (potencjalni) klienci

Kancelaria Joosten Advocaten przetwarza dane osobowe (potencjalnych) klientów w celu identyfikacji klienta (na podstawie ustawy Wwft i ustawy o sankcjach) oraz prowadzenia sprawy. W celu identyfikacji wykorzystywane są imię i nazwisko, dane kontaktowe i adresowe, data urodzenia oraz numer dokumentu tożsamości (paszportu) klienta. W celu rozpatrzenia sprawy mogą być również wymagane inne (szczególne) dane osobowe, takie jak dane medyczne. To, jakie dane osobowe są wymagane w danej sprawie, zależy w dużej mierze od rodzaju sprawy.

Dane klienta są zapisywane w cyfrowym formularzu rejestracyjnym, na podstawie którego dane klienta są rejestrowane w systemie biurowym. Dokumenty klienta są odbierane/kopiowane i skanowane, a następnie zapisywane w systemie biurowym.

Wszystkie dane uzyskane przez kancelarię Joosten Advocaten w ramach rejestracji klienta i prowadzenia sprawy są (zeskanowane) zapisywane w systemie kancelarii i wykorzystywane wyłącznie do celów związanych z prowadzeniem sprawy.

W przypadku gdy sprawa jest zgłaszana przez stronę inną niż klient, np. przez ubezpieczyciela ochrony prawnej, ubezpieczyciela od odpowiedzialności zawodowej, stowarzyszenie branżowe lub zawodowe lub inną kancelarię adwokacką, dokumenty (zawierające dane osobowe) są przyjmowane pocztą tradycyjną lub elektroniczną, a następnie wprowadzane do systemu kancelarii.

Dla adwokata prowadzącego sprawę tworzy się również papierową dokumentację roboczą. Częścią dokumentacji papierowej jest formularz zawierający dane klienta. W zależności od potrzeb adwokata, dokumenty z akt cyfrowych są drukowane i dołączane do akt roboczych. Również osobiste notatki adwokata (takie jak notatki telefoniczne i protokoły rozmów) są dołączane do akt roboczych i skanowane do akt cyfrowych. Po zakończeniu sprawy papierowe akta robocze są niszczone.

W systemie biurowym tworzone są również rozliczenia dla klienta. Kancelaria Joosten Advocaten wysyła rozliczenia pocztą elektroniczną i/lub pocztą tradycyjną do klienta lub do strony, która zgodnie z umową pokryje koszty rozliczenia, np. ubezpieczyciel odpowiedzialności cywilnej, ubezpieczyciel odpowiedzialności zawodowej, stowarzyszenie branżowe lub zawodowe.

3.2. strony przeciwne, biegli, świadkowie, pełnomocnicy itp.

W ramach rozpatrywania sprawy [LID LSA] przetwarza dane osobowe osób zaangażowanych w daną sprawę, takich jak strony przeciwne, biegli, świadkowie i pełnomocnicy.

3.3. osoby odwiedzające biuro Joosten Advocaten

Recepcjonistka kancelarii Joosten Advocaten zapisuje nazwiska osób, które odwiedzają kancelarię po wcześniejszym umówieniu się, aby ułatwić im przybycie. Ponadto przy wejściu do budynku, wejściu do kancelarii na^pierwszympiętrze, przy windzie i na klatce schodowej budynku biurowego rejestrowane są obrazy z kamer. Kancelaria Joosten Advocaten robi to, aby w razie awarii wiedzieć, kto znajduje się w budynku, oraz aby zapewnić, że osoby nieuprawnione nie mają dostępu do kancelarii. Obrazy z kamer są co do zasady niszczone po 30 dniach.

3.4. Odwiedzający strony joostenadvocaten.nl i usa-advocaten.nl

Podczas odwiedzania stron internetowych Joosten Advocaten generowane są (potencjalne) dane osobowe, takie jak adres IP, zachowania podczas przeglądania strony internetowej (np. dane dotyczące pierwszej wizyty, poprzedniej wizyty i bieżącej wizyty, przeglądane strony i sposób poruszania się po stronie internetowej), czy osoba zainteresowana otwiera biuletyn lub komercyjną wiadomość e-mail oraz które elementy tej wiadomości są klikane. Joosten Advocaten przetwarza te dane w celach marketingowych i komunikacyjnych.

Ponadto dane osobowe są generowane, gdy odwiedzający wypełnia formularz kontaktowy lub inny formularz internetowy na stronie internetowej. Dane te są wykorzystywane do celów, do których służy formularz kontaktowy lub internetowy.

3.5. odbiorcy cyfrowych biuletynów informacyjnych kancelarii Joosten Advocaten

Podczas czytania cyfrowych biuletynów generowane są (potencjalne) dane osobowe, takie jak adres IP, zachowania podczas przeglądania strony internetowej (np. dane dotyczące pierwszej wizyty, poprzedniej wizyty i bieżącej wizyty, przeglądanych stron oraz sposobu poruszania się po stronie internetowej) lub czy dana osoba otwiera biuletyn lub komercyjną wiadomość e-mail i które elementy tej wiadomości klikają. Kancelaria Joosten Advocaten przetwarza te dane do celów marketingowych i komunikacyjnych.

3.6. Uczestnicy spotkań organizowanych przez kancelarię Joosten Advocaten

Na potrzeby i/lub podczas spotkania Joosten Advocaten generowane są dane osobowe, takie jak imię i nazwisko, stanowisko oraz dane kontaktowe uczestników. Dane te są umieszczane na liście uczestników, wizytówkach oraz – jeśli uczestnik wyrazi na to zgodę – na formularzach ewaluacyjnych. Po spotkaniu lista uczestników jest przechowywana, aby uczestnicy mogli zostać zaproszeni (w pierwszej kolejności) na kolejne spotkanie. Jeśli uczestnicy zaznaczyli na formularzu oceny, że chcą otrzymywać biuletyn Joosten Advocaten, imię i nazwisko oraz dane kontaktowe uczestnika są umieszczane w bazie adresowej biuletynu.

3.7. Akcjonariusze

Joosten Advocaten jest spółką z ograniczoną odpowiedzialnością (BV). Dane osobowe udziałowców Joosten Advocaten są przetwarzane w zakresie, w jakim jest to konieczne do celów:

• funkcjonowanie zgromadzenia akcjonariuszy;
• wykonywanie praw i wypełnianie obowiązków (prawnych i umownych) przez poszczególnych udziałowców, również w charakterze adwokatów.

3.8. pracownicy

Joosten Advocaten przetwarza dane osobowe swoich pracowników w zakresie niezbędnym do realizacji umów o pracę i/lub wypełnienia obowiązku prawnego lub jeśli pracownik wyraził na to zgodę.

Akta osobowe

W aktach osobowych każdego pracownika przechowywane są następujące dane:

1. umowę o pracę i związane z nią dane, w celu ustalenia i wypłaty wynagrodzenia. Do obliczenia wynagrodzenia (i innych świadczeń) kancelaria Joosten Advocaten korzysta z usług firmy Oliemans Accountans en Salaris Administratie.
2. dane dotyczące funkcjonowania pracowników, służące do indywidualnej oceny wyników i poprawy, a dokładniej do (przyszłych) rozmów dotyczących oceny i funkcjonowania oraz procesów doradczych;
3. inne dane, takie jak dotyczące ewentualnych skarg, ostrzeżeń, ocen i nieobecności;
4. uzyskaną zgodę na przetwarzanie (szczególnych) danych osobowych.

Dostęp do akt osobowych pracowników jest zabezpieczony. Dostęp do akt osobowych pracowników mają wyłącznie księgowy i administrator płac Oliemans, pani N. Toyer i pani L. van den Broeke oraz udziałowcy Joosten Advocaten. Na żądanie pracownik może zapoznać się ze swoją aktą osobową.

Dane z akt osobowych mogą być również wykorzystywane jako informacje zarządcze.

Obowiązek prawny

Kancelaria Joosten Advocaten jest zobowiązana do przekazywania danych osobowych pracowników stronom trzecim, m.in. w następujących sytuacjach:

1. w przypadku (początkujących) adwokatów dane są przekazywane do sądu w celu wpisania ich do rejestru Holenderskiej Izby Adwokackiej;
2. zgłoszenia dotyczące choroby i powrotu do zdrowia są przekazywane do służby BHP Zorg van de Zaak (Achema);
3. w przypadku choroby i urlopu macierzyńskiego dane danego pracownika są przekazywane do UWV (Urząd Pracy i Zatrudnienia);
4. funduszom emerytalnym i innym powiązanym instytucjom i organizacjom przekazywane są dane niezbędne w ramach umowy emerytalnej. Dla pracowników kancelarii Joosten Advocaten zawarto umowę emerytalną z Brand New Day.

Inne

Joosten Advocaten przetwarza również następujące dane osobowe:

1. nazwiska pracowników posiadających klucz i „kartę dostępu” do budynku biurowego są wymienione na liście do celów administracyjnych;
2. Zdjęcie profilowe każdego prawnika zostało opublikowane na stronie internetowej Joostenadvocaten.nl w celach reprezentacyjnych, po uzyskaniu wyraźnej zgody każdego z prawników.
3. dane niezbędne do (opłacenia) udziału lub członkostwa w kursach, szkoleniach, stowarzyszeniach zawodowych i zewnętrznych spotkaniach.

3.9. Osoby prowadzące działalność gospodarczą

Kancelaria Joosten Advocaten przetwarza dane osobowe współpracujących z nią freelancerów. Umowa zlecenia i związane z nią dane są przechowywane w systemie kancelarii. Kancelaria Joosten Advocaten nie wymaga od freelancerów dostarczenia kopii lub skanu dokumentu tożsamości.

3.10. studenci-stażyści

Imię i nazwisko, dane kontaktowe oraz adresowe studentów-stażystów są przechowywane w zakresie niezbędnym do realizacji stażu. Imię i nazwisko studenta-stażysty jest podane w formularzu oceny dla studentów-stażystów. Dane są przechowywane przez prawnika, który w danym momencie zarządza portfelem studentów-stażystów.

3.11. kandydaci

Dane osobowe osób, które ubiegały się o stanowisko w kancelarii Joosten Advocaten, są przetwarzane, np. dane kontaktowe oraz dane podane w liście motywacyjnym i CV. Dane te są przetwarzane w celu oceny przydatności kandydata oraz nawiązania z nim kontaktu. Dane są przechowywane przez prawnika, który rozpatruje podania o pracę na dane stanowisko.

3.12. inne osoby

W ramach świadczenia usług prawnych kancelaria Joosten Advocaten korzysta z danych pochodzących ze źródeł takich jak rejestr handlowy Izby Handlowej, rejestr gruntów, ubezpieczyciel odpowiedzialności zawodowej lub ubezpieczyciel pomocy prawnej, stowarzyszenie zawodowe lub branżowe. Są to wypełnione i niezbędne dane kontaktowe oraz inne dane osobowe potrzebne do rozpatrzenia sprawy.

Ponadto kancelaria Joosten Advocaten pozyskuje dane z (publicznych) platform społecznościowych dla przedsiębiorców, takich jak LinkedIn, oraz z publicznych stron internetowych dla przedsiębiorców. Kancelaria Joosten Advocaten wykorzystuje publiczne dane kontaktowe do nawiązywania kontaktów biznesowych.

4. Środki organizacyjne i techniczne / bezpieczeństwo

Joosten Advocaten wychodzi z założenia, że nie przetwarza więcej danych osobowych niż jest to konieczne do osiągnięcia celu, dla którego zostały zebrane, zarówno wewnętrznie, jak i przy zaangażowaniu stron trzecich. W obu przypadkach Joosten Advocaten podjęło odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed utratą lub nieuprawnionym przetwarzaniem.

4.1. Środki wewnętrzne

Kancelaria Joosten Advocaten podjęła następujące wewnętrzne środki techniczne i organizacyjne:

1. dostęp do systemu biurowego zdalnie jest możliwy wyłącznie poprzez bezpieczne połączenie VPN oparte na uwierzytelnianiu dwuskładnikowym;
2. dane osobowe są zabezpieczane (szyfrowana korespondencja e-mailowa) i nie są wymieniane za pośrednictwem (służbowych lub prywatnych) kont e-mailowych pracowników ani za pośrednictwem aplikacji takich jak (lub podobnych do) WhatsApp, Dropbox lub WeTransfer. E-mail nadaje się wyłącznie do ogólnej komunikacji;
3. Dane osobowe są przechowywane wyłącznie w systemie biurowym i nie są przechowywane poza nim. Dane osobowe nie są również kopiowane na zewnętrzne nośniki danych, chyba że jest to konieczne, a dane te są szyfrowane.
4. Wyłącznie Oliemans Accountans, wewnętrzna administracja biura (obecnie pani Toyer i pani van den Broeke) oraz udziałowcy mają dostęp do akt osobowych pracowników Joosten Advocaten.
5. wyłącznie prawnik (i jego zastępca) rekrutuje, wybiera i nadzoruje studentów-stażystów, zarządza ich danymi (osobowymi) i przechowuje te dane wyłącznie w przeznaczonym do tego folderze w systemie biurowym;
6. wyłącznie pracownicy zajmujący się rozpatrywaniem podań o pracę na określone stanowisko zarządzają danymi osobowymi kandydatów i przechowują je wyłącznie w przeznaczonym do tego folderze w systemie biurowym;
7. hasła wszystkich pracowników i udziałowców są wystarczająco silne i są okresowo zmieniane;
8. urządzenia takie jak laptopy, tablety i telefony komórkowe nie są pozostawiane bez nadzoru poza biurem i są zabezpieczone hasłem;
9. Dane logowania są traktowane jako poufne i nie są dostępne dla osób trzecich. Wyłącznie w uzasadnionych przypadkach dane logowania mogą być poufnie udostępnione współpracownikowi, np. w przypadku zastępstwa podczas urlopu.
10. przy (codziennym) opuszczaniu biura każdy pracownik musi całkowicie wylogować się ze swojego komputera stacjonarnego, zamknąć go oraz schować wszystkie dokumenty papierowe do szafki na dokumenty i zamknąć drzwi szafki;
11. pracownicy nie mogą bez zgody Joosten Advocaten pobierać oprogramowania ani modyfikować lub usuwać zapór sieciowych lub skanerów antywirusowych;
12. Komputer domowy pracownika, który łączy się z siecią Joosten Advocaten (połączenie VPN), musi być wyposażony w aktywne zabezpieczenie hasłem, zaporę ogniową i skaner antywirusowy. Aktualizacje zabezpieczeń muszą być wykonywane na czas. Nie wolno łączyć się przez publiczne sieci Wi-Fi. Nie wolno przechowywać poufnych informacji na komputerze domowym ani pozostawiać papierowych dokumentów lub zewnętrznych nośników danych (takich jak laptop, tablet lub zewnętrzny dysk twardy) z poufnymi informacjami bez nadzoru w samochodzie lub w innym miejscu poza biurem.
13. poufne informacje w formie papierowej są wyrzucane wyłącznie do przeznaczonych do tego celu pojemników i kontenerów na papier;
14. Dokumentacja spraw powinna być archiwizowana zgodnie z protokołem archiwizacji kancelarii Joosten Advocaten.
15. przy wychodzeniu z biura każdy pracownik musi sprawdzić, czy w budynku nie ma innych pracowników. Ostatni pracownik opuszczający budynek upewnia się, że wszystkie okna i drzwi są zamknięte oraz że alarm został włączony;
16. (potencjalne) wycieki danych oraz wnioski o wgląd, sprostowanie, usunięcie, przeniesienie, ograniczenie i sprzeciw wobec (przetwarzania) danych osobowych należy zgłaszać osobom odpowiedzialnym [F. Joosten i M. Vernooij].
17. dostęp do budynku jest możliwy wyłącznie za pomocą kluczy i „kropli” wydanych pracownikom. Kluczy i kropli nie wolno przekazywać osobom trzecim;
18. na zewnątrz i wewnątrz budynku biurowego instalowane są kamery, aby zapewnić, że osoby nieuprawnione nie mają dostępu do biura oraz w celu zapewnienia bezpieczeństwa osób przebywających w budynku;
19. codziennie tworzone są kopie zapasowe serwera Joosten Advocaten, tak aby w przypadku incydentu związanego z bezpieczeństwem danych osobowych można było skorzystać z najnowszej kopii zapasowej i dane osobowe nie zostały utracone na stałe;
20. wszyscy pracownicy, którzy nie są prawnikami, podpisują oświadczenie o zachowaniu poufności;
21. Niniejszy dokument dotyczący polityki prywatności zawiera plan działania określający, co należy zrobić w przypadku wystąpienia incydentu związanego z bezpieczeństwem danych osobowych lub gdy osoby, których dane dotyczą, powołują się na swoje prawa.

Kancelaria Joosten Advocaten czuwa nad przestrzeganiem wyżej wymienionych środków. Kontrole mogą być przeprowadzane wyrywkowo (proporcjonalnie). Jeśli istnieje podejrzenie, że środki nie są przestrzegane przez danego pracownika, można przystąpić do ukierunkowanych kontroli wobec tego pracownika. Po przeprowadzeniu kontroli kancelaria Joosten Advocaten może na podstawie swoich ustaleń podjąć decyzję o podjęciu środków wynikających z prawa pracy.

4.2. Podmioty przetwarzające dane

Joosten Advocaten zawarło z podmiotami przetwarzającymi dane umowy dotyczące środków technicznych i organizacyjnych, które należy podjąć. Poziom bezpieczeństwa został określony na podstawie ustalonych ryzyk związanych z danymi osobowymi i charakterem przetwarzania.

Podmioty przetwarzające dane zatrudnione przez Joosten Advocaten są zobowiązane do przekazania Joosten Advocaten wszystkich informacji niezbędnych do wykazania wypełnienia obowiązków jako podmiot przetwarzający dane oraz do umożliwienia przeprowadzenia audytów, w tym kontroli, przez Joosten Advocaten lub kontrolera upoważnionego przez Joosten Advocaten, a także do współpracy w tym zakresie.

5. Obowiązek informacyjny

Kancelaria Joosten Advocaten informuje zainteresowane osoby o sposobie postępowania z danymi osobowymi w kancelarii. Dla osób niezwiązanych z kancelarią Joosten Advocaten sporządzono z tego powodu zewnętrzną politykę prywatności. Niniejsza polityka prywatności została opublikowana na stronie internetowej kancelarii Joosten Advocaten.

W momencie zatrudnienia nowi pracownicy i stażyści są informowani o przetwarzaniu ich danych osobowych w kancelarii Joosten Advocaten. Pracownicy i stażyści podlegają wewnętrznemu protokołowi dotyczącemu prywatności. Protokół ten jest zawarty w systemie kancelarii.

6. Rejestr przetwarzania danych

Kancelaria Joosten Advocaten prowadzi rejestr przetwarzania danych. Rejestr ten zawiera między innymi opis celów przetwarzania, kategorii osób, których dane dotyczą, i odbiorców, okresów przechowywania oraz środków bezpieczeństwa. W rejestrze przetwarzania danych rejestrowane są działania związane z przetwarzaniem danych według kategorii osób, których dane dotyczą, i kategorii danych osobowych.

W kancelarii Joosten Advocaten prawnicy mają dostęp do rejestru. F. Joosten i M. Vernooij mogą również wprowadzać zmiany w rejestrze w imieniu kancelarii Joosten Advocaten. Utrzymują oni rejestr w sposób ciągły i aktywny oraz wprowadzają zmiany bezpośrednio lub w wyniku okresowej oceny.

Rejestr przetwarzania (plik Excel) jest zawarty w systemie biurowym.

7. Podmioty przetwarzające i odbiorcy

7.1. Podmioty przetwarzające dane

Joosten Advocaten korzysta z usług zewnętrznych dostawców usług w zakresie przetwarzania danych osobowych. Dostawcy ci przetwarzają dane osobowe wyłącznie na polecenie Joosten Advocaten. Joosten Advocaten zawarło z tymi podmiotami umowy o przetwarzaniu danych. W umowach tych zawarto ustalenia dotyczące między innymi charakteru i celów przetwarzania, rodzaju przetwarzanych danych osobowych, obowiązku zachowania poufności, instrukcji dotyczących przetwarzania, środków bezpieczeństwa, ewentualnego zaangażowania podwykonawców, praw osób, których dane dotyczą, w zakresie prywatności, audytów i kontroli, a także zwrotu i/lub usunięcia danych osobowych przez podmiot przetwarzający.

7.2. odbiorcy

Kancelaria Joosten Advocaten przekazuje dane osobowe osób zainteresowanych stronom trzecim, gdy jest to konieczne w ramach świadczenia usług prawnych, realizacji umowy (o pracę) lub w przypadku obowiązku prawnego. Poza tym dane osobowe nie są przekazywane stronom trzecim bez uprzedniej wyraźnej zgody osoby zainteresowanej.

8. Okresy przechowywania

Kancelaria Joosten Advocaten niszczy dane osobowe, które nie są już potrzebne do celów, dla których zostały zebrane, a także nie muszą być przechowywane na podstawie innych przepisów. W takim przypadku dane osobowe są usuwane z systemu kancelarii, ewentualnych kopii zapasowych, archiwów i innych systemów.

Kancelaria Joosten Advocaten stosuje zasadniczo następujące okresy przechowywania:

1. dokumentacja papierowa: zniszczenie w ciągu 2 lat od zakończenia sprawy;
2. cyfrowy akta sprawy: 20 lat po zakończeniu sprawy;
3. Dane administracyjne (finansowe): 7 lat od momentu zapisania danych; jednak dane zawarte w aktach po upływie 20 lat;
4. dane pracowników i osób samozatrudnionych, inne niż dane (finansowo-)administracyjne: 5 lat po odejściu z pracy lub po zakończeniu umowy zlecenia;
5. dane akcjonariuszy, inne niż dane (finansowe) administracyjne: 5 lat od przeniesienia akcji;
6. dane kandydatów: 8 tygodni po zakończeniu procedury rekrutacyjnej, chyba że kandydat wyraził zgodę na dłuższe przechowywanie swoich danych, w którym to przypadku obowiązuje termin 2 lat od zakończenia procedury rekrutacyjnej, jednak dane adresowe i adres e-mail są przechowywane dłużej, jeśli dane te są uwzględnione w danych do newslettera;
7. dane studentów odbywających praktyki: 1 rok po zakończeniu praktyki studenckiej, jednak dane adresowe i adres e-mail są przechowywane dłużej, jeśli dane te są uwzględnione w danych do biuletynu informacyjnego;
8. odwiedzający stronę internetową i odbiorcy biuletynów Joosten Advocaten: 5 lat od ostatniej wizyty na stronie internetowej lub od rezygnacji z subskrypcji biuletynu, chyba że wcześniej zostanie zgłoszony sprzeciw, w którym to przypadku dane zostaną usunięte.

9. Ocena skutków dla ochrony danych (DPIA)

Kancelaria Joosten Advocaten przeprowadza ocenę ryzyka naruszenia ochrony danych osobowych (DPIA) przed każdym nowym przetwarzaniem danych osobowych, chyba że z góry jest jasne, że przetwarzanie nie stanowi wysokiego ryzyka dla praw i wolności osób fizycznych, biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania.

DPIA obejmuje następujące elementy:

1. systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, w stosownych przypadkach, uzasadnionych interesów, które są reprezentowane przez administratora danych;
2. ocena konieczności i proporcjonalności przetwarzania w odniesieniu do celów;
3. ocena ryzyka dla praw i wolności osób, których dane dotyczą;
4. środki przewidziane w celu ograniczenia ryzyka, w tym gwarancje, środki bezpieczeństwa i mechanizmy zapewniające ochronę danych osobowych oraz wykazujące zgodność z niniejszym rozporządzeniem, z poszanowaniem praw i uzasadnionych interesów osób, których dane dotyczą, oraz innych osób, których to dotyczy.

Joosten Advocaten sporządza raport zawierający ustalenia wynikające z DPIA.

10. Przekazywanie danych poza EOG

Joosten Advocaten zasadniczo nie przekazuje danych osobowych do krajów spoza Europejskiego Obszaru Gospodarczego (EOG). Jeśli jednak okaże się to konieczne, Joosten Advocaten zapewni, że przekazanie danych nastąpi wyłącznie wtedy, gdy Komisja Europejska stwierdzi, że dany kraj zapewnia odpowiedni poziom ochrony lub gdy istnieją odpowiednie gwarancje w rozumieniu RODO.

11. Brak inspektora ochrony danych

Administrator danych powinien wyznaczyć inspektora ochrony danych (FG), między innymi w przypadku, gdy zajmuje się on głównie przetwarzaniem na dużą skalę szczególnych danych osobowych (takich jak dane medyczne). „Głównie odpowiedzialny” odnosi się do podstawowej działalności administratora danych. Grupa robocza art. 29 definiuje podstawową działalność jako procesy, które są niezbędne do osiągnięcia celów organizacji lub które należą do głównych zadań organizacji.

Można zasadnie argumentować, że przetwarzanie danych medycznych nie stanowi podstawowej działalności kancelarii Joosten Advocaten. Podstawową działalnością kancelarii Joosten Advocaten jest świadczenie pomocy prawnej.

O ile AP może stwierdzić, że przetwarzanie danych medycznych przez Joosten Advocaten stanowi działalność podstawową, należy ocenić, czy ma miejsce przetwarzanie na dużą skalę. RODO nie określa, kiedy ma to miejsce, ale jasne jest, że w przypadku indywidualnego lekarza rodzinnego lub prawnika nie ma mowy o przetwarzaniu na dużą skalę. Biorąc pod uwagę fakt, że kancelaria Joosten Advocaten przetwarza znacznie mniej danych medycznych niż indywidualny lekarz rodzinny (uwaga: w 2018 r. przeciętny lekarz rodzinny przetwarzał dane średnio 2095 pacjentów), ilość danych jest również ograniczona do tego, co jest niezbędne do oceny prawnej, przetwarzanie ma ograniczony czas trwania i podlega tajemnicy zawodowej adwokata, a zakres geograficzny jest również bardzo ograniczony, można z całą stanowczością stwierdzić, że w kancelarii Joosten Advocaten nie ma mowy o przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych.

W związku z powyższym kancelaria Joosten Advocaten nie powołała inspektora ochrony danych.

12. Incydenty związane z bezpieczeństwem

Kancelaria Joosten Advocaten podjęła odpowiednie środki techniczne i organizacyjne, których celem jest ograniczenie ryzyka utraty lub nieuprawnionego przetwarzania danych osobowych w jak największym stopniu. Pomimo tych środków istnieje ryzyko, że nadal może dojść do incydentu związanego z danymi osobowymi. Aby zapewnić jak najszybszą reakcję w celu zakończenia incydentu i ograniczenia szkód w jak największym stopniu, należy postępować w następujący sposób.

Każdy incydent związany z danymi osobowymi należy zgłaszać do F. Joosten i M. Vernooij. Osoba ta oceni:

• czy mamy do czynienia z incydentem dotyczącym danych osobowych;
• jakie środki należy podjąć, aby zakończyć incydent i ograniczyć jego skutki;
• lub konieczne jest zaangażowanie strony zewnętrznej w celu pomocy w rozwiązaniu incydentu;
• czy incydent należy zgłosić do AP;
• osoby, których dane osobowe dotyczą, powinny zostać poinformowane o zdarzeniu;
• jakie środki należy podjąć, aby zapobiec powtórzeniu się tego incydentu.

Kancelaria Joosten Advocaten dokumentuje wszystkie naruszenia związane z danymi osobowymi w rejestrze naruszeń ochrony danych. Rejestr naruszeń ochrony danych (plik Excel) jest przechowywany w systemie kancelarii.

W przypadku (potencjalnego) incydentu, o którym wcześniej dowiedział się podmiot przetwarzający dane zatrudniony przez kancelarię Joosten Advocaten, umowa o przetwarzaniu danych stanowi, że podmiot przetwarzający dane niezwłocznie powiadamia kancelarię Joosten Advocaten. Uzgodniono również sposób rozwiązania incydentu i przekazania dalszych informacji.

13. Prawa osób, których dane dotyczą

Prawa przysługujące osobie, której dane dotyczą, zgodnie z RODO to prawo dostępu do danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do przenoszenia danych, prawo do wniesienia sprzeciwu oraz prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji. Kancelaria Joosten Advocaten podjęła odpowiednie środki techniczne, aby umożliwić uzasadnione wykonywanie tych praw.

Wnioski osób zainteresowanych dotyczące danych osobowych, które trafiają do kancelarii Joosten Advocaten, są rozpatrywane przez F. Joosten i/lub M. Vernooij, w razie potrzeby w porozumieniu z adwokatem prowadzącym sprawę.

Wnioski i ich rozpatrzenie są przechowywane w oddzielnym folderze w systemie biurowym, jako część akt sprawy.

Po otrzymaniu wniosku osoba rozpatrująca wniosek najpierw ustali tożsamość wnioskodawcy na podstawie imienia i nazwiska, danych kontaktowych i adresu, dokumentu tożsamości oraz daty urodzenia.

Po ustaleniu tożsamości wnioskodawcy osoba rozpatrująca wniosek potwierdzi wnioskodawcy, że odpowiedź na wniosek zostanie udzielona w ciągu jednego miesiąca. Jeśli wniosek okaże się złożony, termin ten może zostać przedłużony maksymalnie o dwa miesiące. Osoba rozpatrująca wniosek poinformuje wnioskodawcę o przedłużeniu terminu w ciągu pierwszego miesiąca.

Osoba rozpatrująca wniosek ustala, na jakie prawo powołuje się wnioskodawca, i gromadzi w tym zakresie niezbędne dane. Osoba rozpatrująca wniosek ocenia, czy (uwzględniając tajemnicę adwokacką) można spełnić prośbę wnioskodawcy. Osoba rozpatrująca wniosek zapisuje swoje ustalenia w raporcie. Raport jest przechowywany w folderze systemu biurowego utworzonym dla danego wniosku.

Zasadniczo wnioskodawca nie ponosi żadnych kosztów związanych z rozpatrzeniem wniosku. Niemniej jednak wnioskodawca może zostać obciążony rozsądną opłatą na podstawie kosztów administracyjnych, na przykład w przypadku wielokrotnych (bezzasadnych) wniosków lub gdy wymagana jest więcej niż jedna kopia dokumentacji.

Jeśli wniosek zostanie przyjęty i dotyczy on sprostowania, usunięcia lub ograniczenia przetwarzania, należy również powiadomić o tym zewnętrzne podmioty, które otrzymały dane osobowe. Osoba odpowiedzialna za przetwarzanie danych ustala, czy ma to miejsce, i odnotowuje te podmioty trzecie w swoim raporcie. Osoba odpowiedzialna za przetwarzanie danych nie dokonuje takich powiadomień, jeśli okaże się to niemożliwe lub wymaga nieproporcjonalnego wysiłku.