Pomagamy modernizować
placówki medyczne

Политика конфиденциальности

Эгертон Сп. з о. о. с зарегистрированным офисом в Забже
  
ПОЛИТИКА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ Редакция 2 вступает в силу с 1 октября 2018 г.                                                                                                                   
 
Метрика документа
Автор документа: Блажей Панцерж
Версия документа: 2.0
Статус: одобрен
Подпись администратора
 
Дата версии 30.09.2018
 
Список изменений документа и история
Версия документа: 1.0
Дата версии: 16.08.2016
Информация об изменениях и статусе
Лицо, производящее модификацию

Первый выпуск документации
----------
2.0: 30.09.2018: соответствие GDPR
  
Содержание
1.     Основные положения. 3
2.     Odpowiedzialność. 3
3.     Определения. 4
4.     Политика обработки данных. 4
5.     Зона обработки персональных данных. 6
6.     Записи о действиях по обработке персональных данных. 7
7.     Лица, уполномоченные на обработку персональных данных. 7
8.     Доверяя обработку данных. 7
9.    Разделение обязанностей.. 8
10.  Определение мер, необходимых для обеспечения безопасности данных. 9
11.  Оценка воздействия на защиту персональных данных.11
12.  Нарушение защиты персональных данных.12
13.  Права субъектов данных. 12
14.  Заключительные положения. 13                                                            

1. Общие положения
1.1.Правовая основа Основными правовыми актами, которым подчиняется настоящая Политика защиты персональных данных (далее – Политика), являются:
Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46/ЕС (Общее положение о защите данных) – в дальнейшем именуемое GDPR.
Закон от 10 мая 2018 г. о защите персональных данных (Вестник законодательства от 2018 г., ст. 1000) - далее - УОДО.

1.2. Цель внедрения
Политика направлена на обеспечение надлежащей защиты основных прав и свобод физических лиц, в частности их права на защиту персональных данных, которые обрабатываются Администратором - Egerton Spółka z ograniczoną odpowiedzialnością с зарегистрированным офисом в Zabrze, 41-811. , по адресу ул. Легницкая 21, РЕГОН 361216648, КРС 0000552481, именуемое в дальнейшем (Egerton Sp. z o.o., Компания, АДО, Администратор).
Политика описывает организационно-технические мероприятия, направленные на достижение и поддержание приемлемого уровня безопасности персональных данных, в том числе повышение уровня информированности лиц, действующих по поручению Администратора.
Целью Политики является определение обязанностей и действий лиц при обработке персональных данных и обеспечение обработки таких данных в соответствии с установленными законодательством принципами.
Администратор достигает конкретных целей с помощью следующих стратегий:
надлежащее управление рисками с целью снижения их до приемлемого уровня,
надлежащая защита данных,
обеспечение надлежащего уровня доступа к данным в ИТ-системе и к данным в бумажной форме,
надлежащая защита данных, полученных в связи с заключением договоров,
внедрение и развитие ИТ-системы с соблюдением правил безопасности,
эксплуатация ИТ-системы в соответствии с правилами безопасности,
постоянное повышение квалификации сотрудников в области знаний средств защиты информации.

1.3.Область применения
Политика имеет статус документа, предназначенного для внутреннего пользования, и может быть предоставлена третьим лицам только с согласия Администратора.
Сфера действия Политики распространяется на все файлы персональных данных, обрабатываемые с использованием ИТ-систем, и файлы данных, обрабатываемые традиционным (ручным) способом, т.е. зафиксированные в виде бумажной документации в книгах, списках и других учетных файлах.
Цель Политики распространяется на все наборы данных, Администратором которых является Egerton Sp. z o.o. и для кого он является обработчиком, то есть данные, обработка которых была поручена Egerton Sp. з о. о. третья сторона. В отношении данных, доверенных на обработку, применяются аналогичные принципы защиты и безопасности, как и в случае с администрируемыми данными, с учетом типа доверенных данных.
Политика распространяется на всех сотрудников Egerton Sp. з о. о. и иные лица, осуществляющие обработку персональных данных по его запросу, а также лица, находящиеся в зоне обработки персональных данных.
2. Ответственность Администратор несет ответственность за соблюдение положений о безопасности персональных данных, обрабатываемых Egerton Sp. з о.о..
Администратор несет ответственность за реализацию Политики и оказывает организационное и финансовое обеспечение реализации механизмов обеспечения безопасности персональных данных и ИТ-системы, а также ресурсов, необходимых для достижения целей и выполнения задач, изложенных в Политике.
В соответствии со ст. 24 сек. 1 GDPR, Администратор, принимая во внимание характер, объем, контекст и цели обработки, а также риск нарушения прав или свобод физических лиц с различной вероятностью и серьезностью угрозы, реализует соответствующие технические и организационные меры для обеспечения того, чтобы обработка происходила в соответствии с GDPR, и для возможности ее демонстрации - в соответствии с принципом «подотчетности», сформулированным в ст. 5 сек. 2 GDPR, в соответствии с которым Администратор обязан иметь возможность продемонстрировать соблюдение правил, касающихся обработки персональных данных.
Упомянутые выше меры включают, в частности, реализации Администратором настоящей Политики вместе с относящейся к ней документацией. Эти меры пересматриваются и обновляются по мере необходимости.
Все сотрудники Egerton Sp. з о. о. несут ответственность в пределах своей компетенции за соблюдение положений о безопасности персональных данных и настоящей Политики и сопутствующих документов.
Обрабатывающий субъект и каждое лицо, действующее от имени Администратора и имеющее доступ к персональным данным, обрабатывает их только по запросу Администратора и только для реализации его целей.
3. Определения

Данные (или персональные данные) — это любая информация, которой владеет АДО, об идентифицированном или идентифицируемом физическом лице (субъекте данных), т. е. о лице, которое может быть прямо или косвенно идентифицировано, в частности, на основе идентификатора, такого как имя и фамилия, идентификационный номер, данные о местонахождении, онлайн-идентификатор или один или несколько факторов, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица;
Набор данных — упорядоченный набор персональных данных, доступных по определенным критериям, независимо от того, является ли этот набор централизованным, децентрализованным или функционально или географически рассредоточенным;
Обработка данных — операция или совокупность операций, выполняемых с персональными данными или наборами персональных данных в автоматизированном или неавтоматизированном порядке, таких как сбор, запись, систематизация, систематизация, хранение, адаптация или изменение, загрузка, просмотр, использование, раскрытие путем отправки, распространения или иного предоставления, сопоставления или объединения, ограничения, стирания или уничтожения;
Субъект обработки — физическое или юридическое лицо, орган государственной власти, подразделение или иное лицо, которое обрабатывает персональные данные от имени АДО;
Лицо (субъект данных) – физическое лицо, к которому относятся данные;
Уполномоченное лицо — любое лицо, имеющее письменное разрешение на обработку персональных данных, выданное ADO;
Третье лицо — любое лицо, не уполномоченное на обработку персональных данных, например, гость, клиент;
Третье лицо - означает физическое или юридическое лицо, государственный орган, единицу или организацию, кроме субъекта данных, администратора, обработчика или лиц, которые под руководством администратора или обработчика - могут обрабатывать персональные данные;

4. Правила обработки данных


4.1 Основные положения
Эгертон Сп. з о. о. гарантирует, что персональные данные:

обрабатываются законно, справедливо и прозрачно для субъекта данных («законность, справедливость и прозрачность»);
собираются для конкретных, явных и законных целей и не обрабатываются в дальнейшем способом, несовместимым с этими целями («ограничение цели»);
адекватные, актуальные и ограниченные тем, что необходимо в связи с целями, для которых они обрабатываются («минимизация данных»);
исправить и обновить при необходимости; должны быть приняты все разумные меры для обеспечения того, чтобы личные данные, которые являются неточными по отношению к целям их обработки, были оперативно удалены или исправлены («точность»);
хранятся в форме, позволяющей идентифицировать субъекта данных, не дольше, чем это необходимо для целей, для которых обрабатываются данные («ограничение хранения»);
обрабатываются таким образом, который обеспечивает надлежащую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки и случайной потери, уничтожения или повреждения, с использованием соответствующих технических или организационных мер («целостность и конфиденциальность»).

4.2. Основание для допустимости обработки данных
Эгертон Сп. з о. о. обрабатывает персональные данные только при соблюдении хотя бы одного из следующих условий:

обработка необходима для исполнения договора, стороной которого является лицо, или для принятия мер по запросу лица до заключения договора;
обработка необходима для выполнения юридических обязательств, возложенных на Egerton Sp. г о.о.;
лицо дало согласие на обработку своих персональных данных для конкретной цели;
обработка необходима для защиты жизненно важных интересов человека или другого физического лица;
обработка необходима для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на администратора;
обработка необходима для целей законных интересов, преследуемых Egerton Sp. з о. о. или третьей стороной, за исключением случаев, когда такие интересы преобладают над интересами или основными правами и свободами лица, требующего защиты персональных данных. Юридически обоснованные интересы включают, в частности: прямой маркетинг собственных продуктов или услуг Egerton Sp. z o.o., предъявляя претензии в связи с коммерческой деятельностью.

Если основанием для обработки данных является согласие лица, условием ее эффективности является добровольность, конкретность, осознанность и однозначность ее представления. Согласие – волеизъявление, которым лицо в форме заявления или явного положительного действия дает согласие на обработку касающихся его персональных данных.
Субъект данных имеет право отозвать согласие в любое время, и Egerton Sp. з о. о. облегчает человеку осуществление его права. Отзыв согласия не влияет на законность обработки, которая производилась на основании согласия до его отзыва. Субъект данных информируется об этом до того, как даст свое согласие.
Согласие не используется в ситуациях обработки, когда существует серьезное неравенство между человеком и Egerton Sp. з о.о..
Сотрудники Egerton Sp. z o.o., которые собирают данные на основе согласия, архивируют это согласие, чтобы подтвердить его выражение на период, в течение которого данные обрабатываются на его основе компанией Egerton Sp. з о.о..

4.3 Информационные обязательства
Каждый сотрудник Egerton Sp. з о. о. обязан выполнить информационное обязательство, указанное в пунктах 4 и 5 ниже, по отношению к лицу, чьи данные он намеревается собирать от имени Egerton Sp. з о.о..
Выполнение информационного обязательства, как правило, должно осуществляться в письменной форме (традиционной или электронной), позволяющей продемонстрировать выполнение этого обязательства.
Метод выполнения информационного обязательства зависит от метода сбора данных, то есть: сбор данных от субъекта данных или иным способом, чем от субъекта данных.
Во время сбора данных от субъекта данных каждый сотрудник Egerton Sp. з о. о. лицо, обрабатывающее данные от имени Администратора, несет ответственность за информирование этого лица о:

Данные, идентифицирующие Администратора (ФИО, адрес и контактные данные);
контактные данные инспектора (если он назначен);
цели обработки персональных данных и правовые основания обработки;
законные интересы Администратора - если обработка осуществляется на этом основании;
получатели персональных данных или категории получателей, если таковые имеются;
в соответствующих случаях - о намерении передать данные в третью страну или международную организацию и о том, что Европейская комиссия нашла или не нашла адекватный уровень защиты, или о надлежащих или надлежащих гарантиях, и о возможности получения копии данных или о место предоставления данных,
срок, в течение которого будут храниться персональные данные, а когда это невозможно, критерии определения этого срока;
право запрашивать доступ к персональным данным, касающимся лица, исправление, удаление или ограничение обработки, право возражать против обработки, а также право на передачу данных;
если обработка основана на согласии - информация о праве отозвать ее в любое время, не влияя на законность обработки, которая производилась на основании согласия до его отзыва;
право подать жалобу в независимый орган государственной власти, т.н. надзорный орган;
автоматизированное принятие решений, в том числе профилирование, и актуальная информация о правилах принятия решений, а также о значении и ожидаемых последствиях такой обработки для лица;
является ли предоставление персональных данных законодательным или договорным требованием или условием для заключения договора и обязано ли лицо предоставить их и каковы возможные последствия непредоставления данных В случае получения персональных данных из данных При этом вся указанная выше информация должна быть предоставлена лицом в процессе получения (сбора) данных, но до их записи (сохранения).
В случае сбора данных способом, отличным от субъекта данных, каждый сотрудник Egerton Sp. з о. о. обработчик данных от имени Администратора несет ответственность за информирование этого лица об информации, содержащейся в пунктах 4 а) до k) выше, а также дополнительно о:

категории соответствующих персональных данных,
источник персональных данных и, если применимо, получены ли они из общедоступных источников.Вышеуказанная информация должна быть предоставлена:
не позднее чем в течение месяца - с учетом конкретных обстоятельств обработки персональных данных;
самое позднее при первом общении с человеком - если данные будут использоваться для общения с этим лицом,
если планируется раскрытие персональных данных другому получателю - не позднее момента их первого раскрытия.
Сотрудники Egerton Sp. з о. о. архивные доказательства соблюдения вышеуказанного информационное обязательство.
Администратор вводит содержание информационного пункта во все инструменты, используемые для сбора персональных данных, например, контактную форму, другие электронные формы, бумажные формы, опросы, заказы, запросы, договоры и т. д.
Общий образец пункта, используемого для выполнения информационного обязательства, включен в Приложение 1 к Политике.

4.4. Обязательство учитывать защиту данных по дизайну
Вводится обязательство принимать во внимание защиту данных по замыслу и сделать конфиденциальность режимом работы по умолчанию, в том числе посредством: а) проактивного подхода к защите данных,
б) необходимость включения защиты конфиденциальности в проекты с начала их реализации,
в) соблюдение конфиденциальности пользователей.
Меры по выполнению этого обязательства могут включать, среди прочего: на:

минимизация объема обработки данных;
псевдонимизация данных в кратчайшие сроки;
предоставление человеку возможности контролировать обработку данных;
включение изменений и улучшений в безопасность.

5. Область обработки персональных данных
Администратор обрабатывает персональные данные в ИТ-системах и в традиционной форме, организованные в сборники, расположенные в одной зоне обработки - в помещениях, расположенных в г. Забже, 41-811, ул. Легницкая 2.
Нахождение посторонних лиц на указанной выше территории допускается с согласия Администратора или в присутствии лица, уполномоченного на обработку персональных данных. Образец согласия на пребывание в зоне обработки прилагается в Приложении 2а.
Эгертон Сп. з о. о. ведет учет лиц, имеющих согласие на пребывание в зоне обработки данных, в соответствии с Приложением 2б.
За выдачу согласия и соблюдение вышеуказанного записи является обязанностью Администратора.

6. Реестры действий по обработке персональных данных
Эгертон Сп. з о. о. ведет Реестр действий по обработке персональных данных и Реестр категорий действий по обработке персональных данных, осуществляемых от имени администратора, составляющих документацию, связанную с настоящей Политикой, которая предоставляется по запросу надзорного органа.
Для проведения регистров является обязанностью Администратора.
Реестры, указанные выше, ведутся в письменной, в том числе электронной форме.
Шаблон реестров, упомянутых выше, включен в Приложения 3a и 3b.

7. Лица, уполномоченные на обработку персональных данных
Для обработки персональных данных Egerton Sp. з о. о. разрешает только лицам (сотрудникам) с письменным именным разрешением на обработку персональных данных, предоставленных Администратором. Шаблон авторизации прилагается в Приложении 4а.
Это разрешение сочетается с заявлением сотрудника Egerton Sp. з о. о. о сохранении в тайне персональных данных, способах их защиты, а также ознакомлении с содержанием Политики и связанной с ней документации.
Лица, уполномоченные на обработку персональных данных, до допуска к обработке данных ознакомляются с положениями о защите персональных данных, принципами, изложенными в Политике и сопутствующих документах.
Администратор ведет учет лиц, уполномоченных на обработку персональных данных, составляющих документ, относящийся к настоящей Политике, подготовленный по образцу, указанному в Приложении 4b.
За выдачу авторизация и запуск вышеуказанного записи является обязанностью Администратора.

8. Доверить обработку данных
Эгертон Сп. з о. о. может поручить обработку (в том числе передачу, предоставление доступа и т. д.) своих персональных данных другому юридическому лицу (обрабатывающему субъекту) только в обоснованных случаях путем письменного соглашения и только тогда, когда обработка должна осуществляться от имени Egerton Sp. . з о.о..
Примерами субъектов, которым доверяются персональные данные, являются внешние субъекты, предоставляющие следующие услуги: уничтожение документов, ремонт компьютерной техники/мониторинг видеонаблюдения, ИТ-поддержка, услуги хостинга, юридические услуги, бухгалтерский учет, медицина труда, обучение, защита собственности, поддержка продаж/покупок. , консалтинг, аудит, маркетинг, агентство по трудоустройству, перевод и т.д.
Эгертон Сп. з о. о. использует только услуги таких субъектов обработки, которые предоставляют достаточные гарантии для реализации соответствующих технических и организационных мер, чтобы обработка соответствовала требованиям GDPR и защищала права лиц.
Обработчик не использует услуги другого обработчика без предварительного подробного или общего письменного согласия Egerton Sp. з о.о..
Образец положения о защите персональных данных изложен в Приложении 5а к Политике.
Администратор ведет учет договоров поручения на обработку персональных данных, составляющих документацию, связанную с настоящей Политикой, и оформляется по образцу, указанному в Приложении 5b к Политике.
Каждое поручение обработки персональных данных и завершение процесса поручения регистрируется в Реестре договоров поручения на обработку персональных данных, сразу после заключения договора поручения и сразу после определения окончания процесса поручения.
Сотрудник Egerton Sp. з о. о. составление или согласование заключения договора поручения на обработку данных, обязан уведомлять Администратора о каждом поручении обработки персональных данных и окончании процесса поручения, незамедлительно после заключения договора поручения и сразу после определения окончания процесс доверительного управления.
Для проведения записи является обязанностью Администратора.

9. Разделение обязанностей


9.1 Каждый сотрудник Egerton Sp. з о. о.
Сотрудник Egerton Sp. z o.o., в распоряжении которого находятся данные и который не уполномочен их обрабатывать, обязан немедленно уведомить об этом Администратора.
Сотрудник Egerton Sp. z o.o., не имеющий соответствующего разрешения, не может обрабатывать данные.
Нарушение положений настоящей Политики может являться основанием для привлечения работника к дисциплинарной ответственности.

9.2.Лица, уполномоченные на обработку персональных данных
Персональные данные, обрабатываемые Egerton Sp. з о. о. и способы их обеспечения составляют профессиональную тайну по смыслу ст. 266 § 1 Уголовного кодекса.
Уполномоченные лица обязуются хранить в тайне всю информацию, касающуюся обработки персональных данных и способа их защиты в течение всего периода работы в Egerton Sp. з о. о. (или выполнение услуг для Egerton Sp. z o.o.), а также после прекращения трудовых отношений.
Каждый обработчик данных обязан активно участвовать в обучении по безопасности персональных данных и активно участвовать во внедрении механизмов безопасности персональных данных, давая заключения о возможности использования конкретного решения при выполнении задач лица.
Каждое лицо, обрабатывающее данные, обязано следовать инструкциям Администратора в области защиты персональных данных.
Уполномоченные лица обязуются знать содержание настоящей Политики и документов, связанных с ней, в части, связанной с ней, и обязуются их соблюдать.
Случаи нарушения лицами, уполномоченными на обработку данных, обязательств, вытекающих из Политики, повлекшие за собой нарушение принципов безопасного и правомерного обращения с персональными данными, могут быть расценены Администратором как серьезное нарушение должностных обязанностей работника.
Уполномоченные лица могут обрабатывать данные только в объеме и для целей, установленных Администратором.
Когда уполномоченное лицо не уверено, могут ли в конкретной ситуации обрабатываться персональные данные, в частности, правильно ли они собираются или правильно ли выполняется обязательство по предоставлению информации, оно обращается за разъяснениями к Администратору.
Уполномоченное лицо применяет стандартное содержание документов, принятых Администратором в области защиты персональных данных, например, заявления, положения, согласия и т. д., в частности положения о согласии на обработку персональных данных и информационные положения, используемые при совершении действий, связанных с личные данные.
При отсутствии соответствующего типового содержания документов в области защиты персональных данных, например, заявлений, положений, согласий и т.п., уполномоченное лицо уведомляет Администратора о необходимости подготовки нового типового содержания.
Уполномоченное лицо не вправе создавать собственное содержание документов в области защиты персональных данных без согласования с Администратором.
Каждое лицо, обрабатывающее данные, несет ответственность за защиту интересов лиц, и, в частности, обрабатывает данные в соответствии с законом и принятым в Egerton Sp. з о. о. принципы безопасности, изложенные в настоящей Политике и связанных с ней документах.
Каждое лицо, обрабатывающее данные, осуществляет деятельность по обработке в условиях, которые защищают данные от нарушений безопасности, обеспечивая надлежащую защиту прав физических лиц, чьи данные обрабатываются.

10. Определение мер, необходимых для обеспечения безопасности данных
Администратор сознательно принимает решения о реализации соответствующих технических и организационных мер для обеспечения надлежащего уровня безопасности, соответствующего риску нарушения прав или свобод физических лиц с различной вероятностью возникновения и серьезностью угрозы, определяемой в процессе оценки риска.
Выбор мер безопасности основывается на:

характер, объем, контекст и цели обработки,
риск нарушения прав или свобод физических лиц с различной вероятностью возникновения и серьезностью угрозы,
состояние технических знаний,
стоимость внедрения.

Эгертон Сп. з о. о. каждый раз описывает результаты оценки риска нарушения прав и свобод физических лиц и имплементирует их в правила обеспечения безопасности обрабатываемых им персональных данных.
Принципы обеспечения безопасности ИТ-системы описаны в руководстве по управлению ИТ-системой, составляющем Приложение 6 к Политике, в рамках следующих вопросов:

правила работы в ИТ-системе,
предоставление и регистрация авторизаций в ИТ-системе,
политика создания и использования паролей,
процедуры, применимые при работе на рабочих станциях и мобильных устройствах,
защита системы от вредоносного ПО,
защита системы от несанкционированного доступа,
хранение и обслуживание систем и носителей,
выполнение требований, связанных с защитой персональных данных.

Администратор использует различные технические и организационные меры для обеспечения защиты обрабатываемых персональных данных в следующих областях:

Доступ в помещение

Зона обработки персональных данных каждый раз защищается от доступа посторонних лиц на время отсутствия лиц, уполномоченных на обработку персональных данных.
Третьи лица могут находиться в номере только в присутствии уполномоченного Сотрудника Egerton Sp. з о. о. или с согласия Администрации.
Доступ в помещения, где происходит обработка данных, разрешен только лицам, уполномоченным на обработку данных или имеющим согласие на пребывание в зоне обработки данных, выданное Администратором по образцу, составляющему Приложение 2а к Политике.
Запрещается оставлять незапертыми помещения, в которых обрабатываются данные, без присмотра лица, уполномоченного на обработку данных или имеющего разрешение находиться в зоне обработки.
Выходя из номера, следует запереть дверь, взяв ее с собой или положить ключ в специально отведенное место, не допуская несанкционированного проникновения.
Если вы выходите из помещения, где обрабатываются персональные данные, вам следует закрыть окна в этом помещении.
Если в помещении, где обрабатываются данные, находится посторонний человек, то любые действия по обработке данных должны осуществляться таким образом, чтобы это лицо не могло ознакомиться с их содержанием.
Ключи от номеров могут быть выданы только лицам, уполномоченным Администратором.
Запрещается передавать загруженные ключи другим лицам (за исключением случаев, когда они также уполномочены на доступ Администратором), а также делать копии и распечатывать ключи без согласия Администратора.

Меры по защите ИТ и телекоммуникационной инфраструктуры Описание применяемых мер безопасности включено в Руководство по управлению ИТ-системой.
Организационные меры Принцип чистого стола и чистого экрана
Информация, оставленная на столах, может быть уничтожена или повреждена, а также может быть раскрыта при досмотре третьих лиц, поэтому введены следующие правила:

бумажные документы и другие носители информации должны храниться в запираемых шкафах и/или в других безопасных местах, особенно в нерабочее время;
документы, напечатанные на одной стороне, повторно не используются, в частности, запрещено использовать односторонние страницы в качестве черновиков, если они содержат данные;
все документы и распечатки, содержащие подлежащие удалению данные (ненужные, избыточные), должны быть уничтожены до такой степени, чтобы их нельзя было прочитать (например, с помощью шредера);
документы, содержащие секретную или важную информацию, должны быть заперты в шкафах на замок, марки должны быть заперты в ящиках на замок;
компьютеры нельзя оставлять без присмотра;
мониторы должны быть размещены таким образом, чтобы исключить возможность просмотра информации на экране посторонними лицами, в частности их нельзя располагать напротив входа в помещение или у окна;
копировальные устройства в нерабочее время должны быть защищены от несанкционированного использования;
конфиденциальная информация должна быть удалена из принтера сразу после печати;
пароли, необходимые для аутентификации в системе, не оставляют на бумаге в общественных местах;
покидать рабочее место разрешается только после блокировки экрана или блокировки рабочего места иным способом Подъем, передача данных
Каждое лицо, обрабатывающее данные и использующее мобильные устройства (в том числе портативные компьютеры — ноутбуки, смартфоны, планшеты и т. д.) для обработки данных, обязано проявлять особую осторожность при их транспортировке, хранении и использовании, особенно вне зоны обработки данных, и несет ответственность за любые операции с ними. Помимо прочего, необходимо исключить доступ посторонних лиц к отображаемым на мониторах данным, а также не оставлять без присмотра мобильное ИТ-оборудование (в том числе и в автомобилях).
Запрещается обработка данных и их необоснованное копирование, дублирование и передача на: cd, dvd, Blu-ray и других подобных носителях, а также на внешних накопителях и переносных флэш-памятях (например, флешках), не защищенных шифрованием.
Запрещается передавать целые наборы данных и обширные выдержки из них на любые носители данных, даже в зашифрованном виде, без соответствующего согласия Администратора.
Для обеспечения безопасности мобильных устройств, используемых для обработки данных, применяются меры криптографической защиты, указанные в руководстве по управлению ИТ-системой.
Документы, носители информации и техника в общественных местах и автомобилях не остаются без присмотра.
Каждый сотрудник Egerton Sp. z o.o., обрабатывающая персональные данные, имеет право на обработку персональных данных.
Кроме того, каждый сотрудник, уполномоченный на обработку персональных данных, должен пройти обучение по вопросам защиты персональных данных.
Лицом, уполномоченным на распространение информации, касающейся персональных данных, является Администратор и лица, уполномоченные им на предоставление информации в конкретном случае.
Рекомендуется, чтобы лица, уполномоченные на обработку персональных данных, использовали только свой собственный идентификатор и пароль.
Разрешается копировать только отдельные данные (одиночные файлы). Запрещается делать копии целых наборов данных или их частей, не необходимых для выполнения обязанностей уполномоченным лицом.
Во время работы документы и файлы, содержащие данные, а также устройства обработки данных не должны оставаться без присмотра лица, уполномоченного на обработку данных.
После завершения работы все документы, содержащие данные, защищаются от доступа посторонних лиц. Шкафы с данными документами запираются на ключ, причем ключ хранится в недоступном для посторонних лиц месте.
Данные, содержащиеся в документах в письменной форме, передаются способом, обеспечивающим их надлежащую защиту от доступа посторонних лиц. Формы обмена данными
Эгертон Сп. з о. о. особым образом защищает голосовую, факсимильную и визуальную информацию, поскольку такая информация может быть подслушана в общественном месте, воспроизведена с автоответчика, перехвачена посторонними лицами из голосовой почты, случайно отправлена по факсу не на тот номер. Для защиты предоставленной информации Egerton Sp. з о. о. ввел следующие требования:

соблюдать предельную осторожность при ведении телефонных переговоров, в частности запрет передачи персональных данных по телефону,
запрет на конфиденциальные беседы в общественных местах (рестораны, общественный транспорт и т.п.), общедоступных офисах,
не оставлять сообщения, содержащие защищенный контент, на «автоответчиках»,
разработка и применение руководства по управлению ИТ-системой в случае использования электронных средств связи.

Эгертон Сп. з о. о. не разрешает передачу файлов, содержащих персональные данные, через общедоступную сеть, т. е. Интернет, за исключением случаев, когда это осуществляется уполномоченными лицами и когда данные зашифрованы. Каждая отправка данных должна быть обоснована (например, договор с обработчиком) и осуществляться в соответствии с процедурами, принятыми Администратором. Эгертон Сп. з о. о. не позволяет отправлять данные на личный адрес электронной почты Сотрудника.
В электронных письмах, отправленных за пределы Egerton Sp. z o.o.: персональные данные (кроме контактных данных: имя и фамилия, служебный адрес электронной почты, должность, номер служебного телефона) должны быть отправлены в виде зашифрованных вложений и не могут составлять содержание сообщения - контактные данные следует понимать как : имя, фамилия, номер рабочего телефона, рабочий адрес электронной почты, не входящие в списки сотрудников, используемые только для связи с данным лицом.
В случае использования электронного документооборота должны использоваться ИТ-системы, гарантирующие безопасность передаваемых данных, которые имеют активированные механизмы контроля доступа – вход в систему, позволяющие осуществлять передачу зашифрованных или зашифрованных данных в соответствии с правилами, содержащимися в руководство по управлению ИТ-системой.

11. Оценка воздействия на защиту персональных данных
Администратор должен провести оценку воздействия на защиту персональных данных в ситуации, когда определенный тип обработки данных в силу своего характера, объема, контекста и целей может вызвать высокий риск нарушения прав или свобод лица.
Оценка воздействия на защиту персональных данных требуется каждый раз, если:

систематическая, всесторонняя оценка личных факторов, относящихся к физическим лицам, которая основана на автоматизированной обработке, включая профилирование, и является основой для решений, которые имеют юридические последствия в отношении физического лица или аналогичным образом существенно влияют на физическое лицо,
крупномасштабная обработка особых категорий персональных данных или персональных данных, касающихся судимостей, или
систематический масштабный мониторинг общедоступных мест.

Администратор документирует результаты проведенной оценки воздействия на защиту персональных данных.

12. Нарушение защиты персональных данных
В качестве ключевого элемента этой политики Egerton Sp. з о. о. предполагает способность предотвратить утечку персональных данных или соответствующим образом отреагировать, если это произойдет.
Нарушением защиты персональных данных является любое случайное или незаконное уничтожение, потеря, изменение, несанкционированное разглашение или несанкционированный доступ к отправленным, хранимым или иным образом обработанным персональным данным, повреждение любого элемента ИТ-системы. При условии, что:

Под уничтожением персональных данных понимается ситуация, при которой данные перестают существовать или прекращают существование в форме, позволяющей их использование администратором.
Коррупция означает ситуацию, когда личные данные были изменены, повреждены или больше не являются полными.
Под потерей персональных данных следует понимать ситуацию, когда данные все еще могут существовать, но контролер утратил контроль или доступ к ним или больше не владеет ими.
Несанкционированное раскрытие или доступ к персональным данным может включать раскрытие (или доступ) к персональным данным получателям, которые не имеют права на их получение (или доступ) или любую другую форму обработки, нарушающую GDPR.

Чтобы нарушение имело место, должны быть соблюдены три совокупных условия:

нарушение должно касаться персональных данных, передаваемых, хранимых или иным образом обрабатываемых субъектом нарушения;
нарушение должно привести к уничтожению, потере, изменению, несанкционированному раскрытию или несанкционированному доступу к персональным данным;
нарушение является результатом нарушения правил безопасности данных.

Каталог возможных угроз безопасности и нарушений защиты персональных данных, которые могут возникнуть в связи с обработкой персональных данных компанией Egerton Sp. з о. о. включен в Каталог угроз безопасности, составляющий Приложение 7b к Политике.
Событием, угрожающим безопасности, также является любое нарушение принципов защиты персональных данных, изложенных в настоящей Политике и сопутствующих документах, в частности в Руководстве по управлению ИТ-системой.
Любое лицо, обнаружившее какое-либо событие, угрожающее безопасности, или подозревающее о нарушении защиты персональных данных, или обладающее информацией, которая может повлиять на безопасность данных, обязано немедленно уведомить Председателя Правления Egerton Sp. з о. о. по электронной почте и дополнительно проинформировать его по телефону.
Далее следует приступить к процедуре, описанной в Инструкции по работе с угрозами и нарушениями безопасности, содержащей подробные инструкции и шаблоны отчетов, составляющей Приложение № 7а к Политике.

13.Права субъектов данных
Каждый субъект данных имеет право:
подтверждение того, обрабатываются ли персональные данные, касающиеся их, и если это так, они имеют право на доступ к ним (указано в статье 15 GDPR),
требовать немедленного исправления неверных персональных данных, касающихся их (указанных в статье 16 GDPR),
требовать немедленного удаления касающихся их персональных данных, если обстоятельства, указанные в ст. 17 Общего регламента по защите данных,
запросить ограничение обработки в случаях, указанных в ст. 18 Общего регламента по защите данных,
получение данных о нем, которые он предоставил Администратору, и отправка данных другому администратору без каких-либо препятствий со стороны Администратора (указано в статье 20 GDPR),
подать возражение (указано в статье 21 GDPR),
не подчиняться решению, которое основано исключительно на автоматизированной обработке, включая профилирование, и имеет юридические последствия в отношении этого лица или аналогичным образом существенно влияет на него, если обстоятельства, указанные в ст. 22 Общего регламента по защите данных.

Эгертон Сп. з о. о. облегчает субъекту данных осуществление своих прав, перечисленных в пункте 1 (в соответствии со статьями 15-22 GDPR).
Принятие мер по запросу субъекта данных в рамках его прав, описанных в пункте 1 выше, происходит на основании запроса этого лица, адресованного Администратору в письменной форме.
Субъект данных использует стандартные приложения, разработанные Egerton Sp. з о. о. для осуществления своих прав, изложенных в Приложении 8а к Политике и предоставляемых по каждому запросу субъекта данных, как в бумажной, так и в электронной форме.
Эгертон Сп. з о. о. проверяет запрос и без неоправданной задержки, не позднее чем в течение одного месяца с момента получения запроса, предоставляет информацию о предпринятых действиях или причинах непринятия мер и о возможности подачи жалобы в надзорный орган и применения мер правовой защиты в суде продлен еще на два месяца из-за сложности запроса или количества запросов. В течение одного месяца с момента получения запроса Администратор информирует субъекта данных о таком продлении с указанием причин задержки.
Запросы субъектов данных выполняются только в случае подтверждения личности субъекта данных.
Если Эгертон Сп. з о. о. имеет обоснованные сомнения в личности подающего заявление физического лица, может запросить дополнительную информацию, необходимую для подтверждения личности субъекта данных.
Эгертон Сп. з о. о. может отказаться выполнять запрос субъекта данных, если докажет, что не может идентифицировать субъекта данных. В этом случае, насколько это возможно, он информирует об этом субъекта данных.
Эгертон Сп. з о. о. принимает надлежащие меры для предоставления субъекту данных любой информации, указанной в ст. 13 и 14 Общего регламента по защите данных, а также вести с ним любую коммуникацию в соответствии со ст. 15-22 и 34 Общего регламента по защите данных об обработке.
Информация предоставляется в письменной или иной форме, в том числе, при необходимости, в электронной форме, на основании документов, подготовленных Egerton Sp. з о. о. образцы писем, указанные в Приложении № 8б к Политике.
По запросу субъекта данных информация может быть предоставлена в устной форме при условии, что личность субъекта данных подтверждена другими способами.
Если субъект данных подал свой запрос в электронном виде, информация также предоставляется в электронном виде, если это возможно, если субъект данных не требует иного.
Если запросы субъекта данных являются явно необоснованными или чрезмерными, в частности, из-за их повторяющегося характера, контролер может: взимать разумную плату, принимая во внимание административные расходы на предоставление информации, связь или выполнение запрошенного действия, или отказаться действовать по запрос . Обязанность доказать, что запрос является явно необоснованным или чрезмерным, лежит на Egerton Sp. з о.о..

14. Заключительные положения
Вносить изменения в настоящую Политику разрешается только Администратору.
Внесение изменений в настоящую Политику происходит только после предоставления новой версии соответствующих документов и получения согласования с Администратором.
После внесения изменений содержание документации должно быть доступно для всех заинтересованных лиц.
Администратор следит за тем, чтобы эта документация отражала реальный процесс обработки персональных данных в Egerton Sp. з о. о. и соблюдал закон.
В случае расхождений между применяемыми процедурами и документацией Egerton Sp. з о. о. предпринимает шаги по стандартизации документации и реально применяемых процедур, чтобы документация соответствовала фактам и в целом соответствовала GDPR.
Любые изменения в Политику вносятся в виде последующих редакций, утверждаемых Администратором.
Политика вступает в силу с 1 октября 2018 года.


Кабина дезинфекции
Кабина дезинфекции
27 500,00 zł 22 357,72 zł
szt.
Польский семейный бизнес
Jмы являемся членом национального ключевого кластера MedSilesia - Силезской сети медицинских устройств
logo
Продукция в соответствии с Регламентом Европейского Союза о медицинских устройствах 2017/745 от 5 апреля 2017 г. о медицинских устройствах Директива 20201/83/ЕС, Регламент (ЕС) № 178/2002 и Регламент (ЕС) № 1223/2009 и Совет по отмене Директивы 90/385/ЕЕС и 93/42/ЕЕС.
logo
do góry
Shop is in view mode
Pokaż pełną wersję strony
Sklep internetowy Shoper.pl