Pomagamy modernizować
placówki medyczne
Dostęp do treści jest możliwy wyłącznie dla osób wykonujących zawód medyczny lub prowadzący obrót wyrobami medycznymi. Jeśli jesteś profesjonalistą, kliknij przycisk "Zostaje na stronie", aby zapoznać się z treścią strony.
Egerton Sp. z o.o. z siedzibą w Zabrzu
POLITYKA OCHRONY DANYCH OSOBOWYCH Wydanie 2 obowiązuje od 01 października 2018 roku
Metryka dokumentu
Autor dokumentu: Błażej Pancerz
Wersja dokumentu: 2.0
Status: Zatwierdzona
Podpis Administratora
Data wersji 30.09.2018
Lista modyfikacji i historii dokumentu
Wersja dokumentu: 1.0
Data wersji: 16.08.2016
Informacja o zmianach i statusie
Osoba dokonująca modyfikacji
Pierwsze wydanie dokumentacji
----------
2.0: 30.09.2018: Dostosowanie do RODO
Spis treści
1. Postanowienia ogólne. 3
2. Odpowiedzialność. 3
3. Definicje. 4
4. Zasady dotyczące przetwarzania danych. 4
5. Obszar przetwarzania danych osobowych. 6
6. Rejestry czynności przetwarzania danych osobowych. 7
7. Osoby upoważnione do przetwarzania danych osobowych. 7
8. Powierzenie przetwarzania danych. 7
9. Podział obowiązków.. 8
10. Określenie środków niezbędnych do zachowania bezpieczeństwa danych. 9
11. Ocena skutków dla ochrony danych osobowych. 11
12. Naruszenie ochrony danych osobowych. 12
13. Prawa podmiotów danych. 12
14. Postanowienia końcowe. 13
1.Postanowienia ogólne
1.1.Podstawa prawnaPodstawowymi aktami prawnymi, którym podporządkowana jest niniejsza Polityka ochrony danych osobowych (dalej Polityka) są:
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej zwane RODO.
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000) - dalej zwaną UODO.
1.2.Cel wdrożenia
Polityka ma zapewnić właściwą ochronę podstawowych praw i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych, które są przetwarzane przez Administratora - Egerton Spółka z ograniczoną odpowiedzialnością z siedzibą w Zabrzu, 41-811, przy ul. Legnickiej 21, REGON 361216648, KRS 0000552481, zwanym dalej (Egerton Sp. z o.o., Spółka, ADO, Administrator).
Polityka opisuje działania organizacyjne i techniczne, których celem jest osiągnięcie i utrzymanie akceptowalnego poziomu bezpieczeństwa danych osobowych, w tym podniesienie poziomu świadomości osób działających na polecenie Administratora.
Celem Polityki jest określenie obowiązków i działań osób w procesie przetwarzania danych osobowych oraz zapewnienie przetwarzania tych danych zgodnie z zasadami określonymi w przepisach prawa.
Określone cele Administrator osiąga poprzez realizowane strategie:
odpowiednie zarządzanie ryzykiem w celu ograniczania go do akceptowalnego poziomu,
właściwa ochrona danych,
zapewnienie właściwego poziomu dostępności do danych w systemie informatycznym oraz do danych w postaci papierowej,
prawidłowa ochrona danych uzyskanych w związku z zawieraniem umów,
wdrażanie, a także rozwój systemu informatycznego z zachowaniem zasad bezpieczeństwa,
eksploatowanie systemu informatycznego zgodnie z zasadami bezpieczeństwa,
stałe podnoszenie kwalifikacji pracowników w zakresie znajomości technik ochrony informacji.
1.3.Zakres stosowania
Polityka ma status dokumentu przeznaczonego do użytku wewnętrznego i może być udostępniona osobom trzecim jedynie za zgodą Administratora.
Zakres przedmiotowy Polityki obejmuje wszystkie zbiory danych osobowych przetwarzanych przy wykorzystaniu systemów informatycznych oraz zbiorów danych przetwarzanych w sposób tradycyjny (ręczny), tj. zapisanych w postaci dokumentacji papierowej w księgach, wykazach i innych zbiorach ewidencyjnych.
Zakres przedmiotowy Polityki obejmuje wszystkie zbiory danych, których Administratorem jest Egerton Sp. z o.o., jak i wobec których jest Procesorem, a więc takich danych, których przetwarzanie powierzył Egerton Sp. z o.o. podmiot trzeci. Wobec danych powierzonych do przetwarzania stosuje się analogiczne zasady ochrony i zabezpieczeń jak wobec danych administrowanych, z uwzględnieniem rodzaju powierzonych danych.
Polityka obowiązuje wszystkich pracowników Egerton Sp. z o.o. oraz inne osoby przetwarzające dane osobowe na jego polecenie, a także osoby przebywające w obszarze przetwarzania danych osobowych.
2.OdpowiedzialnośćAdministrator ponosi odpowiedzialność za przestrzeganie przepisów w zakresie bezpieczeństwa danych osobowych przetwarzanych przez Egerton Sp. z o.o..
Administrator odpowiada za realizację Polityki oraz zapewnia wsparcie organizacyjno-finansowe przy wdrażaniu mechanizmów zabezpieczenia danych osobowych i systemu informatycznego oraz zasoby niezbędne do realizacji celów i wykonania zadań określonych w Polityce.
Stosownie do art. 24 ust. 1 RODO, Administrator uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać – zgodnie z zasadą „rozliczalności” sformułowaną w art. 5 ust. 2 RODO, w myśl której Administrator zobowiązany jest być w stanie wykazać przestrzeganie przez niego zasad dotyczących przetwarzania danych osobowych.
Środki, o których mowa powyżej, obejmują m.in. wdrożenie przez Administratora niniejszej Polityki wraz z dokumentacją z nią powiązaną. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
Wszyscy pracownicy Egerton Sp. z o.o. są w zakresie swoich kompetencji odpowiedzialni są za przestrzeganie przepisów dotyczących bezpieczeństwa danych osobowych i niniejszej Polityki oraz dokumentów z nią powiązanych.
Podmiot przetwarzający oraz każda osoba działająca z upoważnienia Administratora i mająca dostęp do danych osobowych, przetwarzają je wyłącznie na polecenie Administratora i wyłącznie dla realizacji jego celów.
3.Definicje
Dane (lub dane osobowe) - to wszelkie informacje będące w posiadaniu ADO o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą), czyli osobie, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
Zbiór danych - to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
Przetwarzanie danych - to operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
Podmiot przetwarzający – to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu ADO;
Osoba (podmiot danych) – to osoba fizyczna, której dane dotyczą;
Osoba upoważniona – każda osoba posiadająca pisemne upoważnienie do przetwarzania danych osobowych wydane przez ADO;
Osoba postronna – to każda osoba nie posiadająca upoważnienia do przetwarzania danych osobowych np. gość, klient;
Strona trzecia - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które z upoważnienia administratora lub podmiotu przetwarzającego - mogą przetwarzać dane osobowe;
4.Zasady dotyczące przetwarzania danych
4.1.Podstawowe uregulowania
Egerton Sp. z o.o. dba o to by, dane osobowe były:
przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);
adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”);
przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
4.2.Podstawy dopuszczalności przetwarzania danych
Egerton Sp. z o.o. przetwarza dane osobowe tylko wtedy, gdy spełniony jest co najmniej jeden z poniższych warunków:
przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba lub do podjęcia działań na żądanie osoby przed zawarciem umowy;
przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Egerton Sp. z o.o.;
Osoba wyraziła zgodę na przetwarzanie swoich danych osobowych w określonym celu;
przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby lub innej osoby fizycznej;
przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Egerton Sp. z o.o. lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby wymagające ochrony danych osobowych. Za prawnie usprawiedliwiony interes uważa się w szczególności: marketing bezpośredni własnych produktów lub usług Egerton Sp. z o.o., dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
W przypadku, gdy podstawą przetwarzania danych jest zgoda osoby, warunkiem jej skuteczności jest dobrowolność, konkretność, świadomość i jednoznaczność jej złożenia. Zgoda jest okazaniem woli, którym osoba w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę, a Egerton Sp. z o.o. ułatwia osobie realizację jej prawa. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę.
Zgoda nie jest stosowana w sytuacjach przetwarzania, gdzie występuje poważna nierówność między osobą a Egerton Sp. z o.o..
Pracownicy Egerton Sp. z o.o., którzy dokonują zebrania danych na podstawie zgody archiwizują te zgody w celu wykazania jej wyrażenia przez okres w jakim następuje przetwarzanie na jej podstawie danych przez Egerton Sp. z o.o..
4.3.Obowiązki informacyjne
Każdy pracownik Egerton Sp. z o.o. jest zobowiązany spełnić obowiązek informacyjny, wskazany w pkt 4 i 5 poniżej, wobec osoby, której dane zamierza zgromadzić w imieniu Egerton Sp. z o.o..
Spełnienie obowiązku informacyjnego co do zasady powinno odbywać się w formie pisemnej (tradycyjnej lub elektronicznej) umożliwiającej wykazanie spełnienia tego obowiązku.
Sposób spełnienia obowiązku informacyjnego zależny jest od sposobu zbierania danych tj.: zbierania danych od osoby, której dane dotyczą lub sposób w inny niż od osoby, której dane dotyczą.
W chwili zbierania danych od osoby, której dane dotyczą, każdy pracownik Egerton Sp. z o.o. przetwarzający dane w imieniu Administratora odpowiedzialny jest za poinformowanie tej osoby o:
danych identyfikujących Administratora (pełna nazwa, adres i dane kontaktowe);
danych kontaktowych Inspektora (o ile wyznaczono);
celach przetwarzania danych osobowych oraz podstawie prawnej przetwarzania;
prawnie uzasadnionych interesach Administratora - jeżeli przetwarzanie odbywa się na tej podstawie;
odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
gdy ma to zastosowanie – o zamiarze przekazania danych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony lub o odpowiednich lub właściwych zabezpieczeniach i o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych,
okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu;
prawie do żądania dostępu do danych osobowych dotyczących osoby, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do jej cofnięcia w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
prawie wniesienia skargi do niezależnego organu publicznego, tzw. organu nadzorczego;
zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz istotnych informacjach o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby;
tym czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.W przypadku pozyskania danych osobowych od osoby, której dane dotyczą, wszelkie wskazane powyżej informacje powinny być tej osobie przekazane podczas pozyskiwania (zbierania) danych, ale jeszcze przed ich utrwaleniem (zapisaniem).
W przypadku zbierania danych w sposób inny niż od osoby, której dane dotyczą, każdy pracownik Egerton Sp. z o.o. przetwarzający dane w imieniu Administratora odpowiedzialny jest za poinformowanie tej osoby, o informacjach zawartych w pkt 4 a) do k) powyżej oraz dodatkowo o:
kategoriach odnośnych danych osobowych,
źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych.Informacje powyższe muszą zostać podane:
najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
najpóźniej przy pierwszej komunikacji z osobą - jeżeli dane mają być stosowane do komunikacji z nią,
jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
Pracownicy Egerton Sp. z o.o. archiwizują dowody na spełnienie ww. obowiązku informacyjnego.
Administrator wprowadza treść klauzuli informacyjnej do wszelkich narzędzi służących do zbierania danych osobowych np. formularzu kontaktowym, innych formularzach elektronicznych, formularzach papierowych, ankietach, zamówieniach, zapytania, umowach, itp.
Ogólny wzór klauzuli stosowanej dla spełnienia obowiązku informacyjnego zawarty jest w Załączniku nr 1 do Polityki.
4.4.Obowiązek uwzględnienia ochrony danych w fazie projektowania
Wprowadzony zostaje obowiązek uwzględniania ochrony danych w fazie projektowania i uczynienia prywatności domyślnym sposobem działania, w tym poprzez:a) proaktywne podejście do ochrony danych,
b) konieczność włączania ochrony prywatności w projekty od początku ich realizacji,
c) poszanowanie dla prywatności użytkowników.
Środki służące realizacji tego obowiązku mogą polegać m.in. na:
minimalizacji zakresu przetwarzania danych;
jak najszybszej pseudonimizacji danych;
umożliwieniu osobie, monitorowania przetwarzania danych;
umożliwieniu zmian i udoskonalania zabezpieczeń.
5.Obszar przetwarzania danych osobowych
Administrator przetwarza dane osobowe w systemach informatycznych oraz w postaci tradycyjnej, uporządkowane w zbiorach zlokalizowanych w jednym obszarze przetwarzania - w lokalu usytuowanym w Zabrzu, 41-811, przy ul. Legnickiej 2.
Przebywanie osób nieuprawnionych w obszarze, o którym mowa powyżej, jest dopuszczalne za zgodą Administratora lub w obecności osoby upoważnionej do przetwarzania danych osobowych. Wzór zgody na przebywanie w obszarze przetwarzania stanowi Załącznik nr 2a.
Egerton Sp. z o.o. prowadzi Ewidencję osób posiadających zgodę na przebywanie w obszarze przetwarzania danych zgodnie z Załącznikiem nr 2b.
Za wydawanie ww. zgód i prowadzenie ww. ewidencji odpowiedzialny jest Administrator.
6.Rejestry czynności przetwarzania danych osobowych
Egerton Sp. z o.o. prowadzi Rejestr czynności przetwarzania danych osobowych oraz Rejestr kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu administratora, stanowiące dokumentację powiązaną do niniejszej Polityki, które udostępnia na żądanie organu nadzorczego.
Za prowadzenie ww. rejestrów odpowiedzialny jest Administrator.
Rejestry, o których mowa wyżej mają formę pisemną, w tym formę elektroniczną.
Wzór rejestrów, o których mowa wyżej zawiera Załącznik nr 3a i 3b.
7.Osoby upoważnione do przetwarzania danych osobowych
Do przetwarzania danych osobowych Egerton Sp. z o.o. dopuszcza wyłącznie osoby (pracowników) posiadające pisemne, imienne upoważnienie do przetwarzania danych osobowych nadane przez Administratora. Wzór upoważnienia stanowi Załącznik nr 4a.
Upoważnienie to połączone jest z deklaracją Pracownika Egerton Sp. z o.o. o zachowaniu w tajemnicy danych osobowych, sposobów ich zabezpieczania jak również zapoznania się z treścią Polityki i dokumentacją z nią powiązaną.
Osoby upoważnione do przetwarzania danych osobowych przed dopuszczeniem do przetwarzania danych zostają zapoznane z przepisami dotyczącymi ochrony danych osobowych, z zasadami określonymi w Polityce i dokumentach z nią powiązanych.
Administrator prowadzi Ewidencję osób upoważnionych do przetwarzania danych osobowych, stanowiącą dokument powiązany do niniejszej Polityki, sporządzoną według wzoru określonego w Załączniku nr 4b.
Za wydawanie ww. upoważnień i prowadzenie ww. ewidencji odpowiedzialny jest Administrator.
8.Powierzenie przetwarzania danych
Egerton Sp. z o.o. może powierzać przetwarzanie (w tym przekazywać, umożliwiać dostęp, itp.) posiadanych danych osobowych innemu podmiotowi (podmiot przetwarzający) tylko w uzasadnionych przypadkach w drodze umowy zawartej na piśmie oraz wyłącznie wtedy, kiedy przetwarzanie ma być dokonywane w imieniu Egerton Sp. z o.o..
Przykładem podmiotów, którym powierza się dane osobowe są zewnętrzne podmioty świadczące usługi: niszczenia dokumentów, obsługi naprawy sprzętu komputerowego/monitoringu CCTV, wsparcia informatycznego, usług hostingowych, obsługi prawnej, księgowej, medycyny pracy, szkoleń, ochrony mienia, wsparcia procesów sprzedaży/zakupów, doradczych, audytorskich, marketingowych, pośrednictwa zatrudnienia, tłumaczeń, itd..
Egerton Sp. z o.o. korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób.
Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Egerton Sp. z o.o..
Wzór zapisów dotyczących ochrony danych osobowych, określa Załącznik nr 5a do Polityki.
Administrator prowadzi Ewidencję umów powierzenia przetwarzania danych osobowych, stanowiącą dokumentację powiązaną z niniejszą Polityką, a sporządzoną według wzoru określonego w Załączniku nr 5b do Polityki.
Każde powierzenie przetwarzania danych osobowych oraz zakończenie procesu powierzenia zostaje odnotowane w Ewidencji umów powierzenia przetwarzania danych osobowych, niezwłocznie po zawarciu umowy powierzenia przetwarzania oraz niezwłocznie po ustaleniu zakończenia procesu powierzenia.
Pracownik Egerton Sp. z o.o. sporządzający lub koordynujący zawarcie umowy powierzenia przetwarzania danych, zobowiązany jest zgłosić Administratorowi każde powierzenie przetwarzania danych osobowych oraz zakończenie procesu powierzenia, niezwłocznie po zawarciu umowy powierzenia przetwarzania oraz niezwłocznie po ustaleniu zakończenia procesu powierzenia.
Za prowadzenie ww. ewidencji odpowiedzialny jest Administrator.
9.Podział obowiązków
9.1.Każdy pracownik Egerton Sp. z o.o.
Pracownik Egerton Sp. z o.o., w którego posiadaniu znajdują się dane, a który nie posiada upoważnienia do ich przetwarzania, jest zobowiązany niezwłocznie powiadomić o tym Administratora.
Pracownikowi Egerton Sp. z o.o., który nie posiada stosownego upoważnienia, nie wolno przetwarzać danych.
Naruszenie postanowień niniejszej Polityki może stanowić podstawę odpowiedzialności porządkowej pracownika.
9.2.Osoby upoważnione do przetwarzania danych osobowych
Dane osobowe przetwarzane przez Egerton Sp. z o.o. oraz sposoby ich zabezpieczenia stanowią tajemnicę służbową w rozumieniu art. 266 §1 Kodeksu karnego.
Osoby upoważnione zobowiązują się do zachowania w tajemnicy wszelkich informacji związanych z przetwarzaniem danych osobowych i sposobu ich zabezpieczeń przez cały okres zatrudnienia w Egerton Sp. z o.o. (lub wykonywania usług dla Egerton Sp. z o.o.), a także po ustaniu zatrudnienia.
Każda osoba przetwarzająca dane zobowiązana jest brać aktywny udział w szkoleniach dotyczących bezpieczeństwa danych osobowych oraz brać aktywny udział we wdrażaniu mechanizmów bezpieczeństwa danych osobowych poprzez opiniowanie możliwości zastosowania określonego rozwiązania przy realizacji zadań danej osoby.
Każda osoba przetwarzająca dane zobowiązana jest wykonywać polecenia Administratora w zakresie ochrony danych osobowych.
Osoby upoważnione zobowiązują się znać treść niniejszej Polityki i dokumentów z nią powiązanych, w zakresie jej dotyczącym i zobowiązują się ich przestrzegać.
Przypadki naruszenia, przez osoby upoważnione do przetwarzania danych, obowiązków wynikających z Polityki skutkujące naruszeniem zasad bezpiecznego i zgodnego z prawem przetwarzania danych osobowych, mogą zostać potraktowane przez Administratora jako ciężkie naruszenie obowiązków pracowniczych.
Osoby upoważnione mogą przetwarzać dane tylko w zakresie i celu ustalonym przez Administratora.
Gdy osoba upoważniona nie jest pewna czy w konkretnej sytuacji dane osobowe wolno jej przetwarzać, w szczególności czy prawidłowo są one zbierane lub czy prawidłowo spełniany jest obowiązek informacyjny, zwraca się do Administratora z prośbą o wyjaśnienie.
Osoba upoważniona stosuje przyjęte przez Administratora wzorcowe treści dokumentów w zakresie ochrony danych osobowych np: wniosków, klauzul, zgód, itp., w szczególności klauzul dotyczących wyrażenia zgody na przetwarzanie danych osobowych oraz klauzul informacyjnych stosowanych podczas wykonywania czynności dotyczących danych osobowych.
W razie braku stosownych wzorcowych treści dokumentów w zakresie ochrony danych osobowych np.: wniosków, klauzul, zgód, itp., osoba upoważniona zawiadamia Administratora o potrzebie przygotowania nowych wzorcowych treści.
Osoba upoważniona nie może tworzyć własnych treści dokumentów w zakresie ochrony danych osobowych bez uzgodnienia z Administratorem.
Każda osoba przetwarzająca dane odpowiada za ochronę interesów osób, a w szczególności przetwarza dane zgodnie z przepisami prawa i z przyjętymi w Egerton Sp. z o.o. zasadami bezpieczeństwa określonymi w niniejszej Polityce i dokumentach z nią powiązanych.
Każda osoba przetwarzająca dane dokonuje czynności przetwarzania w warunkach zabezpieczających dane przed naruszeniem bezpieczeństwa, zapewniając właściwą ochronę praw osób fizycznych, których dane są przetwarzane.
10.Określenie środków niezbędnych do zachowania bezpieczeństwa danych
Administrator w sposób świadomy podejmuje decyzje o wdrożeniu odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego stopnia bezpieczeństwa odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, określonego w procesie szacowania ryzyka.
Dobór środków zabezpieczenia oparty jest o:
charakter, zakres, kontekst i cele przetwarzania,
ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia,
stan wiedzy technicznej,
koszt wdrażania.
Egerton Sp. z o.o. każdorazowo opisuje wyniki szacowania ryzyka naruszenia praw i wolności osób fizycznych i implementuje je do zasad bezpieczeństwa danych osobowych przez nią przetwarzanych.
Zasady zabezpieczenia systemu informatycznego opisane są w Instrukcji zarządzania systemem informatycznym, stanowiącej Załącznik nr 6 do Polityki, w zakresie następujących zagadnień:
zasad pracy w systemie informatycznym,
nadawania i rejestrowania uprawnień w systemie informatycznym,
polityki tworzenia i stosowania haseł,
procedur obowiązujących w trakcie pracy na stacjach roboczych i urządzeniach przenośnych,
zabezpieczenia systemu przed szkodliwym oprogramowaniem,
zabezpieczenia systemu przed dostępem osób niepowołanych,
przechowywania i konserwacji systemów i nośników,
realizacji wymogów związanych z ochroną danych osobowych.
Administrator stosuje zróżnicowane środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, w następujących obszarach:
Dostęp do pomieszczeń
Obszar, w którym są przetwarzane dane osobowe każdorazowo jest zabezpieczony przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych.
Osoby postronne mogą przebywać w pomieszczeniu wyłącznie w obecności upoważnionego Pracownika Egerton Sp. z o.o. lub za zgodą Administratora.
Dostęp do pomieszczeń, w których odbywa się przetwarzanie danych jest ograniczony jedynie do osób upoważnionych do przetwarzania danych lub posiadających zgodę na przebywanie w obszarze przetwarzania danych wydaną przez Administratora według wzoru stanowiącego Załącznik nr 2a do Polityki.
Zabrania się zostawiania niezamkniętych na klucz pomieszczeń, w których dane są przetwarzane, bez nadzoru osoby upoważnionej do przetwarzania danych lub posiadającej zgodę na przebywanie w obszarze przetwarzania.
Wychodząc z pomieszczenia drzwi należy zamknąć na klucz zabierając go ze sobą lub złożyć klucz w ustalonym, przeznaczonym do tego miejscu, uniemożliwiając wejście osoby nieupoważnionej.
W razie opuszczenia pomieszczenia, w którym przetwarzane są dane osobowe, należy zamknąć okna znajdujące się w tym pomieszczeniu.
Jeżeli w pomieszczeniu, w którym przetwarzane są dane znajduje się osoba postronna, to wszelkie czynności przetwarzania dokonywane na danych powinny być tak przeprowadzone, by osoba ta nie miała możliwości zapoznania się z ich treścią.
Klucze do pomieszczeń mogą być wydawane tylko osobom upoważnionym przez Administratora.
Nie dopuszcza się do powierzania pobranych kluczy innym osobom (chyba że również zostały upoważnione do dostępu przez Administratora) oraz wykonywania kopii i odcisków kluczy bez zgody Administratora.
Środki ochrony infrastruktury informatycznej i telekomunikacyjnejOpis stosowanych środków ochrony zawarty jest w Instrukcji Zarządzania Systemem Informatycznym.
Środki organizacyjneZasada czystego biurka i czystego ekranu
Informacje pozostawione na biurkach mogą ulec zniszczeniu lub uszkodzeniu, lub też mogą zostać ujawnione poprzez wgląd osób postronnych, dlatego też wprowadzono następujące zasady:
dokumenty papierowe oraz inne nośniki informacji powinny być przechowywane w zamykanych na klucz szafach i/lub w innych bezpiecznych miejscach, zwłaszcza poza godzinami pracy ;
nie używa się powtórnie dokumentów zadrukowanych jednostronnie, w szczególności zabrania się wykorzystywania jako brudnopisy pism jednostronnie zadrukowanych kart, jeśli zawierają one dane;
wszelkie dokumenty i wydruki zawierające dane przeznaczone do usunięcia (niepotrzebne, zbędne) należy niszczyć w stopniu uniemożliwiającym ich odczytanie (np. przy użyciu niszczarki);
dokumenty zawierające wrażliwe lub krytyczne informacje powinny być zamykane w szafkach z zamkiem, pieczątki powinny być zamykane w szufladach z zamkiem;
nie wolno pozostawić zalogowanych komputerów bez nadzoru;
monitory powinny być tak ustawione by uniemożliwić podgląd informacji na ekranie osobom postronnym, a zwłaszcza nie powinny być ustawiane naprzeciwko wejścia do pomieszczenia i przy oknie;
poza godzinami pracy urządzenia kopiujące powinny być chronione przed użyciem przez nieuprawnione osoby;
informacje poufne/wrażliwe należy natychmiast po wydrukowaniu wyjąć z drukarki;
nie pozostawia się haseł wymaganych do uwierzytelnienia w systemie na papierze w miejscach ogólnodostępnych;
zezwala się na opuszczenie stanowiska pracy dopiero po zablokowaniu ekranu lub po zablokowaniu stacji roboczej w inny sposób.Wynoszenie, przenoszenie danych
Każda osoba przetwarzająca dane i korzystająca z urządzeń mobilnych (w tym z komputerów przenośnych - laptopów, smartfonów, tabletów itp.) do przetwarzania danych zobowiązana jest do zachowania szczególnej ostrożności podczas ich transportu, przechowywania i używania szczególnie poza obszarem przetwarzania danych i ponosi odpowiedzialność za wszelkie operacje wykonywane przy ich użyciu. Należy między innymi uniemożliwić wgląd osobom nieupoważnionym do danych wyświetlanych na monitorach, nie pozostawiać bez opieki (także w samochodach) przenośnego sprzętu teleinformatycznego.
Zabrania się przetwarzania danych oraz ich nieuzasadnionego kopiowania, powielania i przesyłania na: dyskach cd, dvd, bluray i innych tego typu nośnikach oraz dyskach zewnętrznych i pamięciach przenośnych typu flash (np. pen drive), które nie zostały zabezpieczone poprzez szyfrowanie.
Zabrania się wynoszenia na jakichkolwiek nośnikach danych całych zbiorów danych oraz szerokich z nich wypisów, nawet w postaci zaszyfrowanej, bez odpowiedniej zgody Administratora.
W celu zabezpieczenia urządzeń mobilnych służących do przetwarzania danych stosuje się środki ochrony kryptograficznej określone w Instrukcji zarządzania systemem informatycznym.
Nie pozostawia się bez kontroli dokumentów, nośników danych i sprzętu w miejscach publicznych oraz samochodach.Kontrola dostępu do danych
Każdy pracownik Egerton Sp. z o.o., przetwarzający dane osobowe posiada upoważnienie do przetwarzania danych osobowych.
Dodatkowo każdy upoważniony do przetwarzania danych osobowych pracownik musi zostać przeszkolony w zakresie ochrony danych osobowych.
Osobą uprawnioną do rozpowszechniania informacji dotyczących danych osobowych jest Administrator oraz osoby przez niego upoważnione do przekazania informacji w konkretnej sprawie.
Przestrzega się, by osoby upoważnione do przetwarzania danych osobowych używały tylko własnego identyfikatora i hasła.
Zezwala się na kopiowanie tylko jednostkowych danych (pojedynczych plików). Obowiązuje zakaz robienia kopii całych zbiorów danych lub takich ich części, które nie są konieczne do wykonywania obowiązków przez osobę upoważnioną.
W trakcie pracy nie można zostawiać dokumentów i plików zawierających dane, a także urządzeń przetwarzających dane, bez nadzoru osoby upoważnionej do przetwarzania danych.
Po zakończonej pracy wszystkie dokumenty zwierające dane zabezpiecza się przez dostępem osób nieupoważnionych. Szafy z dokumentami dotyczącymi danych zamyka się na klucz, a klucz przechowuje w miejscu niedostępnym dla osób nieuprawnionych.
Dane zawarte w dokumentach w formie pisemnej są przekazywane w sposób zapewniający ich należytą ochronę przed dostępem osób niepowołanych.Formy wymiany danych
Egerton Sp. z o.o. w sposób szczególny chroni informacje głosowe, faksowe oraz wizualne, bowiem informacja taka może być podsłuchana w miejscu publicznym, odtworzona z automatycznej sekretarki, przejęta przez nieuprawnione osoby z poczty głosowej, przypadkowo wysłana faksem na zły numer. Dla zabezpieczenia przekazywanej informacji Egerton Sp. z o.o. wprowadziła następujące wymogi:
zachowanie szczególnej ostrożności podczas prowadzenia rozmów telefonicznych, a w szczególności zakaz przekazywania danych osobowych drogą telefoniczną,
zakaz prowadzenia poufnych rozmów w miejscach publicznych (restauracje, publiczne środki transportu, itp.), szeroko dostępnych biurach,
nie pozostawianie wiadomości zawierających treści chronione na „sekretarkach automatycznych”,
opracowanie i stosowanie Instrukcji zarządzania systemem informatycznym w przypadku wykorzystywania elektronicznych środków komunikacji.
Egerton Sp. z o.o. nie dopuszcza przesyłania plików zawierających dane osobowe, za pomocą sieci publicznej, tzn. Internetu, za wyjątkiem, gdy jest to wykonywane przez osoby upoważnione i gdy dane są zaszyfrowane. Każde wysłanie danych musi mieć uzasadnienie (np. umowa z procesorem) i być dokonane zgodnie z przyjętymi przez Administratora procedurami. Egerton Sp. z o.o. nie dopuszcza przesyłania danych na prywatny adres e-mailowy Pracownika.
W wiadomościach e-mail wysyłanych poza Egerton Sp. z o.o.: dane osobowe (inne niż dane kontaktowe: imię i nazwisko, adres poczty służbowej, stanowisko, telefon służbowy), muszą być przesyłane w szyfrowanych załącznikach oraz nie mogą stanowić treści wiadomości – przez dane kontaktowe należy rozumieć: imię, nazwisko, służbowy telefon, służbowy adres poczty elektronicznej, nie stanowiące zestawień pracowniczych wykorzystywane wyłącznie w celu skontaktowania się z daną osobą.
W przypadku stosowania elektronicznego obiegu dokumentów należy stosować systemy informatyczne gwarantujące bezpieczeństwo przesyłanych danych, które posiadają uaktywnione mechanizmy kontroli dostępu - logowanie do systemu, umożliwiające przesyłanie danych zahasłowanych lub zaszyfrowanych na zasadach zawartych w Instrukcji zarządzania systemem informatycznym.
11.Ocena skutków dla ochrony danych osobowych
Administrator obowiązkowo przeprowadza Ocenę skutków dla ochrony danych osobowych, w sytuacji kiedy dany rodzaj przetwarzania danych, ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności Osób.
Przeprowadzenie oceny skutków dla ochrony danych osobowych jest wymagane każdorazowo, jeżeli dochodzi do:
systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną,
przetwarzania na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących, lub
systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
Administrator dokumentuje wyniki przeprowadzonej oceny skutków dla ochrony danych osobowych.
12.Naruszenie ochrony danych osobowych
Jako kluczowy elementem niniejszej polityki Egerton Sp. z o.o. przyjmuje zdolność zapobiegania naruszeniu ochrony danych osobowych lub odpowiedniego reagowania, jeżeli już do niego dojdzie.
Naruszeniem ochrony danych osobowych jest każde przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, uszkodzenie jakiegokolwiek elementu systemu informatycznego. Z zastrzeżeniem, że:
Zniszczenie danych osobowych oznacza sytuację, w której dane przestają istnieć lub przestają istnieć w formie umożliwiającej ich wykorzystanie przez administratora.
Uszkodzenie oznacza sytuację, w której dane osobowe zostały zmodyfikowane, zepsute lub nie są już kompletne.
Utratę danych osobowych należy rozumieć jako sytuację, w której dane mogą nadal istnieć, ale administrator utracił kontrolę nad nimi lub dostęp do nich, lub nie jest już w ich posiadaniu.
Nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych może obejmować ujawnienie danych osobowych (lub udostępnienia ich) odbiorcom, którzy nie są uprawnieni do otrzymania ich (lub uzyskania do nich dostępu), lub jakąkolwiek inną formę przetwarzania, która narusza RODO.
Aby zaistniało naruszenie muszą być spełnione łącznie trzy przesłanki:
naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie;
skutkiem naruszenia musi być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych;
naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.
Katalog ewentualnych zagrożeń bezpieczeństwa i naruszeń ochrony danych osobowych, jakie mogą wystąpić w związku z przetwarzaniem danych osobowych przez Egerton Sp. z o.o. zawarty jest w Katalogu zagrożeń bezpieczeństwa, stanowiącym Załącznik 7b do Polityki.
Zdarzeniem zagrażającym bezpieczeństwu jest również każde naruszenie zasad ochrony danych osobowych określonych w niniejszej Polityce oraz dokumentach z nią powiązanych, w szczególności w Instrukcji Zarządzania Systemem Informatycznym.
Każda osoba, która stwierdzi jakiekolwiek zdarzenie zagrażające bezpieczeństwu lub podejrzewa naruszenie ochrony danych osobowych, bądź posiada informację mogącą mieć wpływ na bezpieczeństwo danych zobowiązana jest niezwłocznie zawiadomić o tym Prezesa Zarządu Egerton Sp. z o.o. drogą elektroniczną oraz dodatkowo poinformować go telefonicznie.
Kolejno należy rozpocząć procedurę opisaną w Instrukcji postępowania z zagrożenia bezpieczeństwa i naruszeniami, zawierającą szczegółowe wytyczne i wzory raportów, stanowiącą Załącznik nr 7a do Polityki.
13.Prawa podmiotów danych
Każdej Osobie, której dane dotyczą, przysługuje prawo:
potwierdzenia czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich (wskazane w art. 15 RODO),
żądania niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe (wskazane w art. 16 RODO),
żądania niezwłocznego usunięcia dotyczących jej danych osobowych, jeśli zachodzą okoliczności wskazane w art. 17 RODO,
żądania ograniczenia przetwarzania w przypadkach wskazanych w art. 18 RODO,
otrzymania danych jej dotyczących, które dostarczyła Administratorowi, oraz przesłania danych innemu administratorowi bez przeszkód ze strony Administratora (wskazane w art. 20 RODO),
wniesienia sprzeciwu (wskazane w art. 21 RODO),
do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa, jeśli zachodzą okoliczności wskazane w art. 22 RODO.
Egerton Sp. z o.o. ułatwia osobie, której dane dotyczą, wykonanie przysługujących jej praw wykazanych w pkt 1 (na mocy art. 15–22 RODO).
Podjęcie działań na żądanie osoby, której dane dotyczą w zakresie przysługujących jej praw opisanych w pkt 1 powyżej, następuje na podstawie wniosku tej osoby skierowanego do Administratora w formie pisemnej.
Osoba, której dane dotyczą korzysta ze standardowych wniosków opracowanych przez Egerton Sp. z o.o. w celu realizacji przysługujących jej praw, określonych w Załączniku nr 8a do Polityki i udostępnianych na każde żądanie osoby, której dane dotyczą, zarówno w formie papierowej jak i elektronicznej.
Egerton Sp. z o.o. weryfikuje wniosek i bez zbędnej zwłoki, nie później niż w terminie miesiąca od otrzymania żądania, udziela informacji o podjętych działaniach lub o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego i skorzystania ze środków ochrony prawnej przed sądem.W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania Administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.
Realizacja wniosków podmiotów danych następuje jedynie w przypadku potwierdzenia tożsamości osoby, której dane dotyczą.
Jeżeli Egerton Sp. z o.o. ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej wniosek, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.
Egerton Sp. z o.o. może odmówić realizacji wniosku osoby, której dane dotyczą jeżeli, wykaże, że nie jest w stanie zidentyfikować osoby, której dane dotyczą. W takim przypadku w miarę możliwości informuje o tym osobę, której dane dotyczą.
Egerton Sp. z o.o. podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 RODO, oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 RODO w sprawie przetwarzania.
Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie, w oparciu o przygotowane przez Egerton Sp. z o.o. wzorce pism określone w Załączniku nr 8b do Polityki.
Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.
Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.
Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może: pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań albo odmówić podjęcia działań w związku z żądaniem. Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na Egerton Sp. z o.o..
14.Postanowienia końcowe
Dopuszcza się dokonywanie zmian w niniejszej Polityce wyłącznie przez Administratora.
Wprowadzenie w życie zmian w niniejszej Polityce następuje wyłącznie po przedstawieniu nowej wersji odpowiednich dokumentów oraz uzyskaniu akceptacji Administratora.
Po wprowadzeniu zmian, treść dokumentacji winna być udostępniona wszystkim osobom których dotyczy.
Administrator sprawuje nadzór nad tym, aby niniejsza dokumentacja odzwierciedlała realny proces przetwarzania danych osobowych w Egerton Sp. z o.o. i była zgodna z przepisami prawa.
W przypadku wykrycia rozbieżności między stosowanymi procedurami i dokumentacją Egerton Sp. z o.o. poodejmuje czynności zmierzające do ujednolicenia dokumentacji i faktycznie stosowanych procedur, tak aby dokumentacja odpowiadała stanowi faktycznemu oraz całość była zgodna z RODO.
Wszelkie zmiany wprowadzane są do Polityki w formie kolejnych wydań zatwierdzonych przez Administratora.
Polityka wchodzi w życie z dniem 1 października 2018 r..