Polityka ochrony danych osobowych

Polityka ochrony danych osobowych

w Elektro-Tech Sp. z o.o.

§1

Cel powstania i przedmiot dokumentu

1. Polityka ochrony danych osobowych została opracowana i wdrożona w Elektro-Tech Sp. z o.o. (np. Elektro-Tech Sp. z o.o.) w celu zapewnienia zgodności przetwarzania danych osobowych z wymogami obowiązujących w tym zakresie polskich i europejskich aktów prawnych.

2. Przedmiotem Polityki jest określenie, opisanie i zawarcie, w tym i w innych wskazanych w Polityce dokumentach, a stanowiących jej część, zastosowanych środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych osobowych objętych ochroną, a w szczególności zabezpieczeń danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

§2

Słownik/Definicje

1. Administrator – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych – Prezes Zarządu Elektro-Tech Sp. z o.o.

2. Administrator systemu informatycznego – osoba odpowiedzialna za sprawność, konserwację oraz wdrażanie technicznych zabezpieczeń systemu informatycznego.

3. Analiza ryzyka – analiza możliwości wystąpienia naruszenia ochrony danych osobowych na konkretnym zasobie przetwarzającym dane oraz działania służące mitygowaniu ryzyka.

4. Dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej – zgodnie z art. 4 pkt 5 UODO.

5. IOD – inspektor ochrony danych – osoba wyznaczona zgodnie z obowiązującymi przepisami przez Administratora, w celu informowania i doradzania Administratorowi i pracownikom w zakresie obowiązującego prawa o ochronie danych oraz w celu monitorowania jego przestrzegania oraz działania, jako punkt kontaktowy dla osób, których dane są przetwarzane i organu nadzorczego.

6. Naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

7. Polityka – polityka ochrony danych osobowych, regulująca kwestie opisane w niniejszym dokumencie, jak i w innych pozostałych już wytworzonych lub w przyszłości wytworzonych, odnoszących się do szeroko rozumianej ochrony danych osobowych przetwarzanych w Elektro-Tech Sp. z o.o. lub powierzanych podmiotom przetwarzającym.

8. Przetwarzanie danych – operacja lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany.

9. RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

10. UODO – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

11. Upoważnienie – pisemne upoważnienie do przetwarzania danych osobowych wydane na zasadach określonych w osobnym zarządzeniu Administratora.

12. Klauzula informacyjna - zbiór informacji, które administrator danych ma obowiązek przekazać osobie, której dane dotyczą.

§3

Zakres informacji objętych Polityką oraz zakres jej stosowania

1. Politykę stosuje się do wszelkich czynności stanowiących przetwarzanie danych osobowych, niezależnie od źródła ich pochodzenia, zakresu, celu zebrania, sposobu lub czasu przetwarzania. Odnosi się do wszystkich danych osobowych przetwarzanych w Elektro-Tech Sp. z o.o., a także poza jej obszarem, niezależnie od formy, celu oraz zakresu ich przetwarzania (elektroniczny, papierowy).

2. Polityka obowiązuje we wszystkich biurach, magazynach, halach produkcyjnych i punktach sprzedaży Elektro-Tech Sp. z o.o.

3. Polityka ma zastosowanie do wszystkich pracowników Elektro-Tech Sp. z o.o., którzy w zakresie swoich obowiązków służbowych przetwarzają dane osobowe, jak również innych osób, które z upoważnienia Administratora uzyskały dostęp do danych osobowych.

4. Każda z osób, o których mowa w ust. 3 została zobowiązana do zapoznania się z procedurami bezpieczeństwa danych opisanymi w Polityce i do ich przestrzegania w zakresie wynikającym z przydzielonych zadań oraz do złożenia w tym zakresie stosownego oświadczenia.

5. Każde naruszenie zasad Polityki może być uznane za ciężkie naruszenie podstawowych obowiązków pracownika lub wynikających z umów cywilnych o współpracy i może skutkować konsekwencjami zgodnie z Kodeksem pracy lub odpowiednimi przepisami dotyczącymi zasad współpracy, jak również odpowiedzialnością przewidzianą w przepisach regulujących zasady przetwarzania, w tym ochrony danych osobowych.

6. Postanowienia niniejszej polityki stosuje się odpowiednio do danych wrażliwych.

§4

Podstawowe zasady przetwarzania danych osobowych

1. Przetwarzanie danych osobowych w Elektro-Tech Sp. z o.o. odbywa się przy zachowaniu zasad opisanych w art. 5 UODO i w art. art. 5 RODO, do których należą: 1) zgodność z prawem, rzetelność i przejrzystość (dane mają być przetwarzane zgodnie z prawem i rzetelnie oraz przy zastosowaniu niezbędnych środków technicznych i organizacyjnych, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia); 2) ograniczenie celu (dane mają być przetwarzane w konkretnych i uzasadnionych celach); 3) minimalizacja danych (dane mają być adekwatne, stosowne i nienadmierne do celów, dla których są przetwarzane); 4) prawidłowość (dane mają być prawidłowe i w razie potrzeby uaktualniane); 5) ograniczenie przechowywania (dane należy przechowywać w formie umożliwiającej identyfikację osób, których dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów ich przetwarzania); 6) integralność i poufność (dane należy przetwarzać w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą środków technicznych i organizacyjnych odpowiednich do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczone przed ich udostępnieniem osobom nieupoważnionym lub wejściem w posiadanie przez osobę nieuprawnioną); 7) rozliczalność – Administrator jest odpowiedzialny za przestrzeganie zasad dotyczących przetwarzania danych osobowych i prawidłową realizację czynności w tym zakresie oraz ma obowiązek prowadzić dokumentację dotyczącą realizacji tych czynności.

2. Za bezpieczeństwo danych osobowych odpowiedzialny jest Administrator - Prezes Zarządu Jan Kowalski (wskazać kto, np. Administrator – opisać, za co dokładnie jest odpowiedzialny w Elektro-Tech Sp. z o.o., IOD, Specjalista ds. bezpieczeństwa, Analityk danych/osoba upoważniona – również opisać za co są odpowiedzialni, w zależności od tego jak w danej Elektro-Tech Sp. z o.o. zorganizowany jest system ochrony).

3. Mając na względzie zapisy oraz art. 6 UODO i art. 32 RODO Administrator w Polityce określa odpowiednie środki techniczne oraz niezbędne zabezpieczenia stosowane przy przetwarzaniu danych osobowych w celu skutecznej realizacji zasad ochrony danych osobowych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń.

4. Administrator zobowiązuje się do regularnego audytu bezpieczeństwa danych osobowych.

§5

Przetwarzanie danych osobowych na podstawie UODO

1. Na podstawie zapisów UODO przetwarzane są dane osobowe gromadzone w związku z zapobieganiem i zwalczaniem przestępczości (obejmującej kradzież i oszustwo), przetwarzanie to odbywa się wyłącznie w zakresie niezbędnym do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.

2. Zgodnie z zapisami UODO regulacje tego aktu normatywnego nie mają zastosowania do ochrony danych osobowych znajdujących się w aktach spraw karnych lub czynności operacyjno-rozpoznawczych lub materiałach dowodowych, w tym tworzonych i przetwarzanych z wykorzystaniem technik informatycznych, prowadzonych na podstawie m.in. ustawy z dnia 6 kwietnia 1990 r. – Kodeks postępowania karnego, a także ustawy z dnia 24 maja 2008 r. – o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.

3. W odniesieniu do danych osobowych zgromadzonych w postępowaniach prowadzonych na podstawie wymienionych w ust. 2 ustaw, prawa osób, których dane dotyczą, są realizowane wyłącznie na podstawie i w zakresie przewidzianym przez przepisy regulujące te postępowania.

4. Dane osobowe w tym zakresie przetwarzane są przez upoważnionych pracowników działu bezpieczeństwa.

§6

Przetwarzanie danych osobowych na podstawie RODO

1. Na podstawie ogólnego rozporządzenia o ochronie danych osobowych – RODO, przetwarzane są dane osobowe gromadzone w związku z rekrutacją/sprzedażą/obsługą klienta spraw w szczególności: postępowań reklamacyjnych, postępowań windykacyjnych, informacji marketingowych, informacji przeznaczonej do powtórnego wykorzystania, spraw pracowniczych, spraw kadrowych, spraw księgowych, związane z szeroko rozumianym bezpieczeństwem i higieną pracy, ochroną mienia, tj. sprawy, w trakcie których przetwarzanie danych nie jest ściśle związane ze zwalczaniem i zapobieganiem przestępczości.

2. Dane te przetwarzane są przez upoważnionych pracowników działów: kadr, księgowości, marketingu, sprzedaży i obsługi klienta.

§7

Struktura organizacji ochrony danych w Elektro-Tech Sp. z o.o.

1. Za przetwarzanie danych osobowych oraz ich ochronę zgodnie z powszechnie obowiązującymi przepisami, postanowieniami Polityki oraz procedur wewnętrznych z zakresu ochrony danych osobowych, wdrożonych w Elektro-Tech Sp. z o.o., odpowiadają (opisać strukturę ochrony danych przyjętą w jednostce, kto jest odpowiedzialny za realizację poszczególnych zadań, te zapisy muszą być adekwatne z zapisami z § 4 ust. 2 i np. kto prowadzi rejestr czynności przetwarzania, wykaz kategorii czynności przetwarzania, inne): 1) Administrator, 2) IOD, 3) Administrator systemu informatycznego

2. Administrator jest odpowiedzialny za: zapewnienie bezpieczeństwa danych osobowych, wdrażanie polityki bezpieczeństwa danych osobowych i nadzór nad jej przestrzeganiem.

3. Inspektor Ochrony Danych odpowiedzialny jest za realizację obowiązków wymienionych w art. 39 RODO i art. 38a UODO oraz za monitorowanie przestrzegania przepisów o ochronie danych osobowych, doradzanie administratorowi w zakresie ochrony danych osobowych, współpracę z organem nadzorczym.

4. Administrator systemu informatycznego jest odpowiedzialny za wdrażanie i utrzymanie technicznych środków bezpieczeństwa danych osobowych.

§8

Wymogi i informacje dotyczące ochrony i przetwarzania danych osobowych

1. Wykaz biur, magazynów, hal produkcyjnych i serwerowni, tworzących obszar, w którym przetwarzane są w Elektro-Tech Sp. z o.o. dane osobowe został określony w załączniku Nr 1 do niniejszej Polityki.

2. Osobą upoważnioną do przebywania w obszarze przetwarzania danych osobowych jest osoba, posiadająca upoważnienie Administratora do przetwarzania danych.

3. Obszar przetwarzania danych osobowych jest zabezpieczony przed dostępem osób nieupoważnionych poprzez kontrolę dostępu, monitoring wizyjny oraz system alarmowy.

§9

Upoważnienia do przetwarzania danych osobowych

Zasady wydawania upoważnień do przetwarzania danych osobowych zostały odrębnie uregulowane w stosownym zarządzeniu Administratora i stanowią część Polityki.

§ 10

Obowiązki wobec osób, których dane osobowe są przetwarzane

W Elektro-Tech Sp. z o.o. dane osobowe przetwarzane są na podstawie UODO i RODO. Obowiązek informacyjny wobec osób, których dane są przetwarzane, spełniany jest zgodnie z wymaganiami obu aktów normatywnych, m.in. poprzez umieszczenie: 1) szczegółowych informacji na stronie internetowej jednostki pod adresem www.elektrotech.pl, 2) na tablicach informacyjnych we wszystkich siedzibach jednostki biurach obsługi klienta, 3) obowiązków informacyjnych dołączanych do dokumentów (np. zawieranych umów, ofert w postępowaniu o zamówienie publiczne, w stopce wiadomości e-mail).

§ 11

Przetwarzanie danych osobowych poza własnymi strukturami

Zasady postępowania przy powierzeniu przetwarzania danych osobowych zostały odrębnie uregulowane w stosownym zarządzeniu Administratora i stanowią część Polityki.

§ 12

Udostępnienie danych osobowych

1. Administrator dopuszcza, by dane osobowe, których jest administratorem, były przekazywane innym administratorom w formie udostępnienia danych.

2. Udostępnienie danych osobowych może nastąpić tylko w sytuacji istnienia przynajmniej jednej z podstaw spośród wskazanych w art. 6 ust. 1 lub art. 9 ust. 2 RODO albo w art. 15 UODO.

3. Szczegółowy sposób postępowania w przypadku konieczności udostępnienia danych został opisany w odrębnym zarządzeniu Administratora i stanowi część Polityki.

4. Podmioty lub kategorie podmiotów, którym udostępnia się dane osobowe, muszą zostać obligatoryjnie wskazane w stosownych rejestrach.

5. Udostępnianie danych osobowych odbywa się z zachowaniem wszelkich środków bezpieczeństwa.

§ 13

Współadministrowanie danymi osobowymi

1. Administrator w zakresie przetwarzanych przez siebie danych osobowych dopuszcza możliwość przyjęcia modelu współadministrowania danymi osobowymi zgodnie z art. 26 RODO lub art. 27 UODO.

2. Współadministrowanie danymi może zachodzić w przypadku współpracy z innymi firmami w ramach realizacji wspólnych projektów.

§ 14

Realizacja praw osób, których dane dotyczą

Procedura postępowania w sytuacji realizacji praw osób, których dane dotyczą została określona w odrębnym zarządzeniu Administratora i stanowi część Polityki.

§ 15

Ochrona danych w fazie projektowania oraz domyślna ochrona danych

(Firma wdraża zasady Privacy by Design i Privacy by Default.)

§ 16

Ocena skutków dla ochrony danych osobowych

1. Administrator – przed przetworzeniem danych osobowych – dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych, jeżeli dany rodzaj przetwarzania danych osobowych, w szczególności z użyciem nowych technologii, ze względu na swój charakter, zakres, kontekst i cele może skutkować powstaniem wysokiego ryzyka naruszenia praw i wolności osób fizycznych.

2. W strukturze Elektro-Tech Sp. z o.o. ocena skutków dla ochrony danych osobowych stanowi narzędzie rozliczalności ułatwiające przestrzeganie wymogów określonych w UODO lub/i RODO, a także wykazanie, że podjęto odpowiednie środki w celu zapewnienia przestrzegania przepisów ww. aktów normatywnych.

3. Administrator może powierzyć inspektorowi ochrony danych realizację oceny skutków dla ochrony danych – w trybie art. 38b ust. 1 UODO.

4. Ocena skutków dla ochrony danych dokonywana jest przez Administratora przy wsparciu IOD. IOD analizuje planowane operacje przetwarzania danych i doradza Administratorowi w zakresie niezbędnych środków bezpieczeństwa.

§ 17

Naruszenia ochrony danych osobowych

Zasady postępowania w przypadku naruszeń ochrony danych zostały odrębnie uregulowane w stosownym zarządzeniu Administratora i stanowią część Polityki.

§ 18

Zasady bezpieczeństwa przy przetwarzaniu danych osobowych

1. Zasady bezpieczeństwa przy przetwarzaniu danych osobowych określone zostały w załączniku Nr 2 do niniejszej Polityki (należy opisać zasady obowiązujące w jednostce; jeśli jest ich dużo, można je opisać w formie załącznika).

2. Każdy pracownik oraz inne osoby przetwarzające dane osobowe z upoważnienia Administratora zobowiązani są do ich stosowania i przestrzegania.

3. Zasady bezpieczeństwa obejmują m.in. szyfrowanie danych, kontrolę dostępu, szkolenia pracowników.

§ 19

Przeglądy i uaktualnienia Polityki

1. Polityka podlega okresowemu przeglądowi pod kątem jej adekwatności, nie rzadziej niż raz na rok.

2. Przeglądu Polityki dokonuje IOD. Z czynności tych IOD sporządza pisemną informację dla Administratora o braku konieczności dokonywania zmian lub z zaleceniami dla Administratora o konieczności ich dokonania, wskazując zakres/kierunek proponowanych zmian.

3. Przegląd powinien obejmować w szczególności ocenę adekwatności Polityki do: 1) procesów funkcjonujących w strukturach Administratora, 2) obowiązujących przepisów prawa odnoszących się do ochrony danych osobowych, którym podlega Administrator.

4. W każdym przypadku, gdy zmianie ulegają przepisy prawa będące źródłem wskazanych w Polityce obowiązków, oraz gdy zaistnieją istotne zmiany organizacyjne w ramach struktury Administratora, przegląd Polityki wykonywany jest niezwłocznie.

§ 20

Pozostałe informacje dotyczące systemu ochrony

(Wdrożono procedury zarządzania systemem informatycznym, instrukcję dotyczącą postępowania w sytuacji naruszenia ochrony danych, zasady nadawania upoważnień itp.)