Polityka bezpieczeństwa danych osobowych

  1. Cel dokumentu
    Celem Polityki jest ustanowienie zasad i reguł postępowania zabezpieczających przetwarzanie danych osobowych w Spółce. Polityka reguluje sposób upoważniania, postępowania z danymi w formie tradycyjnej oraz nadzoru i prowadzonej w związku z tymi działaniami dokumentacją.
     
  2. Zasady przetwarzania danych osobowych
    1. Administratorem przetwarzanych danych osobowych jest WFS Polska Sp. z o.o.
    2. Obowiązki w zakresie bezpieczeństwa informacji zostały opisane w Polityce Bezpieczeństwa Informacji.
    3. Dostęp do danych osobowych oraz możliwość ich przetwarzania mają tylko osoby posiadające upoważnienie do przetwarzania danych osobowych.
    4. Administrator zobowiązany jest nadać upoważnienie do przetwarzania danych każdej osobie, która zostaje dopuszczona do przetwarzania danych.
    5. Przygotowane upoważnienie zatwierdza Prezes Zarządu.
    6. Wzór upoważnienia do przetwarzania danych stanowi załącznik nr 1 do niniejszej polityki bezpieczeństwa danych osobowych. 
    7. Nadawanie uprawnień do systemów informatycznych opisuje Instrukcja zarządzania systemem informatycznym. 
    8. Po nadaniu upoważnienia nowa osoba zostaje wpisana do ewidencji osób upoważnionych, zgodnie ze wzorem w załączniku nr 5 oraz zgodnie z informacjami przekazanymi od osoby przygotowującej upoważnienie oraz ASI. 
    9. W przypadku zmian w zakresie zatrudnienia i związanymi z tym zmianami w  zakresie upoważnienia, wymagane jest wydanie nowego upoważnienia, anulując obecne.
    10. W przypadku zakończenia zatrudnienia nadane upoważnienie wygasa automatycznie.
    11. Dane osobowe mogą zostać udostępnione podmiotom zewnętrznym jedynie na podstawie przepisów prawa. 
    12. Każda sytuacja przekazania danych osobowych do przetwarzania w zakresie realizowanym przez Spółkę odbywa się na podstawie zawartej umowy powierzenia danych osobowych. 
    13. Naruszenia bezpieczeństwa danych osobowych muszą być zgłaszane niezwłocznie po ich stwierdzeniu lub podejrzeniu ich wystąpienia bezpośrednio do Zarządu, zgodnie z Procedurą zarządzania incydentami. 
    14. Przetwarzanie danych osobowych podlega bieżącemu monitorowaniu przez Zarząd.
    15. Zbędne dokumenty, tj. zawierające błędne dane lub dokumenty, których ważność ustała, nie powinny być gromadzone. Nieużyteczne dokumenty podlegają niezwłocznemu niszczeniu. 
    16. Podczas przetwarzania danych należy zachować szczególna ostrożność oraz podjąć wszelkie możliwe środki umożliwiające zabezpieczenie i ochronę danych przed nieuprawnionym dostępem, modyfikacją, zniszczeniem lub ujawnieniem. 
    17. Wszelkie dokumenty zawierające dane osobowe powinna zostać zabezpieczona w szafach, szufladach, pomieszczeniach zamykanych na klucz lub archiwach. 
    18. Osoba będąca dysponentem kluczy nie może ich przekazywać do budynków i pomieszczeń, w których przetwarzane są dane osobom nieuprawnionym, a ponadto zobowiązana jest przedsięwziąć działania celem wykluczenia ryzyka ich utraty. 
    19. Nadzór nad zgodnością przetwarzania danych osobowych względem przyjętych zasad bezpieczeństwa realizuje każdy współpracownik.
  3. Obowiązek informacyjny
    1. Osobami odpowiedzialnymi za spełnianie obowiązku informacyjnego względem osób, których dane przetwarzają, są w szczególności Dyrektorzy Regionalni. 
    2. Obowiązek informacyjny z artykułu 13 RODO, należy spełnić w momencie pozyskiwania danych od osoby, której one dotyczą. 
    3. Zakres przekazywanych informacji obejmuje:
      1. pełną nazwę i dane kontaktowe administratora danych;
      2. dane kontaktowe inspektora ochrony danych, pod warunkiem że został on wyznaczony;
      3. cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
      4. wskazanie prawnie uzasadnionych interesów, jeśli są podstawą przetwarzania;
      5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców;
      6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
      7. okres, przez który dane osobowe będą przechowywane lub kryteria ustalania tego okresu;
      8. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
      9. jeżeli przetwarzanie odbywa się na podstawie wyrażonej zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem; 
      10. informacje o prawie wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych;
      11. informację czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
      12. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
    4. W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, zgodnie z artykułem 14 RODO należy jej przekazać:
      1. pełną nazwę i dane kontaktowe administratora danych;
      2. dane kontaktowe inspektora ochrony danych, jeśli został wyznaczony;
      3. cele przetwarzania oraz podstawę prawną przetwarzania;
      4. kategorie odnośnych danych osobowych;
      5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców;
      6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej; 
      7. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu; 
      8. prawnie uzasadnione interesy, jeśli są podstawą przetwarzania; 
      9. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych; 
      10. jeżeli przetwarzanie odbywa się na podstawie wyrażonej zgody, to informacje o prawie do jej cofnięcia w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
      11. informacje o prawie wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych; 
      12. źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych; 
      13. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. 
    5. Informacje, o których mowa w punkcie 3.4 (przy pozyskiwaniu danych z innego źródła) podaje się:
      1. w rozsądnym terminie po pozyskaniu danych osobowych – do 30 dni, lub
      2. najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą, lub
      3. jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu. 
    6. Spełnianie obowiązku informacyjnego odbywa się poprzez:
      1. umieszczanie na wzorach dokumentów (wniosków, kwestionariuszy, umów, itp.) klauzul informacyjnych;
      2. umieszczenie klauzul w ogólnodostępnym miejscu, gdzie przyjmowani są interesariusze;
      3. umieszczenie klauzul na stronie internetowej;
      4. przesyłanie klauzul w formie wiadomości elektronicznych lub tradycyjnych, w odpowiedzi na kontakt osoby; 
      5. przekazywanie słowne treści klauzul, jeśli nie jest możliwe zapoznanie osoby przez powyższe sposoby.
         
  4. Postępowanie z danymi nadmiarowymi i anonimizacja danych
    1. Względem celu w jakim przetwarzane są dane osobowe określony został maksymalny zakres danych niezbędny do jego realizacji. 
    2. Niezależnie od podstaw prawnych dla realizowanych celów osoby mogą kierować do Spółki pisma zawierające dane nadmiarowe względem tych celów. 
    3. Dopuszcza się niezwłoczne zastosowanie anonimizacji lub usunięcia przekazanych dokumentów z zasobów Spółki. 
    4. Powyższe dokonuje się poprzez:
      1. zamazanie danych nadmiarowych na dokumencie zawierającym również dane niezbędne do realizacji celu, przy czym zamazanie musi zapewniać brak możliwości odtworzenia danych; 
      2. usunięcie danych poprzez zniszczenie w niszczarce dokumentu lub usunięcie plików z komputera lub poczty elektronicznej, w tym również z „kosza”; 
      3. odesłanie nadmiarowych danych – jeśli są one w formie oryginału.
    5. W przypadku stwierdzenia powtarzających się sytuacji przekazywania nadmiarowych danych w konkretnych celach, Dyrektor Regionalny lub osoba pełniąca obowiązki przełożonego wraz z Zarządem podejmuje wybrane działania:
      1. opracowuje formularze ograniczające podawanie nadmiarowych danych; 
      2. wskazuje w formie komunikatu na jasne warunki podejmowania decyzji w ramach realizacji celu, tak aby bezpośrednio z nich wynikał brak zasadności podawania dodatkowych danych; 
      3. zwraca się do osób z prośbą o nieprzekazywanie danych nadmiarowych
         
  5. Realizacja praw osób, których dane dotyczą
    1. Osobom, których dane są przetwarzane przysługują prawa wynikające z rozdziału III RODO. Są to prawa do żądania od Spółki dostępu do swoich danych osobowych oraz informacji o ich przetwarzaniu, prawa do ich sprostowania, usunięcia, przeniesienia, ograniczenia przetwarzania lub prawa do wniesienia sprzeciwu wobec przetwarzania.
    2. Każda osoba, która wystąpi z wnioskiem o skorzystanie z przysługującego jej prawa należy zrealizować w oparciu o „Procedurę realizacji praw osób, których dane dotyczą”. 
    3. W przypadku wątpliwości co do zakresu udzielanych informacji lub ich zasadności, wniosek należy skonsultować z Zarządem Spółki.
       
  6. Zasady udostępniania danych osobowych
    1. Spółka udostępnia przetwarzane dane osobowe tylko osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.
    2. Dane osobowe udostępnia się na pisemny, umotywowany wniosek, chyba że odrębne przepisy prawa stanowią inaczej. 
    3. Wniosek powinien zawierać informacje, umożliwiające wyszukanie żądanych danych osobowych, wskazywać ich zakres i przeznaczenie oraz podstawę prawną.
    4. Wniosek jest rozpatrywany przez właściwego Dyrektora Regionalnego oraz w razie wątpliwości konsultowany z Zarządem. 
    5. W sytuacjach spornych, decyzję w sprawie udostępnienia podejmuje Zarząd.
    6. Zarząd może odmówić udostępnienia danych osobowych, jeżeli spowodowałoby to istotne naruszenie dóbr osobistych osób, których dane dotyczą, innych osób lub byłoby niezgodne z przepisami prawa.
       
  7. Zasady powierzenia danych osobowych 
    1. Spółka może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej lub na podstawie przepisów prawa, które to powierzenie regulują. 
    2. Umowa powierzenia jest wymagana w każdym przypadku, kiedy występuje przekazanie danych osobowych lub ich gromadzenie przez podmiot zewnętrzny. 
    3. W przypadkach, kiedy pracownik pomiotu zewnętrznego uzyskuje dostęp do danych osobowych, jednak przetwarzanie odbywa się w obszarze Spółki, możliwe jest wydanie upoważnienia.
    4. Zawarta z podmiotem zewnętrznym umowa powierzenia, w związku z RODO czyni ten podmiot Podmiotem Przetwarzającym (PP). Umowa, musi zawierać poniższe elementy:
      1. cel przetwarzania, z zastrzeżeniem zakazu wykorzystania danych w innym celu; 
      2. zakres, kategorie oraz charakter powierzanych danych; 
      3. odpowiedzialność stron, w tym za przestrzeganie postanowień umownych oraz przestrzeganie obowiązujących przepisów prawa – zwłaszcza w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych zabezpieczających dane osobowe;
      4. konieczność upoważnienia przez PP, osób przetwarzających dane w jego imieniu oraz zobowiązanie ich do zachowania poufności;
      5. zakaz korzystania z podwykonawców bez pisemnej zgody lub aneksu do umowy; 
      6. konieczność uczestniczenia PP w wypełnianiu obowiązków ciążących na Spółce jako administratorze danych, w tym realizacji praw osób, których dane dotyczą oraz przekazywania informacji o sposobach przetwarzania oraz informacji potrzebnych do szacowania ryzyka i oceny skutków naruszeń; 
      7. zgłaszanie wszelkich incydentów lub podejrzeń incydentów, z zapewnieniem wszystkich niezbędnych informacji do poprawnej realizacji zgłaszania incydentów zgodnie z przepisami prawa;
      8. sposób potwierdzania przestrzegania przepisów prawa i zasad bezpieczeństwa, w tym umożliwienie monitorowania, audytowania PP; 
      9. konieczność usunięcia lub zwrócenia powierzonych danych osobowych w przypadku wygaśnięcia umowy lub jej rozwiązania. 
    5. Wzór umowy powierzenia danych osobowych stanowi Załącznik nr 4.
    6. Każdy Podmiot Przetwarzający oraz ewentualni podwykonawcy zostają wpisani do rejestru podmiotów przetwarzających, zgodnie z Załącznikiem nr 3.
       
  8. Ewidencjonowanie procesów przetwarzania danych osobowych
    1. Osoby odpowiedzialne za procesy przetwarzania danych osobowych są zobowiązani do zgłoszenia do Zarządu:
      1. planowanego utworzenia nowych procesów danych osobowych lub usunięcia istniejących; 
      2. wnoszenia zmian w procesach już istniejących, np. rozszerzenia lub zmniejszenia zakresu procesów, co może wynikać z przepisów prawa; 
      3. planowanych zmian w zakresie procesów przetwarzania danych, w tym utworzenia nowych lub zakończenia istniejących.
    2. Na podstawie powyższych informacji wyznaczona przez Zarząd osoba, dokonuje aktualizacji prowadzonego Rejestru Czynności Przetwarzania lub opiniuje planowane zmiany pod kątem wdrożenia dodatkowych zabezpieczeń. 
    3. Rejestr jest prowadzony w formie elektronicznej zgodnie ze wzorem z załącznika nr 6 do Polityki bezpieczeństwa danych osobowych.
       
  9. Wydruki dokumentów zawierających dane osobowe
    1. Podczas korzystania z urządzeń wielofunkcyjnych należy zachować szczególną ostrożność. 
      Kopiowane dokumenty bądź skanowane wyjmowane są z urządzenia wielofunkcyjnego niezwłocznie po jego użyciu. Dotyczy to również dokumentacji powstałej na skutek kopiowania bądź skanowania. 
    2. Drukarki nie mogą być pozostawione bez kontroli, jeśli są lub wkrótce będą drukowane na nich dane osobowe z  systemu informatycznego, o ile dostęp osób postronnych do pomieszczeń drukarek nie jest odpowiednio ograniczony. 
    3. Wydruki z systemu informatycznego zawierające dane osobowe po zakończeniu pracy powinny być przechowywane w zamkniętych szafach, jeśli jest to możliwe. 
    4. Wydruki, notatki, kserokopie dokumentów itp. niewykorzystane, a zawierające dane osobowe, muszą być bezwzględnie niszczone w sposób uniemożliwiający odtworzenie ich treści.
       
  10. Sankcje

​​Nieprzestrzeganie zasad bezpieczeństwa opisanych w dokumentacji SZBI oraz przepisów prawa określających ochronę danych osobowych stanowi naruszenie obowiązków pracowniczych i może być przyczyną postępowania dyscyplinarnego lub wiązać się z konsekwencjami określonymi przepisami Ustawy lub RODO.