-
Cel dokumentu
Celem Polityki jest ustanowienie zasad i reguł postępowania zabezpieczających przetwarzanie danych osobowych w Spółce. Polityka reguluje sposób upoważniania, postępowania z danymi w formie tradycyjnej oraz nadzoru i prowadzonej w związku z tymi działaniami dokumentacją.
-
Zasady przetwarzania danych osobowych
-
Administratorem przetwarzanych danych osobowych jest WFS Polska Sp. z o.o.
- Obowiązki w zakresie bezpieczeństwa informacji zostały opisane w Polityce Bezpieczeństwa Informacji.
-
Dostęp do danych osobowych oraz możliwość ich przetwarzania mają tylko osoby posiadające upoważnienie do przetwarzania danych osobowych.
-
Administrator zobowiązany jest nadać upoważnienie do przetwarzania danych każdej osobie, która zostaje dopuszczona do przetwarzania danych.
-
Przygotowane upoważnienie zatwierdza Prezes Zarządu.
- Wzór upoważnienia do przetwarzania danych stanowi załącznik nr 1 do niniejszej polityki bezpieczeństwa danych osobowych.
-
Nadawanie uprawnień do systemów informatycznych opisuje Instrukcja zarządzania systemem informatycznym.
-
Po nadaniu upoważnienia nowa osoba zostaje wpisana do ewidencji osób upoważnionych, zgodnie ze wzorem w załączniku nr 5 oraz zgodnie z informacjami przekazanymi od osoby przygotowującej upoważnienie oraz ASI.
- W przypadku zmian w zakresie zatrudnienia i związanymi z tym zmianami w zakresie upoważnienia, wymagane jest wydanie nowego upoważnienia, anulując obecne.
-
W przypadku zakończenia zatrudnienia nadane upoważnienie wygasa automatycznie.
- Dane osobowe mogą zostać udostępnione podmiotom zewnętrznym jedynie na podstawie przepisów prawa.
- Każda sytuacja przekazania danych osobowych do przetwarzania w zakresie realizowanym przez Spółkę odbywa się na podstawie zawartej umowy powierzenia danych osobowych.
- Naruszenia bezpieczeństwa danych osobowych muszą być zgłaszane niezwłocznie po ich stwierdzeniu lub podejrzeniu ich wystąpienia bezpośrednio do Zarządu, zgodnie z Procedurą zarządzania incydentami.
- Przetwarzanie danych osobowych podlega bieżącemu monitorowaniu przez Zarząd.
- Zbędne dokumenty, tj. zawierające błędne dane lub dokumenty, których ważność ustała, nie powinny być gromadzone. Nieużyteczne dokumenty podlegają niezwłocznemu niszczeniu.
- Podczas przetwarzania danych należy zachować szczególna ostrożność oraz podjąć wszelkie możliwe środki umożliwiające zabezpieczenie i ochronę danych przed nieuprawnionym dostępem, modyfikacją, zniszczeniem lub ujawnieniem.
- Wszelkie dokumenty zawierające dane osobowe powinna zostać zabezpieczona w szafach, szufladach, pomieszczeniach zamykanych na klucz lub archiwach.
- Osoba będąca dysponentem kluczy nie może ich przekazywać do budynków i pomieszczeń, w których przetwarzane są dane osobom nieuprawnionym, a ponadto zobowiązana jest przedsięwziąć działania celem wykluczenia ryzyka ich utraty.
- Nadzór nad zgodnością przetwarzania danych osobowych względem przyjętych zasad bezpieczeństwa realizuje każdy współpracownik.
-
Obowiązek informacyjny
-
Osobami odpowiedzialnymi za spełnianie obowiązku informacyjnego względem osób, których dane przetwarzają, są w szczególności Dyrektorzy Regionalni.
- Obowiązek informacyjny z artykułu 13 RODO, należy spełnić w momencie pozyskiwania danych od osoby, której one dotyczą.
- Zakres przekazywanych informacji obejmuje:
- pełną nazwę i dane kontaktowe administratora danych;
- dane kontaktowe inspektora ochrony danych, pod warunkiem że został on wyznaczony;
- cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
- wskazanie prawnie uzasadnionych interesów, jeśli są podstawą przetwarzania;
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców;
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
- okres, przez który dane osobowe będą przechowywane lub kryteria ustalania tego okresu;
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- jeżeli przetwarzanie odbywa się na podstawie wyrażonej zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- informacje o prawie wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych;
- informację czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
- W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, zgodnie z artykułem 14 RODO należy jej przekazać:
- pełną nazwę i dane kontaktowe administratora danych;
- dane kontaktowe inspektora ochrony danych, jeśli został wyznaczony;
- cele przetwarzania oraz podstawę prawną przetwarzania;
- kategorie odnośnych danych osobowych;
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców;
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej;
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- prawnie uzasadnione interesy, jeśli są podstawą przetwarzania;
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- jeżeli przetwarzanie odbywa się na podstawie wyrażonej zgody, to informacje o prawie do jej cofnięcia w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- informacje o prawie wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych;
- źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
- Informacje, o których mowa w punkcie 3.4 (przy pozyskiwaniu danych z innego źródła) podaje się:
- w rozsądnym terminie po pozyskaniu danych osobowych – do 30 dni, lub
- najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą, lub
- jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
- Spełnianie obowiązku informacyjnego odbywa się poprzez:
- umieszczanie na wzorach dokumentów (wniosków, kwestionariuszy, umów, itp.) klauzul informacyjnych;
- umieszczenie klauzul w ogólnodostępnym miejscu, gdzie przyjmowani są interesariusze;
- umieszczenie klauzul na stronie internetowej;
- przesyłanie klauzul w formie wiadomości elektronicznych lub tradycyjnych, w odpowiedzi na kontakt osoby;
- przekazywanie słowne treści klauzul, jeśli nie jest możliwe zapoznanie osoby przez powyższe sposoby.
-
Postępowanie z danymi nadmiarowymi i anonimizacja danych
-
Względem celu w jakim przetwarzane są dane osobowe określony został maksymalny zakres danych niezbędny do jego realizacji.
- Niezależnie od podstaw prawnych dla realizowanych celów osoby mogą kierować do Spółki pisma zawierające dane nadmiarowe względem tych celów.
- Dopuszcza się niezwłoczne zastosowanie anonimizacji lub usunięcia przekazanych dokumentów z zasobów Spółki.
- Powyższe dokonuje się poprzez:
- zamazanie danych nadmiarowych na dokumencie zawierającym również dane niezbędne do realizacji celu, przy czym zamazanie musi zapewniać brak możliwości odtworzenia danych;
- usunięcie danych poprzez zniszczenie w niszczarce dokumentu lub usunięcie plików z komputera lub poczty elektronicznej, w tym również z „kosza”;
- odesłanie nadmiarowych danych – jeśli są one w formie oryginału.
- W przypadku stwierdzenia powtarzających się sytuacji przekazywania nadmiarowych danych w konkretnych celach, Dyrektor Regionalny lub osoba pełniąca obowiązki przełożonego wraz z Zarządem podejmuje wybrane działania:
- opracowuje formularze ograniczające podawanie nadmiarowych danych;
- wskazuje w formie komunikatu na jasne warunki podejmowania decyzji w ramach realizacji celu, tak aby bezpośrednio z nich wynikał brak zasadności podawania dodatkowych danych;
- zwraca się do osób z prośbą o nieprzekazywanie danych nadmiarowych
-
Realizacja praw osób, których dane dotyczą
-
Osobom, których dane są przetwarzane przysługują prawa wynikające z rozdziału III RODO. Są to prawa do żądania od Spółki dostępu do swoich danych osobowych oraz informacji o ich przetwarzaniu, prawa do ich sprostowania, usunięcia, przeniesienia, ograniczenia przetwarzania lub prawa do wniesienia sprzeciwu wobec przetwarzania.
- Każda osoba, która wystąpi z wnioskiem o skorzystanie z przysługującego jej prawa należy zrealizować w oparciu o „Procedurę realizacji praw osób, których dane dotyczą”.
- W przypadku wątpliwości co do zakresu udzielanych informacji lub ich zasadności, wniosek należy skonsultować z Zarządem Spółki.
-
Zasady udostępniania danych osobowych
-
Spółka udostępnia przetwarzane dane osobowe tylko osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.
- Dane osobowe udostępnia się na pisemny, umotywowany wniosek, chyba że odrębne przepisy prawa stanowią inaczej.
- Wniosek powinien zawierać informacje, umożliwiające wyszukanie żądanych danych osobowych, wskazywać ich zakres i przeznaczenie oraz podstawę prawną.
- Wniosek jest rozpatrywany przez właściwego Dyrektora Regionalnego oraz w razie wątpliwości konsultowany z Zarządem.
- W sytuacjach spornych, decyzję w sprawie udostępnienia podejmuje Zarząd.
- Zarząd może odmówić udostępnienia danych osobowych, jeżeli spowodowałoby to istotne naruszenie dóbr osobistych osób, których dane dotyczą, innych osób lub byłoby niezgodne z przepisami prawa.
-
Zasady powierzenia danych osobowych
-
Spółka może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej lub na podstawie przepisów prawa, które to powierzenie regulują.
- Umowa powierzenia jest wymagana w każdym przypadku, kiedy występuje przekazanie danych osobowych lub ich gromadzenie przez podmiot zewnętrzny.
- W przypadkach, kiedy pracownik pomiotu zewnętrznego uzyskuje dostęp do danych osobowych, jednak przetwarzanie odbywa się w obszarze Spółki, możliwe jest wydanie upoważnienia.
- Zawarta z podmiotem zewnętrznym umowa powierzenia, w związku z RODO czyni ten podmiot Podmiotem Przetwarzającym (PP). Umowa, musi zawierać poniższe elementy:
- cel przetwarzania, z zastrzeżeniem zakazu wykorzystania danych w innym celu;
- zakres, kategorie oraz charakter powierzanych danych;
- odpowiedzialność stron, w tym za przestrzeganie postanowień umownych oraz przestrzeganie obowiązujących przepisów prawa – zwłaszcza w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych zabezpieczających dane osobowe;
- konieczność upoważnienia przez PP, osób przetwarzających dane w jego imieniu oraz zobowiązanie ich do zachowania poufności;
- zakaz korzystania z podwykonawców bez pisemnej zgody lub aneksu do umowy;
- konieczność uczestniczenia PP w wypełnianiu obowiązków ciążących na Spółce jako administratorze danych, w tym realizacji praw osób, których dane dotyczą oraz przekazywania informacji o sposobach przetwarzania oraz informacji potrzebnych do szacowania ryzyka i oceny skutków naruszeń;
- zgłaszanie wszelkich incydentów lub podejrzeń incydentów, z zapewnieniem wszystkich niezbędnych informacji do poprawnej realizacji zgłaszania incydentów zgodnie z przepisami prawa;
- sposób potwierdzania przestrzegania przepisów prawa i zasad bezpieczeństwa, w tym umożliwienie monitorowania, audytowania PP;
- konieczność usunięcia lub zwrócenia powierzonych danych osobowych w przypadku wygaśnięcia umowy lub jej rozwiązania.
- Wzór umowy powierzenia danych osobowych stanowi Załącznik nr 4.
- Każdy Podmiot Przetwarzający oraz ewentualni podwykonawcy zostają wpisani do rejestru podmiotów przetwarzających, zgodnie z Załącznikiem nr 3.
-
Ewidencjonowanie procesów przetwarzania danych osobowych
-
Osoby odpowiedzialne za procesy przetwarzania danych osobowych są zobowiązani do zgłoszenia do Zarządu:
- planowanego utworzenia nowych procesów danych osobowych lub usunięcia istniejących;
- wnoszenia zmian w procesach już istniejących, np. rozszerzenia lub zmniejszenia zakresu procesów, co może wynikać z przepisów prawa;
- planowanych zmian w zakresie procesów przetwarzania danych, w tym utworzenia nowych lub zakończenia istniejących.
- Na podstawie powyższych informacji wyznaczona przez Zarząd osoba, dokonuje aktualizacji prowadzonego Rejestru Czynności Przetwarzania lub opiniuje planowane zmiany pod kątem wdrożenia dodatkowych zabezpieczeń.
- Rejestr jest prowadzony w formie elektronicznej zgodnie ze wzorem z załącznika nr 6 do Polityki bezpieczeństwa danych osobowych.
-
Wydruki dokumentów zawierających dane osobowe
-
Podczas korzystania z urządzeń wielofunkcyjnych należy zachować szczególną ostrożność.
Kopiowane dokumenty bądź skanowane wyjmowane są z urządzenia wielofunkcyjnego niezwłocznie po jego użyciu. Dotyczy to również dokumentacji powstałej na skutek kopiowania bądź skanowania.
- Drukarki nie mogą być pozostawione bez kontroli, jeśli są lub wkrótce będą drukowane na nich dane osobowe z systemu informatycznego, o ile dostęp osób postronnych do pomieszczeń drukarek nie jest odpowiednio ograniczony.
- Wydruki z systemu informatycznego zawierające dane osobowe po zakończeniu pracy powinny być przechowywane w zamkniętych szafach, jeśli jest to możliwe.
- Wydruki, notatki, kserokopie dokumentów itp. niewykorzystane, a zawierające dane osobowe, muszą być bezwzględnie niszczone w sposób uniemożliwiający odtworzenie ich treści.
- Sankcje
Nieprzestrzeganie zasad bezpieczeństwa opisanych w dokumentacji SZBI oraz przepisów prawa określających ochronę danych osobowych stanowi naruszenie obowiązków pracowniczych i może być przyczyną postępowania dyscyplinarnego lub wiązać się z konsekwencjami określonymi przepisami Ustawy lub RODO.