1. Cel dokumentu
Celem Polityki jest ustanowienie zasad i reguł postępowania zabezpieczających przetwarzanie
danych osobowych w Spółce. Polityka reguluje sposób upoważniania, postępowania z danymi w formie
tradycyjnej oraz nadzoru i prowadzonej w związku z tymi działaniami dokumentacją.
2. Zasady przetwarzania danych osobowych
2.1. Administratorem przetwarzanych danych osobowych jest WFS Polska Sp. z o.o.
2.2. Obowiązki w zakresie bezpieczeństwa informacji zostały opisane w Polityce Bezpieczeństwa
Informacji.
2.3. Dostęp do danych osobowych oraz możliwość ich przetwarzania mają tylko osoby
posiadające upoważnienie do przetwarzania danych osobowych.
2.4. Administrator zobowiązany jest nadać upoważnienie do przetwarzania danych każdej
osobie, która zostaje dopuszczona do przetwarzania danych.
2.5. Przygotowane upoważnienie zatwierdza Prezes Zarządu.
2.6. Wzór upoważnienia do przetwarzania danych stanowi załącznik nr 1 do niniejszej polityki
bezpieczeństwa danych osobowych.
2.7. Nadawanie uprawnień do systemów informatycznych opisuje Instrukcja zarządzania
systemem informatycznym.
2.8. Po nadaniu upoważnienia nowa osoba zostaje wpisana do ewidencji osób upoważnionych,
zgodnie ze wzorem w załączniku nr 5 oraz zgodnie z informacjami przekazanymi od osoby
przygotowującej upoważnienie oraz ASI.
2.9. W przypadku zmian w zakresie zatrudnienia i związanymi z tym zmianami w zakresie
upoważnienia, wymagane jest wydanie nowego upoważnienia, anulując obecne.
2.10. W przypadku zakończenia zatrudnienia nadane upoważnienie wygasa automatycznie.
2.11. Dane osobowe mogą zostać udostępnione podmiotom zewnętrznym jedynie na podstawie
przepisów prawa.
2.12. Każda sytuacja przekazania danych osobowych do przetwarzania w zakresie realizowanym
przez Spółkę odbywa się na podstawie zawartej umowy powierzenia danych osobowych.
2.13. Naruszenia bezpieczeństwa danych osobowych muszą być zgłaszane niezwłocznie po ich
stwierdzeniu lub podejrzeniu ich wystąpienia bezpośrednio do Zarządu, zgodnie z Procedurą
zarządzania incydentami.
2.14. Przetwarzanie danych osobowych podlega bieżącemu monitorowaniu przez Zarząd.
2.15. Zbędne dokumenty, tj. zawierające błędne dane lub dokumenty, których ważność ustała, nie
powinny być gromadzone. Nieużyteczne dokumenty podlegają niezwłocznemu niszczeniu.
2.16. Podczas przetwarzania danych należy zachować szczególna ostrożność oraz podjąć wszelkie
możliwe środki umożliwiające zabezpieczenie i ochronę danych przed nieuprawnionym
dostępem, modyfikacją, zniszczeniem lub ujawnieniem.
2.17. Wszelkie dokumenty zawierające dane osobowe powinna zostać zabezpieczona w szafach,
szufladach, pomieszczeniach zamykanych na klucz lub archiwach.
2.18. Osoba będąca dysponentem kluczy nie może ich przekazywać do budynków i pomieszczeń,
w których przetwarzane są dane osobom nieuprawnionym, a ponadto zobowiązana jest
przedsięwziąć działania celem wykluczenia ryzyka ich utraty.
2.19. Nadzór nad zgodnością przetwarzania danych osobowych względem przyjętych zasad
bezpieczeństwa realizuje każdy współpracownik.
3. Obowiązek informacyjny
3.1. Osobami odpowiedzialnymi za spełnianie obowiązku informacyjnego względem osób,
których dane przetwarzają, są w szczególności Dyrektorzy Regionalni.
3.2. Obowiązek informacyjny z artykułu 13 RODO, należy spełnić w momencie pozyskiwania
danych od osoby, której one dotyczą.
3.3. Zakres przekazywanych informacji obejmuje:
a) pełną nazwę i dane kontaktowe administratora danych;
b) dane kontaktowe inspektora ochrony danych, pod warunkiem że został on wyznaczony;
c) cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
d) wskazanie prawnie uzasadnionych interesów, jeśli są podstawą przetwarzania;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do
państwa trzeciego lub organizacji międzynarodowej;
g) okres, przez który dane osobowe będą przechowywane lub kryteria ustalania tego
okresu;
h) informacje o prawie do żądania od administratora dostępu do danych osobowych
dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia
przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o
prawie do przenoszenia danych;
i) jeżeli przetwarzanie odbywa się na podstawie wyrażonej zgody – informacje o prawie do
cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem
przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
j) informacje o prawie wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych;
k) informację czy podanie danych osobowych jest wymogiem ustawowym lub umownym
lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana
do ich podania i jakie są ewentualne konsekwencje niepodania danych;
l) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz
istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych
konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
3.4. W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, zgodnie
z artykułem 14 RODO należy jej przekazać:
a) pełną nazwę i dane kontaktowe administratora danych;
b) dane kontaktowe inspektora ochrony danych, jeśli został wyznaczony;
c) cele przetwarzania oraz podstawę prawną przetwarzania;
d) kategorie odnośnych danych osobowych;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych
odbiorcy w państwie trzecim lub organizacji międzynarodowej;
g) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe,
kryteria ustalania tego okresu;
h) prawnie uzasadnione interesy, jeśli są podstawą przetwarzania;
i) informacje o prawie do żądania od administratora dostępu do danych osobowych
dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia
przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o
prawie do przenoszenia danych;
j) jeżeli przetwarzanie odbywa się na podstawie wyrażonej zgody, to informacje o prawie
do jej cofnięcia w dowolnym momencie bez wpływu na zgodność z prawem
przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
k) informacje o prawie wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych;
l) źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one
ze źródeł publicznie dostępnych;
m) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz
istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych
konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
3.5. Informacje, o których mowa w punkcie 3.4 (przy pozyskiwaniu danych z innego źródła)
podaje się:
a) w rozsądnym terminie po pozyskaniu danych osobowych – do 30 dni, lub
b) najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą, lub
c) jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich
pierwszym ujawnieniu.
3.6. Spełnianie obowiązku informacyjnego odbywa się poprzez:
a) umieszczanie na wzorach dokumentów (wniosków, kwestionariuszy, umów, itp.) klauzul
informacyjnych;
b) umieszczenie klauzul w ogólnodostępnym miejscu, gdzie przyjmowani są interesariusze;
c) umieszczenie klauzul na stronie internetowej;
d) przesyłanie klauzul w formie wiadomości elektronicznych lub tradycyjnych,
w odpowiedzi na kontakt osoby;
e) przekazywanie słowne treści klauzul, jeśli nie jest możliwe zapoznanie osoby przez
powyższe sposoby.
4. Postępowanie z danymi nadmiarowymi i anonimizacja danych
4.1. Względem celu w jakim przetwarzane są dane osobowe określony został maksymalny zakres
danych niezbędny do jego realizacji.
4.2. Niezależnie od podstaw prawnych dla realizowanych celów osoby mogą kierować do Spółki
pisma zawierające dane nadmiarowe względem tych celów.
4.3. Dopuszcza się niezwłoczne zastosowanie anonimizacji lub usunięcia przekazanych
dokumentów z zasobów Spółki.
4.4. Powyższe dokonuje się poprzez:
a) zamazanie danych nadmiarowych na dokumencie zawierającym również dane niezbędne
do realizacji celu, przy czym zamazanie musi zapewniać brak możliwości odtworzenia
danych;
b) usunięcie danych poprzez zniszczenie w niszczarce dokumentu lub usunięcie plików
z komputera lub poczty elektronicznej, w tym również z „kosza”;
c) odesłanie nadmiarowych danych – jeśli są one w formie oryginału.
4.5. W przypadku stwierdzenia powtarzających się sytuacji przekazywania nadmiarowych
danych w konkretnych celach, Dyrektor Regionalny lub osoba pełniąca obowiązki
przełożonego wraz z Zarządem podejmuje wybrane działania:
a) opracowuje formularze ograniczające podawanie nadmiarowych danych;
b) wskazuje w formie komunikatu na jasne warunki podejmowania decyzji w ramach
realizacji celu, tak aby bezpośrednio z nich wynikał brak zasadności podawania
dodatkowych danych;
c) zwraca się do osób z prośbą o nieprzekazywanie danych nadmiarowych
5. Realizacja praw osób, których dane dotyczą
5.1. Osobom, których dane są przetwarzane przysługują prawa wynikające z rozdziału III RODO.
Są to prawa do żądania od Spółki dostępu do swoich danych osobowych oraz informacji o
ich przetwarzaniu, prawa do ich sprostowania, usunięcia, przeniesienia, ograniczenia
przetwarzania lub prawa do wniesienia sprzeciwu wobec przetwarzania.
5.2. Każda osoba, która wystąpi z wnioskiem o skorzystanie z przysługującego jej prawa należy
zrealizować w oparciu o „Procedurę realizacji praw osób, których dane dotyczą”.
5.3. W przypadku wątpliwości co do zakresu udzielanych informacji lub ich zasadności, wniosek
należy skonsultować z Zarządem Spółki.
6. Zasady udostępniania danych osobowych
6.1. Spółka udostępnia przetwarzane dane osobowe tylko osobom lub podmiotom uprawnionym
do ich otrzymania na mocy przepisów prawa.
6.2. Dane osobowe udostępnia się na pisemny, umotywowany wniosek, chyba że odrębne
przepisy prawa stanowią inaczej.
6.3. Wniosek powinien zawierać informacje, umożliwiające wyszukanie żądanych danych
osobowych, wskazywać ich zakres i przeznaczenie oraz podstawę prawną.
6.4. Wniosek jest rozpatrywany przez właściwego Dyrektora Regionalnego oraz w razie
wątpliwości konsultowany z Zarządem.
6.5. W sytuacjach spornych, decyzję w sprawie udostępnienia podejmuje Zarząd.
6.6. Zarząd może odmówić udostępnienia danych osobowych, jeżeli spowodowałoby to istotne
naruszenie dóbr osobistych osób, których dane dotyczą, innych osób lub byłoby niezgodne
z przepisami prawa.
7. Zasady powierzenia danych osobowych
7.1. Spółka może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w
drodze umowy zawartej w formie pisemnej lub na podstawie przepisów prawa, które to
powierzenie regulują.
7.2. Umowa powierzenia jest wymagana w każdym przypadku, kiedy występuje przekazanie
danych osobowych lub ich gromadzenie przez podmiot zewnętrzny.
7.3. W przypadkach, kiedy pracownik pomiotu zewnętrznego uzyskuje dostęp do danych
osobowych, jednak przetwarzanie odbywa się w obszarze Spółki, możliwe jest wydanie
upoważnienia.
7.4. Zawarta z podmiotem zewnętrznym umowa powierzenia, w związku z RODO czyni ten
podmiot Podmiotem Przetwarzającym (PP). Umowa, musi zawierać poniższe elementy:
a) cel przetwarzania, z zastrzeżeniem zakazu wykorzystania danych w innym celu;
b) zakres, kategorie oraz charakter powierzanych danych;
c) odpowiedzialność stron, w tym za przestrzeganie postanowień umownych oraz
przestrzeganie obowiązujących przepisów prawa – zwłaszcza w zakresie wdrożenia
odpowiednich środków technicznych i organizacyjnych zabezpieczających dane
osobowe;
d) konieczność upoważnienia przez PP, osób przetwarzających dane w jego imieniu oraz
zobowiązanie ich do zachowania poufności;
e) zakaz korzystania z podwykonawców bez pisemnej zgody lub aneksu do umowy;
f) konieczność uczestniczenia PP w wypełnianiu obowiązków ciążących na Spółce jako
administratorze danych, w tym realizacji praw osób, których dane dotyczą oraz
przekazywania informacji o sposobach przetwarzania oraz informacji potrzebnych do
szacowania ryzyka i oceny skutków naruszeń;
g) zgłaszanie wszelkich incydentów lub podejrzeń incydentów, z zapewnieniem wszystkich
niezbędnych informacji do poprawnej realizacji zgłaszania incydentów zgodnie
z przepisami prawa;
h) sposób potwierdzania przestrzegania przepisów prawa i zasad bezpieczeństwa, w tym
umożliwienie monitorowania, audytowania PP;
i) konieczność usunięcia lub zwrócenia powierzonych danych osobowych w przypadku
wygaśnięcia umowy lub jej rozwiązania.
7.5. Wzór umowy powierzenia danych osobowych stanowi Załącznik nr 4.
7.6. Każdy Podmiot Przetwarzający oraz ewentualni podwykonawcy zostają wpisani do rejestru
podmiotów przetwarzających, zgodnie z Załącznikiem nr 3.
8. Ewidencjonowanie procesów przetwarzania danych osobowych
8.1. Osoby odpowiedzialne za procesy przetwarzania danych osobowych są zobowiązani do
zgłoszenia do Zarządu:
a) planowanego utworzenia nowych procesów danych osobowych lub usunięcia
istniejących;
b) wnoszenia zmian w procesach już istniejących, np. rozszerzenia lub zmniejszenia zakresu
procesów, co może wynikać z przepisów prawa;
c) planowanych zmian w zakresie procesów przetwarzania danych, w tym utworzenia
nowych lub zakończenia istniejących.
8.2. Na podstawie powyższych informacji wyznaczona przez Zarząd osoba, dokonuje aktualizacji
prowadzonego Rejestru Czynności Przetwarzania lub opiniuje planowane zmiany pod kątem
wdrożenia dodatkowych zabezpieczeń.
8.3. Rejestr jest prowadzony w formie elektronicznej zgodnie ze wzorem z załącznika nr 6 do
Polityki bezpieczeństwa danych osobowych.
9. Wydruki dokumentów zawierających dane osobowe
9.1. Podczas korzystania z urządzeń wielofunkcyjnych należy zachować szczególną ostrożność.
Kopiowane dokumenty bądź skanowane wyjmowane są z urządzenia wielofunkcyjnego
niezwłocznie po jego użyciu. Dotyczy to również dokumentacji powstałej na skutek
kopiowania bądź skanowania.
9.2. Drukarki nie mogą być pozostawione bez kontroli, jeśli są lub wkrótce będą drukowane na
nich dane osobowe z systemu informatycznego, o ile dostęp osób postronnych do
pomieszczeń drukarek nie jest odpowiednio ograniczony.
9.3. Wydruki z systemu informatycznego zawierające dane osobowe po zakończeniu pracy
powinny być przechowywane w zamkniętych szafach, jeśli jest to możliwe.
9.4. Wydruki, notatki, kserokopie dokumentów itp. niewykorzystane, a zawierające dane
osobowe, muszą być bezwzględnie niszczone w sposób uniemożliwiający odtworzenie ich
treści.
10.Sankcje
10.1. Nieprzestrzeganie zasad bezpieczeństwa opisanych w dokumentacji SZBI oraz przepisów
prawa określających ochronę danych osobowych stanowi naruszenie obowiązków
pracowniczych i może być przyczyną postępowania dyscyplinarnego lub wiązać się
z konsekwencjami określonymi przepisami Ustawy lub RODO.