GDPR
ПОЛІТИКА БЕЗПЕКИ ОБРОБКИ
ОСОБИСТІ ДАНІ
IN
ЦІТОЛЕК СП. Z OO
від 31 січня 2024 року
Зміст:
- вступ
- Загальні правила
- визначення
- Принципи захисту персональних даних
- Спосіб обробки персональних даних
- Система захисту персональних даних
- Реєстр дій з обробки персональних даних
- Виконання зобов’язань перед особами, яких стосуються персональні дані
- Мінімізація даних
- Безпека персональних даних
- Порушення захисту персональних даних
- Доручення обробки персональних даних іншим особам
- Передача персональних даних до третьої країни
- Прикінцеві положення
- вступ
Цю Політику безпеки обробки даних (далі – «Політика») було розроблено для захисту персональних даних, які обробляє Citolek Sp. Z o. (надалі «Компанія»). Метою Політики є забезпечення обробки та захисту персональних даних у Компанії відповідно до положень законодавства шляхом впровадження відповідних технічних та організаційних заходів, спрямованих на ефективне впровадження принципів захисту даних і забезпечення необхідної безпеки для обробки.
Ця Політика повністю враховує зобов’язання, що випливають зі ст. 25 та ст. 32 Регламент (ЄС) 2016/679 Європейського Парламенту та Ради від 27.04.2016 про захист фізичних осіб щодо обробки персональних даних і про вільний рух таких даних, а також про скасування Директиви 95/ 46/EC (Загальний регламент захисту даних) (OJ EU L 119, с. 1), щоб переконатися, що персональні дані в Citolek Sp. z o. (надалі «Компанія»).
- Загальні правила
- Політика визначає принципи обробки та захисту персональних даних у Компанії з метою забезпечення відповідності обробки персональних даних вимогам GDPR та положенням обов’язкового польського законодавства щодо обробки персональних даних. Політика є набором і основою вимог, процедур і принципів захисту персональних даних, які реалізуються в Компанії.
- Політика включає:
- опис принципів захисту даних, які застосовуються в Компанії;
- набір процедур, інструкцій та детальних положень щодо обробки персональних даних в Компанії, щодо окремих сфер захисту персональних даних, що є додатками до Політики.
- Політика поширюється на всіх співробітників і партнерів Компанії.
- Відповідальність за дотримання та виконання положень Політики несуть:
- Компанії та її партнерів, які мають право керувати справами Компанії;
- організаційні підрозділи Компанії, де обробляються персональні дані;
- Співробітники компанії.
- Для ефективної реалізації Політики, враховуючи обсяг, контекст і цілі обробки, а також ризик порушення прав і свобод фізичних осіб з різною ймовірністю та серйозністю загрози, Компанія забезпечує:
- здійснення відповідних технічних та організаційних заходів для забезпечення відповідності обробки персональних даних вимогам законодавства та необхідної безпеки оброблених персональних даних;
- постійний моніторинг відповідності обробки персональних даних вимогам законодавства та проведення постійних переглядів та оновлень заходів, зазначених у пункті 1;
- контроль та нагляд за обробкою персональних даних;
- Контроль за дотриманням положень Політики здійснює генеральний партнер Компанії.
- Нагляд, зазначений у розд 6 спрямована, зокрема, на те, щоб діяльність, пов’язана з обробкою Персональних даних у Компанії, відповідала вимогам законодавства та положенням Політики;
- Компанія забезпечує відповідність поведінки своїх підрядників, зокрема Обробників, положенням Політики в належному обсязі в усіх ситуаціях, у яких персональні дані передаються цим організаціям для обробки, включаючи зберігання.
- Політика зберігається та надається в паперовій та електронній версіях в центральному офісі Компанії.
- Політика доступна:
- обов’язково всім особам, уповноваженим обробляти персональні дані в Компанії, з метою надання уповноваженим особам відповідних знань та інформації про принципи та вимоги щодо обробки персональних даних у Компанії;
- зацікавлені особи, зокрема фізичні особи, яких стосуються дані, – за їх бажанням.
- визначення
Кожного разу, коли в цій Політиці використовуються такі визначення або фрази, вони мають такі значення:
- «GDPR» – означає Регламент (ЄС) 2016/679 Європейського Парламенту та Ради від 27.04.2016 про захист фізичних осіб щодо обробки персональних даних і про вільний рух таких даних, а також про скасування Директиви 95/46/ЄС (Загальний регламент щодо захисту даних) (ОВ ЄС L 119, с. 1);
- «Політика» – означає цю Політику разом з усіма можливими Додатками;
- «Особисті дані» означає інформацію, що стосується ідентифікованої або ідентифікованої фізичної особи, таку як ім’я та прізвище, ідентифікаційний номер, дані про місцезнаходження, онлайн-ідентифікатор або один або більше факторів, специфічних для фізичних, фізіологічних, генетичних, психічних, економічних, культурних або соціальних особу фізичної особи, зазначеної у ст. 4 пункт 1 GDPR;
- «Уповноважена особа» — особа, уповноважена Компанією обробляти Персональні дані в певному обсязі;
- «обробка» – означає операцію або набір операцій, що виконуються з персональними даними або наборами персональних даних автоматизованими чи неавтоматизованими засобами, такими як збір, запис, упорядкування, структурування, зберігання, адаптація або модифікація, завантаження, перегляд, використання, розголошення шляхом надсилання, розповсюдження або будь-якого іншого типу обміну, зіставлення чи об’єднання, обмеження, видалення чи знищення, як зазначено у ст. 4 пункт 2 GDPR;
- «Набір даних» — означає будь-який організований набір Персональних даних, доступний відповідно до певних критеріїв;
- «Обробник» — фізична або юридична особа, державний орган, організація або інша організація, яка обробляє персональні дані від імені Компанії, наприклад, постачальник ІТ-послуг, зовнішня бухгалтерія;
- «Реєстр» – Реєстр діяльності Компанії з обробки персональних даних;
- «Автентифікація» – дія, спрямована на перевірку заявленої особи Користувача;
- «Компанія» означає Citolek sp
- «Працівники» – як особи, які працюють в Компанії на підставі трудових відносин, так і фізичні особи, які не провадять підприємницьку діяльність, співпрацюють з Компанією на підставі цивільно-правового договору;
- «Система» – означає систему захисту персональних даних в Компанії;
- «Конфіденційні дані» — персональні дані, зазначені у ст. 9 GDPR.
- Принципи захисту персональних даних
- Компанія гарантує, що в принципі оброблятимуться лише Персональні дані, необхідні для досягнення кожної конкретної мети обробки.
- Компанія базує процесинг на таких принципах:
- за необхідності, що означає, що Компанія гарантує, що в принципі оброблятимуться лише Персональні дані, необхідні для досягнення кожної конкретної мети обробки;
- законний принцип, який означає, що Компанія піклується про захист конфіденційності та обробляє Персональні дані відповідно до вимог законодавства;
- принцип безпеки, який означає, що Компанія забезпечує належний рівень безпеки Персональних даних, вживаючи постійних заходів щодо цього;
- принцип індивідуальних прав, який означає, що Компанія дозволяє особам, Персональні дані яких вона обробляє, реалізувати свої права;
- принцип підзвітності, який означає, що Компанія забезпечує належне документування того, як вона виконує свої зобов’язання щодо захисту персональних даних.
- Компанія забезпечує використання технічних та організаційних заходів, необхідних для забезпечення конфіденційності, цілісності, звітності та безперервності персональних даних, що обробляються.
- Компанія гарантує, що персональні дані, які вона обробляє, будуть:
- обробляються законно, справедливо та прозоро щодо суб’єкта даних;
- збираються для конкретних, явних і законних цілей і не обробляються в подальшому у спосіб, який є несумісним з цими цілями;
- адекватні, відповідні та обмежені тим, що необхідно стосовно цілей, для яких вони обробляються;
- правильні та оновлені, а також оновлені за необхідності;
- зберігаються у формі, яка дозволяє ідентифікувати суб’єкта даних не довше, ніж це необхідно для цілей, для яких дані обробляються;
- обробляються у спосіб, який забезпечує відповідну безпеку Персональних даних, включаючи захист від несанкціонованої або незаконної обробки та випадкової втрати, знищення або пошкодження, використовуючи відповідні технічні чи організаційні заходи.
- Компанія вживає всіх розумних заходів для того, щоб Персональні дані, які є неточними щодо цілей їх обробки, були негайно видалені або виправлені;
- Уповноважені особи та всі інші особи, яким надаються Персональні дані, що обробляються в Компанії, зобов’язані обробляти Персональні дані відповідно до вимог законодавства та відповідно до положень цієї Політики, а також інших внутрішніх правових актів Компанії або внутрішніх процедур. пов’язані з обробкою Персональних даних.
- Під час працевлаштування Співробітників і під час найму Компанія забезпечує:
- Перед виконанням своїх обов’язків працівники отримують відповідні знання про принципи обробки та захисту Персональних даних у Компанії;
- кожен Працівник має письмові повноваження на Обробку персональних даних у необхідному обсязі, відповідно до зразка, що становить Додаток № 2 до Політики (шаблон повноважень на обробку персональних даних);
- кожен Співробітник зобов’язаний підтримувати конфіденційність і цілісність Персональних даних, відповідно до шаблону, що становить Додаток № 3 до Політики (шаблон зобов’язання щодо конфіденційності).
- Працівники, зокрема, зобов’язані:
- суворе дотримання обсягу повноважень;
- дотримання вимог законодавства та положень Політики щодо обробки;
- збереження таємниці персональних даних;
- збереження таємниці щодо збереження конфіденційності та цілісності персональних даних;
- негайно повідомляти Компанію про будь-які інциденти, пов’язані з порушенням безпеки Персональних даних.
- Перед допуском до роботи кожен Працівник повинен пройти навчання щодо захисту персональних даних в електронних та паперових файлах.
- Обсяг навчання, зазначеного в пункті 9, має включати ознайомлення Працівника з положеннями GDPR, цією Політикою та Інструкціями з управління ІТ-системою, яка використовується для обробки персональних даних.
- Спосіб обробки персональних даних
- Компанія обробляє Персональні дані, зібрані у Файлах даних.
- Файли даних, які обробляються в Компанії, вказані в Додатку № 1 до Політики (Перелік Файлів даних в Компанії).
- Оновлення або розширення списку Файлів даних відбувається після аналізу наслідків і ризиків обробки Персональних даних для прав і свобод фізичних осіб, включених до файлу.
- Компанія не здійснює обробку даних, яка може спричинити значний ризик порушення прав і свобод осіб, яких стосуються Персональні дані. Якщо компанія планує здійснювати діяльність, зазначену в попередньому реченні, вона повинна провести попередню оцінку наслідків обробки, зазначених у ст. 35 GDPR.
- Персональні дані, як правило, обробляються на території, включаючи приміщення за адресою: UL POLNA 41, 06-200 MAKÓW MAZOWIECKI, надалі іменовані як: «Територія» .
- Додатковою зоною обробки Персональних даних є всі портативні комп’ютери та інші носії даних, розташовані за межами зони, зазначеної в попередньому реченні.
- Система захисту персональних даних
- Компанія забезпечує відповідність обробки персональних даних вимогам законодавства також шляхом розробки, впровадження та підтримки Системи захисту персональних даних.
- Система складається з організаційних і технічних заходів захисту, адекватних рівню ризику, виявленому для окремих наборів даних і категорій даних.
- Система, зокрема, складається з таких заходів:
- обмеження доступу до приміщень, де обробляються Персональні дані, лише для Уповноважених осіб і забезпечення того, щоб інші особи могли перебувати в кімнатах, які використовуються для обробки Персональних даних, лише в супроводі Уповноваженої особи;
- закриття приміщень, що складають Зону, на час відсутності Працівників у спосіб, що унеможливлює доступ до них сторонніх осіб;
- забезпечення захисту території від випадкових факторів, таких як пожежа або повінь;
- використання замкнених шаф, ящиків або інших технічних засобів, які перешкоджають доступу неавторизованих осіб до персональних даних, які там зберігаються;
- впровадження Політики «Чистого столу», яка є додатком № 4 до Політики;
- виконання Порядку відкриття та закриття будівель і службових приміщень, що є додатком № 5 до Порядку;
- забезпечення ефективного вилучення або знищення документів, що містять Персональні дані, у спосіб, що унеможливлює їх подальше відновлення;
- забезпечення безпеки обладнання та ІТ, в тому числі:
- захист локальної мережі від дій, ініційованих ззовні;
- забезпечення актуальності використовуваного програмного забезпечення;
- захист комп’ютерного обладнання, що використовується в Компанії, від шкідливого програмного забезпечення;
- забезпечення постійного та частого резервного копіювання даних, що зберігаються на комп’ютерах, серверах та в мережі Компанії;
- обмеження доступу до комп’ютерного обладнання, сервера та локальної мережі шляхом застосування правил автентифікації;
- проведення аналізу ризиків для діяльності з обробки даних або її категорій;
- запровадження стандартів для перевірки та відбору Суб’єктів обробки, а також умов доручення Обробки даних окремим Суб’єктам обробки;
- моніторинг змін в обсязі процесів обробки персональних даних в Компанії;
- постійне управління змінами, що впливають на захист персональних даних у Компанії.
- Реєстр дій з обробки персональних даних
- Реєстр охоплює категорії діяльності з обробки персональних даних у Компанії.
- Метою Реєстру є документування діяльності з обробки персональних даних, а також інвентаризація та моніторинг способів використання персональних даних у Компанії. Зразок Реєстру є додатком 6 до Політики.
- Метою Реєстру також є демонстрація відповідності обробки Персональних даних у Компанії вимогам законодавства, зокрема шляхом зазначення в Реєстрі загальних заходів щодо захисту Персональних даних, які охоплюються окремою діяльністю обробки.
- Реєстр окремо для кожної визначеної категорії діяльності з обробки персональних даних фіксує щонайменше:
- назва діяльності;
- мета обробки;
- опис категорій осіб, персональні дані яких обробляються в рамках певної діяльності;
- опис категорій Персональних даних, що обробляються в рамках певної діяльності;
- правову основу для обробки разом із зазначенням категорій законного інтересу Компанії, якщо підставою для обробки є законний інтерес;
- опис категорій одержувачів даних, включаючи процесорів;
- інформацію про можливу передачу Персональних даних за межі території Європейського Союзу або Європейської економічної зони;
- загальний опис технічних та організаційних заходів захисту персональних даних, застосовних до певної діяльності.
- У разі оновлення або розширення категорії діяльності з обробки персональних даних Товариство невідкладно оновлює Реєстр для забезпечення відповідності Реєстру фактичному стану та обсягу операцій з обробки персональних даних у Компанії.
- Положення розд 4 не виключають можливості включення додаткової інформації до Реєстру, якщо це необхідно, підвищуючи деталізацію чи читабельність Реєстру або сприяючи управлінню відповідністю захисту персональних даних вимогам законодавства та реалізації принципу підзвітності.
- Компанія документує в Реєстрі правову основу для обробки даних для окремих дій з обробки, вказуючи загальну правову основу для обробки, таку як: згода, контракт, юридичне зобов’язання, покладене на Компанію, законна мета Компанії.
- Виконання зобов’язань перед особами, яких стосуються персональні дані
- Компанія впроваджує методи управління згодою, які дозволяють реєструвати та перевіряти згоду особи на обробку її конкретних даних для певної мети, згоду на віддалену комунікацію (електронна пошта, телефон, текстові повідомлення тощо) та реєструвати відмову від згоди. , відкликання згоди та подібні дії, такі як повідомлення об’єкту або обмеження обробки.
- Компанія дбає про читабельність і стиль наданої інформації та спілкування з особами, Персональні дані яких вона обробляє.
- Товариство оприлюднює на веб-сайті Товариства та робить його доступним для ознайомлення в центральному офісі Товариства:
- політика;
- Інформація про права суб’єктів даних;
- Інформація про обсяг Персональних даних, які обробляються для конкретних цілей;
- Способи зв’язку з Компанією щодо Персональних даних;
- Для реалізації прав особи, якої стосуються Персональні дані, Компанія надає процедури та механізми, що дозволяють ідентифікувати дані конкретних осіб, які обробляються Компанією, інтегрувати ці дані, вносити до них зміни та комплексно видаляти. .
- Компанія документує обробку інформаційних зобов’язань, повідомлень і запитів від осіб, інформуючи суб’єкта даних:
- про обробку його даних при отриманні даних від цієї особи;
- про обробку його даних, при отриманні даних про цю особу опосередковано від нього;
- про плановану зміну мети обробки даних;
- до зняття обмеження на обробку;
- виправлення, видалення або обмеження обробки даних (якщо це не вимагає непропорційних зусиль або є неможливим);
- про право заперечити проти обробки даних не пізніше ніж під час першого контакту з цією особою.
- Компанія без зайвої затримки повідомляє особу про порушення персональних даних, якщо це може призвести до високого ризику для прав і свобод такої особи.
- Незважаючи на положення розд 6, Компанія визначає спосіб інформування людей про Обробку неідентифікованих даних, де це можливо (наприклад, табличка про територію, що охоплюється відеоспостереженням).
- На запит особи щодо доступу до її даних Компанія інформує особу, чи обробляє вона її дані, та інформує особу про деталі обробки, відповідно до ст. 15 GDPR, а також надає особі доступ до даних, що її стосуються. Доступ до даних можна отримати шляхом видачі копії даних.
- Компанія надає особі, якої стосуються Персональні дані, копію даних щодо неї та фіксує факт видачі першої копії даних.
- Компанія виправляє некоректні дані за запитом особи, якої стосуються Персональні дані. Компанія має право відмовитися від виправлення даних, якщо особа не доведе обґрунтовано неточності даних, для яких вимагається виправлення. У разі виправлення даних Компанія повідомляє особу про одержувачів даних на вимогу цієї особи.
- Компанія доповнює та оновлює дані за запитом особи, якої стосуються Персональні дані. Компанія має право відмовитися від заповнення даних, якщо заповнення буде суперечити цілям обробки даних. Компанія може покладатися на декларацію особи щодо заповнених даних, якщо вона не є недостатньою з огляду на процедури, прийняті Компанією, закон або немає підстав вважати декларацію недостовірною.
- З урахуванням абз 13, за бажанням особи Компанія видаляє дані, коли:
- дані не є необхідними для цілей, для яких вони були зібрані або оброблені для інших цілей;
- згоду на їхню обробку було відкликано, і немає іншої правової підстави для обробки;
- особа подала ефективне заперечення проти обробки цих даних;
- дані були оброблені незаконно;
- необхідність їх усунення є результатом юридичного зобов’язання;
- запит стосується даних дитини, зібраних на основі згоди з метою надання послуг інформаційного суспільства, які пропонуються безпосередньо дитині.
- Під час видалення персональних даних компанія бере до уваги забезпечення ефективної реалізації цього права, дотримуючись усіх принципів захисту даних, включаючи безпеку, а також перевіряючи наявність будь-яких винятків, зазначених у ст. 17. розділ 3 GDPR.
- Якщо дані, які підлягають видаленню, були оприлюднені Компанією, Компанія вживає розумних заходів, включаючи технічні заходи, щоб повідомити інших контролерів, які обробляють ці Персональні дані, про необхідність видалення даних і доступу до них. У разі видалення даних Компанія повідомляє особу про одержувачів даних на вимогу цієї особи.
- Компанія обмежує обробку даних за запитом особи, коли:
- особа ставить під сумнів достовірність даних – протягом періоду, що дозволяє перевірити їх правильність;
- Обробка є незаконною, і суб’єкт даних заперечує проти видалення Персональних даних і вимагає натомість обмеження їх використання;
- Компанії більше не потрібні Персональні дані, але вони потрібні суб’єкту даних для встановлення, подання чи захисту правових претензій;
- особа заперечила проти Обробки з причин, пов’язаних із її чи її конкретною ситуацією, доки не буде встановлено, чи має Компанія законні підстави, які переважають над підставами для заперечення.
- Під час обмеження обробки Компанія зберігає дані, але не обробляє їх (не використовує, не передає) без згоди суб’єкта даних, за винятком випадків, коли це стосується встановлення, подання чи захисту претензій або захисту прав іншої особи. фізична або юридична особа, або з важливих причин суспільного інтересу.
- Компанія повідомляє особу перед зняттям обмеження на обробку. У разі обмеження обробки даних Компанія інформує особу про одержувачів даних на вимогу цієї особи.
- За запитом особи Компанія видає в структурованому, широко використовуваному, машиночитаному форматі або передає іншій організації, якщо це можливо, дані щодо цієї особи, які вона або вона надала Компанії, Обробляються на підставі згоди. такої особи або для того, щоб укласти або виконати договір із зазначеним тут документом, в ІТ-системах Компанії.
- Якщо особа висуває заперечення проти обробки її/її персональних даних, як зазначено у ст. 21 GDPR, і дані обробляються Компанією на основі законного інтересу Компанії або завдання, дорученого Компанії в суспільних інтересах, Компанія зобов’язується взяти до уваги заперечення, якщо для цього немає поважних законних підстав. обробка з боку Компанії, яка має перевагу над інтересами, правами та свободою особи, яка подає заперечення, або підставою для встановлення, подання чи захисту претензій.
- Якщо особа заперечує проти обробки її даних Компанією для цілей прямого маркетингу, Компанія візьме до уваги заперечення та припинить таку обробку.
- Мінімізація даних
- Компанія впроваджує процедури для реалізації принципу мінімізації оброблених Персональних даних з точки зору:
- адекватність Персональних даних цілям обробки, включаючи обмеження обсягу Персональних даних, що обробляються, та обсягу обробки по відношенню до мети обробки;
- обмеження доступу до Персональних даних лише для Уповноважених осіб, для яких використання Персональних даних у певному обсязі є необхідним для належного виконання обов’язків;
- обмеження часу зберігання Персональних даних періодом, протягом якого зберігання Персональних даних є необхідним у зв’язку з виконанням мети Обробки або зобов’язань, покладених на Компанію.
- Компанія періодично переглядає обсяг оброблених даних і обсяг їх обробки принаймні раз на рік.
- Компанія застосовує обмеження доступу до Персональних даних, реалізуючи:
- Зобов’язання працівників зберігати конфіденційність, у тому числі в частині Персональних даних;
- перевірка кола внутрішніх одержувачів Персональних даних шляхом надання конкретних повноважень окремим Співробітникам щодо Обробки Персональних даних;
- впровадження логічних технічних заходів для захисту Персональних даних шляхом обмеження доступу до систем, програмного забезпечення та мережевих ресурсів, що використовуються в процесі обробки Персональних даних;
- здійснення фізичних технічних заходів захисту Персональних даних.
- Компанія оновлює права доступу, коли відбуваються зміни в складі персоналу та ролях, а також зміни в об’єктах обробки. Компанія періодично переглядає встановлених користувачів системи та оновлює їх принаймні раз на рік.
- Детальні правила контролю фізичного та логічного доступу включені до процедур фізичної та інформаційної безпеки Компанії.
- Підприємство обробляє персональні дані з урахуванням критеріїв, зазначених у Реєстрі. Компанія реалізує механізми контролю життєвого циклу персональних даних у Компанії, включаючи перевірку подальшої корисності даних щодо термінів і контрольних точок, зазначених у Реєстрі.
- Дані, корисність яких обмежена з часом, видаляються з систем Компанії, а також із довідкових і основних файлів. Такі дані можуть архівуватися та міститися в резервних копіях систем та інформації, що обробляється Компанією. Порядок архівування та використання архівів, створення та використання резервних копій враховує вимоги контролю за життєвим циклом даних, у тому числі вимоги щодо видалення даних.
- Безпека персональних даних
- Враховуючи рівень технічних знань, витрати на впровадження та характер, обсяг, контекст і цілі обробки, а також ризик порушення прав і свобод фізичних осіб з різною ймовірністю виникнення та серйозністю загрози, Компанія впроваджує технічні та організаційні заходи для забезпечення належного рівня захисту Персональних даних, що відповідає ризику порушення прав і свобод фізичних осіб у результаті обробки персональних даних Компанією.
- Компанія проводить та документує аналіз адекватності заходів безпеки персональних даних. Для цієї мети:
- Компанія класифікує дані та дії з обробки відповідно до ризиків, які вони становлять;
- Компанія аналізує ризики порушення прав і свобод фізичних осіб щодо діяльності з обробки даних або їх категорій. Компанія аналізує можливі ситуації та сценарії порушення захисту персональних даних з урахуванням характеру, обсягу, контексту та цілей обробки, ризику порушення прав і свобод фізичних осіб з різною ймовірністю виникнення та серйозністю загрози;
- Компанія впроваджує заходи для забезпечення безперервності бізнесу та запобігання наслідкам катастроф, тобто можливості швидкого відновлення доступності персональних даних і доступу до них у разі фізичного чи технічного інциденту.
- Порушення захисту персональних даних
- Зокрема, але не виключно, наступне вважається порушенням або спробою порушення принципів обробки та захисту персональних даних:
- порушення безпеки ІТ-систем, в яких обробляються Персональні дані;
- розкриття Персональних даних неавторизованим особам;
- обробка Персональних даних не відповідає передбачуваному обсягу та меті їх обробки;
- несанкціоноване або випадкове пошкодження, втрата, знищення або зміна Персональних даних.
- У разі порушення захисту персональних даних Компанія оцінює, чи могло порушення призвести до ризику порушення прав і свобод фізичних осіб, та оцінює масштаб ризику.
- У разі порушення захисту персональних даних Компанія повинна повідомити про це компетентний наглядовий орган без невиправданої затримки – якщо це можливо, не пізніше ніж через 72 години після виявлення порушення, за винятком випадків, коли порушення навряд чи призведе до ризику порушення права і свободи фізичних осіб. Зразок повідомлення, зазначеного в попередньому реченні, є додатком № 7 до Політики.
- Якщо ризик порушення прав і свобод особи, якої стосуються Персональні дані, є високим, Компанія також повідомляє суб’єкта даних про інцидент, крім випадків, коли:
- Компанія запровадить відповідні технічні та організаційні заходи безпеки, і ці заходи були застосовані до особистих даних, які постраждали від порушення, запобігаючи неавторизованим особам від їх читання та доступу до цих персональних даних;
- Після цього компанія вживатиме заходів для усунення ймовірності високого ризику для прав і свобод суб’єкта даних; або це вимагатиме непропорційних зусиль. У такому випадку має бути видано публічне повідомлення або аналогічний захід, за допомогою якого суб’єкти даних інформуються однаково ефективно.
- Незалежно від зобов’язань, зазначених у розд 2 – 6 Компанія документує всі порушення захисту персональних даних, включаючи обставини порушення захисту персональних даних, його наслідки та вжиті заходи щодо виправлення. Зразок реєстру порушень персональних даних наведено у додатку № 8 до Політики.
- Доручення обробки персональних даних іншим особам
- Компанія може доручити Обробку персональних даних Обробнику лише шляхом угоди, укладеної в письмовій формі, відповідно до вимог, зазначених у ст. 28 розділ 3 GDPR.
- Компанія користується лише послугами таких процесорів, які надають достатні гарантії для впровадження відповідних технічних та організаційних заходів, щоб обробка відповідала вимогам цього Регламенту та захищала права суб’єктів даних.
- З метою перевірки виконання зобов’язання, зазначеного в п 2. Перш ніж доручити обробку потенційному Обробнику, Компанія отримує, коли це можливо, інформацію про принципи захисту персональних даних, які застосовує потенційний Обробник, а також про практику цієї організації щодо безпеки Персональних даних.
- Передача даних до третьої країни
- Компанія не передає Персональні дані третім країнам, розташованим за межами Європейського Союзу чи Європейської економічної зони, за винятком запиту особи, якої стосуються Персональні дані.
- Щоб уникнути ситуацій несанкціонованого експорту даних, зокрема у зв’язку з використанням загальнодоступних хмарних сервісів, Компанія періодично перевіряє поведінку користувачів і, коли це можливо, надає еквівалентні рішення відповідно до законодавства про захист даних.
- Прикінцеві положення
- Політика набирає чинності з дня оголошення, тобто 31 січня 2024 року.
- У питаннях, не врегульованих Політикою, відповідно застосовуються положення GDPR та загальноприйняті положення польського та європейського законодавства.
- Будь-які зміни або доповнення до Політики повинні бути внесені в письмовій формі, щоб набути чинності, інакше вони будуть недійсними. Зміни або доповнення до Політики набирають чинності не раніше ніж через 7 днів з дня їх оголошення.