Ogólna polityka ochrony danych osobowych

Ogólna polityka ochrony danych osobowych

 1. Wprowadzenie

„BRINTONS AGNELLA” Spółka z o.o. („BRINTONS AGNELLA”), ul. Gen. Władysława Andersa 42, 15-113 Białystok, jest zobowiązana do ochrony prywatności wszystkich danych osobowych i danych szczególnie wrażliwych znajdujących się w jej posiadaniu.

1.1 Cel

1.1.1 „BRINTONS AGNELLA” podejmuje i kontroluje działania, które wiążą się z przetwarzaniem danych osobowych, w tym danych szczególnie wrażliwych odnoszących się do osób, których te dane dotyczą, będących mieszkańcami kraju członkowskiego Unii Europejskiej.  W związku z tym „BRINTONS AGNELLA”  musi spełniać wymogi Ogólnego rozporządzenia o ochronie danych z 2016 r. („RODO”) oraz Rozporządzenia o prywatności i łączności elektronicznej z 2003 r. (ang. „PECR”). Polityka ta określa wymogi, których muszą przestrzegać wszystkie podmioty objęte rozporządzeniem.

1.1.2 Polityka ta podlega wszystkim prawom, zasadom i przepisom obowiązującym w niniejszej organizacji. W przypadku, gdy polityka ta pozwala na korzystanie z uprawnień dyskrecjonalnych, takie uprawnienia dyskrecjonalne muszą być wykonywane w ramach obowiązków statutowych organizacji i nie mogą naruszać żadnych z jej wymogów prawnych, księgowych ani innych wymogów regulacyjnych.

1.2 Oświadczenie „BRINTONS AGNELLA” w sprawie „apetytu” na ryzyko

1.2.1 Apetyt Zarządu „BRINTONS AGNELLA” na ryzyko związane z istotnym naruszeniem postanowień RODO jest NISKI.

1.2.2 „BRINTONS AGNELLA” uznaje, że ryzyko naruszenia danych osobowych oraz nieprzestrzegania praw i bezpieczeństwa danych osób, których dane dotyczą, stanowiłoby poważne zagrożenie dla reputacji firmy.

1.3 Zakres stosowania

1.3.1 Zakres niniejszej polityki ochrony danych osobowych obejmuje wszelkie czynności związane z przetwarzaniem danych osobowych, w tym danych szczególnie wrażliwych oraz z systemami informatycznymi stosowanymi do tego celu, których administratorem jest firma „BRINTONS AGNELLA”. Obejmuje to dane osobowe, w tym dane wrażliwe w formie fizycznej, przechowywane w odpowiednim systemie archiwizacji danych osobowych.

1.3.2 Zakres niniejszej polityki obejmuje wszystkie globalne działania „BRINTONS AGNELLA” we wszelkich lokalizacjach, również poza Unią Europejską (UE).

2. Wymagania

2.1 Zasady

2.1.1 Wszystkie czynności związane z przetwarzaniem danych osobowych będą podejmowane w zgodzie z następującymi zasadami:

   • Dane osobowe będą gromadzone wyłącznie dla określonych, jednoznacznych i zgodnych z prawem celów,
   • Dane osobowe będą dokładne, i w razie potrzeby, aktualizowane,
   • Dane osobowe będą przechowywane tylko tak długo, jak to konieczne,
   • Dane osobowe będą przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty,
   • Dane osobowe będą przetwarzane gwarantujący ich ochronę,
   • Dane osobowe będą wykorzystywane i przetwarzane w prawnie uzasadnionych celach wyłącznie w niezbędnym zakresie.

2.2 Zarządzanie ochroną danych

2.2.1 „BRINTONS AGNELLA” będzie ponosiła ogólną odpowiedzialność za zarządzanie i wdrażanie niniejszej polityki i będzie podlegała bezpośrednio Zarządowi Grupy Brintons.

2.2.2 „BRINTONS AGNELLA” udziela terminowych odpowiedzi na zapytania osób, których dane dotyczą.

2.2.3 „BRINTONS AGNELLA” wspiera zgodność z tą polityką poprzez zapewnianie wsparcia i doradztwa w zakresie zgodności z wymogami niniejszej polityki.

2.2.4 „BRINTONS AGNELLA” prowadzi następujące rejestry:

    • Rejestr operacji przetwarzania danych osobowych,
    • Rejestr ocen skutków w zakresie ochrony danych osobowych,
    • Rejestr metryczki ochrony danych,
    • Rejestr zapytań osób, których dane dotyczą.

2.2.5 „BRINTONS AGNELLA” zgłasza przypadki naruszenia ochrony danych osobowych odpowiedniemu organowi nadzoru.

2.3 Odpowiedzialność

2.3.1 Właściciel systemu zostanie wyznaczony dla wszystkich systemów informatycznych zawierających dane osobowe, w tym dane szczególnie wrażliwe.

2.3.2 Prawo własności systemu nie zostanie przeniesione na osobę, która nie ponosi odpowiedzialności za osoby zarządzające przetwarzaniem danych w ramach tego konkretnego systemu informatycznego.

2.3.3 Własność systemu nie zostanie przeniesiona na osobę, która nie posiada formalnego organu zarządzającego osobami wykonującymi czynności związane z przetwarzaniem danych w ramach tego systemu informatycznego.

2.3.4 Właściciel systemu może delegować uprawnienia do wykonywania zadań operacyjnych związanych z niniejszą polityką ochrony prywatności, ale nie ma prawa przenosić za nie odpowiedzialności.

2.3.5 Właściciel systemu może korzystać z konsultacji w zakresie wykonywania swoich obowiązków, ale pozostaje odpowiedzialny za wszelkie podjęte decyzje.

2.3.6 Działania związane z przetwarzaniem powinny być udokumentowane. Należy także wyznaczyć właściciela procesu.

2.3.7 Własności procesu nie przypisuje się osobie, która nie sprawuje formalnej władzy nad działalnością związaną z przetwarzaniem danych w ramach systemu informatycznego.

2.4 Zgodność sposobu przetwarzania danych z prawem

2.4.1 Właściciele procesu odpowiadają za zgodność procesu przetwarzania danych z przepisami prawa oraz dokumentują prawne podstawy przetwarzania danych.

2.4.2 Surowo zabrania się przetwarzania danych dotyczących dzieci.

2.4.3 Za wyjątkiem przechowywania danych, ich przetwarzanie zostaje niezwłocznie przerwane z chwilą ustania uzasadnionych prawnie podstaw do ich przetwarzania.

2.5 Przejrzystość

2.5.1 Właściciele procesu odpowiadają za udostępnienia informacji związanych z ich działalnością w zakresie przetwarzania danych, tak, aby można było opublikować i aktualizować informację o ochronie danych.

2.5.2 Osoby, których dane dotyczą, są informowane o naszych działaniach związanych z przetwarzaniem ich danych i otrzymują ustawowe informacje w chwili gromadzenia danych.

2.5.3 W przypadku, gdy dane osobowe są pozyskiwane nie bezpośrednio od osoby, której dotyczą, ale z innego źródła, osoba ta powinna zostać poinformowana o naszych działaniach w zakresie przetwarzania danych i powinna otrzymać ustawowe informacje tak szybko, jak to możliwe, nie później jednak niż w ciągu 10 dni roboczych.

2.5.4 Właściciele procesu dokonują kwartalnego przeglądu opublikowanej informacji o ochronie danych pod kątem wszelkich nieścisłości związanych z ich procesami.

2.6 Ochrona danych na etapie projektowania oraz aktywna domyślnie

2.6.1 Wszystkie systemy i procesy informatyczne „BRINTONS AGNELLA” powinny być zaprojektowane w taki sposób, aby spełniały wymogi niniejszej polityki.

2.6.2 Właściciele systemu i właściciele procesu wdrażają odpowiednie środki techniczne i organizacyjne w celu uwzględnienia ochrony danych zarówno w fazie projektowania systemów i procesów, jak i domyślnie.

2.6.3 Działania związane z przetwarzaniem i wspomagającymi systemami informatycznymi powinny być zaprojektowane w taki sposób, aby zapewnić przechowywanie minimalnej ilości danych osobowych przez minimalny niezbędny okres.

2.6.4 Wszystkie systemy informatyczne powinny zapewnić poddanie ich systemów analizie z punktu widzenia oceny skutku procesu przetwarzania na ochronę danych („DPIA”), która zawiera przynajmniej następujące elementy:

  • Systematyczny opis przewidywanych operacji przetwarzania danych oraz celów przetwarzania,
  • Ocena, czy zakres operacji przetwarzania jest niezbędny i proporcjonalny w stosunku do celu,
  • Ocena ryzyka naruszenia praw i wolności osób, których dane dotyczą,
  • Środki przewidziane w celu przeciwdziałania zagrożeniom, w tym zabezpieczenia mające na celu zapewnienie ochrony danych osobowych oraz wykazanie zgodności z niniejszą polityką, z uwzględnieniem praw i uzasadnionych interesów osób, których dane dotyczą, i innych zainteresowanych osób.

2.6.5 Właściciel systemu konsultuje się z sekretarzem spółki w sprawie sporządzenia oceny skutków dla ochrony danych osobowych (DPIA)

2.6.6 W przypadku uznania, że ryzyko naruszenia praw osób, których dane dotyczą jest WYSOKIE, Sekretarz Spółki konsultuje się z organem nadzorczym.

2.6.7 Właściciele systemu odpowiadają za to, aby systemy zostały zaprojektowane w sposób zapewniający zminimalizowanie ryzyka naruszenia praw i wolności osób, których dane dotyczą (DPIA).

2.6.8 Właściciele procesu odpowiadają za to, aby procesy zostały zaprojektowane w sposób zapewniający zminimalizowanie ryzyka naruszenia praw i wolności osób, których dane dotyczą (DPIA).

2.7 Bezpieczeństwo przetwarzania danych

2.7.1 Właściciele systemu odpowiadają za to, aby systemy spełniały minimalne standardy ochrony danych, w tym, ale nie tylko, w odniesieniu do:

  • Zarządzania tożsamością i dostępem,
  • Zarządzania słabymi punktami systemu i łatkami (ang. patch),
  • Zarządzania zmianami,
  • Tworzenia kopii zapasowych i przywracania stanu pierwotnego,
  • Planu ciągłości usług informatycznych,
  • Prac rozwojowych i testowych,
  • Monitorowania i wykrywania naruszeń bezpieczeństwa.

2.7.2 Systemy informatyczne, zawierające dane osobowe lub szczególnie chronione, które mogą zostać ujawnione w sieci lub wobec których istnieje zagrożenie ze strony osób trzecich, poddawane są niezależnemu, opartemu na ocenie ryzyka testowi penetracji w uzgodnionym zakresie, nie rzadziej niż raz w roku. Właściciele systemu zapewniają właściwe rozwiązanie wszystkich zidentyfikowanych problemów, zgodnie z poziomem „apetytu” na ryzyko.

2.7.3 Naruszenia danych osobowych będą zgłaszane sekretarzowi spółki tak szybko jak to możliwe, jednak nie później niż w ciągu 24 godzin po ich wykryciu.

2.8 Dokładność przetwarzania danych

2.8.1  Właściciele procesu zapewniają, że dane pozostają dokładne, a w przypadku stwierdzenia niedokładności – korygowane tak szybko, jak to możliwe, lecz nie później niż w ciągu 5 dni roboczych od wykrycia i weryfikacji niedokładności.

2.8.2  Właściciele procesów obejmujących zautomatyzowane podejmowanie decyzji lub profilowanie powinni dokumentować alternatywny proces ręczny i zapewnić odpowiednie zasoby oraz przeszkolonych pracowników, tak, aby w razie potrzeby można było taki proces przeprowadzić, jeśli będzie to konieczne.

2.8.3 Podmiot danych ma prawo do tego, by nie podlegać zautomatyzowanej decyzji lub profilowaniu. Właściciele procesu zobowiązują się, że prawo to będzie przestrzegane, z wyjątkiem przypadków, w których mają zastosowanie zwolnienia ustawowe.

2.9 Przechowywanie danych

2.9.1Z wyjątkiem danych, których przechowywania wymagają regulacje prawne, dane osobowe nie są przechowywane dłużej niż jest to konieczne.

2.10 Dostęp do swoich danych osobowych

2.10.1 Właściciele procesu umożliwią łatwy dostęp do wniosku o udostępnienie danych osobowych osobie, której dane dotyczą (ang. DSAR).

2.10.2 „BRINTONS AGNELLA” prowadzi rejestr takich wniosków.

2.10.3 Wniosek zostanie rozpatrzony w możliwie najkrótszym terminie, lecz nie później niż w ciągu 30 dni kalendarzowych.

2.10.4 Wniosek nie podlega opłacie.

2.10.5 Na żądanie osoby, której dane dotyczą, wniosek jest przetwarzany elektronicznie.

2.10.6 Przed udostępnieniem danych osobowych osobie, której dane dotyczą, należy podjąć odpowiednie kroki w celu zweryfikowania jej tożsamości.

2.10.7 Właściciele systemu zapewniają udostępnienie odpowiednich zasobów w celu wsparcia wniosków o udostępnienie danych osobowych osobom, których dane dotyczą.

2.10.8 Należy uzyskać zgodę stron trzecich przed włączeniem ich danych do wniosku o udostępnienie danych osobowych osobom, których dane dotyczą.  W przypadku braku zgody, w celu ustalenia, czy dane powinny zostać przekazane w istniejącej formie, czy też zredagowane, należy konsultować się z sekretarzem spółki.

2.10.9 Odpowiedzi na wniosek o udostępnienie danych osobowych osobie, której one dotyczą są przekazywane w sposób bezpieczny.

2.11 Przetwarzanie danych przez osoby trzecie

2.11.1 Czynności przetwarzania nie mogą być zlecane osobie trzeciej bez wiążącej pisemnej umowy określającej przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie podmiotów danych, a także obowiązki i prawa organizacji.

2.11.2 Właściciele procesu wykorzystują wyłącznie podmioty przetwarzające, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych w taki sposób, aby przetwarzanie danych spełniało wymogi niniejszej polityki i zapewniało ochronę praw osoby, której dane dotyczą.

2.11.3 Właściciele procesu i właściciele systemu konsultują się z sekretarzem spółki i uzyskują od niego pisemną rekomendację oraz upoważnienie, co najmniej dwóch dyrektorów przed podpisaniem umowy z podmiotem przetwarzającym będącym osobą trzecią, przy czym zaproponowany proces oraz podmiot przetwarzający podlegają uprzednio starannej kontroli pod względem technicznym i organizacyjnym w zakresie ochrony danych osobowych.

2.11.4 Właściciele procesu i właściciele systemu angażują niezależnego (wewnętrznego lub zewnętrznego) eksperta posiadającego odpowiednie kwalifikacje do oceny ochrony danych i kontroli organizacyjnych przetwarzających dane strony trzeciej.

2.11.5 Właściciele procesu i właściciele systemu zlecający przetwarzanie danych osobom trzecim zapewniają ciągłą zgodność z niniejszą polityką i przechowują dokładne protokoły z odpowiednich spotkań i kontroli w tym zakresie, w tym dowody potwierdzające, że osoby trzecie, którym zlecono przetwarzanie danych stale przestrzegają niniejszej polityki.

3. Funkcje i zakres odpowiedzialności

3.1    Ogólna odpowiedzialność za tę politykę spoczywa na Zarządzie Grupy Brintons, który weryfikuje skuteczność działań podejmowanych w odpowiedzi na obawy wyrażone w związku z tą polityką.

3.2    Kierownictwo wyższego szczebla zapewni dostępność odpowiednich zasobów w celu wspierania realizacji niniejszej polityki w całej Grupie Brintons.

3.3    Wszyscy dyrektorzy i pracownicy odpowiedzialni na mocy niniejszej polityki zobowiązani są do przestrzegania jej postanowień.

3.4    Sekretarz spółki jest odpowiedzialny za monitorowanie przestrzegania tej polityki i składa okresowe sprawozdania Zarządowi i Wyższej Kadrze Zarządzającej na temat przestrzegania tej polityki przez organizację.

3.5    Właściciele procesu i właściciele systemu ponoszą odpowiedzialność za zapewnienie, by ich procesy i systemy informatyczne spełniały minimalne wymogi niniejszej polityki.

3.6    Kierownik działu kadr dba o to, aby przetwarzanie danych osobowych było zgodne z wymogami niniejszej polityki.

3.7    Kierownik działu marketingu zapewnia zgodność sposobu przetwarzania danych w związku z działaniami marketingowymi jest zgodne z wymaganiami niniejszej polityki.

3.8    Kierownik działu zakupów zapewni zgodność procesów zakupowych z wymaganiami niniejszej polityki.

4. Właściciel i podmiot zatwierdzający politykę ochrony danych osobowych

4.1    Właścicielem niniejszej Polityki ochrony danych osobowych jest obecny sekretarz przedsiębiorstwa.

4.2   Niniejszy dokument został zatwierdzony przez Zarząd 18 maja 2018 r. i obowiązuje od tej daty.