top of page

Polityka — Polityka ochrony danych RODO

 

Należy zapoznać się z niniejszą polityką, ponieważ zawiera ona ważne informacje dotyczące:

 

  • zasady ochrony danych, których Firma musi przestrzegać;

  • co oznaczają dane osobowe (lub dane) oraz wrażliwe dane osobowe (lub dane);

  • w jaki sposób gromadzimy, wykorzystujemy i (ostatecznie) usuwamy dane osobowe i wrażliwe dane osobowe zgodnie z zasadami ochrony danych;

  • gdzie można znaleźć bardziej szczegółowe informacje dotyczące prywatności, np. o danych osobowych, które zbieramy i wykorzystujemy na Twój temat, o tym, jak są one wykorzystywane, przechowywane i przekazywane, w jakich celach, o krokach podjętych w celu zapewnienia bezpieczeństwa tych informacji i jak długo są przechowywane;

  • Twoje prawa i obowiązki związane z ochroną danych; oraz

  • konsekwencje nieprzestrzegania tej polityki.

 

  1. Wstęp

 

  1. Firma pozyskuje, przechowuje i wykorzystuje dane osobowe (zwane również danymi) osób ubiegających się o pracę oraz obecnych i byłych pracowników, pracowników tymczasowych i tymczasowych, zleceniobiorców, stażystów, wolontariuszy i praktykantów w szeregu konkretnych, zgodnych z prawem celów, jak określono w Oświadczenia firmy dotyczące ochrony danych osobowych dotyczące rekrutacji i zatrudnienia.

 

  1. Niniejsza polityka określa, w jaki sposób przestrzegamy naszych zobowiązań w zakresie ochrony danych i staramy się chronić dane osobowe dotyczące naszych pracowników. Jego celem jest również zapewnienie, że pracownicy rozumieją i przestrzegają zasad regulujących gromadzenie, wykorzystywanie i usuwanie danych osobowych, do których mogą mieć dostęp w trakcie swojej pracy.

 

  1. Zobowiązujemy się do przestrzegania naszych obowiązków w zakresie ochrony danych oraz do przedstawiania zwięzłej, jasnej i przejrzystej informacji o tym, w jaki sposób uzyskujemy i wykorzystujemy dane osobowe dotyczące naszych pracowników oraz jak (i kiedy) usuwamy te informacje, gdy nie są już potrzebne.

 

  1. Inspektor Ochrony Danych Kancelarii jest odpowiedzialny za informowanie i doradzanie Kancelarii i jej pracownikom w zakresie jej obowiązków w zakresie ochrony danych oraz za monitorowanie przestrzegania tych obowiązków i polityk Kancelarii. Jeśli masz jakiekolwiek pytania lub komentarze dotyczące treści niniejszej polityki lub potrzebujesz dodatkowych informacji, skontaktuj się z Inspektorem Ochrony Danych pod adresem e-mail:dpo@confirmsend.co.

 

  1. Zakres

 

  1. Niniejsza polityka dotyczy danych osobowych osób ubiegających się o pracę oraz obecnych i byłych pracowników, w tym pracowników tymczasowych i tymczasowych, stażystów, wolontariuszy i praktykantów.

 

  1. Pracownicy powinni zapoznać się z Informacją o ochronie prywatności firmy oraz, w stosownych przypadkach, z innymi odpowiednimi politykami firmy, w tym dotyczącymi internetu, poczty elektronicznej i komunikacji, monitorowania, mediów społecznościowych, bezpieczeństwa informacji, przechowywania danych i informacji z rejestrów karnych, które zawierają dalsze informacje dotyczące ochrony danych osobowych w tych kontekstach.

 

  1. Będziemy regularnie przeglądać i aktualizować niniejszą politykę zgodnie z naszymi obowiązkami w zakresie ochrony danych. Nie stanowi części umowy o pracę żadnego pracownika i możemy ją od czasu do czasu zmieniać, aktualizować lub uzupełniać. Każdą nową lub zmodyfikowaną politykę przekażemy pracownikom przed jej przyjęciem.

 

  1. Definicje

 

  1. Informacje z rejestrów karnych

oznacza dane osobowe dotyczące wyroków skazujących i naruszeń prawa, zarzutów, postępowań i powiązanych środków bezpieczeństwa;

 

  1. Naruszenie danych

oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych;

 

  1. Podmiot danych

oznacza osobę fizyczną, której dotyczą dane osobowe;

 

  1. Informacje osobiste

(czasami znane jako dane osobowe) oznaczają informacje dotyczące osoby fizycznej, którą można zidentyfikować (bezpośrednio lub pośrednio) na podstawie tych informacji;

 

  1. Przetwarzanie informacji

oznacza pozyskiwanie, rejestrowanie, organizowanie, przechowywanie, poprawianie, odzyskiwanie, ujawnianie i/lub niszczenie informacji lub wykorzystywanie ich lub robienie z nimi czegokolwiek;

 

  1. Pseudonimizowany

oznacza proces, w ramach którego dane osobowe są przetwarzane w taki sposób, że nie można ich użyć do identyfikacji osoby fizycznej bez użycia dodatkowych informacji, które są przechowywane oddzielnie i podlegają środkom technicznym i organizacyjnym zapewniającym, że danych osobowych nie można przypisać możliwa do zidentyfikowania osoba fizyczna;

 

  1. Wrażliwe dane osobowe

(czasami nazywane „specjalnymi kategoriami danych osobowych” lub „wrażliwymi danymi osobowymi”) oznaczają dane osobowe dotyczące rasy, pochodzenia etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, członkostwa w związkach zawodowych (lub braku członkostwa), informacje genetyczne, dane biometryczne (jeżeli są wykorzystywane do identyfikacji osoby) oraz informacje dotyczące zdrowia, życia seksualnego lub orientacji seksualnej osoby.

 

  1. Zasady ochrony danych

 

  1. Firma będzie przestrzegać następujących zasad ochrony danych podczas przetwarzania danych osobowych:

 

  1. będziemy przetwarzać dane osobowe w sposób zgodny z prawem, rzetelny i przejrzysty;

 

  1. będziemy zbierać dane osobowe wyłącznie w określonych, jednoznacznych i prawnie uzasadnionych celach i nie będziemy ich przetwarzać w sposób niezgodny z tymi prawnie uzasadnionymi celami;

 

  1. będziemy przetwarzać tylko te dane osobowe, które są adekwatne, istotne i niezbędne do odpowiednich celów;

 

  1. będziemy przechowywać dokładne i aktualne dane osobowe oraz podejmować rozsądne kroki w celu zapewnienia, że niedokładne dane osobowe zostaną niezwłocznie usunięte lub poprawione;

 

  1. dane osobowe będziemy przechowywać w postaci umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; oraz

 

  1. podejmiemy odpowiednie środki techniczne i organizacyjne, aby zapewnić bezpieczeństwo i ochronę danych osobowych przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.

 

  1. Podstawa przetwarzania danych osobowych

 

  1. W związku z jakąkolwiek czynnością przetwarzania będziemy, zanim przetwarzanie rozpocznie się po raz pierwszy, a następnie regularnie w trakcie jego trwania:

 

  1. dokonać przeglądu celów danej czynności przetwarzania i wybrać najbardziej odpowiednią podstawę prawną (lub podstawy) tego przetwarzania, tj.:

 

  1. że osoba, której dane dotyczą wyraziła zgodę na przetwarzanie;

 

  1. że przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

 

  1. że przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Firmie;

 

  1. że przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

 

  1. że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym

 

  1. że przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów Kancelarii lub strony trzeciej, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy związane z podstawowymi prawami i wolnościami osoby, której dane dotyczą – patrz pkt. 5.2 poniżej.

 

  1. z wyjątkiem przypadków, gdy przetwarzanie odbywa się na podstawie zgody, upewnimy się, że przetwarzanie jest niezbędne do celów wynikających z odpowiedniej podstawy prawnej (tj. że nie ma innego rozsądnego sposobu osiągnięcia tego celu);

 

  1. udokumentować naszą decyzję co do tego, która podstawa prawna ma zastosowanie, aby pomóc wykazać naszą zgodność z zasadami ochrony danych;

 

 

  1. zawierać informacje zarówno o celach przetwarzania, jak i jego podstawie prawnej w naszych odpowiednich informacjach o ochronie prywatności;

 

  1. w przypadku przetwarzania wrażliwych danych osobowych należy również określić zgodny z prawem szczególny warunek przetwarzania tych informacji (zob. paragraf 6.2.2 poniżej) i udokumentować to; oraz

 

  1. tam, gdzie przetwarzane są informacje o przestępstwach, określają również legalną przesłankę przetwarzania tych informacji i dokumentują to.

 

  1. Przy ustalaniu, czy prawnie uzasadnione interesy Kancelarii są najwłaściwszą podstawą zgodnego z prawem przetwarzania, będziemy:

 

  1. przeprowadzić ocenę prawnie uzasadnionych interesów (LIA) i przechowywać jej zapis, aby upewnić się, że możemy uzasadnić naszą decyzję;

 

  1. jeśli LIA wykryje znaczący wpływ na prywatność, rozważ, czy musimy również przeprowadzić ocenę wpływu na ochronę danych (DPIA)

 

  1. dokonywać przeglądu LIA i powtarzać go w przypadku zmiany okoliczności; oraz

 

  1. zawierać informacje o naszych uzasadnionych interesach w naszych odpowiednich informacjach o ochronie prywatności.

 

  1. Wrażliwe dane osobowe

 

  1. Wrażliwe dane osobowe są czasami określane jako „szczególne kategorie danych osobowych” lub „wrażliwe dane osobowe”.

 

  1. Firma może od czasu do czasu potrzebować przetwarzać wrażliwe dane osobowe. Będziemy przetwarzać wrażliwe dane osobowe tylko wtedy, gdy:

 

  1. mamy ku temu prawnie uzasadnione podstawy, o których mowa w ust. 5.1.1 powyżej, np. jest to niezbędne do wykonania umowy o pracę, wypełnienia obowiązków prawnych ciążących na Kancelarii lub do celów wynikających z prawnie uzasadnionych interesów Kancelarii; oraz

 

  1. zastosowanie ma jedna ze szczególnych przesłanek przetwarzania wrażliwych danych osobowych, np.:

 

  1. osoba, której dane dotyczą, wyraziła wyraźną zgodę;

 

  1. przetwarzanie jest niezbędne do wykonywania praw lub obowiązków wynikających z prawa pracy Kancelarii lub osoby, której dane dotyczą;

 

  1. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, a osoba, której dane dotyczą, jest fizycznie niezdolna do wyrażenia zgody;

 

  1. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;

 

  1. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń; lub

 

  1. przetwarzanie jest niezbędne ze względu na ważny interes publiczny.

 

  1. Przed rozpoczęciem przetwarzania wrażliwych danych osobowych personel musi powiadomić inspektora ochrony danych o proponowanym przetwarzaniu, aby inspektor ochrony danych mógł ocenić, czy przetwarzanie spełnia kryteria określone powyżej.

 

  1. Wrażliwe dane osobowe nie będą przetwarzane, dopóki:

 

  1. ocena, o której mowa w pkt 6.3, została przeprowadzona; oraz

 

  1. osoba została należycie poinformowana (za pomocą informacji o ochronie prywatności lub w inny sposób) o charakterze przetwarzania, celach, dla których jest przeprowadzane oraz podstawie prawnej.

 

  1. Kancelaria nie będzie podejmować zautomatyzowanych decyzji (w tym profilowania) na podstawie wrażliwych danych osobowych jakiejkolwiek osoby.

 

  1. Polityka prywatności firmy dotycząca ochrony danych określa rodzaje wrażliwych danych osobowych, które firma przetwarza, do czego są one wykorzystywane oraz podstawę prawną przetwarzania.

 

  1. W odniesieniu do wrażliwych danych osobowych Firma będzie postępować zgodnie z procedurami określonymi w punktach 6.8 i 6.9 poniżej, aby upewnić się, że przestrzega zasad ochrony danych określonych w punkcie 4 powyżej.

 

  1. Podczas procesu rekrutacji: kierownik ds. ochrony danych, zgodnie z wytycznymi inspektora ochrony danych, zapewni, że (z wyjątkiem sytuacji, gdy prawo zezwala inaczej):

 

  1. na etapie selekcji, rozmowy kwalifikacyjnej i podejmowania decyzji nie zadaje się pytań dotyczących wrażliwych danych osobowych, np. rasy lub pochodzenia etnicznego, przynależności do związków zawodowych czy stanu zdrowia;

 

  1. w przypadku otrzymania wrażliwych danych osobowych, np. wnioskodawca przekazuje je bez pytania o to w swoim CV lub podczas rozmowy kwalifikacyjnej, nie są one rejestrowane, a wszelkie odniesienia do nich są natychmiast usuwane lub redagowane

 

  1. każdy wypełniony formularz monitorowania równych szans jest przechowywany oddzielnie od formularza zgłoszeniowego danej osoby i nie jest widoczny dla osoby kwalifikującej się, przeprowadzającej rozmowę kwalifikacyjną lub podejmującej decyzję o rekrutacji;

 

  1. kontrole „prawa do pracy” są przeprowadzane przed uczynieniem oferty pracy bezwarunkowej, a nie na wcześniejszych etapach rekrutacji, rozmowy kwalifikacyjnej lub podejmowania decyzji;

 

  1. nie będziemy zadawać pytań zdrowotnych w związku z rekrutacją lub zadawać pytania zdrowotne dopiero po złożeniu oferty zatrudnienia.

 

  1. W okresie zatrudnienia: Kierownik Biura, pod kierunkiem Inspektora Ochrony Danych będzie przetwarzał:

 

  1. informacje zdrowotne do celów administrowania zasiłkiem chorobowym, prowadzenia ewidencji absencji chorobowej, monitorowania obecności personelu oraz ułatwiania świadczeń zdrowotnych i chorobowych związanych z zatrudnieniem;

 

  1. wrażliwych danych osobowych do celów monitorowania równych szans i sprawozdawczości dotyczącej równości wynagrodzeń. Tam, gdzie to możliwe, informacje te zostaną zanonimizowane; oraz

 

  1. informacje o członkostwie w związkach zawodowych do celów administrowania personelem i administrowania „odprawą”.

 

 

  1. Informacje z rejestrów karnych

 

  1. Informacje z rejestrów karnych będą przetwarzane zgodnie z Polityką firmy dotyczącą informacji z rejestrów karnych.

 

  1. Oceny skutków dla ochrony danych (DPIA)

 

  1. W przypadku, gdy przetwarzanie może wiązać się z wysokim ryzykiem dla praw osoby fizycznej do ochrony danych (np. gdy Firma planuje użyć nowej formy technologii), przed rozpoczęciem przetwarzania przeprowadzimy DPIA w celu oceny:

 

  1. czy przetwarzanie jest niezbędne i proporcjonalne w stosunku do celu;

 

  1. ryzyko dla osób fizycznych; oraz

 

  1. jakie środki można zastosować, aby zaradzić tym zagrożeniom i chronić dane osobowe.

 

  1. Dlatego przed wprowadzeniem jakiejkolwiek nowej formy technologii odpowiedzialny kierownik powinien skontaktować się z inspektorem ochrony danych, aby można było przeprowadzić DPIA.

 

  1. W trakcie każdej DPIA Partner zwróci się o poradę do inspektora ochrony danych oraz o opinie innych zainteresowanych stron.

 

  1. Dokumentacja i zapisy

 

  1. Będziemy przechowywać pisemną dokumentację czynności przetwarzania, które wiążą się z wysokim ryzykiem, tj. mogą powodować zagrożenie dla praw i wolności osób fizycznych lub obejmować wrażliwe dane osobowe lub informacje z rejestrów karnych, w tym:

 

  1. nazwa i dane organizacji pracodawcy (oraz, w stosownych przypadkach, innych administratorów, przedstawiciela pracodawcy i inspektora ochrony danych)

 

  1. cele przetwarzania;

 

  1. opis kategorii osób fizycznych i kategorii danych osobowych;

 

  1. kategorie odbiorców danych osobowych;

 

  1. w stosownych przypadkach szczegółowe informacje na temat przekazywania danych do państw trzecich, w tym dokumentację obowiązujących zabezpieczeń mechanizmu przekazywania;

 

  1. tam, gdzie to możliwe, harmonogramy przechowywania; oraz

 

  1. w miarę możliwości opis technicznych i organizacyjnych środków bezpieczeństwa.

 

  1. W ramach naszego rejestru czynności przetwarzania dokumentujemy lub odsyłamy do dokumentacji na:

 

  1. informacje wymagane do informacji o ochronie prywatności;

 

  1. zapisy zgody;

 

  1. umowy administrator-przetwarzający;

 

  1. lokalizacja danych osobowych;

 

  1. DPIA; oraz

 

  1. rejestry naruszeń danych.

 

  1. Jeśli przetwarzamy wrażliwe dane osobowe lub informacje z rejestrów karnych, będziemy przechowywać pisemne zapisy dotyczące:

 

  1. odpowiedni cel (cele), w których odbywa się przetwarzanie, w tym (jeżeli jest to wymagane, dlaczego jest to konieczne do tego celu;

 

  1. podstawa prawna naszego przetwarzania; oraz

 

  1. czy przechowujemy i usuwamy dane osobowe zgodnie z naszą polityką, a jeśli nie, powody nieprzestrzegania naszej polityki.

 

  1. Będziemy przeprowadzać regularne przeglądy przetwarzanych przez nas danych osobowych i odpowiednio aktualizować naszą dokumentację. Może to obejmować:

 

  1. przeprowadzania audytów informacyjnych w celu ustalenia, jakie dane osobowe posiada Firma;

 

  1. dystrybucja kwestionariuszy i rozmowy z personelem w całej Firmie, aby uzyskać pełniejszy obraz naszych działań związanych z przetwarzaniem; oraz

 

  1. przegląd naszych zasad, procedur, umów i porozumień w celu uwzględnienia takich obszarów jak przechowywanie, bezpieczeństwo i udostępnianie danych.

 

  1. Informacja o ochronie prywatności

 

  1. Od czasu do czasu Firma będzie publikować informacje o ochronie prywatności, informując Cię o gromadzonych i przechowywanych przez nas danych osobowych dotyczących Ciebie, w jaki sposób możesz oczekiwać, że Twoje dane osobowe będą wykorzystywane i do jakich celów.

 

  1. Podejmiemy odpowiednie środki, aby zapewnić informacje w informacjach o ochronie prywatności w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

 

  1. Indywidualne prawa

 

  1. Użytkownik (wspólnie z innymi osobami, których dane dotyczą) ma następujące prawa w odniesieniu do swoich danych osobowych:

 

  1. być informowanym o tym, w jaki sposób, dlaczego i na jakiej podstawie te informacje są przetwarzane — patrz Informacja o ochronie prywatności firmy;

 

  1. w celu uzyskania potwierdzenia, że Twoje dane są przetwarzane oraz uzyskania dostępu do nich i niektórych innych informacji, poprzez złożenie wniosku o dostęp do podmiotu — patrz Polityka Kancelarii dotycząca wniosków o dostęp do podmiotu;

 

  1. do sprostowania danych, jeśli są one niedokładne lub niekompletne;

 

  1. do usunięcia danych, jeśli nie są już niezbędne do celów, w których zostały pierwotnie zebrane/przetwarzane, lub jeśli nie występują nadrzędne prawnie uzasadnione podstawy do przetwarzania (jest to czasami nazywane „prawem do bycia zapomnianym”);

 

  1. do ograniczenia przetwarzania danych osobowych, gdy kwestionowana jest dokładność informacji lub przetwarzanie jest niezgodne z prawem (ale nie chcesz, aby dane zostały usunięte) lub gdy pracodawca nie potrzebuje już danych osobowych, ale potrzebujesz ich do ustalenia, wykonania lub obrony roszczenia prawnego; oraz

 

  1. tymczasowego ograniczenia przetwarzania danych osobowych, gdy uważasz, że nie są one dokładne (a pracodawca weryfikuje, czy są one dokładne) lub gdy sprzeciwiłeś się przetwarzaniu (a pracodawca rozważa, czy uzasadnione podstawy organizacji są nadrzędne wobec Twoich interesów ).

 

  1. Jeśli chcesz skorzystać z któregokolwiek z praw określonych w punktach od 11.1.3 do 11.1.6, skontaktuj się z Inspektorem Ochrony Danych.

 

  1. Indywidualne zobowiązania

 

  1. Osoby fizyczne są odpowiedzialne za pomoc Firmie w aktualizowaniu ich danych osobowych. Powinieneś powiadomić Office Managera, jeśli informacje, które podałeś Firmie ulegną zmianie, na przykład jeśli przeprowadzisz się lub zmienisz dane rachunku bankowego lub kasy oszczędnościowo-budowlanej, na które otrzymujesz wynagrodzenie.

 

  1. Możesz mieć dostęp do danych osobowych innych członków personelu, dostawców i klientów Firmy w trakcie swojego zatrudnienia lub zaangażowania. Jeśli tak, Kancelaria oczekuje od Ciebie pomocy w wypełnianiu obowiązków w zakresie ochrony danych wobec tych osób. Na przykład należy mieć świadomość, że mogą oni również korzystać z praw określonych w punkcie 11.1 powyżej

 

 

  1. Jeśli masz dostęp do danych osobowych, musisz:

 

  1. uzyskiwać dostęp tylko do danych osobowych, do których masz uprawnienia dostępu, i tylko w autoryzowanych celach;

 

  1. zezwalać innym pracownikom Firmy na dostęp do danych osobowych tylko wtedy, gdy posiadają odpowiednie upoważnienie;

 

  1. zezwalać osobom, które nie są pracownikami Firmy, na dostęp do danych osobowych tylko wtedy, gdy masz do tego specjalne upoważnienie od inspektora ochrony danych;

 

  1. zapewnienia bezpieczeństwa danych osobowych (np. poprzez przestrzeganie zasad dostępu do pomieszczeń, dostępu do komputera, ochrony hasłem oraz bezpiecznego przechowywania i niszczenia plików oraz innych środków ostrożności określonych w Polityce Bezpieczeństwa Informacji Kancelarii;

 

  1. nie usuwać danych osobowych ani urządzeń zawierających dane osobowe (lub które mogą służyć do uzyskania do nich dostępu) z terenu Firmy, chyba że zastosowano odpowiednie środki bezpieczeństwa (takie jak pseudonimizacja, szyfrowanie lub ochrona hasłem) w celu zabezpieczenia informacji i urządzenia; oraz

 

  1. nie przechowywać danych osobowych na dyskach lokalnych ani na urządzeniach osobistych używanych do celów służbowych;

 

  1. Powinieneś skontaktować się z inspektorem ochrony danych, jeśli obawiasz się lub podejrzewasz, że miała miejsce (lub ma miejsce lub może mieć miejsce jedna z następujących sytuacji):

 

  1. przetwarzanie danych osobowych bez podstawy prawnej do ich przetwarzania lub, w przypadku wrażliwych danych osobowych, bez spełnienia jednego z warunków określonych w punkcie 6.2.2;

 

  1. każde naruszenie danych, jak określono w punkcie 15.1 poniżej;

 

  1. dostęp do danych osobowych bez odpowiedniego upoważnienia;

 

  1. dane osobowe nie są bezpiecznie przechowywane lub usuwane;

 

  1. usunięcie danych osobowych lub urządzeń zawierających dane osobowe (lub które mogą służyć do uzyskania do nich dostępu) z terenu Kancelarii bez odpowiednich środków bezpieczeństwa;

 

  1. wszelkie inne naruszenia niniejszej polityki lub którejkolwiek z zasad ochrony danych określonych w punkcie 4.1 powyżej.

 

  1. Bezpieczeństwo informacji

 

  1. Kancelaria zastosuje odpowiednie środki techniczne i organizacyjne zgodnie z Polityką Bezpieczeństwa Informacji Kancelarii w celu zapewnienia bezpieczeństwa danych osobowych, a w szczególności w celu ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Mogą to być:

 

  1. upewnienie się, że tam, gdzie to możliwe, dane osobowe są pseudonimizowane lub szyfrowane;

 

  1. zapewnienie ciągłej poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

 

  1. zapewnienie, aby w przypadku incydentu fizycznego lub technicznego dostępność i dostęp do danych osobowych mogły zostać przywrócone w odpowiednim czasie; oraz

 

  1. proces regularnego testowania, oceny i oceny skuteczności środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania.

 

  1. W przypadku, gdy Firma korzysta z zewnętrznych organizacji do przetwarzania danych osobowych w jej imieniu, w umowach z tymi organizacjami należy zawrzeć dodatkowe ustalenia dotyczące bezpieczeństwa, aby zapewnić bezpieczeństwo danych osobowych. W szczególności umowy z organizacjami zewnętrznymi muszą przewidywać, że:

 

  1. organizacja może działać wyłącznie na podstawie pisemnych instrukcji Firmy;

 

  1. przetwarzający dane podlegają obowiązkowi zachowania poufności;

 

  1. podejmowane są odpowiednie środki zapewniające bezpieczeństwo przetwarzania;

 

  1. podwykonawcy są zatrudniani wyłącznie za uprzednią zgodą Firmy i na podstawie pisemnej umowy;

 

  1. organizacja będzie pomagać Firmie w zapewnianiu podmiotom dostępu i umożliwianiu osobom fizycznym wykonywania ich praw w związku z ochroną danych;

 

  1. organizacja będzie pomagać Kancelarii w wypełnianiu obowiązków związanych z bezpieczeństwem przetwarzania, zgłaszaniem naruszeń danych oraz oceną skutków dla ochrony danych;

 

  1. organizacja usunie lub zwróci Firmie wszystkie dane osobowe zgodnie z żądaniem pod koniec umowy; oraz

 

  1. organizacja podda się audytom i inspekcjom, przekaże Kancelarii wszelkie informacje potrzebne do upewnienia się, że obie strony wypełniają swoje obowiązki w zakresie ochrony danych, oraz niezwłocznie poinformuje Firmę, jeśli zostanie poproszona o zrobienie czegoś naruszającego przepisy o ochronie danych.

 

  1. Przed zawarciem jakiejkolwiek nowej umowy dotyczącej przetwarzania danych osobowych przez organizację zewnętrzną lub zmianą istniejącej umowy odpowiedni personel musi uzyskać zatwierdzenie jej warunków przez inspektora ochrony danych;

 

  1. Przechowywanie i przechowywanie danych osobowych

 

  1. Dane osobowe (i wrażliwe dane osobowe) będą bezpiecznie przechowywane zgodnie z Polityką bezpieczeństwa informacji firmy.

 

  1. Dane osobowe (i wrażliwe dane osobowe) nie powinny być przechowywane dłużej niż to konieczne. Okres przechowywania danych będzie zależał od okoliczności, w tym powodów, dla których dane osobowe zostały pozyskane. Personel powinien postępować zgodnie z Polityką przechowywania dokumentacji firmy, która określa odpowiedni okres przechowywania lub kryteria, które należy stosować do określenia okresu przechowywania. W przypadku jakichkolwiek wątpliwości personel powinien skonsultować się z [inspektorem ochrony danych;

 

  1. Dane osobowe (i wrażliwe dane osobowe), które nie są już potrzebne, zostaną trwale usunięte z naszych systemów informatycznych, a wszelkie wydruki zostaną w bezpieczny sposób zniszczone.

 

  1. Naruszenia danych

 

  1. Naruszenie ochrony danych może przybierać różne formy, na przykład:

 

  1. utrata lub kradzież danych lub sprzętu, na którym przechowywane są dane osobowe;

 

  1. nieautoryzowany dostęp do danych osobowych lub ich wykorzystanie przez członka personelu lub osobę trzecią;

 

  1. utrata danych wynikająca z awarii sprzętu lub systemów (w tym sprzętu i oprogramowania);

 

  1. błąd ludzki, taki jak przypadkowe usunięcie lub zmiana danych;

 

  1. nieprzewidziane okoliczności, takie jak pożar lub powódź;

 

  1. celowe ataki na systemy informatyczne, takie jak hacking, wirusy lub oszustwa typu phishing; oraz

 

  1. przestępstwa „blaggingu”, w przypadku których informacje uzyskuje się poprzez wprowadzenie w błąd organizacji, która je posiada.

 

  1. Firma będzie:

 

  1. bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od powzięcia wiadomości o naruszeniu ochrony danych, złożyć wymagane zawiadomienie do Biura Komisarza ds. Informacji, jeżeli może ono spowodować zagrożenie dla praw i wolności osób fizycznych; oraz

 

  1. powiadomić osoby, których dane dotyczą, jeżeli naruszenie danych może powodować wysokie ryzyko naruszenia ich praw i wolności, a powiadomienie jest wymagane przez prawo.

 

  1. Przelewy międzynarodowe

 

  1. Firma może przekazywać dane osobowe poza Europejski Obszar Gospodarczy (EOG) (obejmujący kraje Unii Europejskiej oraz Islandię, Liechtenstein i Norwegię) na podstawie tego, że ten kraj, terytorium lub organizacja zostały wyznaczone jako posiadające odpowiedni poziom ochrony lub że organizacja otrzymująca informacje zapewniła odpowiednie zabezpieczenia w postaci wiążących reguł korporacyjnych lub standardowych klauzul ochrony danych lub zgodności z zatwierdzonym kodeksem postępowania lub za wyraźną zgodą klienta.

 

  1. Trening

 

  1. Firma zapewni, że personel zostanie odpowiednio przeszkolony w zakresie swoich obowiązków w zakresie ochrony danych. Osoby, których role wymagają regularnego dostępu do danych osobowych lub które są odpowiedzialne za wdrażanie niniejszej polityki lub odpowiadanie na prośby o dostęp podmiotu zgodnie z niniejszą polityką, przejdą dodatkowe szkolenie, które pomoże im zrozumieć ich obowiązki i sposób ich przestrzegania.

 

  1. Konsekwencje nieprzestrzegania

 

  1. Firma bardzo poważnie traktuje przestrzeganie tej polityki. Nieprzestrzeganie zasad:

 

  1. naraża osoby, których dane osobowe są przetwarzane; oraz

 

  1. niesie ze sobą ryzyko znaczących sankcji cywilnych i karnych dla osoby fizycznej i Firmy; oraz

 

  1. może w pewnych okolicznościach stanowić przestępstwo popełnione przez daną osobę.

 

  1. Ze względu na znaczenie tej polityki nieprzestrzeganie przez pracownika któregokolwiek z jej wymogów może prowadzić do wszczęcia postępowania dyscyplinarnego zgodnie z naszymi procedurami, a takie działanie może skutkować zwolnieniem z pracy za rażące przewinienie. Jeśli osoba niebędąca pracownikiem naruszy niniejszą politykę, jej umowa może zostać rozwiązana ze skutkiem natychmiastowym.

 

  1. Jeśli masz jakiekolwiek pytania lub wątpliwości dotyczące czegokolwiek w tej polityce, nie wahaj się skontaktować z inspektorem ochrony danych;

 

 

 

Przeczytałem i zrozumiałem niniejszą politykę i zgadzam się przestrzegać jej warunków.

 

Podpisano ......................................................... ................................................................ .

bottom of page