fbpx

METAL-FACH

Отопительная Техника

Политика защиты персональных данных

На основании ст. 24 Регламента 2016/679, Политика защиты персональных данных вводится 01.09.2018.

Правовые требования:

Закон о защите персональных данных от 10 мая 2018 г. (Законодательный вестник 018, поз. 1000). Распоряжение министра внутренних дел и администрации от 29 апреля 2004 г. о документации обработки персональных данных и технических условиях и организационная, которую должны выполнять устройства и ИТ-системы, используемые для обработки персональных данных (Законодательный вестник 2004 г., № 100, п. 1024).

1. Wykaz podstawowych skrótów.

КОРОТКОЕОПИСАНИЕ
u.o.d.o.Закон от 10 мая 2018 г. о защите персональных данных (Законодательный вестник 2018 г., стр.
пункт 1000)
RODOПостановление Европейского парламента о Совете ЕС 2016/679 о
защита физических лиц в отношении обработки персональных данных и в
о свободном перемещении таких данных и отмене Директивы
95/46 / EC (общее положение о защите персональных данных)
pег. MSWIAРаспоряжение министра внутренних дел и администрации от 29
Апрель 2004 г. по документированию обработки персональных данных
и технические и организационные условия, которым они должны соответствовать
устройства и информационные системы, используемые для обработки данных
личный
UODOУправление по защите персональных данных
ADOАдминистратор персональных данных
IODСотрудник по защите данных
ASIАдминистратор ИТ-систем
SIIT система
SZBDOСистема управления безопасностью персональных данных
PODOПолитика защиты персональных данных
IZSIИнструкция по управлению информационными системами

2. Список основных определений
Всякий раз, когда настоящая Политика безопасности касается:
2.1. Администратор персональных данных – это орган, организационное подразделение, юридическое или физическое лицо, принимающее решение о целях и способах обработки персональных данных;
2.2. Инспектор по защите данных – это физическое лицо, назначенное Администратором персональных данных, указанное в ст. 8 u.o.d.o .;
2.3. Администратор ИТ-системы – это лицо или внешнее лицо, назначенное Администратором персональных данных, ответственное за работу систем и сетей ИКТ и за соблюдение принципов и требований безопасности систем и сетей ИКТ;
2.4. Уполномоченное лицо – это лицо, уполномоченное Администратором персональных данных на обработку персональных данных. Пользователь может быть сотрудником компании, лицом, выполняющим работу на основании мандата или другого гражданско-правового договора, а также лицом, которое занимается волонтерством, практикой или стажировкой.
2.5. Персональные данные – это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Опознаваемое лицо – это лицо, которое может быть идентифицировано прямо или косвенно, в частности, по идентификационному номеру или одному или нескольким факторам, характерным для его физической, умственной, экономической, культурной или социальной идентичности;
2.6. Сбор персональных данных – это любой структурированный набор персональных данных, доступный по определенным критериям, независимо от того, является ли набор рассредоточенным или функционально разделенным;
2.7. Обработка персональных данных – это любые операции, выполняемые с персональными данными, такие как сбор, запись, хранение, разработка, изменение, совместное использование и удаление, особенно те, которые выполняются в ИТ-системах;
2.8. ИТ-система – это совокупность взаимодействующих устройств, программ, процедур обработки информации и программных средств, используемых для обработки данных;
2.9. Защита данных в ИТ-системе – под этим понимается реализация и действие технических и организационных мер, применяемых для обеспечения защиты персональных данных от несанкционированной обработки;
2.10. Информационная безопасность – это понимается как набор принципов, которым необходимо следовать при разработке и использовании систем и приложений, используемых для обработки информации, чтобы доступ к ним соответствовал предположениям при любых обстоятельствах;
2.11. Удаление данных – это означает уничтожение личных данных или такое изменение, которое не позволяет идентифицировать субъект данных;
2.12. Согласие субъекта данных – понимается волеизъявление, содержанием которого является согласие на обработку персональных данных лица, подающего заявление. Согласие не может быть подразумеваемым или подразумеваемым из волеизъявления другого содержания. Согласие может быть отозвано в любой момент;
2.13. Получатели данных – это означает всех, кому раскрываются личные данные, за исключением:
– субъект данных,
– лицо, уполномоченное обрабатывать персональные данные,
– государственные органы или органы местного самоуправления, которым предоставляются данные в связи с рассмотрением дела;
2.14. Третья страна – означает страну, входящую в Европейскую экономическую зону;
2.15. Пароль – это строка букв, цифр или других символов, известная только пользователю, имеющему право работать в ИТ-системе;
2.16. Идентификатор пользователя – это строка букв, цифр или других символов, которая однозначно идентифицирует лицо, уполномоченное обрабатывать данные в определенных областях ИТ-системы компании;
2.17. Конфиденциальность данных – это свойство, гарантирующее, что данные не будут раскрыты посторонним лицам или организациям;
2.18. Целостность данных – это свойство, гарантирующее, что личные данные не были изменены или уничтожены несанкционированным образом;
2.19. Подотчетность данных – это свойство, гарантирующее, что действия физического или юридического лица могут быть однозначно назначены только этому физическому или юридическому лицу;
2.20. Пользователь ИТ-системы – это лицо, уполномоченное обрабатывать персональные данные в ИТ-системах, которому присвоен уникальный идентификатор и пароль;
2.21. Аутентификация – под этим понимается процесс правильной идентификации пользователя ИТ-системы в той степени, в которой это позволяет предоставить соответствующие разрешения или привилегии в ИТ-системе компании;
2.22. Инцидент – понимается как нарушение безопасности персональных данных в связи с конфиденциальностью, доступностью и целостностью;
2.23. Угроза – означает потенциальную возможность инцидента;
2.24. Корректирующее действие – понимается действие, осуществляемое с целью устранения причины происшествия или другой нежелательной ситуации;
2.25. Предупреждающее действие – это действие, которое необходимо предпринять для устранения причин опасности или другой потенциально нежелательной ситуации.
3. Введение.
Политика защиты персональных данных определяет правила обработки персональных данных и методы их защиты, как набор прав, правил и рекомендаций, регулирующих метод их управления, защиты и распространения данных в Metal-Fach Jacek Kucharewicz. Политика содержит информацию о признании процессов обработки персональных данных и введенных технических и организационных мерах безопасности, обеспечивающих защиту обрабатываемых данных.
личное. Этот документ соответствует действующему законодательству, в частности Закону от 10 мая 2018 г. о защите персональных данных и GDPR. На основании анализа риска потери персональных данных уровень риска определен как базовый.
4. Цели Политики защиты персональных данных.
Целью Политики защиты персональных данных является определение и реализация принципов безопасности и защиты персональных данных, обрабатываемых в компании «Metal-Fach Jacek Kucharewicz», в частности:
4.1. обеспечение соблюдения требований законодательства;
4.2. обеспечение конфиденциальности, целостности и подотчетности персональных данных, обрабатываемых в компании;
4.3. повышение осведомленности лиц, обрабатывающих персональные данные;
4.4. вовлечение людей, обрабатывающих персональные данные компании, в их защиту.
5. Сотрудник по защите данных (DPO)
5.1. Администратор персональных данных назначает сотрудника по защите данных. Назначение происходит на основе письменной записи (образец записи прилагается в Приложении Z1-PODO к данному PODO).
5.2. Администратор персональных данных может назначать заместителей уполномоченного по защите данных.
5.3. Администратор персональных данных выдает уполномоченному по защите данных доверенность на предоставление полномочий на обработку персональных данных.
5.4. Роль сотрудника по защите данных заключается в надзоре за соблюдением правил и применяемых технических и организационных мер, обеспечивающих защиту персональных данных, обрабатываемых в компании «Metal-Fach Jacek Kucharewicz».
5.5. В задачи сотрудника по защите данных входит:
(а) информирование контролера, обработчика и сотрудников, обрабатывающих персональные данные, об их обязательствах и других законах Союза или государств-членов о защите данных и консультировать их по этому вопросу;
б) мониторинг соблюдения GDPR (Регламент 2016/679 Европейского парламента и Совета), других законов ЕС или государств-членов о защите данных и политик контролера или обработчика в области защиты персональных данных, включая разделение обязанностей, меры по увеличению
осведомленность, обучение персонала, вовлеченного в технологические операции и связанные с ними аудиты;
c) предоставление по запросу рекомендаций по оценке воздействия защиты данных и мониторинг ее выполнения в соответствии со ст. 35 GDPR;
г) взаимодействие с надзорным органом;
e) выступать в качестве контактного лица для надзорного органа по вопросам, связанным с обработкой, включая предварительные консультации, указанные в Ст. 36 GDPR и, при необходимости, консультации по любым другим вопросам.
Кроме того, задачей DPO является ведение реестра действий по обработке персональных данных, а также реестра договоров о передаче данных.
5.6. АДО может поручить DPO другие обязанности, которые не нарушают надлежащего выполнения задач, указанных в пунктах 4-5.
6. Лица, уполномоченные обрабатывать персональные данные.
6.1. Обязанности лиц, уполномоченных обрабатывать персональные данные, включают:
– ознакомление с положениями закона о защите персональных данных и положениями Политики защиты персональных данных и Инструкции по управлению ИТ-системами;
– соблюдение рекомендаций ДПО;
– обработка персональных данных только в объеме, индивидуально определенном Администратором персональных данных в письменном разрешении, и только с целью выполнения возложенных обязанностей;
– незамедлительно информировать DPO о любых нарушениях в отношении безопасности персональных данных, обрабатываемых в компании;
– защита персональных данных и средств, используемых для обработки персональных данных, от несанкционированного доступа, раскрытия, изменения, уничтожения или искажения;
– использование ИТ-систем компании в соответствии с руководящими принципами, содержащимися в руководствах для устройств, включенных в ИТ-системы;
– неограниченная конфиденциальность персональных данных и способы ее защиты;
– проявление особой осмотрительности при обработке персональных данных с целью защиты интересов субъектов данных.
7. Основные принципы защиты персональных данных.
7.1. Все личные данные в компании должны обрабатываться в соответствии с действующим законодательством.
7.2. В отношении лиц, чьи персональные данные обрабатываются, обязательство по предоставлению информации, вытекающее из положений Закона о персональных данных, должно быть выполнено.
7.3. Собранные персональные данные должны обрабатываться для определенных и законных целей и не должны подвергаться дальнейшей обработке, несовместимой с этими целями.
7.4. Следует обеспечить, чтобы обработка персональных данных происходила в соответствии с принципами достоверности по существу и в соответствии с целями, для которых они были собраны.
7.5. Персональные данные в компании могут обрабатываться не дольше, чем это необходимо для достижения цели их обработки.
7.6. Необходимо обеспечить конфиденциальность, целостность и подотчетность персональных данных, обрабатываемых в компании.
7.7. Обработанные персональные данные не могут быть доступны без согласия субъектов данных, за исключением случаев, когда данные предоставляются субъектам данных, лицам, уполномоченным обрабатывать персональные данные, организациям, которым данные были предоставлены на основании соглашения о доверии, а также государственным органам или органам местного самоуправления в связь с проведенным
продолжаются.
7.8. Обработка персональных данных в компании может происходить как в ИТ-системах, так и в традиционной форме: файлы, указатели, книги, списки и другие записи.
7.9. Что касается персональных данных, обрабатываемых в системах, отличных от ИТ, все еще применяются существующие правила о профессиональной тайне, обращении и защите официальных документов.
7.10. Все лица, чьи данные обрабатываются, имеют право защищать свои данные, контролировать обработку этих данных, а также обновлять и удалять их, а также получать всю информацию о своих правах.
8. Разрешение на обработку персональных данных.
8.1. Только лица, уполномоченные обрабатывать персональные данные (образец разрешения прилагается в Приложении Z2-PODO), выданные Администратором персональных данных или
Инспектор по защите данных и представил соответствующее заявление о надлежащем выполнении положений (образец декларации прилагается в Приложении Z3-PODO).
8.2. От имени КПК DPO ведет реестр лиц, уполномоченных обрабатывать персональные данные (образец реестра – Приложение Z4-PODO).
9. Поручить обработку персональных данных.
9.1 Администратор персональных данных может поручить другому лицу обработать персональные данные для выполнения конкретной задачи.
9.2 В случае поручения обработки персональных данных внешнему лицу договор о передаче персональных данных в первую очередь определяет цель и объем обработки персональных данных. Перечень заключенных доверительных договоров хранится в DPO.
10. Предоставление личных данных.
Предоставление персональных данных в компании допускается на основании одного из правовых оснований, указанных в u.o.d.o. или на основании положений других законов. DPO ведет учет обмена личными данными с организациями и лицами вне компании (образец записи прилагается в Приложении Z5-PODO).
11. Передача личных данных за пределы Польши.
11.1. Администратор персональных данных может передавать персональные данные:
– страны Европейской экономической зоны;
– другие страны (третьи страны).
11.2. Передача персональных данных в пределах ЕЭЗ рассматривается так, как если бы они обрабатывались в Польше.
11.3. В случае передачи персональных данных в третью страну должно быть выполнено одно из условий:
– страна назначения гарантирует защиту личных данных на своей территории, по крайней мере, в соответствии с действующим на территории Республики Польша;
– когда передача персональных данных является результатом обязательства, налагаемого законом или положениями ратифицированного международного соглашения;
– Управление защиты личных данных соглашается предоставить личные данные.
12. Список зданий, помещений или частей помещений, образующих территорию, в которой обрабатываются персональные данные.
DPO несет ответственность за ведение и хранение документации, содержащей список зданий, помещений или частей помещений, образующих территорию, в которой обрабатываются личные данные, как в бумажной, так и в электронной форме. Текущий перечень областей обработки персональных данных включен в Приложение Z6-PODO.
13. Список файлов персональных данных с указанием программ, используемых для обработки этих данных.
DPO несет ответственность за ведение и хранение документации, содержащей список всех файлов личных данных с указанием программ, используемых для обработки этих данных. Текущий список файлов с персональными данными включен в Приложение Z7-PODO.
14. Описание структуры файлов персональных данных.
DPO несет ответственность за ведение и хранение документации, содержащей описание структуры файлов личных данных, обрабатываемых в компании. Текущее описание структуры файлов персональных данных включено в Приложение Z8-PODO.
15. Описание потока данных между отдельными
системы.
DPO отвечает за ведение и хранение документации, содержащей описание потока данных между отдельными системами.
Текущее описание метода потока данных включено в Приложение Z9-PODO.
16. Определение технических и организационных мер, необходимых для обеспечения конфиденциальности, целостности и подотчетности обрабатываемых данных.
DPO несет ответственность за ведение и хранение документации, содержащей определенные технические и организационные меры, необходимые для обеспечения конфиденциальности, целостности и подотчетности обрабатываемых данных.
Текущее описание применяемых технических и организационных мер включено в Приложение Z10-PODO.
17. Уголовно-исполнительные правила.
Нормы наказания и порядка регулируются:
– Закон от 10 мая 2018 г. о защите персональных данных (Законодательный вестник 2018 г., п. 1000) – ст. 102-108;
– Закон от 6 июня 1997 г. об Уголовном кодексе (Законодательный вестник 1997 г., № 88, поз. 553, с поправками) – Ст. 266;
– Закон от 26 июня 1974 г., Трудовой кодекс (Законодательный вестник 1998 г., № 21, пункт 94, с изменениями) – Ст. 52 и арт. 108.
18. Заключительные положения.
В вопросах, не охваченных настоящей Политикой защиты личных данных, применяются положения Закона от 10 мая 2018 г. о защите личных данных (т.е.Законодательный вестник 2018 г., пункт 1000) и положения о применении настоящего Закона.
Процедура, которой необходимо следовать в случае нарушения безопасности личных данных, указана в процедуре, которая является Приложением 12 к PODO, и такой факт регистрируется в реестре инцидентов и событий, который является Приложением 11 к PODO.
19. Вложения.
19.1. Z1-PODO – Назначение ответственного за защиту данных;
19.2. Z2-PODO – Разрешение на обработку персональных данных;
19.3. Z3-PODO – Декларация о надлежащем выполнении положений u.o.d.o .;
19.4. Z4-PODO – Записи лиц, уполномоченных обрабатывать персональные данные;
19.5. Z5-PODO – Записи обмена персональными данными;
19.6. Z6-PODO – Список зданий, помещений или частей помещений, образующих территорию, в которой обрабатываются персональные данные;
19.7. Z7-PODO – Список файлов персональных данных с убеждением программ, используемых для обработки этих данных;
19,8. Z8-PODO – Описание структуры файлов персональных данных;
19.9. Z9-PODO – Описание метода обмена данными между отдельными системами;
19.10. Z10-PODO – Описание применяемых технических и организационных мероприятий;
19.11. Z11-PODO – Реестр происшествий и событий.
19.12. Z12-PODO – Процедура, которой необходимо следовать в случае нарушения безопасности Персональных данных.