Политика защиты персональных данных

На основании ст. 24 Регламента 2016/679, Политика защиты персональных данных вводится с 09.01.2018.

Юридические требования:

Закон от 10 мая 2018 г. о защите персональных данных (Законодательный вестник № 018, поз. 1000). Постановление министра внутренних дел и администрации от 29 апреля 2004 г. о документации по обработке персональных данных и технических и организационных аспектах, которые должны выполняться устройствами и информационными системами, используемыми для обработки персональных данных (Вестник законов от 2004 г., № 100, поз. 1024). ).

1. Список основных сокращений.

SHORTCUT	ОПИСАНИЕ
u.o.d.o.	Закон от 10 мая 2018 г. о защите персональных данных (Законодательный вестник 2018 г., № пункт 1000)
GDPR	Постановление Европейского парламента о Совете ЕС 2016/679 от защита физических лиц в отношении обработки персональных данных и в о свободном перемещении таких данных и отмене Директивы 95/46 / EC (общее положение о защите личных данных)
запустить MSWIA	Постановление Министра внутренних дел и администрации от 29 Апрель 2004 г. по документированию обработки персональных данных и технические и организационные условия, которым они должны соответствовать устройства и информационные системы, используемые для обработки данных личные
UODO	Управление по защите персональных данных
ADO	Администратор персональных данных
IOD	Сотрудник по защите данных
ASI	Администратор ИТ-систем
SI	ИТ-система
SZBDO	Система управления безопасностью персональных данных
PODO	Политика защиты персональных данных
ИЗСИ	Инструкции по управлению ИТ-системами

2. Список основных определений
Всякий раз, когда настоящая Политика безопасности касается:
2.1. Администратор персональных данных – это орган, организационное подразделение, юридическое или физическое лицо, которое принимает решение о целях и способах обработки персональных данных;
2.2. Инспектор по защите данных – это физическое лицо, назначенное Администратором персональных данных, указанное в ст. 8 ед .;
2.3. Администратор ИТ-системы – это лицо или внешнее лицо, назначенное Администратором персональных данных, ответственное за работу систем и сетей ИКТ и за соблюдение принципов и требований безопасности систем и сетей ИКТ;
2.4. Уполномоченное лицо – понимается лицо, уполномоченное Администратором персональных данных на обработку персональных данных. Пользователь может быть сотрудником компании, лицом, выполняющим работу на основании мандата или другого гражданско-правового договора, а также лицом, которое занимается волонтерством, ученичеством или стажировкой.
2.5. Персональные данные – это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Опознаваемое лицо – это лицо, которое может быть идентифицировано прямо или косвенно, в частности, по идентификационному номеру или одному или нескольким факторам, характерным для его физической, умственной, экономической, культурной или социальной идентичности;
2.6. Сбор персональных данных – под ним понимается любой структурированный набор персональных данных, доступный по определенным критериям, независимо от того, является ли набор рассредоточенным или функционально разделенным;
2.7. Обработка персональных данных – это любые операции, выполняемые с персональными данными, такие как сбор, запись, хранение, разработка, изменение, совместное использование и удаление, особенно те, которые выполняются в ИТ-системах;
2.8. ИТ-система – это совокупность взаимодействующих устройств, программ, процедур обработки информации и программных средств, используемых для обработки данных;
2.9. Защита данных в ИТ-системе – под этим понимается реализация и действие технических и организационных мер, используемых для обеспечения защиты персональных данных от несанкционированной обработки;
2.10. Информационная безопасность – это понимается как набор принципов, которым следует следовать при разработке и использовании систем и приложений для обработки информации, чтобы доступ к ним соответствовал предположениям при любых обстоятельствах;
2.11. Удаление данных – это понимается как уничтожение личных данных или их изменение таким образом, что это не позволит идентифицировать субъект данных;
2.12. Согласие субъекта данных – понимается волеизъявление, содержанием которого является согласие на обработку персональных данных лица, делающего заявление. Согласие не может подразумеваться или подразумеваться из волеизъявления с другим содержанием. Согласие может быть отозвано в любой момент;
2.13. Получатели данных – это означает всех, кому раскрываются личные данные, за исключением:
– субъект данных,
– лицо, уполномоченное обрабатывать персональные данные,
– государственные органы или органы местного самоуправления, которым предоставляются данные в связи с проведенным разбирательством;
2.14. Третья страна – означает страну, входящую в Европейскую экономическую зону;
2.15. Пароль – это последовательность букв, цифр или других символов, известная только пользователю, имеющему право работать в ИТ-системе;
2.16. Идентификатор пользователя – это строка букв, цифр или других символов, которая однозначно идентифицирует лицо, уполномоченное обрабатывать данные в определенных областях ИТ-системы компании;
2.17. Конфиденциальность данных – это свойство, гарантирующее, что данные не будут доступны посторонним лицам или организациям;
2.18. Целостность данных – это свойство, гарантирующее, что личные данные не были изменены или уничтожены несанкционированным образом;
2.19. Подотчетность данных – это свойство, которое гарантирует, что действия физического или юридического лица могут быть однозначно присвоены только этому физическому или юридическому лицу;
2.20. Пользователь ИТ-системы – это лицо, уполномоченное обрабатывать персональные данные в ИТ-системах, которому присвоен уникальный идентификатор и пароль;
2.21. Аутентификация – это процесс правильной идентификации пользователя ИТ-системы в той мере, в какой это позволяет предоставить соответствующие разрешения или привилегии в ИТ-системе компании;
2.22. Инцидент – понимается как нарушение безопасности персональных данных из-за конфиденциальности, доступности и целостности;
2.23. Угроза – это потенциальная возможность инцидента;
2.24. Корректирующее действие – понимается действие, осуществляемое с целью устранения причины происшествия или другой нежелательной ситуации;
2.25. Предупреждающее действие – это действие, которое необходимо предпринять для устранения причин опасности или другой потенциально нежелательной ситуации.
3. Введение.
Политика защиты персональных данных определяет правила обработки персональных данных и методы их защиты как набор прав, правил и рекомендаций, регулирующих метод их управления, защиты и распространения данных в Metal-Fach Jacek Kucharewicz. Политика содержит информацию о признании процессов обработки персональных данных и введенных технических и организационных мерах безопасности, обеспечивающих защиту обрабатываемых данных.
личное. Этот документ соответствует действующему законодательству, в частности, Закону от 10 мая 2018 г. о защите персональных данных и GDPR. На основании анализа риска потери персональных данных уровень риска определен как базовый.
4. Цели Политики защиты персональных данных.
Целью Политики защиты персональных данных является определение и реализация принципов безопасности и защиты персональных данных, обрабатываемых в компании «Metal-Fach Jacek Kucharewicz», в частности:
4.1. обеспечение соблюдения требований законодательства;
4.2. обеспечение конфиденциальности, целостности и подотчетности персональных данных, обрабатываемых в компании;
4.3. повышение осведомленности лиц, обрабатывающих персональные данные;
4.4. вовлечение людей, обрабатывающих персональные данные компании, в их защиту.
5. Сотрудник по защите данных (DPO)
5.1. Администратор персональных данных назначает сотрудника по защите данных. Назначение происходит на основании письменной записи (форма записи представлена ​​в Приложении Z1-PODO к данному PODO).
5.2. Администратор персональных данных может назначать заместителей уполномоченного по защите данных.
5.3. Администратор персональных данных выдает доверенность сотруднику по защите данных на предоставление полномочий на обработку персональных данных.
5.4. Роль сотрудника по защите данных заключается в надзоре за соблюдением правил и применяемых технических и организационных мер, обеспечивающих защиту персональных данных, обрабатываемых в компании «Metal-Fach Jacek Kucharewicz».
5.5. В задачи сотрудника по защите данных входит:
(a) информирование контролера, обработчика и сотрудников, обрабатывающих персональные данные, об их обязательствах и других законах Союза или государств-членов о защите данных и консультирование их по этому вопросу;
б) мониторинг соблюдения GDPR (Регламент 2016/679 Европейского парламента и Совета), других законов ЕС или государств-членов о защите данных и политики контролера или обработчика в области защиты персональных данных, включая разделение пошлин, мер по увеличению
осведомленность, обучение персонала, задействованного в процессах обработки и связанных с ними аудитах;
c) предоставлять по запросу рекомендации по оценке воздействия защиты данных и контролировать ее выполнение в соответствии со ст. 35 GDPR;
г) взаимодействие с надзорным органом;
e) выступать в качестве контактного лица для надзорного органа по вопросам, связанным с обработкой, включая предварительные консультации, указанные в ст. 36 GDPR и, при необходимости, консультации по любым другим вопросам.
Кроме того, задачей DPO является ведение реестра действий по обработке персональных данных, а также реестра договоров о передаче данных.
5.6. АДО может поручить DPO выполнение других обязанностей, которые не нарушают надлежащее выполнение задач, указанных в пунктах 4-5.
6. Лица, уполномоченные обрабатывать персональные данные.
6.1. Обязанности лиц, уполномоченных обрабатывать персональные данные, включают:
– ознакомление с положениями закона о защите персональных данных и положениями Политики защиты персональных данных и Инструкций по управлению ИТ-системами;
– соблюдение рекомендаций ДПО;
– обработка персональных данных только в объеме, индивидуально определенном Администратором персональных данных в письменном разрешении, и только с целью выполнения возложенных на него официальных обязанностей;
– незамедлительно информировать DPO о любых нарушениях, касающихся безопасности персональных данных, обрабатываемых в компании;
– защита персональных данных и средств, используемых для обработки персональных данных, от несанкционированного доступа, раскрытия, изменения, уничтожения или искажения;
– использование ИТ-систем компании в соответствии с инструкциями, содержащимися в руководствах для устройств, включенных в ИТ-системы;
– неограниченная конфиденциальность персональных данных и способы ее защиты;
– проявление особой осмотрительности при обработке персональных данных с целью защиты интересов субъектов данных.
7. Основные принципы защиты персональных данных.
7.1. Все личные данные в компании должны обрабатываться в соответствии с действующим законодательством.
7.2. В отношении лиц, чьи персональные данные обрабатываются, выполняется обязательство по предоставлению информации, вытекающее из положений Закона о персональных данных.
7.3. Собранные персональные данные должны обрабатываться для определенных и законных целей и не должны подвергаться дальнейшей обработке, несовместимой с этими целями.
7.4. Необходимо обеспечить, чтобы обработка персональных данных происходила в соответствии с принципами достоверности по существу и в соответствии с целями, для которых они были собраны.
7.5. Персональные данные в компании могут обрабатываться не дольше, чем это необходимо для достижения цели их обработки.
7.6. Необходимо обеспечить конфиденциальность, целостность и подотчетность персональных данных, обрабатываемых в компании.
7.7. Обработанные персональные данные не могут быть доступны без согласия субъектов данных, за исключением случаев, когда данные предоставляются субъектам данных, лицам, уполномоченным обрабатывать персональные данные, организациям, которым данные были предоставлены на основании соглашения о доверии, и государственным органам. или органов местного самоуправления в связи с проведенным
продолжаются.
7.8. Обработка персональных данных в компании может происходить как в ИТ-системах, так и в традиционной форме: файлы, индексы, книги, списки и другие файлы записей.
7.9. Что касается персональных данных, обрабатываемых в системах, отличных от ИТ, все еще применяются существующие правила о профессиональной тайне, обращении и защите официальных документов.
7.10. Все лица, чьи данные обрабатываются, имеют право защищать свои данные, контролировать обработку этих данных, а также обновлять и удалять их, а также получать всю информацию о своих правах.
8. Разрешение на обработку персональных данных.
8.1. Только лица, уполномоченные обрабатывать персональные данные (образец разрешения прилагается в Приложении Z2-PODO), выданные Администратором персональных данных или
Сотрудник по защите данных и представил соответствующее заявление о надлежащем выполнении положений (образец декларации прилагается в Приложении Z3-PODO).
8.2. От имени КПК DPO ведет реестр лиц, уполномоченных обрабатывать персональные данные (образец реестра – Приложение Z4-PODO).
9. Поручить обработку персональных данных.
9.1 Администратор персональных данных может поручить другому лицу обработать персональные данные для выполнения конкретной задачи.
9.2 В случае поручения обработки персональных данных внешнему лицу договор о передаче персональных данных в первую очередь определяет цель и объем обработки персональных данных. Список заключенных договоров доверительного управления хранится в DPO.
10. Обмен личными данными.
Предоставление персональных данных в компании допускается на основании одного из правовых оснований, указанных в u.o.d.o. или на основании положений других законов. DPO ведет учет обмена личными данными с учреждениями и лицами, не входящими в состав компании (образец записи прилагается в Приложении Z5-PODO).
11. Передача личных данных за пределы Польши.
11.1. Администратор персональных данных может передавать персональные данные:
– страны Европейской экономической зоны;
– другие страны (третьи страны).
11.2. Передача персональных данных в пределах ЕЭЗ рассматривается так, как если бы они обрабатывались в Польше.
11.3. В случае передачи персональных данных в третью страну должно быть выполнено одно из условий:
– страна назначения гарантирует защиту личных данных на своей территории, по крайней мере, в соответствии с действующим на территории Республики Польша;
– когда передача персональных данных является следствием обязательства, налагаемого законом или положениями ратифицированного международного соглашения;
– согласие Управления по защите персональных данных (UODO) на предоставление персональных данных.
12. Список зданий, помещений или частей помещений, составляющих территорию, в которой обрабатываются персональные данные.
DPO несет ответственность за ведение и хранение документации, содержащей список зданий, помещений или частей помещений, образующих территорию, в которой обрабатываются персональные данные, как в бумажной, так и в электронной форме. Текущий список областей обработки персональных данных включен в Приложение Z6-PODO.
13. Список файлов персональных данных с указанием программ, используемых для обработки этих данных.
DPO несет ответственность за ведение и хранение документации, содержащей список всех файлов личных данных с указанием программ, используемых для обработки этих данных. Текущий список файлов с личными данными включен в Приложение Z7-PODO.
14. Описание структуры файлов персональных данных.
DPO несет ответственность за ведение и хранение документации, содержащей описание структуры файлов личных данных, обрабатываемых в компании. Текущее описание структуры файлов персональных данных включено в Приложение Z8-PODO.
15. Описание потока данных между ними
системы.
DPO отвечает за ведение и хранение документации, содержащей описание потока данных между отдельными системами.
Текущее описание метода потока данных включено в Приложение Z9-PODO.
16. Определение технических и организационных мер, необходимых для обеспечения конфиденциальности, целостности и подотчетности обрабатываемых данных.
DPO несет ответственность за ведение и хранение документации, содержащей определенные технические и организационные меры, необходимые для обеспечения конфиденциальности, целостности и подотчетности обрабатываемых данных.
Текущее описание применяемых технических и организационных мер включено в Приложение Z10-PODO.
17. Уголовно-исполнительные правила.
Нормативно-правовые акты регулируются:
– Закон от 10 мая 2018 г. о защите персональных данных (Законодательный вестник 2018 г., п. 1000) – Ст. 102-108;
– Закон от 6 июня 1997 г. Уголовный кодекс (Законодательный вестник 1997 г., № 88, поз. 553, с изменениями) – Ст. 266;
– Закон от 26 июня 1974 г., Трудовой кодекс (Законодательный вестник 1998 г., № 21, пункт 94, с изменениями) – Ст. 52 и арт. 108.
18. Заключительные положения.
В вопросах, не охваченных настоящей Политикой защиты личных данных, применяются положения Закона от 10 мая 2018 г. о защите личных данных (например, Законодательный вестник 2018 г., пункт 1000) и положения о применении настоящего Закона.
Процедура, которой необходимо следовать в случае нарушения безопасности персональных данных, указана в процедуре, которая является Приложением 12 к PODO, и такой факт регистрируется в реестре инцидентов и событий, который является Приложением 11 к PODO.
19. Вложения.
19.1. Z1-PODO – Назначение сотрудника по защите данных;
19.2. Z2-PODO – Разрешение на обработку персональных данных;
19.3. Z3-PODO – Заявление о надлежащем выполнении положений u.o.d.o .;
19.4. Z4-PODO – Записи лиц, уполномоченных обрабатывать персональные данные;
19.5. Z5-PODO – Записи обмена персональными данными;
19.6. Z6-PODO – Список зданий, помещений или частей помещений, составляющих территорию, в которой обрабатываются персональные данные;
19.7. Z7-PODO – Список файлов персональных данных с убеждением в программах, используемых для обработки этих данных;
19,8. Z8-PODO – Описание структуры файлов персональных данных;
19.9. Z9-PODO – Описание метода обмена данными между отдельными системами;
19.10. Z10-PODO – Описание применяемых технических и организационных мероприятий;
19.11. Z11-PODO – Реестр происшествий и событий.
19.12. Z12-PODO – Процедура, которой необходимо следовать в случае нарушения безопасности Персональных данных.