Политика защиты
личные данные

Настоящая Политика защиты данных (далее - "Политика") разработана с целью продемонстрировать, что обработка и защита персональных данных осуществляется в соответствии с требованиями законодательства, касающегося правил обработки и безопасности данных компании, включая Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46/EC (далее - RODO).

Вы можете связаться с нами:

• по почте - Офис компании ул. Лужицкая 25а, 59-900 Згожелец
• по телефону - 756408105
• по электронной почте - biuro@topping-work.pl
• другим способом, который мы указываем на сайте

Определения:

1. Администратор данных / Компания - Topping Work Europe sp. z o.o. в Згожелец
2. Личные данные - любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу
3. Информационная система - совокупность взаимодействующих устройств, программ, программных средств обработки информации, используемых для обработки данных
4. Пользователь - лицо, уполномоченное Контролером данных на обработку персональных данных
5. Набор данных - любой структурированный набор данных персонального характера, доступный по определенным критериям
6. Обработка данных - любая операция, выполняемая с Личными данными, такая как сбор, запись, хранение, обработка, изменение, раскрытие и удаление в традиционной форме и в ИТ-системах.
7. Идентификатор пользователя - последовательность буквенных, цифровых или иных символов, однозначно идентифицирующих лицо, уполномоченное на обработку персональных данных в компьютерной системе (Пользователя), в случае обработки персональных данных в такой системе.
8. Пароль - последовательность буквенных, цифровых или иных символов, известная только лицу, допущенному к работе в компьютерной системе (Пользователю), в случае обработки персональных данных в такой системе
9. Аутентификация - действие, целью которого является проверка заявленной идентичности субъекта (пользователя).

I. Общие положения

1. Политика распространяется на все Персональные данные, обрабатываемые в Компании, независимо от формы обработки (традиционно обрабатываемые коллекции записей, IT-системы), а также от того, обрабатываются ли данные или могут быть обработаны в виде наборов данных.
2. Политика хранится в электронном виде и на бумажном носителе в офисе администратора.
3. Для эффективной реализации Политики Контролер данных должен обеспечить:
   1. технические меры и организационные решения, соответствующие рискам и категориям данных, подлежащих защите,
   2. контроль и надзор за обработкой персональных данных,
   3. мониторинг применяемых мер защиты.
4. Контроль со стороны Контролера данных за соблюдением мер безопасности включает, в частности, действия Пользователей, нарушения доступа к данным, обеспечение целостности файлов и защиту от внешних и внутренних атак.
5. Контролер данных должен обеспечить, чтобы деятельность, осуществляемая в отношении обработки и защиты персональных данных, соответствовала настоящей политике и соответствующему законодательству

II. Персональные данные, обрабатываемые у Администратора, Реестр деятельности

1. Персональные данные, обрабатываемые Контролером данных, собираются в Наборы данных.
2. Контроллер не должен осуществлять деятельность по обработке, которая может представлять серьезную вероятность высокого риска для прав и свобод людей.
3. При планировании новых действий по обработке данных Контролер должен проанализировать их последствия для защиты данных и учесть соображения защиты данных на этапе разработки.
4. Контроллер должен вести реестр действий по обработке. Реестр действий по обработке должен быть составлен в письменной и электронной форме.
5. Контроллер должен предоставить реестр операций по обработке данных президенту Бюро по запросу.
6. Реестр должен содержать следующую информацию: имя и контактные данные Контролера и ответственного за защиту данных, если он назначен, цели обработки; описание категорий субъектов данных и категорий персональных данных, категорий получателей, которым персональные данные были или будут раскрыты, включая получателей в третьих странах или международных организациях, где это применимо, информацию о передаче персональных данных в третью страну или международную организацию, включая название этой третьей страны или международной организации и, в случае передачи, указанной в ст. 49(1), второй подпункт, документацию о соответствующих гарантиях; по возможности, планируемые сроки стирания различных категорий данных, по возможности, общее описание технических и организационных мер безопасности, упомянутых в статье 32(1) RODO.
7. Персональные данные, которые обрабатывает компания:
   1. заключать или исполнять договоры, заключенные с вами или с вашим участием,
   2. для выполнения юридических обязательств,
   3. в целях соблюдения наших законных интересов.
   4. для выполнения задач, отвечающих общественным интересам,
   5. на основании вашего согласия.
8. Если вы не предоставите нам свои данные, мы не сможем заключить и исполнить с вами договор. Предоставление данных является добровольным, но необходимым для заключения и исполнения договора с нами. В этом случае мы обязаны идентифицировать вас, собрать и сохранить ваши данные.

III. Обязанности и ответственность за управление безопасностью

1. Все лица обязаны обрабатывать персональные данные в соответствии с действующим законодательством и в соответствии с Политикой, установленной Контролером данных, а также другими внутренними документами и процедурами, связанными с обработкой персональных данных в Компании.
2. Все персональные данные в компании обрабатываются в соответствии с правилами обработки, предусмотренными законодательством:
   1. в каждом случае присутствует хотя бы одно из законных оснований для обработки данных,
   2. данные обрабатываются честно и прозрачно,
   3. Личные данные собираются для конкретных, явных и законных целей и не обрабатываются в дальнейшем способом, несовместимым с этими целями,
   4. персональные данные обрабатываются только в том объеме, который необходим для достижения цели обработки,
   5. правильность и обновление персональных данных по мере необходимости,
   6. срок хранения данных ограничивается периодом их полезности для целей, для которых они были собраны, после чего они анонимизируются или удаляются,
   7. в отношении субъекта данных выполняется обязательство по информированию в соответствии с содержанием статей 13 и 14 RODO,
   8. данные защищены от нарушений безопасности.
3. В частности, нарушением или попыткой нарушения принципов обработки и защиты Личных данных считаются:
   1. нарушение безопасности ИТ-систем, в которых обрабатываются персональные данные, если они обрабатываются в таких системах,
   2. передача или предоставление возможности передачи данных неавторизованным лицам или организациям,
   3. несоблюдение, пусть даже непреднамеренное, обязанности по защите персональных данных,
   4. Невыполнение обязательства по сохранению конфиденциальности Персональных данных и средств их защиты,
   5. обработка Персональных данных не в соответствии с предполагаемым объемом и целью их сбора,
   6. причинение вреда, утрата, неконтролируемое изменение или несанкционированное копирование Личных данных,
   7. нарушение прав субъектов данных.
4. Если Пользователь обнаружит обстоятельства нарушения данных, он обязан принять все необходимые меры для ограничения последствий нарушения и незамедлительно уведомить об этом Контролера данных.
5. При найме, увольнении или изменении условий найма сотрудников или помощников (лиц, осуществляющих деятельность для Контролера данных по другим гражданско-правовым договорам) Контролер данных несет ответственность за то, чтобы:
6. сотрудники были надлежащим образом подготовлены к выполнению своих обязанностей,
7. каждый обработчик Персональных данных имеет письменное разрешение на обработку в соответствии с "Разрешением на обработку Персональных данных" - образец Разрешения приведен в Приложении 1 к настоящей Политике,
8. каждый сотрудник обязуется сохранять конфиденциальность обрабатываемых в Компании персональных данных. "Декларация и обязательство лица, обрабатывающего персональные данные, соблюдать конфиденциальность" (по образцу - Приложение № 2 к настоящей Политике).
9. Сотрудники обязаны:
   1. строгое соблюдение объема выданного разрешения,
   2. обработка и защита персональных данных в соответствии с законодательством,
   3. конфиденциальность персональных данных и способы их защиты,
   4. информирование об инцидентах, связанных с безопасностью данных, и системных сбоях.

IV. Определение технических и организационных мер, необходимых для обеспечения конфиденциальности, целостности и подотчетности обрабатываемых данных

1. Контролер данных должен обеспечить применение технических и организационных мер, необходимых для обеспечения конфиденциальности, целостности, подотчетности и непрерывности обрабатываемых данных.
2. Вышеупомянутые меры включают:
   1. защищенные серверы данных, защищенные сетевые диски, защищенный почтовый сервер, защищенные системы управления, бухгалтерия и кадровая система, внутренний документооборот и данные,
   2. обучение сотрудников.
3. Применяемые меры безопасности (технические и организационные) должны соответствовать установленному уровню риска для отдельных систем, типов систем хранения и категорий данных, включая такие меры:
   1. ограничивать доступ в помещения, где обрабатываются персональные данные, только должным образом уполномоченными лицами. Другие лица могут находиться в помещениях, используемых для обработки данных, только в сопровождении уполномоченного лица,
   2. запирать помещения, составляющие зону обработки персональных данных, на время отсутствия сотрудников таким образом, чтобы предотвратить доступ третьих лиц,
   3. Использование запирающихся шкафов и сейфов для защиты документов;
   4. использование шредера для эффективной утилизации документов, содержащих персональные данные,
   5. защита локальной сети от действий, инициированных извне, с помощью межсетевого экрана,
   6. защита компьютерного оборудования, используемого в помещениях Контролера данных, от вредоносных программ,
   7. защита доступа к объектам компании с помощью паролей;
   8. использование шифрования при передаче данных.

V. Нарушения принципов защиты данных

1. В случае нарушения персональных данных Контролер данных должен оценить, могло ли произошедшее нарушение создать риск ущемления прав и свобод физических лиц.
2. В любой ситуации, когда нарушение могло привести к риску нарушения прав или свобод физических лиц, Контролер данных должен без излишней задержки - если это возможно, не позднее 72 часов с момента обнаружения нарушения - уведомить надзорный орган о факте нарушения правил защиты данных. Шаблон уведомления приведен в Приложении № 3 к настоящей Политике.
3. Если риск нарушения прав и свобод высок, Контролер данных также должен уведомить субъекта данных о случившемся.

VI. Поручение обработки персональных данных

1. Контролер данных может поручить обработку персональных данных другому лицу (обработчику) только на основании договора, заключенного в письменной форме, в соответствии с требованиями, указанными для таких договоров в статье 28 RODO (в соответствии с моделью, являющейся Приложением № 4 к Политике).
2. Прежде чем доверить обработку персональных данных, Контролер данных должен, насколько это возможно, получить информацию о существующей практике обработчика в отношении безопасности персональных данных.

VII. Передача данных в третью страну

Контролер данных не будет передавать личные данные в третью страну, кроме как по запросу субъекта данных.

VIII. Заключительные положения

1. За невыполнение обязательств, предусмотренных настоящим документом, сотрудник несет ответственность в соответствии с Трудовым кодексом, Положением о защите персональных данных и Уголовным кодексом в отношении персональных данных, составляющих профессиональную тайну.
2. Следующие Приложения являются неотъемлемой частью настоящей Политики:
   • Приложение 1 - Образец разрешения на обработку персональных данных (pdf, 59 КБ).
   • Приложение 2 - Типовая декларация и обязательства обработчика данных (pdf, 57 КБ)
   • Приложение 3 - Шаблон уведомления о нарушении данных (pdf, 68 КБ)