Політика захисту
персональні дані

Ця Політика захисту даних ("Політика") була розроблена для того, щоб продемонструвати, що персональні дані обробляються та захищаються відповідно до вимог законодавства, що стосуються правил обробки та захисту даних Компанії, включаючи Регламент (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб у зв'язку з обробкою персональних даних і про вільний рух таких даних та про скасування Директиви 95/46/ЄС (далі - RODO).

Ви можете зв'язатися з нами:

• поштою - Офіс компанії ul. Łużycka 25a, 59-900 Zgorzelec
• за телефоном - 756408105
• електронною поштою - biuro@topping-work.pl
• іншим способом, який ми вказуємо на сайті

Визначення:

1. Адміністратор даних / Компанія - Topping Work Europe sp. z o.o. в Згожельці
2. Персональні дані - будь-яка інформація, що стосується ідентифікованої фізичної особи або особи, яка може бути ідентифікована
3. Інформаційна система - сукупність взаємодіючих пристроїв, програм, процедур обробки інформації програмних засобів, що використовуються для обробки даних
4. Користувач - особа, уповноважена Контролером даних на обробку персональних даних
5. Набір даних - будь-який структурований набір даних персонального характеру, доступний за певними критеріями
6. Обробка даних - будь-яка операція, що виконується з персональними даними, така як збір, запис, зберігання, обробка, зміна, розкриття та видалення в традиційній формі та в комп'ютерних системах
7. Ідентифікатор користувача - послідовність буквених, цифрових чи інших символів, яка однозначно ідентифікує особу, уповноважену на обробку персональних даних у комп'ютерній системі (Користувача), у разі обробки персональних даних у такій системі.
8. Пароль - послідовність буквених, цифрових або інших символів, відома тільки особі, уповноваженій на роботу в комп'ютерній системі (Користувачеві) у разі обробки персональних даних у такій системі
9. Аутентифікація - дія, метою якої є перевірка заявленої ідентичності суб'єкта (Користувача).

I. Загальні положення

1. Політика застосовується до всіх персональних даних, які обробляються в Компанії, незалежно від форми обробки (традиційно оброблювані картотеки, ІТ-системи), а також від того, чи обробляються або можуть оброблятися дані у вигляді наборів даних.
2. Політика зберігається в електронному та паперовому вигляді в офісі Адміністратора.
3. Для ефективного впровадження Політики Контролер даних повинен забезпечити:
   1. технічні заходи та організаційні рішення, що відповідають ризикам і категоріям даних, які підлягають захисту,
   2. контроль та нагляд за обробкою персональних даних,
   3. моніторинг застосованих заходів захисту.
4. Моніторинг Контролером даних наявних заходів безпеки включає, але не обмежується діями користувачів, порушеннями доступу до даних, забезпеченням цілісності файлів і захистом від зовнішніх і внутрішніх атак.
5. Контролер даних повинен забезпечити, щоб діяльність, пов'язана з обробкою та захистом персональних даних, відповідала цій політиці та відповідному законодавству.

II. Персональні дані, що обробляються у Адміністратора, Реєстр діяльності

1. Персональні дані, які обробляє Контролер даних, збираються в Набори даних.
2. Контролер не повинен здійснювати діяльність з обробки, яка може становити серйозну ймовірність високих ризиків для прав і свобод осіб.
3. Плануючи нову діяльність з обробки, Контролер повинен проаналізувати її вплив на захист даних і врахувати міркування щодо захисту даних на етапі проектування.
4. Контролер веде реєстр діяльності з обробки. Реєстр діяльності з обробки ведеться в письмовій та електронній формі.
5. Контролер повинен надати реєстр операцій з обробки Президенту Канцелярії на його вимогу.
6. Реєстр повинен містити наступну інформацію: ім'я та контактні дані Контролера та Уповноваженого з питань захисту даних, якщо його призначено, цілі обробки; опис категорій суб'єктів даних та категорій персональних даних, категорій одержувачів, яким були або будуть розкриті персональні дані, включаючи одержувачів у третіх країнах або міжнародних організаціях, де це застосовно, інформацію про передачу персональних даних до третьої країни або міжнародної організації, включаючи назву цієї третьої країни або міжнародної організації, а також, у випадку передачі, зазначеної в ст. 49(1), другий підпункт, документація про відповідні гарантії; де це можливо, заплановані терміни видалення різних категорій даних, де це можливо, загальний опис технічних та організаційних заходів безпеки, зазначених у статті 32(1) RODO.
7. Персональні дані, які обробляє Компанія:
   1. укладати або виконувати договори, укладені з вами або за вашою участю,
   2. виконувати юридичні зобов'язання,
   3. з метою задоволення наших законних інтересів.
   4. виконувати завдання, що слугують суспільним інтересам,
   5. на підставі вашої згоди.
8. Якщо ви не надасте нам свої дані, ми не зможемо укласти та виконати з вами договір. Надання даних є добровільним, але необхідним для укладення та виконання договору з нами. Після цього ми зобов'язані ідентифікувати вас, а також збирати та зберігати ваші дані.

III. Обов'язки та відповідальність за управління безпекою

1. Всі особи зобов'язані обробляти персональні дані відповідно до чинного законодавства та згідно з Політикою, встановленою Контролером даних, а також іншими внутрішніми документами та процедурами, пов'язаними з обробкою персональних даних в Компанії.
2. Всі персональні дані в Компанії обробляються відповідно до правил обробки, передбачених законодавством:
   1. у кожному випадку присутня принаймні одна з законних підстав для обробки даних,
   2. дані обробляються чесно та прозоро,
   3. Персональні дані збираються для конкретних, чітких і законних цілей і не підлягають подальшій обробці у спосіб, несумісний з цими цілями,
   4. персональні дані обробляються лише в обсязі, необхідному для досягнення мети обробки,
   5. персональні дані є коректними та оновлюються за необхідності,
   6. тривалість зберігання даних обмежується періодом їхньої корисності для цілей, для яких вони були зібрані, після чого вони анонімізуються або видаляються,
   7. зобов'язання щодо надання інформації суб'єкту даних виконується відповідно до змісту статей 13 і 14 RODO,
   8. дані захищені від порушень безпеки.
3. Зокрема, порушенням або спробою порушення принципів обробки та захисту персональних даних вважається порушення або спроба порушення принципів обробки та захисту персональних даних:
   1. порушення безпеки ІТ-систем, в яких обробляються персональні дані, якщо вони обробляються в таких системах,
   2. передача або надання можливості передачі даних неавторизованим особам чи організаціям,
   3. невиконання, навіть ненавмисне, обов'язку щодо захисту персональних даних,
   4. Невиконання зобов'язань щодо збереження конфіденційності персональних даних та засобів їх захисту,
   5. обробка Персональних даних не відповідно до передбачуваного обсягу та мети їх збору,
   6. спричинення пошкодження, втрати, неконтрольованої зміни або несанкціонованого копіювання Персональних даних,
   7. порушення прав суб'єктів даних.
4. Якщо Користувач виявить обставини порушення даних, він зобов'язаний вжити всіх необхідних заходів для обмеження наслідків порушення і негайно повідомити про це Контролера даних.
5. Контролер даних несе відповідальність за забезпечення цього при наймі, звільненні або зміні умов найму працівників або асоційованих осіб (осіб, які здійснюють діяльність для Контролера даних на підставі інших цивільно-правових договорів):
6. працівники були належним чином підготовлені до виконання своїх обов'язків,
7. кожен обробник персональних даних має письмовий дозвіл на обробку відповідно до "Дозволу на обробку персональних даних" - зразок Дозволу наведено в Додатку 1 до цієї Політики,
8. кожен співробітник зобов'язався зберігати конфіденційність персональних даних, які обробляються в Компанії. "Декларація та зобов'язання особи, яка здійснює обробку персональних даних, щодо збереження конфіденційності" (за зразком - Додаток № 2 до цієї Політики).
9. Працівники зобов'язані це робити:
   1. суворе дотримання обсягу наданих повноважень,
   2. обробка та захист персональних даних відповідно до законодавства,
   3. конфіденційність персональних даних та способи їх захисту,
   4. повідомляти про інциденти безпеки даних та збої в роботі системи.

IV. Визначення технічних та організаційних заходів, необхідних для забезпечення конфіденційності, цілісності та підзвітності оброблених даних

1. Контролер даних забезпечує застосування технічних та організаційних заходів, необхідних для забезпечення конфіденційності, цілісності, підзвітності та безперервності оброблюваних даних.
2. Заходи, про які йшлося вище, включають
   1. захищені сервери даних, захищені мережеві диски, захищені поштові сервери, захищені системи управління, бухгалтерського обліку та управління персоналом, внутрішній документообіг та обмін даними,
   2. навчання працівників.
3. Заходи захисту (технічні та організаційні), що застосовуються, повинні відповідати визначеному рівню ризику для окремих систем, типів систем зберігання та категорій даних, які ці заходи включають:
   1. обмежити доступ до приміщень, де обробляються персональні дані, лише належним чином уповноваженими особами. Інші особи можуть бути присутніми в приміщеннях, що використовуються для обробки даних, лише в супроводі уповноваженої особи,
   2. замикати приміщення, що утворюють зону обробки персональних даних, на час відсутності працівників таким чином, щоб унеможливити доступ до них третіх осіб,
   3. Використання шаф і сейфів, що замикаються, для захисту документів;
   4. використання шредера для ефективної утилізації документів, що містять персональні дані,
   5. захист локальної мережі від дій, ініційованих ззовні, за допомогою мережевого екрану,
   6. захист комп'ютерного обладнання, що використовується в приміщенні Контролера даних, від шкідливого програмного забезпечення,
   7. забезпечення доступу до об'єктів компанії за допомогою паролів;
   8. використання шифрування для передачі даних.

V. Порушення принципів захисту даних

1. У разі порушення персональних даних Контролер даних повинен оцінити, чи могло порушення, що сталося, створити ризик порушення прав і свобод фізичних осіб.
2. У будь-якій ситуації, коли виникнення порушення могло призвести до ризику порушення прав чи свобод фізичних осіб, Контролер даних зобов'язаний повідомити про факт порушення правил захисту даних наглядовий орган без невиправданої затримки - якщо це можливо, не пізніше 72 годин після того, як було виявлено порушення. Шаблон повідомлення викладено в Додатку № 3 до цієї Політики.
3. Якщо ризик порушення прав і свобод є високим, Контролер даних також повинен повідомити суб'єкта даних про інцидент.

VI. Доручення на обробку персональних даних

1. Контролер може доручити обробку персональних даних іншій особі (обробнику) тільки за допомогою договору, укладеного в письмовій формі, відповідно до вимог, зазначених для таких договорів у статті 28 RODO (відповідно до зразка, що є додатком № 4 до Політики) .
2. Перед тим, як доручити обробку персональних даних, Контролер даних повинен, наскільки це можливо, отримати інформацію про існуючу практику обробки персональних даних щодо безпеки персональних даних.

VII. Передача даних до третьої країни

Контролер даних не передаватиме персональні дані третім країнам, окрім як на прохання суб'єкта даних.

VIII. Прикінцеві положення

1. За невиконання зобов'язань, передбачених цим документом, працівник несе відповідальність згідно з Трудовим кодексом, Положенням про захист персональних даних та Кримінальним кодексом щодо персональних даних, які становлять професійну таємницю.
2. Наступні додатки є невід'ємною частиною цієї Політики:
   • Додаток 1 - Типовий дозвіл на обробку персональних даних (pdf, 59KB).
   • Додаток 2 - Типова декларація та зобов'язання обробника даних (pdf, 57KB)
   • Додаток 3 - Шаблон повідомлення про витік даних (pdf, 68 KB)