Varsovia, 21 de mayo de 2018

 

 

 

 

 

 

 

 

POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES

 


 

Lista contenido

1.       Disposiciones preliminares.. 3

2.       Glosario de términos.. 4

3.       Datos personales.. 6

4.       Conceptos básicos de protección de Datos Personales en la Empresa.. 7

5.       Sistema de protección de datos personales.. 8

6.       Registro.. 9

7.       Cumplimiento de obligaciones hacia personas a quienes se refieren los datos personales.. 10

8.       Minimización de datos.. 13

9.       Seguridad.. 14

10.          Reglas de archivo y almacenamiento. documentación recopilada que contiene datos personales.. 17

11.          Eliminación de datos personales.. 18

12.          Violación de la protección de datos personales.. 19

13.          Encomendar el procesamiento.. 19

14.          Transferencia de Datos Personales dentro Empresas.. 20

15.          Transferirle datos tercero.. 20

16.          Disposiciones finales.. 21

 


 

teniendo en cuenta obligaciones derivadas del art. 25 y art. 32Reglamento(UE) 2016/679 del Parlamento Europeo y del Consejo de 27/04/2016 de protección de las personas físicas en relación con el tratamiento de datos personales y sobre la libre circulación de dichos datos y por la que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119, p. 1), para garantizar que los datos personales en Designers sp. o. son procesados ​​y asegurados de acuerdo con las disposiciones de la ley aplicando medidas técnicas apropiadas y Estructuras organizativas diseñadas para implementar eficazmente los principios de protección. datos y proporcionar la seguridad necesaria al tratamiento; y diseñadores sp. asegura que solo fueron procesados ​​por defecto aquellos datos personales que sean necesarios para lograr cualquier propósito de procesamiento específico.

 

 

1.     Provisiones preliminar

 

1.1.     La Política define las reglas para el procesamiento y protección de los Datos. datos personales en la Empresa para garantizar la convergencia Procesamiento de acuerdo con los requisitos del RGPD y disposiciones obligatorias Ley polaca sobre el procesamiento de datos personales. Estados de política un conjunto y base implementado en la Compañía requisitos, procedimientos y principios de protección de datos personales. La póliza incluye:

                                    Y.             contiene una descripción de los principios de protección de datos aplicables en la Empresa;

                                 II.            un conjunto de procedimientos, instrucciones y regulaciones detalladas sobre procesamiento de Datos Personales en la Compañía con respecto a áreas individuales de protección de datos personales; constituyendo anexos a la Política.

1.2.     La Política se aplica a todos los Empleados y Colaboradores de la empresa. Para el cumplimiento y Son responsables del mantenimiento de lo dispuesto en la Política:

                                    Y.             Empresa;

                                 II.            unidades organizativas establecidas en la Empresa, en qué Datos Personales se procesan;

                               III.            Empleados.

1.3.       Para una implementación efectiva de la Política, teniendo en cuenta el alcance, el contexto y los fines del tratamiento y el riesgo de vulneración de derechos y libertades individuos de diferente probabilidad e importancia amenazas La empresa garantiza:

                                    Y.            implementar medidas técnicas apropiadas y disposiciones organizativas que garantizan el cumplimiento del procesamiento de datos datos personales con requisitos legales y la seguridad necesaria de los datos procesados datos personales;

                                 II.            asegurar los recursos del sistema de TI, infraestructura técnica, equipos y accesorios de la destrucción, daño o robo;

                              III.            impedir el acceso a los Datos Personales contenidos en sistemas informáticos y almacenados en papel para personas esto sin autorización;

                              IV.            monitoreo constante del cumplimiento del procesamiento de Datos Personales con requisitos legales y sometiendo las medidas a que se refiere el apartado arriba, constantemente revisado y actualizado;

                                V            control y supervisión del tratamiento de Datos Personales.

1.4.            Se asegura la supervisión del cumplimiento de lo dispuesto en la Política Junta de Gestión Empresarial. Supervisión a que se refiere la sentencia los objetivos anteriores en particular, pero no exclusivamente para garantizar que las actividades relacionadas con el procesamiento de Datos Los datos personales en la Compañía son consistentes con los requisitos legales y disposiciones de la Póliza.

1.5.            La empresa garantiza el cumplimiento. contratistas de la Empresa, en particular Encargados del tratamiento con lo dispuesto en la Política en lo aplicable alcance en todas las situaciones en las que se produzca esta transferencia entidades de Datos Personales para su procesamiento, incluido el almacenamiento.

1.6.            La póliza se almacena y se pone a disposición en versión impresa. y electrónicamente en la sede de la Sociedad.

1.7.            La póliza está disponible:

                                      Y.          obligatoriamente a todas las personas autorizadas para procesar Datos personales en la Empresa, para ser proporcionados a personas autorizadas conocimiento e información adecuados sobre las normas y requisitos relacionados con procesamiento de Datos Personales en la Empresa;

                                   II.          personas interesadas, en particular personas físicas, interesados ​​– a petición de estos.

2.     Diccionario conceptos

 

Siempre que se utilice lo siguiente en esta Política definiciones o frases, se les debe dar lo siguiente significado:

1)      Administrador del sistema de TI: significa una persona Responsable de la supervisión y seguridad de los sistemas. TI utilizada en la empresa y infraestructura de TI;

2)      Datos personales: significa información sobre una persona identificada o posible. identificable a una persona física, como nombre y apellido, número identificador, datos de ubicación, identificador en línea o uno o varios factores específicos que determinan el estado físico, fisiológico, genético, mental, económico, la identidad cultural o social de una persona físico; a que se refiere el art. 4 punto 1 del RGPD;

3)      Datos Sensibles – significa los Datos Personales en cuestión en el arte. 9 RGPD;

4)      Documentos con datos personales: significa todos los documentos, incluidos que contengan datos personales, excepto tarjetas de visita, calendarios y cuadernos mantenidos en papel o electrónico;

5)      Jefe de una unidad organizativa: significa la persona coordinadora trabajo de los empleados en unidades individuales estructuras organizativas creadas en la Empresa;

6)      Iniciar sesión: significa una secuencia de caracteres alfabéticos, digitales o de carácter. otros, identificando al Usuario para el Tratamiento de Datos datos personales en el sistema informático;

7)      Portadores de datos: significa todos los soportes, en qué información se almacena en formato electrónico, en en particular: CD-ROM, DVD-ROM, BluRay, discos, memoria USB y otras memorias portátiles, tarjetas magnéticas y documentos papel que contiene datos personales;

8)      Destinatario - significa una persona física o jurídica, autoridad público, entidad u otra entidad a la que se revela datos personales, sean o no de un tercero. Autoridades públicas que pueden recibir datos personales en virtud de Procedimientos específicos conforme al Derecho de la Unión o del Estado. Estado miembro;

9)      Persona autorizada – significa una persona autorizada por la Compañía para procesar los Datos Personales en cuestión alcance;

10)  Sujeto procesador - significa una persona física o jurídica, una autoridad pública, entidad u otra entidad que procesa datos datos personales en nombre de la Compañía;

11)  Política – significa esta Política de Protección de Datos Personales de Designers Sp. z o.o. z o. de 21 de mayo de 2018, junto con todos los Anexos posibles;

12)  Empleados – significa ambas personas empleadas en la Empresa en basados ​​en una relación laboral, así como las personas físicas cooperar con la empresa en virtud del acuerdo derecho civil;

13)  Empresa (Responsable del tratamiento de datos personales) – significa la empresa Designers sp. o., ul. F.Szuberta 27, 02-408 Warszawa, inscrita en el Registro Nacional Juzgado, referencia del expediente RDF/171687/19/315, bajo el número 0000492638, número NIP: 1180036097, REGÓN: 011055478

14)  Tratamiento – significa una operación o conjunto de operaciones realizadas sobre Datos Personales o conjuntos de Datos Personales de forma automatizada o no automatizados, como recopilar, registrar, organizar, ordenar, almacenar, adaptar o modificar, descargar, visualizar, uso, divulgación por transmisión, difusión o de otro modo como compartir, combinar o combinar, restringir, remoción o destrucción a que se refiere el art. 4 punto 2 RGPD;

15)  Registro - significa el Registro de Actividades de Tratamiento de Datos Personales de la Empresa;

16)  RGPD – significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo 27 de abril de 2016 sobre la protección de las personas físicas en relación con el tratamiento de datos personales y sobre la libre circulación de dichos datos y por la que se deroga la Directiva 95/46/CE (Reglamento general de protección datos) (DO UE L 119, p. 1);

17)  Red local: significa la conexión de los sistemas de TI de la empresa. únicamente para sus propias necesidades utilizando los dispositivos y redes de telecomunicaciones;

18)  Red extenso: esto debe entenderse como una red pública (telecomunicaciones) en el sentido de la Ley de 16 de julio de 2004, Ley telecomunicaciones (Boletín Oficial 2004, núm. 171, artículo 1800);

19)  Sistema – significa el Sistema de Protección de Datos Personales en la Empresa, o a que se refiere el § 5 de la Política;

20)  Sistema TI: significa un equipo de personas que cooperan entre sí. dispositivos, programas, procedimientos de procesamiento de información, herramientas software utilizado para procesar datos personales;

21)  Dispositivo móvil – significa teléfonos móviles portátiles, tabletas y otros dispositivos portátiles que utilizan las propiedades que se poseen están destinadas o pueden usarse para el Tratamiento de Datos Personales;

22)  Autenticación – significa una acción destinada a verificar la identidad declarada Usuario;

23)  Usuario – significa una persona autorizada por el Administrador de datos Datos personales para procesar Datos contenidos en sistemas, software, recursos de red, archivos y carpetas guardados en computadoras, servidores, soportes de datos y otros dispositivos electrónicos;

24)  Colocar datos: significa cualquier conjunto ordenado de datos personales, disponibles según criterios específicos.

3.     Datos turismos

 

3.1.   La empresa trata Datos Personales recogidos en ficheros datos. Los conjuntos de datos procesados ​​en la Empresa se detallan en el Apéndice Número 1 a Polityka.

3.2.   La lista de Conjuntos de Datos se actualiza o amplía tras analizar los efectos y riesgos del tratamiento Datos personales para los derechos y libertades de las personas físicas afectadas recopilación.

3.3.   La Compañía no realiza actividades de procesamiento, que podría implicar un riesgo importante de incumplimiento derechos y libertades de las personas a quienes se refieren los Datos Personales. EN en el caso de que se planee tomar las acciones a que se refiere el en la frase anterior, la Sociedad realiza obligatoriamente evaluación previa de los efectos del tratamiento a que se refiere el arte. 35 RGPD.

3.4.   Por defecto, los datos personales se procesan en el área que cubre Salas ubicadas en la sede de la Compañía. en la calle. F.Szuberta 27, 02-408 Warszawa. Un área adicional donde Los Datos Personales son procesados, constituyen todas las computadoras dispositivos portátiles y otros dispositivos móviles y soportes de datos ubicado fuera del área indicada en la frase anterior.

4.     Lo esencial protección de Datos Personales en la Empresa

 

4.1.   La empresa asegura que se toman las medidas técnicos y organizativos necesarios para garantizar confidencialidad, integridad, responsabilidad y continuidad Datos procesados.

4.2.   Personas autorizadas y todas las demás personas a quienes esté puesto a disposición Los Datos Personales Procesados ​​en la Empresa están obligados deben procesar datos personales de acuerdo con los requisitos legales y de conformidad con lo establecido en la Política, así como otras internas actos jurídicos de la Sociedad o procedimientos internos relacionados con el Tratamiento de Datos Personales.

4.3.   Al emplear empleados y en el curso del empleo de la empresa. asegura que:

                                      Y.     Empleados antes de realizar deberes oficiales recibir el conocimiento adecuado de las reglas Tratamiento y protección de Datos Personales en la Empresa;

                                   II.     todos uno de los Empleados está autorizado por escrito a Procesar Datos personales en la medida necesaria, de acuerdo con la plantilla Anexos No. 2 de la Política;

                                 III.     todos Cada empleado está obligado a mantener la confidencialidad y integridad de los Datos Personales, de acuerdo con el modelo que constituye el Anexo N° 3 de la Política, por el cual los Empleados se obligan a: en particular, pero no limitado a:

y)        cumplimiento estricto del alcance de la autorización;

b)        cumplimiento de los requisitos legales y de lo dispuesto en la Política en alcance del procesamiento;

do)        mantener el secreto de los Datos Personales;

d)        mantener la confidencialidad e integridad de los Datos datos personales;

mi)        reportar inmediatamente cualquier cosa a la Compañía incidentes relacionados con violaciones de seguridad de datos datos personales.

4.4.   La Compañía garantiza que los Datos Personales Procesados ​​en La empresa eran:

                                                                  Y.     procesado conforme a la ley, de manera confiable y transparente para la persona, al que se refieren los datos;

                                                                II.     coleccionado para fines específicos, explícitos y legítimos y no tratados además de una manera incompatible con esos propósitos;

                                                             III.     adecuado, relevante y limitado a lo necesario para los propósitos en que son procesados;

                                                             IV.     correcto y actualizado si es necesario; La empresa ofrece fabricación. acciones encaminadas a suprimir o rectificar Datos datos personales que sean inadecuados a la luz de sus fines procesamiento ("exactitud");

                                                               V     almacenado en una forma que permita la identificación de la persona a quien los datos se refieren por un período no mayor al necesario para los fines para los cuales se procesan los datos;

                                                             VI.     procesado de una manera que garantice la seguridad adecuada de los Datos datos personales, incluida la protección contra el uso no autorizado o ilegal procesamiento y pérdida accidental, destrucción o daños, por medios técnicos adecuados o organizativo.

4.5.   Garantizando al mismo tiempo el Tratamiento de Datos Personales de conformidad con los principios indicado en la sección anteriormente, la Compañía basa el Procesamiento en siguientes motivos:

1)        Legalidad – La empresa se preocupa por la protección privacidad y procesa Datos Personales de acuerdo con los requisitos legales;

2)        Seguridad: la empresa garantiza una adecuada nivel de seguridad de los Datos Personales tomando medidas constantemente para a este respecto;

3)        Derechos individuales: la empresa permite a las personas cuyos Datos Personales son tratados, ejerciendo sus derechos y implementa estos derechos;

4)        Responsabilidad: la empresa garantiza un desempeño adecuado documentar cómo se cumplen las obligaciones de seguridad Datos personales.

5.     Sistema protección de datos personales

 

La Empresa garantiza el cumplimiento del Tratamiento de Datos datos personales con requisitos legales también mediante el diseño, implantación y mantenimiento del Sistema. El Sistema consta de: medidas organizativas y medidas técnicas de protección, adecuadas para el nivel de riesgo identificado para conjuntos de datos individuales y categorías de datos. El Sistema consta de: en particular las siguientes medidas:

                   Y.               limitar el acceso a las habitaciones donde Los datos personales se procesan únicamente para personas autorizadas. y garantizar que otras personas puedan permanecer en Salas utilizadas únicamente para el procesamiento de datos personales. en compañía de una Persona Autorizada;

                 II.              cerrar las habitaciones que constituyen el área en cuestión en el párrafo 3.4 Políticas para el período de ausencia de los Empleados, en de forma que impida el acceso de terceros a los mismos;

              III.               garantizar la seguridad de la zona a que se refiere el apartado 3.4 Pólizas contra factores accidentales como incendio o inundación;

             IV.               usar gabinetes, cajones, cajas fuertes u otros medidas técnicas que impidan que las personas acceso no autorizado a los Datos personales almacenados en el mismo;

                V              Implementación de principios de gestión para el sistema de TI utilizado. para procesar Datos Personales;

             VI.               implementar políticas de respaldo;

           VII.               implementación de reglas para almacenar y archivar la información recopilada documentación que contenga Datos Personales;

        VIII.              implementación de reglas para archivar y almacenar documentación que contenga Datos Personales;

             IX.               implementación de las reglas para la transferencia de Datos Personales dentro Empresas

                incógnita              garantizar la eliminación o destrucción efectiva de los documentos que contenga datos personales de una manera que haga imposible su posterior recreación;

             XI.               garantizar la seguridad del hardware y de TI, incluido:

y)      protección de la red local contra actividades iniciadas desde el exterior,

b)      asegurarse de que el software utilizado esté actualizado,

do)      Proteger los equipos informáticos utilizados en la empresa. contra malware,

d)      Garantizar copias de seguridad constantes y frecuentes. datos de respaldo almacenados en computadoras, servidores y redes empresas,

mi)      limitar el acceso a equipos informáticos, servidores y red local aplicando reglas de autenticación;

F)       realizar análisis de riesgos para las actividades de procesamiento de datos o categorías de los mismos;

gramo)      implementación de estándares para la verificación y selección de Entidades procesadores, así como los términos de encomienda Procesamiento de datos para Procesadores individuales;

h)      monitorear cambios en los procesos de procesamiento de datos datos personales en la Empresa y gestión continua cambios que afecten a la protección de Datos Personales en la Empresa.

 

6.     Registro

 

6.1.   El Registro incluye categorías de actividades de procesamiento de datos. datos personales en la Empresa. A través del Registro, Empresa documentos actividades de procesamiento de Datos Personales e inventarios i supervisa cómo utiliza los datos personales. El registro es un anexo. Número 6 a Polityka.

6.2.   A través del Registro, en particular a través de indicación de medidas generales de protección de datos en el Registro datos personales cubiertos por una actividad separada procesamiento, la empresa también se esfuerza por demostrar el cumplimiento del Tratamiento de Datos Personales con los requisitos legales.

6.3.   En el Registro, por separado para cada categoría identificada Actividades de procesamiento de Datos Personales, se registra lo que el menos:

1)        nombre de la actividad;

2)        finalidad del procesamiento;

3)        descripción de las categorías de personas cuyos datos personales se procesan como parte de una actividad determinada;

4)        descripción de las categorías de Datos Personales procesados ​​dentro de los datos actividades;

5)        base legal para el procesamiento junto con detalles categoría del interés legítimo de la Empresa, si la base el tratamiento se basa en un interés legítimo;

6)        descripción de las categorías de Destinatarios de Datos, incluidas Entidades tratamiento,

7)        información sobre la posible transferencia de Datos Personales fuera el territorio de la Unión Europea o del Espacio Económico Europeo;

8)        descripción general de las medidas técnicas y organizativas protección de datos personales aplicable a los datos en cuestión actividades.

6.4.       Al actualizar o ampliar la categoría de actividad procesamiento de Datos Personales, la Compañía deberá inmediatamente actualizar el Registro para garantizar el cumplimiento del Registro con el estado real y alcance de las operaciones de procesamiento de Datos Personales en la Compañía.

6.5.       Las disposiciones de la sección arriba no excluyen las posibilidades incluir información adicional y de mejora en el Registro, si fuera necesario el detalle o legibilidad del Registro o facilitar la gestión del cumplimiento de la protección de datos datos personales con exigencias legales e implementación del principio de responsabilidad.

6.6.       La empresa documenta sus bases jurídicas en el Registro. procesamiento de datos para actividades de procesamiento individuales indicando la base jurídica general para el tratamiento, como por ejemplo: consentimiento, contrato, obligación legal impuesta a la Compañía, finalidad legítima de la Empresa.

 

7.     Implementación obligaciones hacia las personas a quienes se refieren datos personales

 

7.1.       La empresa implementa métodos de gestión del consentimiento. permitir el registro y la verificación de la propiedad el consentimiento de la persona para el procesamiento de sus datos específicos para un propósito específico, el consentimiento para comunicación a distancia (correo electrónico, teléfono, mensaje de texto, etc.) y registro de denegación de consentimiento, retirada de consentimiento y similares acciones como plantear una objeción o restricción tratamiento.

7.2.       La empresa se preocupa por la legibilidad y el estilo. proporcionó información y comunicación con personas cuyos Datos Personales procesos.

7.3.       La Compañía lo deja disponible para inspección en la sede de la Compañía. Política

7.4.       Para ejercer los derechos de la persona a quien se refieren los Datos Personales La empresa proporciona procedimientos y mecanismos que permiten identificar datos de personas específicas procesadas por la Compañía, integrar estos datos, realizar cambios en ellos y eliminarlos en manera integrada.

7.5.       La empresa documenta el manejo de las tareas. información, notificaciones y solicitudes de personas, informar al interesado sobre:

y)      procesando sus Datos Personales, al obtener datos de ella gente.

b)      cambio planificado en el propósito del procesamiento de datos;

do)      derogar la restricción al procesamiento de Datos Personales antes de la derogación restricciones de procesamiento;

d)      rectificación, eliminación o restricción del procesamiento de datos, a menos que requiera uno desproporcionadamente grande esfuerzo o voluntad será imposible;

mi)      el derecho a oponerse al procesamiento Datos personales a más tardar en el primer contacto con este sitio web persona.

7.6.       El empresario deberá, sin demora indebida, notificar a la persona sobre incumplimiento de la protección de datos personales, en su caso causar un alto riesgo de vulnerar los derechos o libertades de esa persona.

7.7.       Sin perjuicio de lo dispuesto en el apartado arriba, empresa especifica cómo informar a las personas sobre el procesamiento de datos no identificado, siempre que sea posible.

7.8.       A petición de una persona para acceder a él. datos, la Empresa informa a la persona si procesa sus Datos datos personales e informa a la persona sobre los detalles del procesamiento, de acuerdo con arte. 15 GDPR, y también otorga a la persona acceso a los datos que le conciernen. El acceso a los datos podrá realizarse mediante la expedición de una copia datos.

7.9.       El empresario proporciona a la persona a quien se refieren los Datos Personales una copia de los datos relativos al mismo y deja constancia de que el primero fue expedido copia de datos.

7/10.   La empresa corrige los datos incorrectos previa solicitud. la persona a quien se refieren los Datos Personales. La empresa tiene derecho Negarse a rectificar los datos salvo que la persona lo solicite razonablemente. método demostrará irregularidades en los datos que exige corrección. En caso de corrección de datos, la Empresa informa a la persona sobre los destinatarios de los datos, a petición de esta.

7/11.   La empresa completa y actualiza los datos previa solicitud. la persona a quien se refieren los Datos Personales. La empresa tiene derecho negarse a completar los datos si es necesario incompatible con los fines del tratamiento de datos. la empresa puede confiar en la declaración de la persona sobre los datos completados, a menos que esto será insuficiente a la luz de las adoptadas por Procedimientos o leyes de la empresa o existen motivos para considera que la declaración no es confiable.

7/12.   Teniendo en cuenta el párrafo a continuación, a petición de una persona, La empresa suprime los datos cuando:

y)        los datos no son necesarios para los fines para los cuales han sido recopilados o procesados ​​para otros fines,

b)        se ha retirado el consentimiento para su procesamiento y no queda otra opción base legal para el procesamiento,

do)        la persona se ha opuesto exitosamente al procesamiento de estos datos,

d)        los datos fueron procesados ​​ilegalmente,

mi)        la necesidad de eliminar resultados de la obligación legal,

13/7.   Al eliminar Datos Personales, la Empresa tiene en cuenta: para garantizar la efectiva implementación de este derecho en respetando todos los principios de protección de datos, incluida la seguridad, un también verificación si existen excepciones, o a que se refiere el art. 17. sección 3 RGPD.

14/7.   Si los datos objeto de supresión han sido hecho público por la Empresa, entonces la Empresa toma medidas razonables, incluidas medidas técnicas, para informar a otros administradores que procesan estos datos información personal, sobre la necesidad de suprimir datos y acceder a los mismos. EN En caso de eliminación de datos, la Empresa informa a la persona sobre destinatarios de los datos, a petición de ésta.

7.15.   La Empresa restringe el Tratamiento de Datos previa solicitud personas cuando:

y)        la persona cuestiona la exactitud de los datos - durante un período de tiempo comprobar su corrección,

b)        el tratamiento es ilícito y el interesado preocupación, se opone a la eliminación de Datos Personales solicitando a cambio, limitar su uso,

do)        La empresa ya no necesita datos personales, pero están ahí son necesarios por el interesado para determinar, presentar o defender reclamaciones,

d)        la persona se ha opuesto al procesamiento por motivos relacionados con su situación particular - hasta que se determine si después existen motivos legítimos en el sitio web de la Compañía anulando los motivos de oposición.

16/7.   Durante la restricción del procesamiento, la Compañía almacena datos, pero no los procesa (no los usa, no los transfiere), sin consentimiento del interesado, salvo que sea con el fin de determinar para presentar o defender reclamaciones, o para proteger los derechos de otra persona físico o legal, o por razones importantes de interés público. La empresa informa a la persona antes de la cancelación. restricciones de procesamiento. En caso de restricción del procesamiento de datos La empresa informa a la persona sobre los destinatarios de los datos previa solicitud esta persona.

17/7.   A solicitud de una persona, la Compañía emite en Formato estructurado, de uso común y adecuado. legible por máquina o transferencias a otra entidad, si es así posible, los datos relativos a esta persona que haya proporcionado Empresa, procesado sobre la base del consentimiento de esa persona o con el fin de celebración o ejecución del contrato celebrado con él, en sistemas informáticos Empresa.

18/7.   Si una persona informa un motivo específico para ello. situación, usted se opone al procesamiento de sus datos, tal como se refiere a que se refiere el art. 21 GDPR, y los datos son procesados ​​por la Compañía basado en el interés legítimo de la Compañía o encomendado Emprender una tarea de interés público, Empresa se compromete a tener en cuenta las objeciones, salvo que surjan por parte de la Sociedad, motivos válidos y legalmente justificados para procesamiento, prevaleciendo sobre sus intereses, derechos y libertades la persona que plantea la objeción, o la base para una determinación, investigación o defensa de reclamaciones.

19/7.   Si la persona se opone al tratamiento datos por parte de la Compañía con fines de marketing directo, la Compañía tendrá en cuenta la objeción y cese de dicho tratamiento.

 

8.     Minimización datos

 

8.1.       La empresa implementa procedimientos para ayudar. implementación del principio de minimizar los Datos Personales tratados en términos de:

y)      la idoneidad de los Datos Personales para los fines del Procesamiento, incluida la limitación de la cantidad de datos personales procesados y el alcance del procesamiento para los fines del Procesamiento;

b)      limitar el acceso a los Datos Personales únicamente a Personas autorizadas para quienes se utilizan los datos Los datos personales son necesarios en cierta medida para la correcta cumplimiento de deberes;

do)      limitando el tiempo de conservación de los Datos Personales al plazo de cuyo almacenamiento de Datos Personales sea necesario debido a para lograr el propósito del Tratamiento o las obligaciones impuestas en Empresa.

8.2.       La empresa revisa periódicamente las cantidades datos procesados, su tipo y alcance del procesamiento, con no menos frecuencia que una vez al año.

8.3.       La Empresa aplica restricciones de acceso a los Datos datos personales a través de:

y)         Obligación de los empleados de mantener la confidencialidad, incluido incluso en el ámbito de los Datos personales;

b)        verificación del grupo de destinatarios de datos internos datos personales asignando información detallada a empleados individuales autorizaciones relativas al Tratamiento de Datos Personales sólo en la medida en la medida necesaria para desempeñar funciones oficiales relacionados con los fines revelados al interesado;

do)         implementación de medidas técnicas de protección de datos datos personales limitando el acceso a sistemas y software y recursos de red, incluidos servidores, buzones de correo y Datos personales tratados en ordenadores, teléfonos y otros Soportes de datos utilizados en el proceso de Tratamiento de Datos Personal;

8.4.       La empresa actualiza los derechos de acceso con cambios en la composición del personal y cambios en los roles y funciones de las personas. cambios en las entidades de procesamiento. Empresa revisa periódicamente los Usuarios establecidos sistemas, buzones de correo y software y los actualiza menos de una vez al año.

8.5.       La empresa procesa Datos Personales teniendo en cuenta criterios indicados en el Registro. La empresa implementa mecanismos para controlar el ciclo de vida de los Datos Personales en la Empresa, incluida la verificación de la idoneidad adicional de los datos en relación con plazos y puntos de control indicados en el Registro.

8.6.       Datos cuyo alcance de utilidad está limitado con con el tiempo, se eliminan de los sistemas, software, computadoras y otros soportes de datos de la Empresa, así como de archivos de referencia y principales. Dichos datos pueden ser archivado e incluido en copias de seguridad sistemas e información procesados ​​por la Empresa. Procedimientos para archivar y utilizar archivos, crear y el uso de copias de seguridad tiene en cuenta los requisitos de control sobre ciclo de vida de los datos, incluidos los requisitos de eliminación de datos.

 

9.     Seguridad

 

9.1.       La empresa obliga a todas las personas que: en el desempeño de sus funciones oficiales, obtendrán cualquier alcance de acceso a los Datos personales procesados ​​por Empresa con la que familiarizarse antes de unirse trabajar con los principios aplicables de protección de datos personales especificado en la Política.

9.2.       Teniendo en cuenta el estado de los conocimientos técnicos y los costes de implementación. y la naturaleza, alcance, contexto y fines del procesamiento y el riesgo de incumplimiento derechos y libertades de las personas físicas en distintos grados la probabilidad de ocurrencia y la gravedad de la amenaza. implementa medidas técnicas y organizativas para garantizar una adecuada el nivel de protección de los Datos Personales, correspondiente al riesgo de incumplimiento derechos y libertades de las personas físicas derivados del tratamiento de datos datos personales por parte de la Empresa.

9.3.       La empresa realiza y documenta análisis. la adecuación de las medidas de seguridad de los Datos Personales. EN a tal efecto la Compañía:

y)      clasifica los datos y las actividades de procesamiento en términos de los riesgos que presentan;

b)      analiza el riesgo de vulneración de derechos y libertades personas físicas para actividades de procesamiento de datos o sus categoría. La empresa analiza posibles situaciones y escenarios de violaciones de la protección de datos personales, teniendo en cuenta naturaleza, alcance, contexto y finalidades del tratamiento, riesgo de vulneración de derechos o libertad de las personas físicas en diversos grados la probabilidad de ocurrencia y la gravedad de la amenaza;

9.4.       La empresa implementa medidas de continuidad acción y prevención de los efectos de los desastres, es decir, la capacidad de reaccionar rápidamente restablecer la disponibilidad de los datos personales y el acceso a ellos en caso de algún incidente físico o técnico.

9.5.       Administrador de Sistema designado en la empresa TI toma medidas para garantizar el cumplimiento de la ley Tratamiento de Datos Personales en los sistemas informáticos utilizados. por la Compañía y conducta del más alto nivel seguridad de los Datos Personales en los sistemas informáticos. Para deberes El administrador de sistemas de TI debe:

y)      control y seguimiento constante de los derechos de los Usuarios;

b)      garantizar el correcto funcionamiento del sistema informático, de acuerdo con finalidades establecidas del tratamiento de Datos Personales y principios de cumplimiento legal tratamiento;

do)      supervisar la ejecución de copias de seguridad y controlar el sistema de copia dentro de su idoneidad adicional para recuperación de Datos Personales en caso de fallo sistemas, software y recursos de red;

d)      informar a los miembros del consejo de administración de la empresa sobre todas las irregularidades e incidentes infractores detectados o amenazar la seguridad de los Datos Personales y del sistema ÉL;

mi)      tomar medidas para evitar que esto ocurra Fallos del sistema, irregularidades e incidentes infractores. o amenazar la seguridad de los Datos Personales y del sistema ÉL;

F)       realizar inspecciones, mantenimiento y modificaciones en alcance de la implementación de actualizaciones del sistema de TI y software utilizado para procesar datos personales;

gramo)      mantener un control constante sobre el nivel de seguridad del sistema TI en relación con el procesamiento de Datos Personales,

h)      Autenticación de usuario, en particular concediéndoles, cambiando el alcance, privándolos de derechos en acceso al sistema de TI, recursos de red, servidores, programas soportados, de acuerdo con los principios de gestión, a que se refiere el § 10 de la Política;

y)       realizar otras actividades y tareas relacionadas con Tratamiento de Datos Personales utilizando servidores y recursos redes, sistemas y software de TI, y garantizar seguridad de los Datos Personales relacionados con el Tratamiento.

9.6.       Los usuarios están obligados a cumplir las normas. protección de los Datos Personales especificados en esta Política y para adecuado desempeño de sus funciones en materia de:

y)         procesar Datos Personales de acuerdo con lo acordado y divulgado la persona a quien se refieren los Datos Personales para los fines;

b)        participación en formación en materia de protección de Datos Personales organizado por la Empresa;

do)         siguiendo recomendaciones y órdenes oficiales y mensajes emitidos por los superiores sobre la eficiencia funcionamiento del Sistema;

d)        cumplimiento de las normas relativas a la seguridad de los Datos Personales previstos en esta Política junto con los Anexos, así como no enumerados en la Política, pero implementados en la Empresa;

mi)         garantizar el funcionamiento seguro del sistema TI y red utilizadas por el Usuario, incluyendo: siguiendo las reglas relacionadas con el cambio de contraseñas en las computadoras y dispositivos móviles, apagando la computadora cada vez después Terminar el trabajo y abandonar el lugar de trabajo, sin transferencia de datos. datos personales recopilados en computadoras, servidores, buzones de correo electrónico y otros recursos de la red a personas no autorizadas, mostrando tenga cuidado al recibir correo electrónico de destinatarios desconocidos cuya identificación es cuestionable;

F)         abstenerse de llevarse documentos con Datos datos personales fuera del domicilio social de la Compañía en cualquier forma, excepto personas autorizadas para ello;

gramo)        cumplimiento de las normas relativas a la protección de Datos Personales procesado en relación con el desempeño de funciones oficiales contenidos en tarjetas de visita, cuadernos y calendarios guardados en en forma escrita o electrónica;

h)        falta de duplicación independiente de llaves de repuesto acceso a locales en las instalaciones de la Compañía,

y)          sin modificaciones al contenido existente sellos que contienen datos personales, en particular agregar o quitar letreros, hacer otros adicionales por su cuenta o sellos nuevos, realizando cambios periódicos o permanentes a los existentes sellos entre ellos;

j)     configurar el monitor de la computadora de una manera que haga imposible visualización de los datos personales mostrados por personas no autorizadas permanecer en una sala de oficina.

 

10.  Normasarchivado y almacenamiento documentación recopilada que contiene datos personales

 

10.1.   La sede de la empresa se encuentra Salas adaptadas para el archivo de documentos. La empresa toma medidas para reducirlo. personas no autorizadas a las habitaciones designadas y se aplica control de acceso electrónico, evitando personas no autorizadas tienen acceso a la documentación.

10.2.   Existen salas adaptadas para el archivo de documentación. protegido contra el acceso no autorizado por parte de personas no autorizadas entre otras cosas: almacenar la documentación en armarios cerrados con llave y confiar la llave únicamente a los empleados, autorizar el acceso a documentación. Las llaves de los armarios se guardan en lugares inaccesibles. para personas no autorizadas; prohibición de compartir claves con otras personas que no sean Empleados de la Empresa.

10.3.   Los documentos que no se utilizan se archivan. durante la operación actual de la Empresa. ACERCA DE Traslado de la documentación a una sala adaptada para fines de archivo. La decisión la toman los directores de las unidades organizativas individuales o el presidente. Junta Directiva.

10.4.   Documentos que contienen Datos Personales en formato papel se almacenan en carpetas, carpetas o fundas, o de otra forma método adoptado por el Jefe de la unidad organizativa i clasificados de la manera aprobada por el jefe de la unidad organizativo. No pueden estar en una carpeta. documentos que contienen Datos Personales para su Tratamiento Los empleados de una unidad organizativa específica están autorizados. y documentos que contengan Datos Personales para su Tratamiento Los empleados de una unidad organizativa específica no están autorizados. Si es posible segregar documentos, háganoslo saber. mencionado en la frase anterior, el Jefe de la unidad organizativa en consulta con Un miembro del consejo de administración adopta otras medidas técnicas y organizativas. impedir que los empleados tengan acceso a los datos no autorizado.

10.5.   Documentos que contienen datos personales en las instalaciones, incl. donde se encuentran las estaciones de trabajo de los empleados, se almacenan después de que los empleados hayan terminado su trabajo Armarios y cajones con cerradura.

10.6.   Si están presentes en la habitación donde se encuentran. puestos de trabajo de empleados, personas no autorizadas procesamiento de Datos Personales de una categoría específica de acuerdo con el Anexo N° 9 de la Política, Los Empleados toman todas las medidas necesarias actividades para impedir el acceso de personas no autorizadas a Datos Personales.

10.7.   Las reglas previstas en este párrafo también se aplican. en el caso de almacenar Datos Personales fuera de la sede de la Compañía, mencionado en la sección 3.4 Políticas.

 

11.  Eliminación de datos personales

 

 

11.1.   La empresa almacena Datos Personales por un período no mayor a de lo necesario para los fines del Tratamiento. Después del vencimiento período indicado en el Registro, la Empresa elimina los Datos Personales en permanentemente.

11.2.   La Compañía elimina Datos Personales utilizando sus propios medios y mecanismos o encomienda la supresión de Datos Personales entidades colaboradoras que proporcionan garantías suficientes para la implementación de medidas apropiadas medidas técnicas y organizativas para prevenir amenazas violaciones o fallos de seguridad de los Datos Personales.

11.3.   Datos personales contenidos en documentos que, debido a la necesidad de mantener la continuidad de la cooperación con los contratistas, clientes y otras entidades, vigentes y correctos operación de la Empresa o por otras razones importantes no se puede eliminar después del tiempo especificado en Registrarse, están sujetos a anonimización.

11.4.   Sin perjuicio de lo dispuesto en el apartado 11.1-arriba, Empresa elimina Datos Personales en los casos a que se refiere el apartado 7.13 Políticas.

11.5.   La entidad autorizada para eliminar Datos Personales de servidores es el Administrador del Sistema TI.

11.6.   Antes de transferir computadoras, dispositivos a una entidad externa dispositivos móviles, soportes de datos que contienen datos personales, destinado a destrucción o reparación, Administrador del sistema Elimina los datos personales almacenados en el dispositivo. En caso imposibilidad de eliminar datos personales, administrador El Sistema Informático toma las acciones preventivas necesarias acceso a los datos por parte de personas no autorizadas, por ejemplo, cifra o anonimiza los datos.


 

12.  Violación de la protección de datos personales

 

12.1.   Por violar o intentar violar las reglas de procesamiento i Se considera en particular la protección de Datos Personales, pero no sólo:

y)        violación de la seguridad de los sistemas informáticos, Software y recursos de red en los que se procesan. Datos personales;

b)        divulgación de Datos Personales a personas no autorizadas;

do)        procesamiento de datos personales inconsistente con el alcance previsto i la finalidad de su Tratamiento;

d)        daños, pérdidas, destrucción o daños accidentales o no autorizados. cambio de Datos Personales.

12.2.   En caso de incumplimiento de la protección de Datos Personales, la Empresa evalúa si la infracción podría haber causado un riesgo violación de los derechos y libertades de las personas físicas y estima la magnitud riesgo.

12.3.   En caso de incumplimiento de la protección de Datos Personales, la Empresa sin demora indebida - si es posible, no más tarde de 72 horas después de descubrir la infracción - los comunica a la autoridad de control competente, salvo que sean insuficientes Es probable que el incumplimiento dé lugar a un riesgo de infracción de derechos o libertad de las personas naturales.

12.4.   Independientemente de las obligaciones especificadas en el apartado 12.2-arriba, La empresa documenta todas las violaciones de la protección de datos. datos personales, incluidas las circunstancias de la violación de la protección de datos personales, su efectos y acciones correctivas tomadas.

 

13.  Encomendar el procesamiento

 

13.1.   La empresa podrá encomendar el Tratamiento de Datos datos personales al Procesador únicamente mediante un contrato celebrado por escrito u otro instrumento legal (por ejemplo, reglamentos o Reglas generales para la transferencia de datos personales) según sea necesario indicado en el art. 28 sección 3 RGPD.

13.2.   La empresa sólo utiliza dichos servicios. Procesadores que proporcionan garantías suficientes para la implementación de medidas apropiadas técnico y organizativo para que el procesamiento cumpla con los requisitos del RGPD i protegió los derechos de las personas a quienes se refieren los Datos Personales. En orden verificación del cumplimiento de la obligación a que se refiere la sentencia anterior, la Sociedad antes de encomendar el tratamiento Procesador potencial siempre que sea posible obtiene información sobre los principios de protección de Datos Personales aplicados por Procesador potencial y las prácticas de esta entidad en materia de seguridad de Datos Personales.

13.3.   Se especifican detalles y reglas para confiar Datos Personales. el contrato o instrumento jurídico correspondiente.

 

14.  Transferencia de Datos Personales dentro Empresas

 

14.1.   La documentación que contiene Datos Personales se transfiere entre unidades organizativas individuales y empleados, incluidos: principios de protección de Datos Personales indicados en esta Política.

14.2.   A falta de autorización del empleado cobrador documento para el tratamiento de Datos Personales, el mismo se transfiere en la forma prevenir la violación de Datos Personales cuando se utilizan recursos técnicos y organizativos suficientes:

y)         Los mensajes de correo electrónico se envían a otro empleado. procesamiento no autorizado de datos después de su eliminación previa Datos personales de pies de página de correo electrónico y su contenido o cifrado Datos de forma que resulte imposible identificar a una persona, con el que se relacionan los datos;

b)        documentos en papel y electrónicos transferidos a otro Empleado El procesamiento no autorizado de datos personales está sujeto a anonimización o cifrado de datos;

do)         documentos en papel transferidos a la persona a quien los datos los datos personales se transfieren a través de otro empleado no autorizado para el procesamiento de datos, se colocan en sobres o en sobres opacos archivos descritos de una manera que impida la identificación destinatario.

14.3.   Documentos en papel transferidos a la persona cuyos Datos Personales preocupación a través de otro Empleado se almacenan y transportados hasta su entrega al destinatario de forma que resulte imposible violación de datos personales.

 

15.  Transferir datos a un tercer país

 

15.1.   La Empresa no transfiere Datos Personales al estado un tercero ubicado fuera del territorio de la Unión Europea o de la Unión Europea Área Económica, excepto cuando esto ocurra en solicitud de la persona a quien se refieren los Datos Personales.

15.2.   Para evitar situaciones de exportación de datos no autorizada en en particular en relación con el uso de datos disponibles públicamente servicios en la nube, la empresa verifica periódicamente el comportamiento de los usuarios y, siempre que sea posible, lo pone a disposición de conformidad con la ley. Soluciones equivalentes en protección de datos.

 

16.  Disposiciones finales

 

16.1.   La política entra en vigor el día del anuncio.

16.2.   En lo no regulado en la Política se aplicarán las disposiciones pertinentes disposiciones del RGPD y disposiciones legales de aplicación general polaco y europeo.

16.3.   Cualquier cambio o adición a la Política requiere su propia eficacia de la forma escrita bajo pena de nulidad. Cambios o suplementos de la Póliza no entren en vigor antes dentro de los 7 días siguientes a la fecha de su anuncio.