Varsovie, 21 mai 2018

 

 

 

 

 

 

 

 

POLITIQUE DE PROTECTION DES DONNÉES PERSONNELLES

 


 

Liste contenu

1.       Dispositions préliminaires.. 3

2.       Glossaire des termes.. 4

3.       Données personnelles.. 6

4.       Bases de la protection des données personnelles dans l'entreprise.. 7

5.       Système de protection des données personnelles.. 8

6.       Registre.. 9

7.       Respect des obligations envers les personnes auxquelles les données personnelles concernent.. 10

8.       Minimisation des données.. 13

9.       Sécurité.. 14

10.          Règles d'archivage et de stockage documentation collectée contenant des données personnelles.. 17

11.          Suppression des données personnelles.. 18

12.          Violation de la protection des données personnelles.. 19

13.          Confier le traitement.. 19

14.          Transfert de données personnelles au sein Entreprises.. 20

15.          Vous transférer des données troisième.. 20

16.          Dispositions finales.. 21

 


 

En tenant compte obligations découlant de l'art. 25 et art. 32Règlements(UE) 2016/679 du Parlement européen et du Conseil du 27/04/2016 relatif protection des personnes physiques dans le cadre du traitement des données personnelles et sur la libre circulation de ces données et abrogeant la directive 95/46/CE (Règlement général sur la protection des données) (JO L 119, p. 1), pour garantir que les données personnelles de Designers sp. o. sont traitées et sécurisées conformément aux dispositions légales en mettant en œuvre des mesures techniques appropriées et structures organisationnelles conçues pour mettre en œuvre efficacement les principes de protection données et pour assurer la sécurité nécessaire au traitement ; et créateurs sp. garantit que seuls eux ont été traités par défaut les données personnelles qui sont nécessaires pour atteindre toute finalité spécifique de traitement.

 

 

1.     Dispositions préliminaire

 

1.1.     La Politique définit les règles de traitement et de sécurisation des Données données personnelles dans l’Entreprise pour assurer la convergence Traitement conforme aux exigences du RGPD et aux dispositions impératives Loi polonaise concernant le traitement des données personnelles. États de politique un ensemble et une base mis en œuvre dans l'entreprise exigences, procédures et principes de protection des données personnelles. La politique comprend :

                                    I.             contient une description des principes de protection des données applicables dans la Société ;

                                 II.            un ensemble de procédures, d'instructions et de règlements détaillés concernant traitement des données personnelles dans la société concernant domaines individuels de protection des données personnelles ; constituant des annexes à la Politique.

1.2.     La politique s'applique à tous les employés et Associés de l'entreprise. Pour la conformité et Les personnes suivantes sont responsables du maintien des dispositions de la Politique :

                                    I.             Entreprise;

                                 II.            unités organisationnelles établies dans l'Entreprise, en quelles données personnelles sont traitées ;

                               III.            Employés.

1.3.       Pour une mise en œuvre efficace de la Politique, compte tenu de sa portée, le contexte et les finalités du traitement et les risques de violation des droits et libertés individus de probabilité et d’importance variables Menaces La société assure :

                                    I.            mettre en œuvre des mesures techniques appropriées et dispositions organisationnelles garantissant la conformité des traitements de données données personnelles avec les exigences légales et la sécurité nécessaire des données traitées données personnelles ;

                                 II.            sécuriser les ressources du système informatique, infrastructures techniques, équipements et accessoires contre la destruction, dommages ou vol ;

                              III.            empêcher l’accès aux données personnelles contenues dans Systèmes informatiques et stockés sous forme papier aux personnes ceci sans autorisation ;

                              IV.            un contrôle constant de la conformité du traitement des Données Personnelles avec exigences légales et soumettre les mesures visées au paragraphe ci-dessus, constamment révisé et mis à jour ;

                                V            contrôle et supervision du traitement des données personnelles.

1.4.            La surveillance du respect des dispositions de la Politique est assurée Conseil de gestion de l'entreprise. Surveillance mentionnée dans la phrase les objectifs précédents notamment, mais non exclusivement pour garantir que les activités liées au traitement des données les données personnelles de la Société sont conformes aux exigences légales et dispositions de la Politique.

1.5.            L'entreprise assure la conformité entrepreneurs de l'Entreprise, en particulier Sous-traitants avec les dispositions de la Politique, le cas échéant portée dans toutes les situations dans lesquelles ce transfert intervient entités de données personnelles pour le traitement, y compris le stockage.

1.6.            La politique est stockée et mise à disposition en version papier et par voie électronique au siège de la Société.

1.7.            La politique est mise à disposition :

                                      I.          obligatoirement à toutes les personnes habilitées à traiter Données personnelles dans la Société, à fournir aux personnes autorisées des connaissances et des informations appropriées sur les règles et exigences relatives à traitement des données personnelles dans la société ;

                                   II.          les personnes intéressées, notamment les personnes physiques, personnes concernées – à leur demande.

2.     Dictionnaire notions

 

Chaque fois que les éléments suivants sont utilisés dans cette politique définitions ou expressions, il convient de leur donner ce qui suit signification:

1)      Administrateur du système informatique – désigne une personne responsable de la supervision et de la sécurité des systèmes L'informatique utilisée dans l'Entreprise et Infrastructure informatique ;

2)      Données personnelles – désigne des informations sur une personne identifiée ou possible identifiable à une personne physique, tel que nom et prénom, numéro identifiant, données de localisation, identifiant en ligne ou un ou plusieurs facteurs spécifiques qui déterminent le physique, physiologiques, génétiques, mentaux, économiques, l'identité culturelle ou sociale d'une personne physique; visé à l'art. 4 point 1 du RGPD ;

3)      Données sensibles – désigne les données personnelles en question dans l'art. 9 RGPD ;

4)      Documents contenant des données personnelles - désigne tous les documents, y compris qui contiennent des données personnelles, à l'exception des cartes de visite, calendriers et cahiers conservés sous forme papier ou électronique;

5)      Chef d’une unité organisationnelle – désigne la personne coordinatrice travail des employés dans des unités individuelles les structures organisationnelles créées dans l'Entreprise ;

6)      Connexion – désigne une séquence de caractères alphabétiques, numériques ou caractères d'autres, identifiant l'utilisateur pour le traitement des données données personnelles dans le système informatique ;

7)      Supports de données – désigne tous les supports, sur quelles informations sont stockées sous forme électronique, dans notamment : CD-ROM, DVD-ROM, BluRays, disques, mémoire USB et autres mémoires portables, cartes magnétiques et documents papier contenant des données personnelles;

8)      Destinataire - désigne une personne physique ou morale, une autorité public, entité ou autre entité à laquelle il est divulgué données personnelles, qu'elles proviennent ou non d'un tiers. Autorités publiques susceptibles de recevoir des données personnelles en vertu procédures spécifiques en vertu du droit de l’Union ou du droit de l’État État membre ;

9)      Personne autorisée – désigne une personne autorisée par la Société pour traiter les Données Personnelles en question portée;

10)  Sujet sous-traitant - désigne une personne physique ou morale, une autorité publique, une entité ou une autre entité qui traite des données les données personnelles au nom de la Société ;

11)  Politique – désigne cette politique de protection des données personnelles de Designers Sp. z o.o. z o. du 21 mai 2018, accompagné de toutes les annexes possibles ;

12)  Employés – désigne les deux personnes employées dans l'Entreprise le fondées sur une relation de travail, ainsi que les personnes physiques coopérer avec l'Entreprise dans le cadre de l'Accord droit civil;

13)  Entreprise (Contrôleur de données personnelles) – désigne la société Designers sp z. o.o., st. F.Szuberta 27, 02-408 Warszawa, inscrite au registre national Tribunal, numéro de référence du dossier RDF/171687/19/315, sous le numéro 0000492638, numéro NIP : 1180036097, RÉGON : 011055478

14)  Traitement – désigne une opération ou un ensemble d’opérations effectuées sur des Données Personnelles ou des ensembles de données personnelles de manière automatisée ou non automatisés, comme la collecte, l'enregistrement, l'organisation, le rangement, stocker, adapter ou modifier, télécharger, visualiser, utilisation, divulgation par transmission, diffusion ou autrement comme le partage, la mise en correspondance ou la combinaison, la restriction, l'enlèvement ou la destruction visée à l'art. 4 point 2 du RGPD ;

15)  Registre - désigne le Registre des activités de traitement des données personnelles de l'Entreprise ;

16)  RGPD – désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil 27 avril 2016 relative à la protection des personnes physiques à l'égard des le traitement des données personnelles et sur la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection données) (JO UE L 119, p. 1);

17)  Réseau local – désigne la connexion des systèmes informatiques de l'entreprise uniquement pour ses propres besoins en utilisant les appareils et réseaux de télécommunications ;

18)  Réseau étendu - cela doit être compris comme un réseau public (télécommunications) au sens de la loi du 16 juillet 2004, loi télécommunications (Journal des lois 2004, n° 171, article 1800) ;

19)  Système – désigne le système de protection des données personnelles dans l’entreprise, o visé au § 5 de la Politique ;

20)  Système IT – signifie une équipe de personnes coopérant les unes avec les autres appareils, programmes, procédures de traitement de l'information, outils logiciel utilisé pour traiter les données personnelles ;

21)  Appareil mobile – désigne les téléphones portables, les tablettes et autres appareils portables qui utilisent les biens possédés sont destinés ou peuvent être utilisés pour le traitement des données personnelles ;

22)  Authentification – désigne une action visant à vérifier l’identité déclarée Utilisateur;

23)  Utilisateur – désigne une personne autorisée par l’Administrateur des Données Données personnelles à traiter Données contenues dans les systèmes, logiciels, ressources réseau, fichiers et dossiers enregistrés sur les ordinateurs, serveurs, supports de données et autres appareils électroniques ;

24)  Ensemble données – désigne tout ensemble ordonné de données personnelles, disponible selon des critères précis.

3.     Données voitures particulières

 

3.1.   La société traite les Données Personnelles collectées dans des fichiers données. Les ensembles de données traitées dans la Société sont présentés en Annexe N°1 à Polityka.

3.2.   La liste des Datasets est mise à jour ou étendue après avoir analysé les effets et les risques du traitement Données personnelles relatives aux droits et libertés des personnes physiques concernées collection.

3.3.   La Société n'entreprend pas d'activités de Traitement, cela pourrait impliquer un risque important de violation droits et libertés des personnes concernées par les Données Personnelles. DANS en cas de projet de prendre les mesures visées au dans la phrase précédente, la Société effectue obligatoirement évaluation préalable des effets du traitement visé au art. 35 RGPD.

3.4.   Par défaut, les données personnelles sont traitées dans le domaine couvrant locaux situés au siège de la Société à ul. F.Szuberta 27, 02-408 Varsovie. Un espace supplémentaire où Les Données Personnelles sont traitées, constituent tous les ordinateurs appareils portables et autres appareils mobiles et supports de données situé en dehors de la zone indiquée dans la phrase précédente.

4.     Les bases protection des données personnelles dans la société

 

4.1.   L'entreprise veille à ce que les mesures soient prises techniques et organisationnels nécessaires pour assurer confidentialité, intégrité, responsabilité et continuité Données traitées.

4.2.   Personnes autorisées et toutes autres personnes à qui il est mis à disposition Les données personnelles traitées dans la société sont obligées doivent traiter les données personnelles conformément aux exigences légales et conformément aux dispositions de la Politique, ainsi qu'à d'autres dispositions internes actes juridiques de la Société ou procédures internes liés au traitement des données personnelles.

4.3.   Lors de l'emploi de Salariés et au cours de l'emploi de l'Entreprise assure que :

                                      I.     Employés avant d'exercer des fonctions officielles recevoir une bonne connaissance des règles Traitement et protection des données personnelles dans la société ;

                                   II.     tout le monde l'un des Employés est autorisé par écrit à Traiter Données personnelles dans la mesure nécessaire, conformément au modèle Annexes n°2 à la Politique ;

                                 III.     tout le monde Chaque employé est tenu de respecter la confidentialité et l’intégrité des Données Personnelles, conformément au modèle constituant l’Annexe N° 3 de la Politique, par laquelle les Employés sont tenus de : en particulier, mais sans s'y limiter :

a)        le strict respect du champ d’application de l’autorisation ;

b)        le respect des exigences légales et des dispositions de la Politique en étendue du traitement ;

c)        maintenir le secret des données personnelles ;

d)        maintenir la confidentialité et l’intégrité des données données personnelles ;

e)        signaler immédiatement tout incident à la Société incidents liés à des atteintes à la sécurité des données données personnelles.

4.4.   La Société garantit que les Données Personnelles Traitées dans L'entreprise était :

                                                                  I.     traité conformément à la loi, de manière fiable et transparente pour la personne, à laquelle les données se rapportent ;

                                                                II.     collecté à des fins déterminées, explicites et légitimes et non traitées en outre d'une manière incompatible avec ces objectifs ;

                                                             III.     adéquat, pertinent et limité à ce qui est nécessaire aux fins visées lesquels ils sont traités ;

                                                             IV.     correct et mis à jour si nécessaire ; L'entreprise assure la reprise actions visant à supprimer ou à rectifier les Données données personnelles inappropriées au regard de leurs finalités traitement (« exactitude » );

                                                               V     stocké sous une forme permettant l'identification de la personne à qui les données se rapportent, pour une durée qui ne dépasse pas celle nécessaire aux fins pour lesquelles les données sont traitées ;

                                                             VI.     traité de manière à garantir une sécurité adéquate des données données personnelles, y compris la protection contre toute utilisation non autorisée ou illégale traitement et perte accidentelle, destruction ou dommages, par des moyens techniques appropriés ou organisationnel.

4.5.   Tout en assurant le Traitement des Données Personnelles conformément aux principes indiqué dans la section ci-dessus, la Société base le Traitement sur motifs suivants :

1)        Légalité – L’entreprise se soucie de la protection confidentialité et traite les données personnelles conformément aux exigences légales ;

2)        Sécurité − L'entreprise veille à ce que niveau de sécurité des Données Personnelles en agissant constamment à cet égard;

3)        Droits individuels - L'entreprise permet aux personnes de dont les données personnelles sont traitées, exerçant vos droits et met en œuvre ces droits ;

4)        Responsabilité – L’entreprise garantit une bonne performance documenter la manière dont les obligations de sécurité sont respectées Données personnelles.

5.     Système protection des données personnelles

 

La Société veille à la conformité du Traitement des Données données personnelles avec des exigences légales également en concevant, introduction et maintenance du système. Le système se compose de : mesures organisationnelles et mesures techniques de protection, adéquates pour le niveau de risque identifié pour les ensembles de données individuels et catégories de données. Le système se compose de : notamment les mesures suivantes :

                   I.               limiter l'accès aux pièces où Les données personnelles sont traitées uniquement pour les personnes autorisées et veiller à ce que d'autres personnes puissent rester à l'intérieur salles utilisées uniquement pour le traitement des données personnelles en compagnie d'une personne autorisée ;

                 II.              fermer les pièces constituant la zone concernée au paragraphe 3.4 Politiques pour la période d'absence des Employés, en d'une manière qui empêche des tiers d'y accéder ;

              III.               assurer la sécurité de la zone visée à l'article 3.4 Politiques contre les facteurs accidentels tels que les incendies ou inondation;

             IV.               en utilisant des armoires, des tiroirs, des coffres-forts ou d'autres mesures techniques empêchant les personnes accès non autorisé aux données personnelles qui y sont stockées ;

                V              mise en œuvre des principes de gestion du système informatique utilisé traiter les données personnelles ;

             VI.               mettre en œuvre des politiques de sauvegarde ;

           VII.               mise en place de règles de conservation et d'archivage des informations collectées documentation contenant des données personnelles ;

        VIII.              mise en place de règles d'archivage et de conservation de la documentation contenant des données personnelles ;

             IX.               mise en œuvre des règles de transfert des Données Personnelles au sein Entreprises

                X              assurer l’élimination ou la destruction efficace des documents contenant des données personnelles d'une manière qui rend impossible leur récréation ultérieure ;

             XI.               assurer la sécurité matérielle et informatique, y compris:

a)      protection du réseau local contre les activités initiées de l’extérieur,

b)      s'assurer que le logiciel utilisé est à jour,

c)      sécuriser le matériel informatique utilisé dans l’Entreprise contre les logiciels malveillants,

d)      assurer des sauvegardes constantes et fréquentes sauvegarder les données stockées sur les ordinateurs, le serveur et le réseau Entreprises,

e)      limiter l’accès au matériel informatique, au serveur et réseau local en appliquant des règles d'authentification ;

f)       effectuer une analyse des risques pour les activités de traitement de données ou des catégories de ceux-ci ;

g)      mise en œuvre de normes de vérification et de sélection des entités sous-traitants, ainsi que les conditions de mandat Traitement des données pour les sous-traitants individuels ;

h)      surveiller les changements dans les processus de traitement des données données personnelles dans la Société et gestion courante les changements affectant la protection des données personnelles dans la Société.

 

6.     Registre

 

6.1.   Le registre comprend des catégories d'activités de traitement de données données personnelles dans l'Entreprise. Via le registre, Enterprise documente les activités de traitement des données personnelles et les inventaires i surveille la manière dont il utilise les données personnelles. Le registre est une annexe N°6 à Polityka.

6.2.   Par l'intermédiaire du Registre, notamment via indication des mesures générales de protection des données dans le registre données personnelles couvertes par une activité distincte traitement, l'entreprise s'efforce également de démontrer la conformité du traitement des données personnelles aux exigences légales.

6.3.   Au Registre, séparément pour chaque catégorie identifiée Activités de traitement des données personnelles, il est enregistré ce qui moins:

1)        nom de l'activité;

2)        finalité du traitement ;

3)        description des catégories de personnes dont les données personnelles sont traitées dans le cadre d'une activité donnée ;

4)        description des catégories de données personnelles traitées au sein des données activités;

5)        base juridique du traitement ainsi que les détails catégorie de l’intérêt légitime de l’Entreprise, si le fondement le traitement est basé sur un intérêt légitime ;

6)        description des catégories de Destinataires des Données, y compris les Entités traitement,

7)        des informations sur l’éventuel transfert de Données Personnelles à l’extérieur le territoire de l'Union européenne ou de l'Espace économique européen ;

8)        description générale des mesures techniques et organisationnelles protection des données personnelles applicable aux données concernées activités.

6.4.       Lors de la mise à jour ou de l'extension de la catégorie d'activité traitement des données personnelles, la Société doit immédiatement mettre à jour le registre pour garantir la conformité du registre avec l'État l’actualité et l’étendue des opérations de traitement des Données Personnelles au sein de la Société.

6.5.       Les dispositions de l'article ci-dessus n'exclut pas les possibilités inclure des informations supplémentaires et enrichissantes dans le registre, si nécessaire le détail ou la lisibilité du registre ou faciliter la gestion de la conformité en matière de protection des données données personnelles avec les exigences légales et la mise en œuvre du principe de responsabilité.

6.6.       La société documente ses bases juridiques dans le registre traitement des données pour des activités de traitement individuelles en indiquant la base juridique générale du traitement, telle que : consentement, contrat, obligation légale imposée à la Société, but légitime de l’Entreprise.

 

7.     Mise en œuvre obligations envers les personnes auxquelles les données personnelles concernent

 

7.1.       L'entreprise met en œuvre des méthodes de gestion du consentement permettant l'enregistrement et la vérification de la propriété le consentement de la personne au traitement de ses données spécifiques dans un but spécifique, le consentement à communication à distance (e-mail, téléphone, SMS, etc.) et enregistrement du refus de consentement, du retrait du consentement et similaires des actions telles que soulever une objection ou une restriction traitement.

7.2.       L'entreprise se soucie de la lisibilité et du style fourni des informations et des communications avec des personnes dont les données personnelles processus.

7.3.       La Société le laisse disponible pour inspection au siège de la Société Politique

7.4.       Afin d'exercer les droits de la personne à laquelle se rapportent les Données Personnelles La société fournit des procédures et des mécanismes permettant identifier les données de personnes spécifiques traitées par la Société, intégrer ces données, y apporter des modifications et les supprimer dans manière intégrée.

7.5.       L'entreprise documente l'exécution des tâches informations, notifications et demandes de personnes, informer la personne concernée sur :

a)      traitant ses données personnelles, lors de l'obtention de données de sa part personnes.

b)      changement prévu dans la finalité du traitement des données ;

c)      abrogeant la limitation du traitement des données personnelles avant l'abrogation restrictions de traitement ;

d)      rectification, suppression ou limitation du traitement des données, à moins que cela nécessite un montant disproportionné effort ou sera impossible;

e)      le droit de s’opposer au traitement Données personnelles au plus tard lors du premier contact avec ce site Internet personne.

7.6.       L'entrepreneur doit, sans retard injustifié, informer la personne de violation de la protection des données personnelles, le cas échéant entraîner un risque élevé de violation des droits ou libertés de cette personne.

7.7.       Nonobstant les dispositions de l'article ci-dessus, Entreprise précise comment informer les personnes sur le traitement des données non identifiés, dans la mesure du possible.

7.8.       Sur demande d'accès d'une personne données, la Société informe la personne si elle traite ses Données données personnelles et informe la personne des détails du traitement, conformément à art. 15 RGPD, et donne également accès à la personne aux données la concernant. L'accès aux données peut être obtenu en délivrant une copie données.

7.9.       L'entrepreneur fournit à la personne à laquelle se rapportent les données personnelles une copie des données le concernant et enregistre le fait que le premier a été délivré copie des données.

7/10.   L'entreprise corrige les données incorrectes sur demande la personne à laquelle se rapportent les Données Personnelles. L'entreprise a le droit refuser de rectifier les données à moins que la personne ne le demande raisonnablement La méthode démontrera des irrégularités dans les données qui exige une correction. En cas de correction des données, la Société informe la personne des destinataires des données, à la demande de cette personne.

7/11.   L'entreprise complète et met à jour les données sur demande la personne à laquelle se rapportent les Données Personnelles. L'entreprise a le droit refuser de compléter les données si nécessaire incompatible avec les finalités du traitement des données. L'entreprise peut se fier à la déclaration de la personne concernant les données complétées, à moins que cela sera insuffisant au regard de celles adoptées par Procédures ou lois de l'entreprise ou s'il existe des motifs de considère que cette déclaration n'est pas fiable.

7/12.   En tenant compte du paragraphe ci-dessous, à la demande d'une personne, L'entreprise supprime les données lorsque :

a)        les données ne sont pas nécessaires aux fins pour lesquelles ont été collectées ou traitées à d'autres fins,

b)        le consentement à leur traitement a été retiré et il n'y a pas d'autre option base juridique du traitement,

c)        la personne s'est opposée avec succès au traitement de ces données données,

d)        les données ont été traitées illégalement,

e)        la nécessité de supprimer les résultats de l'obligation légal,

7/13.   Lors de la suppression des Données Personnelles, la Société prend en compte : assurer la mise en œuvre effective de ce droit à respectant tous les principes de protection des données, y compris la sécurité, un vérifier également s'il existe des exceptions, o visé à l'art. 17. rubrique 3 RGPD.

7/14.   Si les données à supprimer ont été rendu public par l'Entreprise, puis l'Entreprise prend des mesures raisonnables, y compris des mesures techniques, pour informer les autres administrateurs traitant ces données informations personnelles, sur la nécessité de supprimer les données et d'y accéder. DANS En cas de suppression de données, la Société informe la personne destinataires des données, à la demande de cette personne.

7.15.   La Société restreint le traitement des données sur demande les gens quand :

a)        la personne remet en question l'exactitude des données - pendant un certain temps vérifier leur exactitude,

b)        le traitement est illicite et la personne concernée préoccupation, s’oppose à la suppression des données personnelles en demandant en contrepartie, limiter leur utilisation,

c)        L'entreprise n'a plus besoin de données personnelles, mais elles sont là ils sont nécessaires à la personne concernée pour déterminer, poursuivre ou défendre des réclamations,

d)        la personne s'est opposée au traitement pour des raisons connexes avec sa situation particulière - jusqu'à ce qu'il soit déterminé si, après il existe des motifs légitimes sur le site Internet de la Société passer outre les motifs d’opposition.

7/16.   Pendant la limitation du traitement, la Société conserve données, mais ne les traite pas (n'utilise pas, ne transfère pas), sans consentement de la personne concernée, sauf dans le but de déterminer pour poursuivre ou défendre des réclamations, ou pour protéger les droits d’une autre personne physique ou juridique, ou pour des raisons d’intérêt importantes publique. L'entreprise informe la personne avant l'annulation restrictions de traitement. En cas de limitation du traitement des données La société informe la personne sur les destinataires des données sur demande cette personne.

7/17.   A la demande d'une personne, la Société délivre en format structuré, couramment utilisé et adapté lisible par machine ou transfert à une autre entité, le cas échéant possible, les données relatives à cette personne qu'elle a fournies Entreprise, traité sur la base du consentement de cette personne ou à des fins de conclusion ou exécution du contrat conclu avec lui, dans les systèmes informatiques Entreprise.

7/18.   Si une personne en signale une raison spécifique situation, vous vous opposez au traitement de vos données, tel que visé visé à l'art. 21 RGPD, et les données sont traitées par la Société sur la base de l'intérêt légitime de la Société ou confié Entreprise une mission d'intérêt public, Entreprise s'engage à prendre en compte les objections, à moins qu'elles ne surviennent de la part de la Société, des motifs valables et légalement justifiés pour traitement, prévalant sur vos intérêts, droits et libertés la personne qui soulève l'objection, ou la base d'une détermination, d'une enquête ou défense des réclamations.

7/19.   Si la personne s'oppose au traitement données par la Société à des fins de marketing directement, la Société prendra en compte l'objection et cessation d'un tel traitement.

 

8.     Minimisation données

 

8.1.       L'entreprise met en place des procédures pour aider mise en œuvre du principe de minimisation des Données Personnelles traitées en termes de :

a)      l'adéquation des Données Personnelles aux finalités du Traitement, y compris en limitant la quantité de données personnelles traitées et la portée du traitement aux fins du traitement ;

b)      limiter l'accès aux données personnelles uniquement à Personnes autorisées pour lesquelles les données sont utilisées les données personnelles dans une certaine mesure sont nécessaires au bon accomplissement des devoirs;

c)      limiter la durée de conservation des Données Personnelles à la durée de dont le stockage des données personnelles est nécessaire en raison de pour atteindre la finalité du Traitement ou les obligations imposées sur Entreprise.

8.2.       L'entreprise révise périodiquement les quantités les données traitées, leur type et leur étendue, au moins fréquemment que une fois par an.

8.3.       La Société applique des restrictions d'accès aux Données données personnelles via :

a)         Obligation des employés de maintenir la confidentialité, y compris y compris dans le cadre des Données Personnelles ;

b)        vérification du groupe de destinataires internes des Données données personnelles en attribuant des informations détaillées à chaque employé autorisations concernant le traitement des données personnelles uniquement dans la mesure dans la mesure nécessaire à l'exercice de fonctions officielles liés aux finalités divulguées à la personne concernée ;

c)         mise en œuvre de mesures techniques de protection des données données personnelles en limitant l’accès aux systèmes et logiciels et les ressources réseau, y compris les serveurs, les boîtes aux lettres et Données personnelles traitées sur ordinateurs, téléphones et autres Supports de données utilisés dans le processus de traitement des données Personnel;

8.4.       L'entreprise met à jour les droits d'accès avec des changements dans la composition du personnel et des changements dans les rôles et changements dans les entités de traitement. Entreprise examine périodiquement les utilisateurs établis systèmes, boîtes aux lettres et logiciels et les met à jour moins d'une fois par an.

8.5.       La société traite les données personnelles en tenant compte critères indiqués dans le registre. L'entreprise met en œuvre des mécanismes de contrôle du cycle de vie des Données Personnelles dans l’Entreprise, y compris la vérification de l'adéquation des données par rapport à délais et points de contrôle indiqués dans le Registre.

8.6.       Données dont la portée de l'utilité est limitée avec au fil du temps, ils sont supprimés des systèmes, des logiciels, ordinateurs et autres supports de données de l'Entreprise, ainsi qu'à partir des fichiers de référence et principaux. Ces données peuvent être archivé et inclus dans les copies de sauvegarde systèmes et informations traités par l’Entreprise. Procédures d'archivage et d'utilisation des archives, de création et l'utilisation de copies de sauvegarde prend en compte les exigences de contrôle sur cycle de vie des données, y compris les exigences de suppression des données.

 

9.     Sécurité

 

9.1.       La société oblige toutes les personnes qui : dans l'exercice de leurs fonctions officielles, ils obtiendront toute portée d’accès aux données personnelles traitées par Entreprise à connaître avant de rejoindre travailler avec les principes applicables de protection des données personnelles spécifié dans la Politique.

9.2.       Prise en compte de l’état des connaissances techniques et des coûts de mise en œuvre et la nature, la portée, le contexte et les finalités du traitement ainsi que le risque de violation droits et libertés des personnes physiques à des degrés divers la probabilité d'occurrence et la gravité de la menace Entreprise met en œuvre des mesures techniques et organisationnelles pour assurer le niveau de protection des Données Personnelles, correspondant au risque de violation droits et libertés des personnes physiques résultant du traitement des données données personnelles par la Société.

9.3.       L'entreprise réalise et documente des analyses l'adéquation des mesures de sécurité des données personnelles. DANS à cet effet la Société :

a)      catégorise les données et les activités de traitement en termes de les risques qu'ils présentent;

b)      analyse le risque de violation des droits et libertés personnes physiques pour des activités de traitement de données ou leur catégorie. L'entreprise analyse les situations possibles et scénarios de violations de la protection des données personnelles, en tenant compte nature, portée, contexte et finalités du traitement, risque de violation des droits ou liberté des personnes physiques à divers degrés la probabilité d'occurrence et la gravité de la menace ;

9.4.       L'entreprise met en place des mesures de continuité l'action et la prévention des effets des catastrophes, c'est-à-dire la capacité d'agir rapidement rétablir la disponibilité des données personnelles et l’accès à eux en cas d’incident physique ou technique.

9.5.       Administrateur système nommé dans l'entreprise Le service informatique prend des mesures pour garantir le respect de la loi traitement des Données Personnelles dans les systèmes informatiques utilisés par la Société et une conduite de la plus haute qualité sécurité des données personnelles dans les systèmes informatiques. Pour les tâches L'administrateur des systèmes informatiques doit :

a)      contrôle et surveillance constants des droits des utilisateurs ;

b)      assurer le bon fonctionnement du système informatique, conformément aux finalités établies du traitement des données personnelles et principes de conformité légale traitement;

c)      superviser l’exécution des copies de sauvegarde et contrôler le système de copie dans le cadre de leur aptitude supplémentaire à récupération des Données Personnelles en cas de panne ressources systèmes, logiciels et réseaux ;

d)      informer les membres du Directoire de la Société de toutes les irrégularités et incidents de contrefaçon détectés ou menaçant la sécurité des données personnelles et du système IL;

e)      prendre des mesures pour éviter que cela ne se produise pannes du système, irrégularités et incidents de contrefaçon ou menaçant la sécurité des données personnelles et du système IL;

f)       effectuer des inspections, de l'entretien et des modifications dans périmètre de mise en œuvre des mises à jour du système informatique et logiciel utilisé pour traiter les données personnelles ;

g)      maintenir un contrôle constant sur le niveau de sécurité du système Informatique concernant le traitement des données personnelles,

h)      Authentification des utilisateurs, notamment en accordant, en modifiant la portée, en les privant de droits dans accès au système informatique, aux ressources du réseau, serveurs, programmes supportés, conformément aux principes de gestion, visé au § 10 de la Politique ;

i)       effectuer d'autres activités et tâches liées à Traitement des données personnelles à l'aide de serveurs et de ressources réseaux, systèmes informatiques et logiciels, et assurer sécurité des Données Personnelles liées au Traitement.

9.6.       Les utilisateurs sont tenus de respecter les règles protection des données personnelles spécifiées dans la présente politique et à bonne exécution des tâches dans le domaine de :

a)         traiter les données personnelles conformément aux conditions convenues et divulguées la personne à laquelle les données personnelles se rapportent aux finalités ;

b)        participation à une formation dans le domaine de la protection des Données Personnelles organisé par l'Entreprise;

c)         suivre les recommandations et ordres officiels et messages émis par les supérieurs concernant l'efficacité fonctionnement du système ;

d)        le respect des règles concernant la sécurité des Données Personnelles prévu dans la présente Politique ainsi que dans les Annexes, ainsi que non répertorié dans la Politique, mais mis en œuvre dans l'Entreprise ;

e)         assurer un fonctionnement sûr du système Informatique et réseau utilisés par l'Utilisateur, notamment : suivre les règles liées à la modification des mots de passe sur les ordinateurs et appareils mobiles, en éteignant l'ordinateur à chaque fois après terminer le travail et quitter le lieu de travail, pas de transfert de données les données personnelles collectées sur les ordinateurs, serveurs, boîtes e-mail et d'autres ressources réseau à des personnes non autorisées, montrant soyez prudent lorsque vous recevez un e-mail de des destinataires inconnus dont l'identification est douteuse ;

f)         s'abstenir d'emporter des documents contenant des données données personnelles en dehors du siège social de la Société sous quelque forme que ce soit, à l'exception les personnes autorisées à le faire ;

g)        le respect des règles liées à la protection des Données Personnelles traitées dans le cadre de l'exercice de fonctions officielles contenus dans les cartes de visite, les cahiers et les calendriers conservés sous forme écrite ou électronique ;

h)        manque de duplication indépendante des clés de rechange l'accès aux locaux dans les locaux de la Société,

i)          aucune modification du contenu existant les scellés contenant des Données Personnelles, notamment ajouter ou supprimer des panneaux, en créer vous-même d'autres ou de nouveaux sceaux, en apportant des modifications périodiques ou permanentes à ceux existants des sceaux entre eux;

j)     régler l'écran de l'ordinateur de manière à rendre impossible visualisation des données personnelles affichées par des personnes non autorisées rester dans un bureau.

 

10.  Règlesarchivage et stockage documentation collectée contenant des données personnelles

 

10.1.   Le siège social de la société est situé salles adaptées à l'archivage des documents. L'entreprise prend des mesures pour le réduire personnes non autorisées dans les pièces désignées et s'applique contrôle d'accès électronique, empêchant les personnes non autorisées ont accès à la documentation.

10.2.   Il existe des salles adaptées à l'archivage de la documentation protégé contre tout accès non autorisé par des personnes non autorisées en : stockant la documentation dans des armoires verrouillées et confier la clé uniquement aux salariés, autoriser l'accès à documentation. Les clés des armoires sont conservées dans des endroits inaccessibles pour les personnes non autorisées ; interdiction de partager les clés avec d'autres personnes qui ne sont pas des salariés de l'entreprise.

10.3.   Les documents non utilisés sont archivés pendant l'exploitation actuelle de l'Entreprise. À PROPOS déplacer la documentation dans une salle adaptée à des fins d'archivage La décision est prise par les responsables des unités organisationnelles individuelles ou par le président Conseil d'Administration.

10.4.   Documents contenant des données personnelles sous forme papier sont stockés dans des dossiers, des classeurs ou des pochettes, ou d'une autre manière méthode adoptée par le chef de l'unité organisationnelle i triés d'une manière approuvée par le chef de l'unité organisationnel. Ils ne peuvent pas être dans un seul dossier documents contenant des données personnelles à traiter Les employés d'une unité organisationnelle spécifique sont autorisés et documents contenant des données personnelles à traiter Les employés d'une unité organisationnelle spécifique ne sont pas autorisés. S'il est possible de séparer les documents, veuillez nous en informer visé dans la phrase précédente, le chef de l'unité organisationnelle, en consultation avec Un membre du directoire prend d'autres mesures techniques et organisationnelles empêcher les salariés d’avoir accès aux Données non autorisé.

10.5.   Documents contenant des données personnelles sur place, y compris où se trouvent les postes de travail des employés, sont stockés une fois que les employés ont terminé leur travail armoires et tiroirs verrouillables.

10.6.   Si présents dans la pièce où ils se trouvent postes de travail des employés, personnes non autorisées traitement des données personnelles d'une catégorie spécifique conformément à l'annexe N°9 de la Politique, Les Employés prennent toutes les mesures nécessaires activités visant à empêcher l’accès de personnes non autorisées aux données personnelles.

10.7.   Les règles prévues au présent paragraphe s'appliquent également en cas de stockage de Données Personnelles en dehors du siège social de la Société, mentionné à l'article 3.4 Politiques.

 

11.  Suppression des données personnelles

 

 

11.1.   La société conserve les données personnelles pour une durée n'excédant pas que ce qui est nécessaire aux fins du traitement. Après expiration période indiquée dans le Registre, la Société supprime les Données Personnelles dans en permanence.

11.2.   La Société supprime les Données Personnelles en utilisant ses propres moyens et mécanismes ou confie la suppression des données personnelles entités coopérantes qui fournissent des garanties suffisantes pour la mise en œuvre de mesures appropriées mesures techniques et organisationnelles pour prévenir les menaces violations ou atteintes à la sécurité des Données Personnelles.

11.3.   Les données personnelles contenues dans des documents qui, en raison de la nécessité de maintenir la continuité de la coopération avec les entrepreneurs, clients et autres entités, à jour et corrects fonctionnement de l'Entreprise ou pour d'autres raisons importantes ne peut pas être supprimé après le délai spécifié dans S'inscrire, sont soumis à l'anonymisation.

11.4.   Nonobstant les dispositions de l'article 11.1 ci-dessus, Entreprise supprime les données personnelles dans les cas visés à la section 7.13 Politiques.

11.5.   L'entité autorisée à supprimer les données personnelles de serveurs est l’administrateur du système informatique.

11.6.   Avant de transférer des ordinateurs, des appareils vers une entité externe appareils mobiles, supports de données contenant des données personnelles, destiné à la destruction ou à la réparation, administrateur système Le service informatique supprime les données personnelles stockées sur l'appareil. Au cas où impossibilité de supprimer les données personnelles, administrateur Le Système Informatique prend les actions préventives nécessaires l'accès aux données par des personnes non autorisées, par ex. anonymise les données.


 

12.  Violation de la protection des données personnelles

 

12.1.   Pour violation ou tentative de violation des règles de traitement, je la protection des Données Personnelles est particulièrement prise en compte, mais non seulement :

a)        atteinte à la sécurité des systèmes informatiques, ressources logicielles et réseau dans lesquelles ils sont traités Données personnelles ;

b)        divulgation de données personnelles à des personnes non autorisées ;

c)        traitement de données personnelles incompatible avec la portée prévue i la finalité de leur Traitement ;

d)        dommages, pertes, destructions ou dommages non autorisés ou accidentels modification des données personnelles.

12.2.   En cas de violation de la protection des Données Personnelles, la Société évalue si la violation aurait pu entraîner un risque violation des droits et libertés des personnes physiques et en estime l’ampleur risque.

12.3.   En cas de violation de la protection des Données Personnelles, la Société sans retard injustifié - si possible, non plus de 72 heures après la découverte de la violation - les signale à l’autorité de contrôle compétente, sauf s’ils sont insuffisants la violation est susceptible d'entraîner un risque de violation des droits ou liberté des personnes physiques.

12.4.   Quelles que soient les obligations précisées à l'article 12.2-ci-dessus, L'entreprise documente toutes les violations de la protection des données données personnelles, y compris les circonstances de la violation de la protection des données personnelles, ses effets et mesures correctives prises.

 

13.  Confier le traitement

 

13.1.   La société peut confier le Traitement des Données données personnelles au sous-traitant uniquement au moyen d'un contrat conclu par écrit ou par un autre instrument juridique (par exemple, des règlements ou Règles générales de confiation des données personnelles) selon les besoins indiqué à l'art. 28 sections 3 RGPD.

13.2.   L'entreprise utilise uniquement de tels services Processeurs qui fournissent des garanties suffisantes pour la mise en œuvre de mesures appropriées technique et organisationnel afin que le traitement réponde aux exigences du RGPD i protégé les droits des personnes auxquelles se rapportent les données personnelles. En ordre vérification du respect de l'obligation mentionnée dans la phrase précédente, la Société avant de confier le traitement Processeur potentiel chaque fois que possible obtient des informations sur les principes de protection des données personnelles appliqués par Sous-traitant potentiel et les pratiques de cette entité concernant la sécurité des données personnelles.

13.3.   Les détails et les règles de confiance des Données Personnelles sont précisés le contrat ou l’instrument juridique concerné.

 

14.  Transfert de données personnelles au sein Entreprises

 

14.1.   La documentation contenant des données personnelles est transférée entre unités organisationnelles individuelles et employés, notamment : principes de protection des données personnelles indiqués dans la présente Politique.

14.2.   En l'absence d'autorisation du préposé au recouvrement document pour le traitement des données personnelles, elles sont transférées de la manière empêcher la violation des données personnelles lors de leur utilisation des ressources techniques et organisationnelles suffisantes :

a)         des messages électroniques sont envoyés à un autre employé traitement non autorisé des Données après suppression préalable Données personnelles provenant des pieds de page des e-mails et leur contenu ou cryptage Données d'une manière qui rend impossible l'identification d'une personne, à laquelle les Données se rapportent ;

b)        documents papier et électroniques transférés à un autre employé le traitement non autorisé des données personnelles est soumis à anonymisation ou cryptage des Données ;

c)         documents sous forme papier transférés à la personne à qui les Données les données personnelles sont transférées par un autre employé non autorisé pour le traitement des données, sont placés dans des enveloppes ou opaques fichiers décrits de manière à empêcher toute identification destinataire.

14.3.   Documents papier transférés à la personne dont les données personnelles les préoccupations provenant d'un autre employé sont stockées et transportés jusqu'à ce qu'ils soient livrés au destinataire d'une manière qui rend impossible violation de données personnelles.

 

15.  Transfert de données vers un pays tiers

 

15.1.   La Société ne transfère pas de Données Personnelles à l'État un tiers situé en dehors du territoire de l’Union européenne ou de l’Union européenne Espace économique, sauf lorsque cela se produit demande de la personne à laquelle se rapportent les Données Personnelles.

15.2.   Pour éviter les situations d'exportation de données non autorisées dans notamment en ce qui concerne l'utilisation de données accessibles au public services cloud, l'entreprise vérifie périodiquement le comportement des utilisateurs et, dans la mesure du possible, le met à disposition conformément à la loi solutions équivalentes en matière de protection des données.

 

16.  Dispositions finales

 

16.1.   La politique entre en vigueur le jour de son annonce.

16.2.   Dans les questions non réglementées dans la Politique, des dispositions appropriées s'appliqueront Dispositions du RGPD et dispositions légales généralement applicables Polonais et européen.

16.3.   Tout changement ou ajout à la politique nécessite son propre effectivité de la forme écrite sous peine de nullité. Changements ou les suppléments à la Politique entrent en vigueur au plus tôt que dans un délai de 7 jours à compter de la date de leur annonce.