Політика Охорони Персональних Даних

Ця Політика охорони персональних даних (далі – Політика) була розроблена ­з метою представлення способу і мети, з якою Компанією обробляються та забезпечуються персональні дані відповідно до вимог законодавства щодо принципів обробки та безпеки даних, включаючи Регламент Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 р. про захист фізичних осіб у зв’язку з обробкою персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (далі – GDPR).

Ви можете зв’язатися з нами у будь-який спосіб:

1. листування – адреса: ul. Łużycka 25a, 59-900 Zgorzelec
2. телефонний зв’зок – тел.: 756 408 105
3. електронна пошта: biuro@topping-work.eu
4. в інший спосіб, вказаний на сайті Компанії……………

Визначення:

1. Адміністратор даних / Компанія – Тоpping Work Europe sp.z o.o. з місцезнаходженням в м. Зелена Гура
2. Персональні дані – це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована
3. ІТ-система – набір взаємодіючих пристроїв, програм­, процедур обробки інформації, програмних забезпечень, що використовуються для обробки даних
4. Користувач – особа, уповноважена Адміністратором даних на обробку ­персональних даних
5. Набір даних – будь-який структурований набір персональних даних, ­доступний відповідно до певних критеріїв
6. Обробка даних – будь-які дії, що виконуються з персональними даними­, такі як збір, реєстрація, накопичення, зберігання, адаптування, зміна,  використання і поширення, та знищення персональних даних в традиційному форматі і в ІТ-системах
7. Ідентифікатор користувача – унікальний номер, що складається з літер, цифр або інших символів, який однозначно ідентифікує особу, уповноважену обробляти персональні дані в ІТ-системі (Користувача) у разі обробки персональних даних у такій системі
8. Пароль – послідовність літер, цифр або інших символів, відома лише особі, уповноваженій працювати в ІТ-системі (Користувачу), у разі обробки персональних даних у такій системі
9. Автентифікація – дії, спрямовані на перевірку заявленої особистості суб’єкта (Користувача).

I. Загальні положення

1. Політика поширюється на всі персональні дані, що обробляються Компанією, незалежно від форми їх обробки (традиційна, системні файли, ІТ-системи) та від того чи ці дані внесені або можуть бути внесені до бази персональних даних.
2. Політика зберігається в електронній та паперовій версіях за місцезнаходженням Адміністратора.
3. Для ефективної реалізації Політики Адміністратор даних забезпечує:

1. технічні та організаційні заходи відповідно до загроз та категорії даних, що підлягають захисту,
2. контроль та нагляд за обробкою персональних даних,
3. моніторинг застосованих заходів з захисту.

1. Проведення Адміністратором даних моніторингу застосованих заходів стосується, серед іншого, дій Користувачів, дотримання правил ­доступу до даних, забезпечення цілісності файлів і їх захисту від зовнішніх і внутрішніх атак.
2. Адміністратор даних гарантує, що дії, які здійснюються у зв’язку з обробкою та захистом персональних даних, відповідають цій ­Політиці та відповідним правовим положенням.

II. Персональні дані, що обробляються Адміністратором, Реєстр дій

1. Персональні дані, які обробляє Адміністратор, накопичуються в базах даних.
2. Адміністратор даних не здійснює дії з обробки, якщо такі дії можуть ­бути пов’язані з високою ймовірністю ризика порушення прав і свобод осіб.
3. У випадку плануванняя здійснення нових дій з обробки, Адміністратор даних аналізує негативні наслідки цих дій на захист персональних даних і бере до уваги ­питання захисту даних ще на етапі проєктування.
4. Адміністратор даних веде Реєстр дій з обробки. Такий Реєстр ведеться у письмовій та електронній формі.
5. Адміністратор надає Реєстр дій з обробки на вимогу Голови Управління.
6. Реєстр містить наступну інформацію: ім’я і контактні дані Адміністратора та інспектора із захисту даних, якщо такий був призначений, цілі обробки; опис категорій суб’єктів даних і категорій персональних даних, категорій одержувачів, яким персональні дані були або будуть розкриті, включаючи одержувачів у третіх країнах або в міжнародних організаціях, у разі застосовування, інформацію про передачу персональних даних до третьої країни або міжнародної організації, включаючи назву цієї третьої країни або міжнародної організації; а у випадку передачі даних, визначених ст. 49 ч. 1, абзац 2, документація відповідних забезпечень; заплановані дати видалення окремих категорій даних, якщо це можливо, загальний опис технічних та організаційних заходів безпеки, про які йдеться у ст. 32 п. 1 GDPR.
7. Компанія обробляє персональні дані:
   1. з метою укладання або виконання укладенного з Вами або за Вашою участю договору,
   2. з метою виконування правових зобов’язань,
   3. з метою виконання завдань, що стосуються нашого юридично обґрунтованного інтересу,
   4. виконувати завдання, що служать громадським інтересам,
   5. на основі Вашої згоди.
8. У разі Вашої відмови надання Компанії свої даних, укладання договору між Вами і Компанією та виконувати його положення не буде можливим. Надання даних є добровільним, але необхідним для укладення договору з Компанією та виконання його положень. У цій ситуації Компанія має обов’язок ідентифікувати Вас, зібрати та записати Ваші дані.

III. Обов’язки та відповідальність у сфері менеджменту безпеки

1.  Усі особи зобов’язані здійснювати обробку персональних даних
   відповідно до чинних норм та прийнятої Адміністратором даних
   ­Політики, а також інших внутрішніх документів ­і процедур,
   пов’язаних з обробкою персональних даних у Компанії.
2. Усі персональні дані обробляються в Компанії з дотриманням ­правил обробки, передбачених законодавством:
   1. у кожному випадку виступає принаймні одна з передбачених законом підстав ­для обробки даних,
   2. дані обробляються ретельно та прозоро,
   3. персональні дані збираються для конкретних, явних і законних ­цілей і не обробляються в подальшому способом, що суперечить цим цілям­,
   4. персональні дані обробляються лише в обсязі, ­необхідному для досягнення мети обробки даних,
   5. персональні дані є правдивими та за необхідності оновлюються,
   6. термін зберігання даних обмежується періодом їх придатності ­для цілей, для яких вони були зібрані, і по закінченню цього періоду анонімізуються або видаляються,
   7. інформаційне зобов’язання виконується щодо суб’єкта даних ­відповідно до ст . 13 і 14 GDPR,
   8. дані захищені від порушення правил їх захисту.
3. Порушенням або спробою порушення правил обробки та захисту персональних даних вважається:
   1. порушення безпеки ІТ-систем, в яких ­обробляються персональні дані, у разі їх обробки в таких системах­,
   2. предача або можливість передачі даних ­неавторизованим особамм або/і організаціям,
   3. невиконання, навіть ненавмисне, зобов’язань щодо забезпечення захисту персональних даних,
   4. невиконання обов’язку зберігати таємницю Персональних даних і способів їх захисту,
   5. обробка персональних даних не відповідає передбачуваному обсягу та меті їх збору,
   6. допущення ушкодження, втрати, неконтрольованої зміни або ­несанкціонованого копіювання персональних даних,
   7. порушення прав осіб, дані яких обробляються.
4. У разі виявлення порушення правил захисту персональних даних Користувач зобов’язаний вжити всіх необхідних ­заходів для обмеження наслідків порушення та негайно повідомити про це Адміністратора даних.
5. До обов’язків Адміністратора даних в питаннях працевлаштування, звільнення ­або зміни в трудових договорах, укладених з працівниками або співпрацівниками (особи, які виконують роботу на підставі інших цивільно-правових договорів) входить також здійснення нагляду за виконанням наступного:
   1. працівники були належним чином підготовлені до виконання своїх обов’язків,
   2. кожен з числа осіб, що займаються обробкою персональних даних, отримав письмовий «Доручення на обробку персональних даних­» (зразок – Додаток № 1 до цієї Політики)­,
   3. кожен співпрацівник зобов’язався зберігати конфіденційність персональних даних, що обробляються ­в Компанії. «Декларація про прийняття зобов’язань обробника зберігати таємницю» (зразок декларації – Додаток 2 до цієї ­Політики).
6. Співрацівники зобов’язуються:
   1. діяти виключно в рамках наданих повноважень,
   2. здійснювати обробку та захист персональних даних відповідно до положень,
   3. зберігати конфіденційність персональних даних і методів їх захисту­,
   4. повідомляти про інциденти, пов’язані з порушенням безпеки даних ­і неналежним функціонуванням системи.

IV. Визначення технічних та організаційних заходів, необхідних для забезпечення конфіденційності, цілісності ­та підзвітності даних, що обробляються

1. Адміністратор даних забезпечує впроваджння технічних та організаційних заходів, ­необхідних для забезпечення конфіденційності, цілісності, підзвітності та безперервності даних, що обробляються.
2. Заходами, про які згадується вище, є:
   1. захищені серверні дані, захищені мережеві диски, захищений поштовий сервер, захищені системи управління, бухгалтерська та кадрова система, внутрішній обіг документів і даних,
   2. підготовка персоналу.
3. Застосовані заходи (технічні та організаційні) повинні відповідвти рівню ризику для окремих систем, типів файлів і категорій даних, та включати наступне:
   1. обмеження доступу до приміщень, де обробляються персональні дані, доступ мають виключно уповноважені особи. Інші особи можуть перебувати в приміщеннях, які використовуються для ­обробки даних, лише в супроводі уповноваженої особи,
   2. закриття приміщень, що становлять зону обробки персональних даних, ­під час відсутності співробітників у спосіб, що унеможливлює доступ сторонніх осіб,
   3. використання шаф і сейфів для збереження ­документів;
   4. використання шредера для ефективного знищення документів, ­що містять персональні дані ,
   5. захист локальної мережі від ініційованих зовнє дій за допомогою брандмауера,
   6. захист комп’ютерного обладнання, яке використовує Адміністратор даних, від шкідливих програм,
   7. забезпечення доступу до пристроїв Компанії з використанням паролів ­;
   8. використання шифрування даних при їх передачі.

V. Порушення правил захисту персональних даних

1. У разі порушення захисту персональних даних ­Адміністратор даних оцінює ризик порушення прав або свобод фізичних осіб.
2. У будь-якій ситуації, у разі виявлення порушення, що може спричинити ризик порушення прав або свобод фізичних осіб, ­Адміністратор даних повідомляє про факт порушення ­правил захисту даних контролюючий орган без зайвої затримки – якщо це можливо, але не пізніше 72 годин після виявлення порушення. Форма повідомлення надається у Додатку 3 до цієї Політики.
3. Якщо ризик порушення прав і свобод високий, Адміністратор даних повідомляє про інцидент ­також суб’єкта даних.

VI. Доручення обробки персональних даних

1. Адміністратор даних може доручити обробку персональних даних іншому суб’єкту (обробнику) виключно на підставі за договору-доручення, укладеним у ­письмовій формі, відповідно до вимог щодо таких договорів, визначених ст. 28 GDPR (зразок договору: Додаток 4 до цієї Політики).
2. Перед тим, як доручити обробку персональних даних, Адміністратор даних за можливістю ознайомлюється з інформацію про дотихчасову практику обробника персональних даних у сфері захисту таких даних.

VII. Передача даних до третьої країни

Адміністратор даних не передаватиме персональні ­дані третім країнам, за винятком запиту суб’єкта даних.

VIII. Прикінцеві положення

1. Співпрацівник несе відповідальність за невиконання зобов’язань, що випливають із цього документа, ­згідно з Кодексом праці, Положенням про захист персональних даних і Кримінальним кодексом щодо персональних даних, на які поширюється професійна таємниця.
2. Наступні Додатки є невід’ємною частиною цієї Політики ­:

Додаток № 1 – Зразок доручення на обробку персональних даних

Додаток № 2 – Зразок декларації прийняття зобов’язань обробника

Додаток № 3 – Форма повідомлення про порушення правил захисту персональних даних

Додаток № 4 – Зразок договору-доручення обробки персональних даних