Polityka ochrony danych osobowych
WERSJA: 1.0
DATA WYDANIA: 15 maja 2018 r.
ZATWIERDZONE UCHWAŁĄ ZARZĄDU ELEMENTAL HOLDING S.A.
z dnia 15 maja 2018 r. nr 01/05/2018
1
§1. Postanowienia ogólne
Niniejsza Polityka Ochrony Danych Osobowych zwana dalej „Polityką” określa cel, podstawy prawne i zakres przetwarzania danych osobowych w Elemental Holding S.A. (dalej „Spółka”) oraz w Grupie Kapitałowej Elemental Holding (dalej „Grupa Kapitałowa”), a także informacje o podmiotach, którym dane mogą być udostępnione oraz oprawach przysługujących osobom, których dane są przetwarzane.
Polityka jest jawna i ogólnodostępna, w szczególności jest publikowana na stronie internetowej Elemental Holding S.A. pod adresem www.elemental.biz, a także może zostać udostępniona na żądanie osoby zainteresowanej.
Spółki z Grupy Kapitałowej zapewniają bezpieczeństwo powierzonych jej danych osobowych w oparciu o:
a) legalność−spółkidbająoochronęprywatnościiprzetwarzajądanezgodniez
prawem;
b) bezpieczeństwo − spółki zapewniają odpowiedni poziom bezpieczeństwa
danych podejmując stale działania w tym zakresie.
c) prawa jednostki − spółki umożliwiają osobom, których dane przetwarzają,
wykonywanie swoich praw i prawa te realizują;
d) rozliczalność−spółkidokumentująto,wjakisposóbspełniająobowiązki,aby
w każdej chwili móc wykazać zgodność.
Przy przetwarzaniu danych osobowych w Grupie Kapitałowej stosuje się
następujące zasady:
a) legalizm – działania w zakresie przetwarzania danych osobowych muszą
mieć podstawę prawną,
b) rzetelność,
c) transparentność – przetwarzanie odbywa się w sposób przejrzysty dla osoby, której dane dotyczą,
d) minimalizm i adekwatność – dane zbierane są w konkretnych celach, wyłącznie w zakresie w jakim są potrzebne do danego celu,
e) prawidłowość – z dbałością o prawidłowość danych,
f) czasowość – nie dłużej niż potrzeba;
g) bezpieczeństwo – zapewniając odpowiednie bezpieczeństwo danych.
2
§2.System ochrony danych osobowych
1. W celu realizacji powyższych zasad w Grupie Kapitałowej prowadzi się następujące działania:
a) dokonuje się identyfikacji danych osobowych: weryfikacji rodzajów
przetwarzanych danych osobowych z uwzględnieniem klas danych (dane zwykłe, dane wrażliwe), zależności między zasobami danych, występowania profilowania, współadministrowania danymi, przypadków powierzenia przetwarzania danych osobowych,
b) prowadzonyjestrejestrprzetwarzanychdanychosobowych,
c) zapewnia się, identyfikuje się, weryfikuje się podstawy prawne przetwarzania danych i rejestruje je w rejestrze, w szczególności utrzymywany jest system zarządzania zgodami na przetwarzanie danych, inwentaryzowane są i uzasadniane przypadki, gdy dane są przetwarzane na podstawie prawnie
uzasadnionego interesu spółki z Grupy Kapitałowej,
d) spółki z Grupy Kapitałowej spełniają obowiązki informacyjne względem osób,
których dane przetwarza, oraz zapewniają obsługę ich praw, realizując otrzymane w tym zakresie żądania, w tym:
w procesie uzyskiwania zgody na przetwarzanie danych osobowych przedstawiają klauzule informacyjne wyjaśniające zasady przetwarzania danych przyjęte w danej spółce z Grupy Kapitałowej oraz zakres praw przysługujących osobie powierzającej swoje dane,
dokumentują proces uzyskiwania zgody na przetwarzanie danych osobowych,
weryfikują i zapewniają możliwość realizacji praw przysługujących uprawnionym w zakresie ich danych osobowych w ramach swojej działalności jako administratora, jak i przetwarzających którym powierzyła przetwarzanie danych osobowych,
stosują procedury pozwalające na ustalenie konieczności zawiadomienia osób dotkniętych zidentyfikowanym naruszeniem ochrony danych,
e) spółki z Grupy Kapitałowej wdrożyły zasadę minimalizacji zbierania danych osobowych (privacy by default), przyjmując zasadę zarządzania adekwatnością danych; zasadę reglamentacji i zarządzania dostępem do danych; zasadę zarządzania okresem przechowywania danych i weryfikacji dalszej przydatności,
3
f) spółki zapewniają odpowiedni poziom bezpieczeństwa danych, w tym:
przeprowadzają analizę ryzyka dla czynności przetwarzania danych lub
ich poszczególnych kategorii;
przeprowadzają ocenę skutków dla ochrony danych tam, gdzie ryzyko
naruszenia praw i wolności osób jest wysokie;
dostosowują środki ochrony danych do ustalonego ryzyka;
g) w Grupie Kapitałowej została przyjęta polityka bezpieczeństwa przetwarzania danych osobowych.
Spółki z Grupy Kapitałowej powierzają przetwarzanie danych osobowych podmiotom, które zweryfikowały pod kątem spełniania procedur bezpieczeństwa danych osobowych. Podstawą powierzenia przetwarzania danych osobowych są umowy na przetwarzanie regulujące wymagany poziom bezpieczeństwa danych zgodnie z przyjętymi w Grupie Kapitałowej zasadami.
Spółki z Grupy Kapitałowej nie przekazują danych do państw trzecich lub do organizacji międzynarodowych.
Spółki z Grupy Kapitałowej zarządzają zmianami mającymi wpływ na prywatność. W tym celu procedury uruchamiania nowych projektów i inwestycji uwzględniają konieczność oceny wpływu zmiany na ochronę danych, zapewnienie prywatności (a w tym zgodności celów przetwarzania, bezpieczeństwa danych i minimalizacji) już w fazie projektowania zmiany, inwestycji czy na początku nowego projektu.
Spółki z Grupy Kapitałowej nie prowadzą transgranicznego przetwarzania danych osobowych.
§3. Podstawy przetwarzania
Każda ze spółek z Grupy Kapitałowej dokumentuje w rejestrze podstawy prawne przetwarzania danych dla poszczególnych czynności przetwarzania.
Spółki z Grupy Kapitałowej wdrażają metody zarządzania zgodami umożliwiające rejestrację i weryfikację posiadania zgody osoby na przetwarzanie konkretnych danych w konkretnym celu oraz rejestrację odmowy zgody, cofnięcia zgody i podobnych czynności (sprzeciw, ograniczenie itp.). Spółki w procesie pozyskania zgody szczegółowo informują o prawach jednostki dotyczących danego rodzajuzgody.
Spółki z Grupy Kapitałowej dbają o czytelność i styl przekazywanych informacji i komunikacji z osobami, których dane przetwarzają.
Spółki z Grupy Kapitałowej dbają o dotrzymywanie prawnych terminów realizacji obowiązków względem osób, których dane przetwarzają.
4
Spółki z Grupy Kapitałowej wprowadzają adekwatne metody identyfikacji i uwierzytelniania osób dla potrzeb realizacji praw jednostki i obowiązków informacyjnych.
W celu realizacji praw jednostki spółki z Grupy Kapitałowej zapewniają procedury i mechanizmy pozwalające zidentyfikować dane konkretnych osób przetwarzane przez daną spółkę, zintegrować te dane, wprowadzać do nich zmiany i usuwać w sposób zintegrowany,
Spółki z Grupy Kapitałowej dokumentują obsługę obowiązków informacyjnych, zawiadomień i żądań osób.
§4. Obowiązki informacyjne
Spółki z Grupy Kapitałowej określają zgodne z prawem i efektywne sposoby wykonywania obowiązków informacyjnych, w szczególności informują osobę o zasadach przetwarzania jej danych, przy pozyskiwaniu danych od tej osoby.
Spółki z Grupy Kapitałowej określają sposób informowania osób o przetwarzaniu danych niezidentyfikowanych, tam gdzie to jest możliwe (np. tabliczka o objęciu obszaru monitoringiem wizyjnym).
Spółki z Grupy Kapitałowej informują osobę o planowanej zmianie celu przetwarzania danych.
Spółki z Grupy Kapitałowej informują osobę przed uchyleniem ograniczenia przetwarzania.
Spółki z Grupy Kapitałowej informują odbiorców danych o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych (chyba że będzie to wymagało niewspółmiernie dużego wysiłku lub będzie niemożliwe).
Spółki z Grupy Kapitałowej informują osobę o prawie sprzeciwu względem przetwarzania danych najpóźniej przy pierwszym kontakcie z tą osobą.
Spółki z Grupy Kapitałowej bez zbędnej zwłoki zawiadamiają osobę o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby.
§5. Realizacja praw
1. Realizując prawa osób, których dane dotyczą, spółki z Grupy Kapitałowej wprowadzają proceduralne gwarancje ochrony praw i wolności osób trzecich. W szczególności w przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób (np. prawa
5
związane z ochroną danych innych osób, prawa własności intelektualnej, tajemnicę handlową, dobra osobiste itp.), spółka może zwrócić się do osoby w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia żądaniu.
Na żądanie osoby dotyczące dostępu do jej danych, spółka z Grupy Kapitałowej informuje osobę, czy przetwarza jej dane oraz informuje osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO (zakres odpowiada obowiązkowi informacyjnemu przy zbieraniu danych), a także udziela osobie dostępu do danych jej dotyczących.
Spółka z Grupy Kapitałowej informuje osobę, w ciągu miesiąca od otrzymania żądania, o odmowie rozpatrzenia żądania i o prawach osoby z tym związanych.
Spółka z Grupy Kapitałowej dokonuje sprostowania nieprawidłowych danych na żądanie osoby. Spółka ma prawo odmówić sprostowania danych, chyba że osoba w rozsądny sposób wykaże nieprawidłowości danych, których sprostowania się domaga. W przypadku sprostowania danych spółka informuje osobę o odbiorcach danych, na żądanie tej osoby.
Spółka z Grupy Kapitałowej uzupełnia i aktualizuje dane na żądanie osoby. Spółka ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych (np. nie musi przetwarzać danych, które są jej zbędne). Spółka może polegać na oświadczeniu osoby, co do uzupełnianych danych, chyba że będzie to niewystarczające w świetle przyjętych procedur (np. co do pozyskiwania takich danych), prawa lub zaistnieją podstawy, aby uznać oświadczenie za niewiarygodne.
6. Na
a) daneniesąniezbędnedocelów,wktórychzostałyzebraneaniprzetwarzane
żądanie osoby, spółka z Grupy Kapitałowej usuwa dane, gdy:
w innych celach,
b) zgodanaichprzetwarzaniezostałacofnięta,aniemainnejpodstawyprawnej
przetwarzania,
c) osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych,
d) danebyłyprzetwarzaneniezgodniezprawem,
e) koniecznośćusunięciawynikazobowiązkuprawnego,
f) żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu
świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku (np. profil dziecka na portalu społecznościowym, udział w konkursie na stronie internetowej).
6
W Grupie Kapitałowej określa się sposób obsługi prawa do usunięcia danych w taki sposób, aby zapewnić efektywną realizację tego prawa przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpieczeństwa, a także weryfikację, czy nie zachodzą wyjątki, o których mowa w art. 17. ust. 3 RODO. W przypadku usunięcia danych spółka informuje osobę o odbiorcach danych, na żądanie tej osoby.
Jeżeli dane podlegające usunięciu zostały upublicznione przez spółkę z Grupy Kapitałowej, spółka podejmuje rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe, o potrzebie usunięcia danych i dostępu do nich.
Spółka z Grupy Kapitałowej dokonuje ograniczenia przetwarzania danych na żądanie osoby, gdy:
a) osobakwestionujeprawidłowośćdanych–naokrespozwalającysprawdzićich
prawidłowość,
b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą,
sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia
ich wykorzystywania,
c) spółka nie potrzebuje już danych osobowych, ale są one potrzebne osobie,
której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
d) osobawniosłasprzeciwwzględemprzetwarzaniazprzyczynzwiązanychzjej szczególną sytuacją – do czasu stwierdzenia, czy po stronie spółki zachodzą
prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.
W trakcie ograniczenia przetwarzania Spółka przechowuje dane, natomiast nie przetwarza ich (nie wykorzystuje, nie przekazuje), bez zgody osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy
interesu publicznego.
W przypadku ograniczenia przetwarzania danych spółka informuje osobę o
odbiorcach danych, na żądanie tej osoby.
Na żądanie osoby spółka z Grupy Kapitałowej wydaje w ustrukturyzowanym,
powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła ona spółce, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z nią zawartej, w systemach informatycznych spółki.
7
Jeżeli osoba zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez spółkę w oparciu o jej uzasadniony interes lub o powierzone spółce zadanie w interesie publicznym, spółka uwzględni sprzeciw, o ile nie zachodzą po jej stronie ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.
Jeżeli osoba zgłosi sprzeciw względem przetwarzania jej danych przez spółkę z Grupy Kapitałowej na potrzeby marketingu bezpośredniego (w tym ewentualnie profilowania), spółka uwzględni sprzeciw i zaprzestanie takiego przetwarzania.
Spółki z Grupy Kapitałowej nie profilują osoby, w celu podjęcia względem niej decyzji wywołującej skutki prawne lub inaczej istotnie wpływającej na osobę.
§6. Ograniczenia dostępu
Spółki z Grupy Kapitałowej stosują ograniczenia dostępu do danych osobowych: prawne (zobowiązania do poufności, zakresy upoważnień), fizyczne (strefy dostępu, zamykanie pomieszczeń) i logiczne (ograniczenia uprawnień do systemów przetwarzających dane osobowe i zasobów sieciowych, w których rezydują dane osobowe).
Spółki z Grupy Kapitałowej dokonują aktualizacji uprawnień dostępowych przy zmianach w składzie personelu i zmianach ról osób, oraz zmianach podmiotów przetwarzających.
Spółki z Grupy Kapitałowej dokonują okresowego przeglądu ustanowionych użytkowników systemów i aktualizują je w zależności od potrzeb.
Szczegółowe zasady kontroli dostępu fizycznego i logicznego zawarte są w procedurach bezpieczeństwa przetwarzania danych osobowych przyjętych przez spółki z Grupy Kapitałowej.
§7. Minimalizacja czasu
Dane, których zakres przydatności ulega ograniczeniu wraz z upływem czasu są usuwane z systemów, jak też z akt podręcznych i głównych. Dane takie mogą być archiwizowane oraz znajdować się na kopiach zapasowych systemów i informacji przetwarzanych przez spółkę z Grupy Kapitałowej. Procedury archiwizacji i korzystania z archiwów, tworzenia i wykorzystania kopii zapasowych uwzględniają wymagania kontroli nad cyklem życia danych, a w tym wymogi usuwania danych.
8
§8. Zgłaszanie naruszeń
Spółki z Grupy Kapitałowej stosują procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych w terminie 72 godzin od ustalenia naruszenia.