Polityka danych osobowych
- Definicje
- Administrator NTT Poland spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie przy ul. Rondo Daszyńskiego 1, 00-843 Warszawa, wpisanej do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000063801, NIP 952-18-51-834, REGON 016422763
- IOD – Inspektor Ochrony Danych, wyznaczony przez Spółkę, nadzorujący przestrzeganie przepisów o ochronie danych osobowych w Spółce, wykonujący zadania określone w art. 39 RODO. W przypadku braku powołania w Spółce IOD, zadania związane z zapewnieniem zgodności przetwarzania danych osobowych w Spółce z obowiązującym prawem wykonuje Koordynator ds. ochrony danych osobowych (KODO).
- Polityka – niniejsza Polityka ochrony danych.
- Pracownik – osoba fizyczna zatrudniona przez Administratora na podstawie umowy o pracę.
- Współpracownik – osoba fizyczna świadcząca na rzecz Administratora usługi na podstawie umowy cywilnoprawnej (np. umowa zlecenie, umowa o dzieło).
- Organ nadzorczy – Prezes Urzędu Ochrony Danych Osobowych, lub ewentualnie właściwy organ nadzorczy w zakresie danych osobowych wyznaczony przez inne państwo członkowie Unii Europejskiej.
- Podmiot danych – osoba fizyczna, której dotyczą dane osobowe przetwarzane przez Administratora.
- RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
- Zasady ogólne
- Niniejsza Polityka ochrony danych osobowych („Polityka”) stanowi podstawowy dokument regulujący zasady przetwarzania danych w NTT Poland spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie przy ul. Siennej 73, 00-833 Warszawa, wpisanej do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m. st. Warszawy
w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000063801, NIP 952-18-51-834, REGON 016422763 („Administrator”). - Administrator zapewnia przestrzeganie Polityki przez wszystkich Pracowników Administratora.
- W przypadku współpracy z podmiotem trzecim obejmującej przetwarzanie danych osobowych na zlecenie Administratora, Spółka zapewnia, by taki podmiot trzeci zobowiązał się do zapewnienia odpowiedniego poziomu ochrony danych osobowych, z uwzględnieniem postanowień Polityki.
- W przypadku współpracy z podmiotem trzecim, obejmującej przetwarzanie przez Administratora danych osobowych na zlecenie tego podmiotu, Spółka zawiera umowę powierzenia przetwarzania danych osobowych oraz zapewnia stosowanie się do jej wymogów przez wszystkie osoby zaangażowane w tę współpracę.
- Administrator poprzez odpowiednie środki techniczne i organizacyjne zapewnia możliwość wykazania zgodności przetwarzania danych osobowych z RODO oraz pozostałymi przepisami dotyczącymi danych osobowych („rozliczalność”).
- Administrator wyznacza osobę odpowiedzialną za obszar ochrony danych osobowych, powierzając jej funkcję KODO, i zapewnia adekwatne środki oraz zasoby niezbędne do wykonywania powierzonych jej zadań. W przypadku powołania IOD Administrator zapewnia, by odpowiadał on bezpośrednio przed zarządem Administratora, oraz dba o unikanie konfliktu interesów pomiędzy IOD a Spółką. Postanowienia Polityki dotyczące IOD stosuje się odpowiednio do KODO.
- Wdrożenie Polityki ma na celu zapewnienie zgodności z RODO procesów przetwarzania przez Administratora danych osobowych, bez względu na formę (elektroniczną bądź papierową), w jakiej to przetwarzanie następuje.
- Niniejsza Polityka ochrony danych osobowych („Polityka”) stanowi podstawowy dokument regulujący zasady przetwarzania danych w NTT Poland spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie przy ul. Siennej 73, 00-833 Warszawa, wpisanej do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m. st. Warszawy
- Organizacja systemu ochrony danych osobowych
- Administrator przypisuje role i zakres odpowiedzialności w procesie przetwarzania danych każdemu z uczestników tego procesu.
- Przed udzieleniem dostępu do przetwarzania danych osobowych Administrator zapoznaje każdego Pracownika, Współpracownika lub inne osoby przetwarzające dane z jego upoważnienia, z procedurami i zasadami dotyczącymi ochrony danych osobowych obowiązującymi u Administratora.
- Przetwarzanie danych osobowych przez Pracowników i Współpracowników może odbywać się wyłącznie na podstawie udokumentowanego upoważnienia Administratora, którego zakres odpowiada przypisanej roli i zakresowi odpowiedzialności. Ponadto Administrator zobowiązuje osoby upoważnione do zachowania poufności danych oraz informacji dotyczących zabezpieczeń danych, a także do przestrzegania procedur i polityk dotyczących ochrony danych obowiązujących w organizacji Administratora.
- Do zadań KODO należy między innymi:
- informowanie Administratora oraz Pracowników i Współpracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO i innych przepisów unijnych lub krajowych o ochronie danych osobowych, jak również doradztwo w kwestiach powiązanych;
- monitorowanie przestrzegania przez osoby upoważnione przepisów RODO oraz innych przepisów unijnych i krajowych z zakresu ochrony danych osobowych, jak również wewnętrznych polityk i procedur wdrożonych u Administratora w tym zakresie;
- udzielanie, na żądanie, zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
- współpraca z Organem nadzorczym;
- pełnienie funkcji punktu kontaktowego dla Organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
- KODO wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
- Pracownicy i Współpracownicy przetwarzający dane osobowe są zobowiązani w szczególności do:
- przetwarzania danych zgodnie z posiadanym upoważnieniem oraz z należytą starannością;
- w przypadku zaobserwowania zdarzenia mogącego stanowić naruszenie ochrony danych osobowych, niezwłocznego informowania o nim bezpośredniego przełożonego oraz KODO na zasadach opisanych w Procedurze oceny i notyfikacji naruszeń ochrony danych osobowych;
- uczestnictwa w organizowanych szkoleniach z zakresu ochrony danych osobowych;
- zachowania w poufności danych osobowych oraz informacji na temat sposobu ich zabezpieczenia, zgodnie z podpisaną klauzulą poufności.
- Udostępnianie i powierzanie danych osobowych
- Udostępnianie danych osobowych jest dopuszczalne tylko wtedy, gdy spełniony jest jeden z warunków, o którym mowa w art. 6 ust. 1 albo w art. 9 ust. 2 RODO. W przypadku powzięcia wątpliwości, czy dane osobowe powinny zostać udostępnione, należy skonsultować się z KODO.
- Powierzenie przetwarzania danych osobowych podmiotowi trzeciemu następuje w oparciu o umowę powierzenia przetwarzania danych, po weryfikacji tego podmiotu w sposób określony w Polityce wyboru dostawcy przetwarzającego dane osobowe.
- Naruszenia ochrony danych osobowych
- Administrator zapewnia zgłaszanie naruszeń ochrony danych osobowych Organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. W tym celu Administrator w szczególności zobowiązuje wszystkie osoby przetwarzające dane osobowe do niezwłocznego informowania o każdym dostrzeżonym naruszeniu ochrony danych osobowych zgodnie z Procedurą oceny i notyfikacji naruszeń ochrony danych osobowych.
- W każdym wypadku Administrator bada zaistniałe naruszenie i wdraża stosowne organizacyjne i techniczne środki naprawcze.
- Kontakty z Podmiotem danych
- Administrator wdraża odpowiednie środki, aby komunikacja z Podmiotem danych odbywała się w zwięzłej, przejrzystej i łatwo dostępnej formie.
- Przyjmowanie i obsługa żądań Podmiotów danych odbywa się na zasadach określonych w Procedurze obsługi żądań Podmiotów danych dotyczących realizacji praw związanych z przetwarzaniem danych.
- Zapewnienie ciągłości
- Administrator zapewnia stałe monitorowanie zgodności działania Spółki z zasadami ochrony danych osobowych.
- Do podejmowania czynności związanych z zapewnieniem zgodności zobowiązany jest KODO. Każdy pracownik i współpracownik Spółki zobowiązany jest wspierać KODO w wykonywaniu jego zadań, w szczególności udzielać niezbędnych informacji i wyjaśnień.
- Załączniki
- W toku przetwarzania danych osobowych Administrator stosuje następujące zasady, polityki i procedury:
- wdrażana jest Polityka przetwarzania danych osobowych – zawierająca ogólne informacje o zasadach przetwarzania danych przez Administratora, sposobie realizacji wniosków dotyczących praw podmiotów danych oraz informacje wymagane w art. 13 lub art. 14 RODO w zakresie dotyczącym osób, których dane są przetwarzane przez Administratora, ze względu na prowadzoną z nimi komunikację oraz w innych przypadkach realizacji przez Administratora jego uzasadnionych interesów. Polityka przetwarzania danych osobowych udostępniana jest każdej osobie zainteresowanej, a ponadto zamieszczana na stronie internetowej Administratora;
- Pracownikom i Współpracownikom przekazywana jest Informacja o przetwarzaniu danych osobowych pracowników i współpracowników – zawierająca informacje wymagane w art. 13 RODO w zakresie obejmującym przetwarzanie danych osób zatrudnionych przez Administratora, niezależnie od podstawy prawnej zatrudnienia. Informacja o przetwarzaniu danych osobowych przekazywana jest każdemu Pracownikowi i Współpracownikowi, a ponadto udostępniana do wglądu każdemu zainteresowanemu Pracownikowi i Współpracownikowi w sposób przyjęty przez Administratora;
- prowadzony jest Rejestr czynności przetwarzania danych osobowych oraz Rejestr kategorii czynności przetwarzania;
- wdrażana jest Polityka retencji danych osobowych – określająca zasady usuwania danych osobowych oraz okresy ich przetwarzania w zależności od celu tego przetwarzania;
- wdrażana jest Procedura obsługi żądań podmiotów danych – określająca zasady obsługi (przyjmowania i rozpoznawania) żądań osób fizycznych dotyczących realizacji praw podmiotów danych, w związku z przetwarzaniem ich danych osobowych, określonych przepisami RODO;
- wdrażana jest Polityka oceny ryzyka i oceny skutków przetwarzania danych osobowych – określająca zasady realizacji obowiązków wynikających z RODO w zakresie oceny ryzyka naruszenia praw podmiotów danych oraz oceny skutków przetwarzania danych;
- wdrażana jest Procedura oceny i notyfikacji naruszeń ochrony danych osobowych – określająca zasady identyfikacji i oceny naruszeń ochrony danych oraz sposób ich notyfikacji, w zakresie określonym w RODO, oraz zasady prowadzenia Rejestru naruszeń;
- prowadzony jest Rejestr naruszeń ochrony danych osobowych;
- wdrażana jest Polityka wyboru dostawcy przetwarzającego dane osobowe – określająca zasady weryfikacji dostawcy w zakresie gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych oraz ochrony praw osób, których dane dotyczą, zgodnie z RODO;
- wdrażana jest Polityka współpracy z organem nadzorczym – określająca zasady postępowania w zakresie wymagającym współpracy z Organem nadzorczym, w tym postępowania kontrolnego oraz sądowo-administracyjnego;
- stosowane są Zasady dokumentowania technicznych i organizacyjnych środków bezpieczeństwa ochrony danych – określające zasady dokumentowania środków bezpieczeństwa ochrony danych wdrożonych u Administratora, zgodnie z art. 32 RODO;
- realizowany jest Plan utrzymania ciągłości wdrożenia – określający ogólne ramy czasowe i organizacyjne działań związanych z zapewnieniem stałej zgodności z RODO i pozostałymi przepisami z zakresu danych osobowych.
- Dokumenty, o których mowa w pkt 8.1 wyżej, stanowią załączniki do Polityki.
- W toku przetwarzania danych osobowych Administrator stosuje następujące zasady, polityki i procedury:
- Postanowienia końcowe
- Polityka jest aktualizowana przez Administratora na wniosek IOD/KODO. Zasady aktualizacji poszczególnych załączników Polityki określone są w tych załącznikach.
- Polityka udostępniana jest wszystkim pracownikom i współpracownikom Administratora poprzez umieszczenie jej na SharePoint.
- Polityka obowiązuje od 30 marca 2021 r.
Kontakt
NTT Poland Sp. z o.o.
ul. Rondo Daszyńskiego 1
00-843 Warszawa
NIP 952–18–51–834
REGON 016422763
Wypełnij formularz, jeśli chcesz poznać szczegóły naszych rozwiązań
NTT DATA 2024 – ALL RIGHTS RESERVED