Politique de protection des données à caractère personnel Metal-Fach Sp. z o.o.
Conformément à l’article 24 du Règlement 2016/679, la politique de protection des données à caractère personnel est introduite à partir du 01/09/2018
Exigences légales : La loi du jeudi 10 mai 2018 sur la protection des données à caractère personnel (Journal officiel de 2018, point 1000) Règlement du Ministre de l’intérieur et de l’administration du 29 avril 2004, relatif à la documentation du traitement des données à caractère personnel et aux conditions techniques et organisationnelles auxquelles doivent satisfaire les appareils et les systèmes informatiques utilisés pour le traitement des données à caractère personnel (Journal officiel de 2004, nº 100, point 1024).
2. Liste des définitions de base
3. Introduction
4. Objectifs de la politique de protection des données à caractère personnel
5. Délégué à la protection des données
6. Personnes autorisées à traiter des données à caractère personnel
7. Principes de base de la protection des données à caractère personnel
8. Autorisation à traiter des données à caractère personnel
9. Fait de confier le traitement des données à caractère personnel
10. Mise à disposition des données à caractère personnel
11. Transfert des données à caractère personnel en dehors de la Pologne
12. Liste des bâtiments, locaux ou parties de locaux constituant le domaine dans lequel des données à caractère personnel sont traitées
13. Liste des ensembles de données à caractère personnel avec indication des programmes utilisés pour traiter ces données
14. Description de la structure des ensembles de données à caractère personnel
15. Description du flux de données entre les différents systèmes
16. Définition des mesures techniques et organisationnelles nécessaires pour garantir la confidentialité, l’intégrité et la responsabilité des données traitées
17. Réglementation pénale et administrative
18. Dispositions finales
19. Annexes
LPDP | La loi du jeudi 10 mai 2018 sur la protection des données à caractère personnel (Journal officiel de 2018 point 1000) |
RGPD | Le Règlement du Parlement européen et du Conseil UE 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (Règlement général sur la protection des données) |
ordon. MIA | L’ordonnance du ministre de l’intérieur et de l’administration du 29 avril 2004 relative à la documentation du traitement des données à caractère personnel et aux conditions techniques et organisationnelles auxquelles doivent satisfaire les appareils et les systèmes informatiques utilisés pour le traitement des données à caractère personnel |
OPDP | Office pour la protection des données à caractère personnel |
RTDP | Responsable de traitement des données à caractère personnel |
DPD | Délégué à la protection des données |
ASI | Administrateur des systèmes d’information |
SI | Système d’information |
SGSDP | Système de gestion de la sécurité des données personnelles |
PPDP | Politique de protection des données à caractère personnel |
MGSI | Manuel de gestion des systèmes d’information |
1. le responsable de traitement des données à caractère personnel – il s’agit de l’autorité, l’unité organisationnelle, l’entité ou la personne qui décide des finalités et des moyens du traitement des données à caractère personnel ;
2. le délégué à la protection des données – il s’agit d’une personne physique désignée par le responsable de traitement des données à caractère personnel visé à l’article 8 de la LPDP ;
3. l’administrateur des systèmes d’information – il s’agit d’une personne ou une entité externe désignée par le responsable de traitement des données à caractère personnel, responsable du fonctionnement des systèmes et réseaux d’information et de communication et du respect des règles et exigences en matière de sécurité des systèmes et réseaux d’information et de communication ;
4. la personne autorisée – il s’agit d’une personne autorisée par le responsable de traitement des données à caractère personnel à traiter des données à caractère personnel. L’utilisateur peut être un employé de l’entreprise, une personne effectuant un travail sur la base d’un contrat de mandat ou d’un autre contrat de droit civil, ainsi qu’une personne effectuant un service volontaire, un stage ou un internat.
5. les données à caractère personnel – toute information concernant une personne physique identifiée ou identifiable. Une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, psychique, économique, culturelle ou sociale ;
6. l’ensemble de données à caractère personnel – il s'agit de tout ensemble structuré de données à caractère personnel, accessible selon des critères spécifiques, que cet ensemble soit réparti ou fonctionnellement divisé ;
7. le traitement de données à caractère personnel – il s’agit de toute opération effectuée sur des données à caractère personnel, telle que la collecte, l’enregistrement, le stockage, le développement, la modification, la mise à disposition et la suppression, en particulier celles effectuées dans des systèmes informatiques ;
8. le système d’information – il s’agit d’un ensemble de dispositifs, de programmes, de procédures de traitement de l’information et d’outils logiciels coopérants utilisés pour le traitement des données ;
9. la protection des données dans le système informatique – il s’agit de la mise en œuvre et l’exploitation de mesures techniques et organisationnelles pour assurer la protection des données personnelles contre un traitement non autorisé ;
10. la sécurité de l’information – il s’agit d’un ensemble de principes à suivre lors de la conception et de l’utilisation des systèmes de traitement de l’information et des applications afin de garantir que l’accès à ceux-ci soit conforme en toutes circonstances ;
11. la suppression des données – il s’agit de la destruction des données à caractère personnel ou leur modification de telle manière qu’elle ne permet pas d’identifier la personne concernée ;
12. le consentement de la personne concernée il s’agit d’une déclaration d’intention, dont le contenu est le consentement au traitement des données à caractère personnel de la personne qui fait la déclaration. Le consentement ne peut pas être implicite ou découler d’une déclaration d’intention au contenu différent. Le consentement peut être révoqué à tout moment ;
13. les destinataires des données – il s’agit de toute personne à laquelle des données à caractère personnel sont mises à disposition, à l’exception :
• la personne concernée,
• la personne autorisée à traiter des données à caractère personnel,
• les autorités gouvernementales nationales ou locales auxquelles les données sont mises à disposition dans le cadre de la procédure ;
14. Pays tiers – il s’agit d’un pays appartenant à l’Espace économique européen ;
15. Mot de passe – il s’agit d’une séquence de lettres, de caractères numériques ou autres, connue uniquement d’un utilisateur autorisé à travailler dans un système d’information ;
16. ID utilisateur – il s’agit d'une séquence de lettres, numérique ou autre identifiant sans ambiguïté la personne autorisée à traiter les données dans des zones désignées du système informatique de l'entreprise ;
17. Confidentialité des données – il s’agit de la compétence pour garantir que les données ne sont pas mises à la disposition de personnes ou d’entités non autorisées ;
18. Intégrité des données – c’est-à-dire la propriété garantissant que les données personnelles n’ont pas été modifiées ou détruites de manière non autorisée ;
19. Responsabilisation des données – il s’agit de la compétence pour garantir que les actions d’une personne ou d’une entité ne peuvent être clairement attribuées qu’à cette personne ou entité ;
20. Utilisateur du système informatique – il s’agit d’une personne autorisée à traiter des données à caractère personnel dans les systèmes informatiques, à laquelle ont été attribués un identifiant et un mot de passe uniques ;
21. Authentification – il s’agit du processus d’identification correcte de l’utilisateur d’un système informatique dans la mesure où il permet l’octroi de droits ou de privilèges appropriés dans le système informatique de l’entreprise ;
22. Incident – il s’agit d’une violation de la sécurité des données personnelles pour des raisons de confidentialité, de disponibilité et d’intégrité ;
23. Menace – cela il s’agit de la possibilité qu’un incident se produise ;
24. Action corrective – il s’agit d'une action entreprise pour éliminer la cause d’un incident ou d’une autre situation indésirable ;
25. Action préventive – il s’agit d'une action qui doit être entreprise pour éliminer les causes d’un danger ou d’une autre situation indésirable pouvant se produire.
La politique contient des informations concernant la reconnaissance du traitement des données à caractère personnel et les garanties techniques et organisationnelles mises en œuvre pour assurer la protection des données à caractère personnel traitées.
Ce document est conforme au droit applicable, en particulier à la loi du 10 mai 2018 relative à la protection des données à caractère personnel et au RGPD. Sur la base de l’analyse du risque de perte de données à caractère personnel, le niveau de menace a été déterminé comme étant de base.
1. assurer que les exigences légales sont respectées ;
2. garantir la confidentialité, l’intégrité et la responsabilité des données personnelles traitées dans l’entreprise ;
3. sensibiliser les personnes qui traitent les données à caractère personnel ;
4. impliquer les personnes qui traitent les données à caractère personnel de l’entreprise au niveau de leur protection.
• la connaissance des dispositions légales dans le domaine de la protection des données à caractère personnel et des dispositions de la politique de protection des données à caractère personnel et du manuel de gestion des systèmes d’information ;
• le respect des recommandations du DPD ;
• le traitement des données à caractère personnel uniquement dans la mesure déterminée individuellement par le responsable de traitement des données à caractère personnel dans une autorisation écrite et uniquement aux fins de l’exécution des tâches imposées ;
• l’information immédiate du DPD de toute irrégularité concernant la sécurité des données à caractère personnel traitées dans l’entreprise ;
• la protection des données à caractère personnel et des moyens utilisés pour traiter ces données contre tout accès, divulgation, modification, destruction ou altération non autorisés ;
• l’utilisation des systèmes informatiques de l’entreprise d’une manière conforme aux directives contenues dans les manuels d’utilisation des appareils inclus dans les systèmes informatiques ;
• la confidentialité perpétuelle des données à caractère personnel et les moyens de les protéger ;
• le soin particulier dans l’exécution des traitements de données à caractère personnel afin de protéger les intérêts des personnes concernées.
2. En ce qui concerne les personnes dont les données à caractère personnel sont traitées, l’obligation d’information résultant des dispositions du code polonais des sociétés commerciales doit être remplie.
3. Les données à caractère personnel collectées doivent être traitées pour des finalités déterminées et légitimes et ne pas être traitées ultérieurement de manière incompatible avec ces finalités.
4. Il convient de veiller à ce que le traitement des données à caractère personnel soit effectué conformément à la méthodologie et aux finalités pour lesquelles elles ont été collectées.
5. Les données à caractère personnel peuvent être traitées au sein de la société pendant une durée n’excédant pas celle nécessaire à la réalisation de l’objectif du traitement.
6. La confidentialité, l’intégrité et la responsabilisation des données personnelles traitées au sein de l’entreprise doivent être assurées.
7. Les données à caractère personnel traitées ne peuvent être mises à disposition sans le consentement des personnes concernées, sauf si ces données sont mises à la disposition des personnes autorisées à traiter les données à caractère personnel, des personnes auxquelles les données ont été transférées sur la base d’un contrat de mandat et des organismes publics nationaux ou locaux dans le cadre de la procédure.
8. Le traitement des données à caractère personnel dans l'entreprise peut se faire aussi bien dans les systèmes informatiques que sous la forme traditionnelle : fichiers, répertoires, livres, listes et autres registres.
9. En ce qui concerne les données à caractère personnel traitées dans des systèmes autres qu'informatiques, les réglementations existantes sur le secret professionnel, la circulation et la sécurité des documents officiels restent en vigueur.
10. Toutes les personnes dont les données sont traitées dispose d'un droit de protection des données les concernant, d'un contrôle du traitement de ces données et de mise à jour, de suppression et d'obtention de toutes les informations sur leurs droits.
2. Au nom du RTDP, le DPD tient un registre des personnes autorisées à traiter les données à caractère personnel (le modèle du registre est joint en annexe Z4-PODO).
2) Dans le cas où le traitement de données à caractère personnel est confié à une entité externe, le contrat de sous-traitance du traitement de données à caractère personnel détermine en premier lieu la finalité et l’étendue du traitement de données à caractère personnel. La liste des accords de gestion conclus est conservée par le DPD.
Le DPD tient un registre de la mise à disposition des données à caractère personnel aux institutions et aux personnes extérieures à l’entreprise (le modèle du registre est joint à l’annexe Z5-PODO).
◦ des pays de l’Espace économique européen ;
◦ autres pays (pays tiers).
2. Le transfert de données à caractère personnel au sein de l’EEE est traité comme s’il s’agissait de données traitées en Pologne.
3. En cas de transfert de données à caractère personnel vers un pays tiers, l’une des conditions doit être remplie :
• le pays de destination offre des garanties de protection des données à caractère personnel sur son territoire au moins égales à celles en vigueur sur le territoire de la République de Pologne ;
• lorsque le transfert de données à caractère personnel résulte d’une obligation imposée par la loi ou par un accord international ratifié ;
• lorsque l’OPDP donne son accord pour fournir des données personnelles.
La liste actuelle des champs de traitement des données à caractère personnel figure à l’annexe Z6-PODO.
La description actuelle de la structure des ensembles de données à caractère personnel figure dans l’annexe Z8-PODO.