Politique de protection des données à caractère personnel – METAL-FACH Sp. z o.o.

Politique de protection des données à caractère personnel Metal-Fach Sp. z o.o.

Conformément à l’article 24 du Règlement 2016/679, la politique de protection des données à caractère personnel est introduite à partir du 01/09/2018

Exigences légales :
La loi du jeudi 10 mai 2018 sur la protection des données à caractère personnel (Journal officiel de 2018, point 1000) Règlement du Ministre de l’intérieur et de l’administration du 29 avril 2004, relatif à la documentation du traitement des données à caractère personnel et aux conditions techniques et organisationnelles auxquelles doivent satisfaire les appareils et les systèmes informatiques utilisés pour le traitement des données à caractère personnel (Journal officiel de 2004, nº 100, point 1024).

TABLE DE MATIÈRES :
1. Liste des abréviations de base
2. Liste des définitions de base
3. Introduction
4. Objectifs de la politique de protection des données à caractère personnel
5. Délégué à la protection des données
6. Personnes autorisées à traiter des données à caractère personnel
7. Principes de base de la protection des données à caractère personnel
8. Autorisation à traiter des données à caractère personnel
9. Fait de confier le traitement des données à caractère personnel
10. Mise à disposition des données à caractère personnel
11. Transfert des données à caractère personnel en dehors de la Pologne
12. Liste des bâtiments, locaux ou parties de locaux constituant le domaine dans lequel des données à caractère personnel sont traitées
13. Liste des ensembles de données à caractère personnel avec indication des programmes utilisés pour traiter ces données
14. Description de la structure des ensembles de données à caractère personnel
15. Description du flux de données entre les différents systèmes
16. Définition des mesures techniques et organisationnelles nécessaires pour garantir la confidentialité, l’intégrité et la responsabilité des données traitées
17. Réglementation pénale et administrative
18. Dispositions finales
19. Annexes
1. Liste des abréviations de base
LPDP La loi du jeudi 10 mai 2018 sur la protection des données à caractère personnel (Journal officiel de 2018 point 1000)
RGPD Le Règlement du Parlement européen et du Conseil UE 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (Règlement général sur la protection des données)
ordon. MIA L’ordonnance du ministre de l’intérieur et de l’administration du 29 avril 2004 relative à la documentation du traitement des données à caractère personnel et aux conditions techniques et organisationnelles auxquelles doivent satisfaire les appareils et les systèmes informatiques utilisés pour le traitement des données à caractère personnel
OPDP Office pour la protection des données à caractère personnel
RTDP Responsable de traitement des données à caractère personnel
DPD Délégué à la protection des données
ASI Administrateur des systèmes d’information
SI Système d’information
SGSDP Système de gestion de la sécurité des données personnelles
PPDP Politique de protection des données à caractère personnel
MGSI Manuel de gestion des systèmes d’information
2. Liste des définitions de base
Chaque fois que la présente politique de sécurité fait référence à :
1. le responsable de traitement des données à caractère personnel – il s’agit de l’autorité, l’unité organisationnelle, l’entité ou la personne qui décide des finalités et des moyens du traitement des données à caractère personnel ;
2. le délégué à la protection des données – il s’agit d’une personne physique désignée par le responsable de traitement des données à caractère personnel visé à l’article 8 de la LPDP ;
3. l’administrateur des systèmes d’information – il s’agit d’une personne ou une entité externe désignée par le responsable de traitement des données à caractère personnel, responsable du fonctionnement des systèmes et réseaux d’information et de communication et du respect des règles et exigences en matière de sécurité des systèmes et réseaux d’information et de communication ;
4. la personne autorisée – il s’agit d’une personne autorisée par le responsable de traitement des données à caractère personnel à traiter des données à caractère personnel. L’utilisateur peut être un employé de l’entreprise, une personne effectuant un travail sur la base d’un contrat de mandat ou d’un autre contrat de droit civil, ainsi qu’une personne effectuant un service volontaire, un stage ou un internat.
5. les données à caractère personnel – toute information concernant une personne physique identifiée ou identifiable. Une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, psychique, économique, culturelle ou sociale ;
6. l’ensemble de données à caractère personnel – il s'agit de tout ensemble structuré de données à caractère personnel, accessible selon des critères spécifiques, que cet ensemble soit réparti ou fonctionnellement divisé ;
7. le traitement de données à caractère personnel – il s’agit de toute opération effectuée sur des données à caractère personnel, telle que la collecte, l’enregistrement, le stockage, le développement, la modification, la mise à disposition et la suppression, en particulier celles effectuées dans des systèmes informatiques ;
8. le système d’information – il s’agit d’un ensemble de dispositifs, de programmes, de procédures de traitement de l’information et d’outils logiciels coopérants utilisés pour le traitement des données ;
9. la protection des données dans le système informatique – il s’agit de la mise en œuvre et l’exploitation de mesures techniques et organisationnelles pour assurer la protection des données personnelles contre un traitement non autorisé ;
10. la sécurité de l’information – il s’agit d’un ensemble de principes à suivre lors de la conception et de l’utilisation des systèmes de traitement de l’information et des applications afin de garantir que l’accès à ceux-ci soit conforme en toutes circonstances ;
11. la suppression des données – il s’agit de la destruction des données à caractère personnel ou leur modification de telle manière qu’elle ne permet pas d’identifier la personne concernée ;
12. le consentement de la personne concernée il s’agit d’une déclaration d’intention, dont le contenu est le consentement au traitement des données à caractère personnel de la personne qui fait la déclaration. Le consentement ne peut pas être implicite ou découler d’une déclaration d’intention au contenu différent. Le consentement peut être révoqué à tout moment ;
13. les destinataires des données – il s’agit de toute personne à laquelle des données à caractère personnel sont mises à disposition, à l’exception :
• la personne concernée,
• la personne autorisée à traiter des données à caractère personnel,
• les autorités gouvernementales nationales ou locales auxquelles les données sont mises à disposition dans le cadre de la procédure ;
14. Pays tiers – il s’agit d’un pays appartenant à l’Espace économique européen ;
15. Mot de passe – il s’agit d’une séquence de lettres, de caractères numériques ou autres, connue uniquement d’un utilisateur autorisé à travailler dans un système d’information ;
16. ID utilisateur – il s’agit d'une séquence de lettres, numérique ou autre identifiant sans ambiguïté la personne autorisée à traiter les données dans des zones désignées du système informatique de l'entreprise ;
17. Confidentialité des données – il s’agit de la compétence pour garantir que les données ne sont pas mises à la disposition de personnes ou d’entités non autorisées ;
18. Intégrité des données – c’est-à-dire la propriété garantissant que les données personnelles n’ont pas été modifiées ou détruites de manière non autorisée ;
19. Responsabilisation des données – il s’agit de la compétence pour garantir que les actions d’une personne ou d’une entité ne peuvent être clairement attribuées qu’à cette personne ou entité ;
20. Utilisateur du système informatique – il s’agit d’une personne autorisée à traiter des données à caractère personnel dans les systèmes informatiques, à laquelle ont été attribués un identifiant et un mot de passe uniques ;
21. Authentification – il s’agit du processus d’identification correcte de l’utilisateur d’un système informatique dans la mesure où il permet l’octroi de droits ou de privilèges appropriés dans le système informatique de l’entreprise ;
22. Incident – il s’agit d’une violation de la sécurité des données personnelles pour des raisons de confidentialité, de disponibilité et d’intégrité ;
23. Menace – cela il s’agit de la possibilité qu’un incident se produise ;
24. Action corrective – il s’agit d'une action entreprise pour éliminer la cause d’un incident ou d’une autre situation indésirable ;
25. Action préventive – il s’agit d'une action qui doit être entreprise pour éliminer les causes d’un danger ou d’une autre situation indésirable pouvant se produire.
3. Introduction
La politique de protection des données à caractère personnel définit les règles du traitement des données à caractère personnel et les moyens de leur protection comme un ensemble de droits, de principes et de recommandations régissant la manière de leur gestion, de leur protection et de leur distribution dans la « Metal-Fach » sp. z o.o.
La politique contient des informations concernant la reconnaissance du traitement des données à caractère personnel et les garanties techniques et organisationnelles mises en œuvre pour assurer la protection des données à caractère personnel traitées.
Ce document est conforme au droit applicable, en particulier à la loi du 10 mai 2018 relative à la protection des données à caractère personnel et au RGPD. Sur la base de l’analyse du risque de perte de données à caractère personnel, le niveau de menace a été déterminé comme étant de base.
4. Objectifs de la politique de protection des données à caractère personnel
L’objectif de la politique de protection des données à caractère personnel est de définir et de mettre en œuvre les principes de sécurité et de protection des données personnelles traitées dans « Metal-Fach », en particulier de :
1. assurer que les exigences légales sont respectées ;
2. garantir la confidentialité, l’intégrité et la responsabilité des données personnelles traitées dans l’entreprise ;
3. sensibiliser les personnes qui traitent les données à caractère personnel ;
4. impliquer les personnes qui traitent les données à caractère personnel de l’entreprise au niveau de leur protection.
5. Délégué à la protection des données (DPD)
1. Le responsable de traitement des données à caractère personnel nomme un délégué à la protection des données. La nomination se fait sur la base d’une nomination écrite (un modèle de nomination est joint à l’annexe Z1-PODO de la présente PPDP).
2. Le responsable de traitement des données à caractère personnel peut nominer des délégués adjoints à la protection des données.
3. Le responsable de traitement des données à caractère personnel donne au délégué à la protection des données une procuration lui permettant d’accorder le droit de traiter les données à caractère personnel.
4. Le rôle du délégué à la protection des données est de superviser le respect des règles et des mesures techniques et organisationnelles appliquées pour assurer la protection des données à caractère personnel des données traitées dans la société « Metal-Fach ».

5. Les tâches du délégué à la protection des données comprennent :

a) informer et de conseiller le responsable du traitement, le sous-traitant et le personnel qui traite des données à caractère personnel sur leurs obligations et sur les autres dispositions législatives de l’Union ou des États membres en matière de protection des données ;

b) contrôler le respect du RGPD (règlement 2016/679 du Parlement européen et du Conseil), des autres législations de l’Union ou des États membres en matière de protection des données et des politiques du responsable du traitement ou du sous-traitant dans le domaine de la protection des données à caractère personnel, comprenant la répartition des tâches, des activités de sensibilisation, la formation du personnel participant aux opérations de traitement et les audits y afférents ;

c) recommander, sur demande, une évaluation de l’impact sur la protection des données et contrôler sa mise en œuvre conformément à l’article 35 du RGPD ;

d) coopérer avec l’autorité de contrôle ;

e) servir de point de contact pour l’autorité de contrôle sur les questions liées au traitement, y compris les consultations préalables visées à l’article 36 de la RGPD et, le cas échéant, assurer la consultation sur toutes les autres questions.

En outre, le DPD a pour tâche de tenir un registre des activités de traitement des données à caractère personnel, ainsi qu’un registre des accords de gestion de données.
6. Le RTDP peut confier au DPD d’autres tâches qui ne portent pas préjudice à la bonne exécution des tâches visées aux points 4–5.
6. Personnes autorisées à traiter des données à caractère personnel
1. Les obligations des personnes autorisées à traiter des données à caractère personnel comprennent :
• la connaissance des dispositions légales dans le domaine de la protection des données à caractère personnel et des dispositions de la politique de protection des données à caractère personnel et du manuel de gestion des systèmes d’information ;
• le respect des recommandations du DPD ;
• le traitement des données à caractère personnel uniquement dans la mesure déterminée individuellement par le responsable de traitement des données à caractère personnel dans une autorisation écrite et uniquement aux fins de l’exécution des tâches imposées ;
• l’information immédiate du DPD de toute irrégularité concernant la sécurité des données à caractère personnel traitées dans l’entreprise ;
• la protection des données à caractère personnel et des moyens utilisés pour traiter ces données contre tout accès, divulgation, modification, destruction ou altération non autorisés ;
• l’utilisation des systèmes informatiques de l’entreprise d’une manière conforme aux directives contenues dans les manuels d’utilisation des appareils inclus dans les systèmes informatiques ;
• la confidentialité perpétuelle des données à caractère personnel et les moyens de les protéger ;
• le soin particulier dans l’exécution des traitements de données à caractère personnel afin de protéger les intérêts des personnes concernées.
7. Principes de base de la protection des données à caractère personnel
1. Toutes les données personnelles de l'entreprise doivent être traitées conformément aux lois en vigueur.
2. En ce qui concerne les personnes dont les données à caractère personnel sont traitées, l’obligation d’information résultant des dispositions du code polonais des sociétés commerciales doit être remplie.
3. Les données à caractère personnel collectées doivent être traitées pour des finalités déterminées et légitimes et ne pas être traitées ultérieurement de manière incompatible avec ces finalités.
4. Il convient de veiller à ce que le traitement des données à caractère personnel soit effectué conformément à la méthodologie et aux finalités pour lesquelles elles ont été collectées.
5. Les données à caractère personnel peuvent être traitées au sein de la société pendant une durée n’excédant pas celle nécessaire à la réalisation de l’objectif du traitement.
6. La confidentialité, l’intégrité et la responsabilisation des données personnelles traitées au sein de l’entreprise doivent être assurées.
7. Les données à caractère personnel traitées ne peuvent être mises à disposition sans le consentement des personnes concernées, sauf si ces données sont mises à la disposition des personnes autorisées à traiter les données à caractère personnel, des personnes auxquelles les données ont été transférées sur la base d’un contrat de mandat et des organismes publics nationaux ou locaux dans le cadre de la procédure.
8. Le traitement des données à caractère personnel dans l'entreprise peut se faire aussi bien dans les systèmes informatiques que sous la forme traditionnelle : fichiers, répertoires, livres, listes et autres registres.
9. En ce qui concerne les données à caractère personnel traitées dans des systèmes autres qu'informatiques, les réglementations existantes sur le secret professionnel, la circulation et la sécurité des documents officiels restent en vigueur.
10. Toutes les personnes dont les données sont traitées dispose d'un droit de protection des données les concernant, d'un contrôle du traitement de ces données et de mise à jour, de suppression et d'obtention de toutes les informations sur leurs droits.
8. Autorisation à traiter des données à caractère personnel
1. Seules les personnes qui ont obtenu l’autorisation traiter des données personnelles (le modèle d’autorisation est joint à l’annexe Z2-PODO) et d’exploiter les équipements informatiques contenant de telles données délivrées par le responsable de traitement des données à caractère personnel ou le délégué à la protection des données, et qui ont présenté une déclaration appropriée concernant la bonne application des dispositions de la LPDP. (le modèle de déclaration est joint à l’annexe Z3-PODO).
2. Au nom du RTDP, le DPD tient un registre des personnes autorisées à traiter les données à caractère personnel (le modèle du registre est joint en annexe Z4-PODO).
9. Fait de confier le traitement des données à caractère personnel
1) Le responsable de traitement des données à caractère personnel peut charger une autre entité de traiter des données à caractère personnel afin d’accomplir une tâche spécifique.
2) Dans le cas où le traitement de données à caractère personnel est confié à une entité externe, le contrat de sous-traitance du traitement de données à caractère personnel détermine en premier lieu la finalité et l’étendue du traitement de données à caractère personnel. La liste des accords de gestion conclus est conservée par le DPD.
10. Mise à disposition des données à caractère personnel
La fourniture de données à caractère personnel dans l’entreprise est autorisée sur l'une des bases légales spécifiées dans la LPDP ou sur la base d’autres lois.
Le DPD tient un registre de la mise à disposition des données à caractère personnel aux institutions et aux personnes extérieures à l’entreprise (le modèle du registre est joint à l’annexe Z5-PODO).
11. Transfert des données à caractère personnel en dehors de la Pologne
1. Le responsable de traitement des données à caractère personnel peut transférer des données à caractère personnel à :
◦ des pays de l’Espace économique européen ;
◦ autres pays (pays tiers).
2. Le transfert de données à caractère personnel au sein de l’EEE est traité comme s’il s’agissait de données traitées en Pologne.
3. En cas de transfert de données à caractère personnel vers un pays tiers, l’une des conditions doit être remplie :
• le pays de destination offre des garanties de protection des données à caractère personnel sur son territoire au moins égales à celles en vigueur sur le territoire de la République de Pologne ;
• lorsque le transfert de données à caractère personnel résulte d’une obligation imposée par la loi ou par un accord international ratifié ;
• lorsque l’OPDP donne son accord pour fournir des données personnelles.
12. Liste des bâtiments, locaux ou parties de locaux constituant le domaine dans lequel des données à caractère personnel sont traitées
Le DPD est chargé de tenir et de conserver la liste des bâtiments, locaux ou parties de locaux constituant la zone où des données à caractère personnel sont traitées, tant sous forme papier que sous forme électronique.
La liste actuelle des champs de traitement des données à caractère personnel figure à l’annexe Z6-PODO.
13. Liste des ensembles de données à caractère personnel avec indication des programmes utilisés pour traiter ces données
Le DPD est responsable de la tenue et de la conservation des dossiers répertoriant tous les ensembles de données à caractère personnel, avec indication des programmes utilisés pour traiter les données. La liste actuelle des ensembles de données à caractère personnel figure dans l’annexe Z7-PODO.
14. Description de la structure des ensembles de données à caractère personnel
Le DPD est responsable de la tenue et de la conservation de la documentation contenant la description de la structure des ensembles de données à caractère personnel traitées dans la société.
La description actuelle de la structure des ensembles de données à caractère personnel figure dans l’annexe Z8-PODO.
15. Description du flux de données entre les différents systèmes
Le DPD est responsable de la tenue et du stockage de la documentation décrivant la manière dont les données circulent entre les différents systèmes.
La description actuelle du flux de données figure à l’annexe Z9-PODO.
16. Définition des mesures techniques et organisationnelles nécessaires pour garantir la confidentialité, l’intégrité et la responsabilité des données traitées
Le DPD est chargé de tenir et de conserver des dossiers contenant les mesures techniques et organisationnelles spécifiques nécessaires pour garantir la confidentialité, l’intégrité et la responsabilité des données traitées.
La description actuelle des mesures techniques et organisationnelles appliquées figure à l’annexe Z10-PODO.
17. Réglementation pénale et administrative
La réglementation pénale et administrative s’applique :
• loi du 10 mai 2018 sur la protection des données à caractère personnel (Journal officiel de 2018, position 1000) – les articles 102–108 ;
• la loi du 6 juin 1997, Code pénal (Journal officiel de 1997, n° 88, point 553, telle que modifié), – article 266 ;
• loi du 26 juin 1974, Code pénal (Journal officiel de 1998, n° 21, point 94, telle que modifié), – article 52 et l’article 108.
18. Dispositions finales
Pour les domaines non couverts par la présente politique de protection des données à caractère personnel, s'appliquent les dispositions de la loi du 10 mai 2018 sur la protection des données à caractère personnel (c’est-à-dire Journal officiel de 2018, point 1000) et les règlements d’application de cette loi.
La procédure à suivre en cas de violation de la sécurité des données à caractère personnel est précisée dans la procédure à suivre qui est jointe en annexe 12 à la PPDP, et ce fait est consigné dans le registre des incidents et événements qui est joint en annexe 11 à la PPDP.
19. Annexes
1. Z1-PODO – Nomination au poste de délégué à la protection des données ;
2. Z2-PODO – Autorisation de traiter des données à caractère personnel ;
3. Z3-PODO – Déclaration sur la bonne mise en œuvre des dispositions de la LPDP ;
4. Z4-PODO – Registre des personnes autorisées à traiter des données à caractère personnel ;
5. Z5-PODO – Registres de mise à disposition des données à caractère personne ;
6. Z6-PODO – Liste des bâtiments, locaux ou parties de locaux constituant le domaine dans lequel des données à caractère personnel sont traitées ;
7. Z7-PODO – Liste des ensembles de données à caractère personnel avec indication des programmes utilisés pour traiter ces données ;
8. Z8-PODO – Description de la structure des ensembles de données à caractère personnel ;
9. Z9-PODO – Description du flux de données entre les différents systèmes ;
10. Z10-PODO – Description des mesures techniques et organisationnelles appliquées ;
11. Z11-PODO – Registre des incidents et des événements.
12. Z12-PODO – Procédure de traitement des violations de la sécurité des données à caractère personnel