Политика защиты персональных данных

Всякий раз, когда в настоящей Политике безопасности упоминается:
1. Контролер персональных данных — орган, организационное подразделение, организация или лицо, принимающее решение о целях и способах обработки персональных данных;
2. Инспектор по защите данных — это физическое лицо, назначенное Контролером персональных данных в соответствии со статьей 8 Закона о защите персональных данных
3. Администратор информационных систем — лицо или внешняя организация, назначенная Контролером персональных данных, ответственная за функционирование информационных и коммуникационных систем и сетей и за соблюдение правил и требований по безопасности информационных и коммуникационных систем и сетей;
4. Под уполномоченным лицом понимается лицо, уполномоченное Контролером персональных данных обрабатывать персональные данные. Пользователем может быть работник компании, лицо, выполняющее работу на основании договора возмездного оказания услуг или иного гражданско-правового договора, а также лицо, осуществляющее волонтерскую деятельность, практику или стажировку.
5. Персональные данные — это любая информация, касающаяся идентифицированного или идентифицируемого физического лица. Идентифицируемым лицом является лицо, которое может быть идентифицировано прямо или косвенно, в частности, по идентификационному номеру или одному или нескольким факторам, характерным для его физической, умственной, экономической, культурной или социальной идентичности;
6. Собрание персональных данных — любой структурированный набор персональных данных, доступный в соответствии с определенными критериями, независимо от того, является ли этот набор разрозненным или разделенным в функциональном отношении;
7. Под обработкой персональных данных понимаются любые операции, осуществляемые с персональными данными, такие как сбор, запись, хранение, разработка, изменение, разглашение и удаление, особенно в информационных системах;
8. Информационная система означает группу взаимодействующих между собой устройств, программ, процедур обработки информации и программных инструментов, применяемых для обработки данных,
9. Безопасность данных в ИТ-системе — это реализация и использование применяемых технических и организационных мер, обеспечивающих защиту персональных данных от несанкционированной обработки;
10. Информационная безопасность — это совокупность принципов, которым следует следовать при проектировании и использовании систем и приложений, используемых для обработки информации, с тем чтобы при любых обстоятельствах доступ к ним соответствовал допущениям;
11. Удаление данных — под этим понимается уничтожение персональных данных или такое изменение, которое не позволит установить личность субъекта данных;
12. Согласие субъекта данных понимается как волеизъявление, содержанием которого является согласие на обработку персональных данных лица, сделавшего заявление. Согласие не может приниматься по умолчанию или подразумеваться на основании другого волеизъявления. Согласие может быть отозвано в любое время;
13. Получатели данных — это любое лицо, которому предоставляются персональные данные, за исключением:
— субъекта данных,
— лица, уполномоченного обрабатывать персональные данные,
— государственных органов или органов местного самоуправления, которым предоставляются данные в связи с ведущими производствами;
14. Третья страна — страна, входящая в Европейское экономическое пространство;
15. Пароль — под ним понимается последовательность букв, цифровые или иные символы, известные только пользователю, имеющему право работать в информационной системе;
16. Идентификатор пользователя — последовательность букв, цифр или других символов, однозначно идентифицирующих лицо, уполномоченное обрабатывать данные в определенных областях ИТ-системы компании;
17. Конфиденциальность данных — понимается как свойство, обеспечивающее защиту данных от разглашения неуполномоченным лицам или организациям;
18. Целостность данных — это свойство, гарантирующее, что персональные данные не были изменены или уничтожены несанкционированным образом;
19. Подотчетность данных — должна пониматься как свойство, обеспечивающее, чтобы действия физического или юридического лица могли быть однозначно отнесены только к этому физическому или юридическому лицу;
20. Пользователь ИТ-системы — лицо, уполномоченное обрабатывать персональные данные в ИТ-системах, которому присвоены уникальный идентификатор и пароль;
21. Аутентификация — процесс правильной идентификации пользователя ИТ-системы в той степени, в какой это позволяет предоставить ему соответствующие права или привилегии в ИТ-системе компании;
22. Инцидент — под ним понимается нарушение безопасности персональных данных с учетом их конфиденциальности, доступности и целостности;
23. Угроза — под ней понимается потенциальная возможность возникновения инцидента;
24. Корректирующее действие — действие, направленное на устранение причины инцидента или иной нежелательной ситуации;
25. Профилактическая мера — действие, которое необходимо предпринять для устранения причин возникновения опасности или иной потенциально нежелательной ситуации.

Политика защиты персональных данных определяет правила обработки персональных данных и способы их защиты в виде свода принципов, правил и рекомендаций, регулирующих способ управления, защиты и распространения в компании «Metal-Fach» sp. z o.o.
Политика содержит информацию о распознании процессов обработки персональных данных, а также о технических и организационных мерах безопасности, применяемых для обеспечения защиты обрабатываемых персональных данных.
Настоящий документ соответствует действующему законодательству, в частности, Закону от 10 мая 2018 года о защите персональных данных и GDPR.
На основе анализа рисков утраты персональных данных, уровень риска был определен как базовый.

Целью Политики защиты персональных данных является определение и внедрение принципов безопасности и защиты персональных данных, обрабатываемых в компании «Metal-Fach», в частности:
1. обеспечение соблюдения требований законодательства;
2. обеспечение конфиденциальности, целостности и подотчетности персональных данных, обрабатываемых в компании;
3. повышение осведомленности лиц, обрабатывающих персональные данные;
4. участие лиц, обрабатывающих персональные данные компании, в ее защите.

1. Контролер персональных данных назначает инспектора по защите данных. Назначение производится на основании письменного заявления о назначении (форма заявления о назначении прилагается в качестве приложения Z1-PODO к настоящей Политике).
2. Контролер персональных данных может назначить заместителей инспектора по защите данных.
3. Контролер персональных данных выдает доверенность Инспектору по защите данных на выдачу полномочий на обработку персональных данных.
4. Роль Инспектора по защите данных заключается в надзоре за соблюдением правил и технических и организационных мер, применяемых для обеспечения защиты персональных данных, обрабатываемых в Metal-Fach.
5. В задачи Инспектора по защите данных входит:
a) информирование контролера, обработчика и сотрудников, обрабатывающих персональные данные, об их обязанностях и о других законодательных актах Союза или государств-членов о защите данных и консультирование в этой области;
b) мониторинг соблюдения требований GDPR (Регламент Европейского парламента и Совета 2016/679), законодательства других стран ЕС или государств-членов о защите данных и политики контролера или обработчика в области защиты персональных данных, включая распределение обязанностей, мероприятия по повышению осведомленности, обучение персонала, участвующего в операциях по обработке и связанные с этим аудиты;
c) предоставление, по запросу, рекомендаций в отношении оценок для защиты данных и мониторинга их осуществления в соответствии со статьей 35 GDPR;
d) сотрудничество с надзорным органом;
e) выполнение функций контактного лица для контролирующего органа по вопросам обработки, включая предварительные консультации, упомянутые в статье 36 GDPR, и, в случае необходимости, консультации по любым другим вопросам.
Кроме того, задачей IOD является ведение реестра деятельности по обработке персональных данных, а также реестра договоров по поручению управления данными.
6. ADO может возложить на IOD другие обязанности, не препятствующие надлежащему выполнению задач, изложенных в пунктах 4-5.

1. К обязанностям лиц, уполномоченных обрабатывать персональные данные, относится:
— ознакомление с положениями закона о защите персональных данных и положениями Политики защиты персональных данных и Меструкции по управлению информационными системами;
— соблюдение рекомендаций IOD;
— обработка персональных данных только в объеме, индивидуально определенном Контроллером персональных данных в письменном виде и только с целью выполнения возложенных на него должностных обязанностей;
— незамедлительно сообщать IOD о любых нарушениях, касающихся безопасности персональных данных, обрабатываемых в компании;
— защита персональных данных и средств обработки персональных данных от несанкционированного доступа, разглашения, изменения, уничтожения или искажения;
— использование ИТ-систем компании в соответствии с инструкциями, содержащимися в руководствах к устройствам, входящим в состав ИТ-систем;
— сохранение конфиденциальности персональных данных в течение неопределенного периода времени, а также способы их защиты;
— соблюдение особой осторожности при осуществлении операций по обработке персональных данных в целях защиты интересов субъектов персональных данных.

1. Все персональные данные в компании должны обрабатываться в соответствии с действующим законодательством.
2. В отношении лиц, чьи персональные данные обрабатываются, должно выполняться обязательство по предоставлению информации, вытекающее из положений Закона u.o.d.o..
3. Собранные персональные данные должны обрабатываться в конкретных и законных целях, и не передаваться на дальнейшую обработку, не соответствующую этим целям.
4. Необходимо обеспечить, чтобы обработка персональных данных осуществлялась в соответствии с принципами существенности и в соответствии с целями, для которых они были собраны.
5. Персональные данные могут обрабатываться внутри компании не дольше, чем это необходимо для достижения цели их обработки.
6. Должны быть обеспечены конфиденциальность, целостность и подотчетность персональных данных, обрабатываемых внутри компании.
7. Обрабатываемые персональные данные не могут предоставляться без согласия субъектов данных, за исключением случаев, когда они предоставляются субъектам данных, лицам, уполномоченным обрабатывать персональные данные, субъектам, которым данные были переданы на основании договора о передаче, и государственным органам или органам местного самоуправления в связи с текущими производствами.
8. Обработка персональных данных в компании может осуществляться как в информационных системах, так и в традиционной форме: картотеках, указателях сокращений, книгах, списках и других записях.
9. В отношении персональных данных, обрабатываемых в системах, отличных от систем ИТ, продолжают применяться существующие положения о профессиональной тайне, обороте и безопасности деловых документов.
10. Все лица, чьи данные обрабатываются, имеют право на защиту своих персональных данных, контролировать обработку этих данных, а также их обновлять, удалять и получать всю информацию о своих правах.

1. Только лица, уполномоченные обрабатывать персональные данные (образец разрешения прилагается в Приложении Z2-PODO), с доверенностью, выданной Контролером персональных данных или Инспектором по защите данных, могут быть допущены к обработке персональных данных и работе с содержащими их ИТ-собраниями, которые сделали заявление о надлежащем применении положений Закона о защите персональных данных (образец заявления приводится в Приложении Z3-PODO).
2. IOD от имени АДО ведет реестр лиц, уполномоченных обрабатывать персональные данные (образец этого реестра прилагается в Приложении Z4-PODO).

1) Контролер персональных данных может поручить другому лицу обрабатывать персональные данные для выполнения определенной задачи.
2) В случае передачи обработки персональных данных сторонней организации, в договоре поручения на обработку персональных данных, в первую очередь, определяются цель и объем обработки персональных данных. Перечень заключенных договоров поручения на управление ведется IOD.

Предоставление персональных данных в компании допускается на основании одного из правовых оснований, указанных в u.o.d.o. или на основании положений других законов.
IOD ведет учет предоставления персональных данных учреждениям и лицам, не являющимся сотрудниками компании (образец документа является приложением Z5-PODO).

1. Контролер персональных данных может передавать персональные данные:
◦ в страны Европейской экономической зоны;
◦ в другие страны (третьи страны).
2. Передача персональных данных в пределах ЕЭЗ осуществляется так, как если бы они обрабатывались на территории Польши.
3. В случае передачи персональных данных в третью страну, должно быть выполнено одно из условий:
• страна назначения предоставляет гарантии защиты персональных данных на своей территории, по крайней мере, такие же, как и гарантии, действующие на территории Республики Польша;
• если передача персональных данных является результатом обязательства, налагаемого законом или ратифицированным международным соглашением;
• передача персональных данных будет осуществляться с согласия UODO.

IOD несет ответственность за ведение и хранение документации, содержащей перечень зданий, помещений или частей помещений, создавая пространство, в котором персональные данные обрабатываются как в бумажном, так и в электронном виде.
Текущий перечень областей обработки персональных данных приведен в Приложении Z6-PODO.

IOD несет ответственность за ведение и хранение документации, содержащей перечень всех собраний персональных данных и указывающих программы, применяемые для обработки таких данных. Текущий перечень собраний персональных данных приведен в Приложении Z7-PODO.

IOD несет ответственность за ведение и хранение документации, описывающей структуру собраний персональных данных, обрабатываемых в компании.
Обновленное описание структуры собраний персональных данных приведено в Приложении Z8-PODO.

IOD несет ответственность за ведение и хранение документации, содержащей описание способа передачи данных между отдельными системами.
Текущее описание передачи данных содержится в приложении Z9-PODO.

IOD несет ответственность за ведение и хранение документации, содержащей конкретные технические и организационные меры, необходимые для обеспечения конфиденциальности, целостности и подотчетности обрабатываемых данных.
Текущее описание применяемых технических и организационных мероприятий приведено в приложении Z10-PODO.

Уголовные и нормативные положения определяет:
— Закон от 10 мая 2018 года о защите персональных данных (Закон. вестник 2018 года, поз. 1000) — ст. 102-108;
— Закон от 6 июня 1997 года — Уголовный кодекс (Закон. вестн. 1997 г. № 88, поз. 553 , с посл. изменениями). — статья 266;
— Закон от 26 июня 1974 года — Трудовой кодекс (Закон. вестн. 1998 г. № 21, поз. 94 , с посл. изменениями). — статьи 52 и 108.

В вопросах, не урегулированных настоящей Политикой защиты персональных данных, применяются положения Закона от 10 мая 2018 года о защите персональных данных (т.е. Закон. вестник 2018 года, поз. 1000) и исполнительные положения к этому Закону.
Процедура, которой необходимо следовать в случае нарушения безопасности персональных данных, была определена в Порядке, представленном в Приложении 12 к PODO, и этот факт регистрируется в реестре инцидентов и событий, который составляет Приложение 11 к PODO.

1. Z1-PODO — Назначение на должность инспектора по защите данных;
2. Z2-PODO — Доверенность на обработку персональных данных;
3. Z3-PODO — Заявление о надлежащем выполнении положений u.o.d.o;
4. Z4-PODO — Учет лиц, уполномоченных обрабатывать персональные данные;
5. Z5-PODO — Записи о предоставлении персональных данных;
6. Z6-PODO — Перечень зданий, помещений или частей помещений, составляющих область, в которой обрабатываются персональные данные;
7. Z7-PODO — Перечень систем учета персональных данных и указание программ, используемых для обработки этих данных;
8. Z8-PODO — Описание структуры систем учета персональных данных;
9. Z9-PODO — Описание способа передачи данных между отдельными системами;
10. Z10-PODO — Описание применяемых технических и организационных мер;
11. Z11-PODO — Реестр инцидентов и событий.
12. Z12-PODO — Порядок действий при нарушении безопасности персональных данных