Privacy Policy

CEL POLITYKI BEZPIECZEŃSTWA DANYCH OSOBOWYCH

1.1. BE Poland Think, Solve & Execute Sp. z o.o. z siedzibą przy Al. Jana Pawła II 22 w Warszawie (00-133), jako Administrator przetwarzanych w Organizacji danych osobowych jest zobowiązany do zapewnienia przestrzegania mających zastosowanie regulacji prawnych w obszarze ochrony danych osobowych.

1.2. Celem niniejszej Polityki Bezpieczeństwa Danych Osobowych jest określenie ról, odpowiedzialności, zasad i standardów, które zapewnią, że przetwarzanie danych osobowych w Spółce będzie odbywać się zgodnie z regulacjami prawnymi obowiązującymi na terenie Rzeczypospolitej Polskiej.

1.3. Niniejsza Polityka Bezpieczeństwa Danych Osobowych ma zastosowanie dla:

1.3.1. wszystkich informacji stanowiących dane osobowe,

1.3.2. wszystkich nośników zawierających dane osobowe, niezależnie od ich formy i postaci,

1.3.3. wszystkich sposobów przechowywania i przekazywania informacji zawierających dane osobowe,

1.3.4. wszystkich pracowników i współpracowników BE Poland Think, Solve & Execute Sp. z o.o., których obowiązki wymagają przetwarzania danych osobowych,

1.4. Każda z osób przetwarzająca dane ze zbiorów danych osobowych BE Poland Think, Solve & Execute Sp. z o.o. zobowiązana jest znać i przestrzegać przepisy powszechnie obowiązujące dotyczące ochrony danych osobowych, niezależnie od postanowień niniejszego dokumentu.

1.5. Niniejszy dokument zawiera zestaw wymagań przyjętych w Spółce, niezbędnych do zapewnienia zgodności z mającymi zastosowanie regulacjami prawnymi.

 

2. PODSTAWOWE POJĘCIA I DEFINICJE

Administrator Danych Osobowych- oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; Adminsitrator Danych Osobowych to HR Manager w BE Poland Think, Solve & Execute Sp. z o.o.;

Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfika-tora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psy-chiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

Odbiorca – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któ-remu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych da-nych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zasto-sowanie stosownie do celów przetwarzania;

Ograniczenie przetwarzania – oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

Organ nadzorczy – oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51 Rozporządzenia;

Podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

Podmiot zewnętrzny – to osoba fizyczna, jednostka organizacyjna nieposiadająca osobowości praw-nej lub osoba prawna z siedzibą w Polsce lub za granicą, organ administracji publicznej, oraz inne podmioty wykonujące zadania na rzecz organizacji, w tym konsultanci, doradcy i inne osoby w nich zatrudnione;

Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygod-ności, zachowania, lokalizacji lub przemieszczania się;

Przedstawiciel – oznacza osobę fizyczną lub prawną mającą miejsce zamieszkania lub siedzibę w Unii, która została wyznaczona na piśmie przez administratora lub podmiot przetwarzający na mocy art. 27 do reprezentowania administratora lub podmiotu przetwarzającego w zakresie ich obowiąz-ków wynikających z niniejszego rozporządzenia;

Przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbie-ranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowa-nie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub nisz-czenie;

Pseudonimizacja – oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod wa-runkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicz-nymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidenty-fikowania osobie fizycznej;

Strona trzecia – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnie-nia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;

Zbiór danych – oznacza uporządkowany zestaw danych osobowych dostępnych według określo-nych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy roz-proszony funkcjonalnie lub geograficznie;

Zgoda – osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

 

3. PODSTAWY PRAWNE OCHRONY DANYCH OSOBOWYCH

3.1. Podstawę prawną zasad określonych w niniejszej Polityce stanowią w szczególności:

3.1.1. Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. 2016r. poz. 922);

3.1.2. Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słu-żące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024);

3.1.3. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

 

4. DEKLARACJA ZGODNOŚCI

4.1. Administrator Danych Osobowych deklaruje, że przetwarzanie danych osobowych BE Po-land Think, Solve & Execute Sp. z o.o. jest zgodne z mającymi zastosowanie wymaganiami prawnymi.

4.2. W szczególności poprzez zapewnienie, że dane osobowe są:

4.2.1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą,

4.2.2. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i przetwarzane w sposób zgodny z tymi celami,

4.2.3. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,

4.2.4. prawidłowe i w razie potrzeby uaktualniane,

4.2.5. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwa-rzane,

4.2.6. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

 

5. PODZIAŁ OBOWIĄZKÓW W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

5.1. Administrator Danych Osobowych jest odpowiedzialny za:

5.1.1. wprowadzenie środków technicznych i organizacyjnych zapewniających ochronę prze-twarzanych w Organizacji danych osobowych,

5.1.2. dostarczenie niezbędnych zasobów do zapewnienia zgodności z mającymi zastosowa-nie wymaganiami prawnymi w obszarze ochrony danych osobowych,

5.1.3. nadzorowanie opracowania, tworzenie i aktualizację uregulowań wewnętrznych (niniej-sza Polityka, procedury, instrukcje inne dokumenty) dotyczących ochrony danych oso-bowych oraz nadzór nad ich przestrzeganiem,

5.1.4. prowadzenie dokumentacji przetwarzania danych osobowych wymaganych przez ma-jące zastosowanie regulacje prawne,

5.1.5. utrzymywanie aktualnego Rejestru czynności przetwarzania danych osobowych (Za-łącznik nr 1),

5.1.6. wystawianie upoważnień do przetwarzania danych osobowych (Załącznik nr 3) oraz prowadzenie Rejestru upoważnień do przetwarzania danych osobowych (Załącznik nr 2),

5.1.7. kontakty z właściwym organem ds. ochrony danych osobowych związane ze składa-niem wyjaśnień oraz współpracą w przypadku kontroli przeprowadzanej przez inspekto-rów organu ds. ochrony danych osobowych,

5.1.8. prowadzenie szkoleń w zakresie ochrony danych osobowych oraz zapewnienie zapo-znania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,

5.1.9. okresowe dokonywanie przeglądów zasobów informacyjnych Spółki zawierających dane osobowe, oceny stanu bezpieczeństwa tych zasobów

5.1.10. sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych

5.1.11. dokonywanie weryfikacji zgodności przetwarzania danych osobowych z mającymi zastosowanie regulacjami prawnymi w obszarze ochrony danych osobowych na żąda-nie organu ds. ochrony danych

5.1.12. konsultowanie umów powierzenia przetwarzania danych osobowych,

5.1.13. nadzór nad realizacją analizy ryzyka.

5.2. Administrator Systemu Informatycznego jest odpowiedzialny za:

5.2.1. współpracę z Administratorem Danych Osobowych w zakresie wymaganym mającymi zastosowanie regulacjami prawnymi w obszarze ochrony danych osobowych (m.in. prowadzenie Rejestru czynności przetwarzania, udział w ocenie skutków dla ochrony danych, usuwanie/modyfikowanie/uzupełnianie danych osobowych na wniosek osoby, której dane dotyczą),

5.2.2. eksploatację i konserwację systemów teleinformatycznych oraz dokumentowanie tych działań,

5.2.3. zapewnienie bezpieczeństwa przechowywanych w systemie teleinformatycznym danych osobowych,

5.2.4. realizację oraz bieżący nadzór nad uprawnieniami użytkowników w systemach teleinformatycznych.

5.3. Wszystkie osoby przetwarzające dane osobowe w BE Poland Think, Solve & Execute Sp. z o.o. są odpowiedzialne za:

5.3.1. przetwarzanie danych osobowych zgodnie z posiadanym aktualnie upoważnieniem (Załącznik nr 3),

5.3.2. przestrzeganie zasad ochrony danych osobowych określonych w Polityce i Instrukcji oraz dokumentach z nimi związanymi. W tym celu każdy użytkownik zobowiązany jest zapo-znać się przed dopuszczeniem do przetwarzania danych z wyżej wymienionymi dokumentami oraz złożyć stosowne oświadczenie, potwierdzające znajomość ich treści oraz zobowiązanie pracownika do zachowania w poufności danych osobowych (Załącznik nr 4),

5.3.3. spełnienia wymogu wynikającego z obowiązku informacyjnego, w szczególności poinformowania osoby, której dane dotyczą zgodnie z zakresem wskazanym w punkcie 8.1 niniejszej Polityki,

5.3.4. uczestnictwo w obowiązkowym szkoleniu z zakresu ochrony danych osobowych,

5.3.5. bezzwłoczne zgłoszenie Administratorowi Danych Osobowych lub Administratorowi Systemu Informatycznego wszelkich dostrzeżonych nieprawidłowości w działaniu systemu informatycznego, w którym przetwarzane są dane osobowe,

5.3.6. bezzwłocznego zgłaszania wszelkich naruszeń, nieprawidłowości i dostrzeżonych zagro-żeń związanych z bezpieczeństwem danych osobowych,

5.3.7. wnioskowanie do Administratora Danych Osobowych o potrzebie uzupełnienia lub uaktualnienia Rejestru czynności przetwarzania danych osobowych, potrzebie dokonania zmian w procesie przetwarzania danych osobowych oraz informowanie o ustaniu celu przetwarzania tych danych,

5.3.8. wnioskowanie do Administratora Danych Osobowych o upoważnienie do przetwarzania danych osobowych,

5.3.9. niezwłoczne usunięcie/zaprzestanie przetwarzania danych osobowych w momencie ustania celu ich przetwarzania,

5.3.10. informowanie Administratora Danych Osobowych o zamiarze powierzenia przetwarzania danych osobowych lub ich udostępnienia innemu podmiotowi oraz konsultowanie z Administratorem Danych Osobowych umowy o powierzeniu przetwarzania danych osobowych,

5.3.11. dołożenia szczególnej staranności podczas przetwarzania danych osobowych, aby proces przetwarzania odbywał się zgodnie z prawem, dane osobowe były merytorycznie poprawne, a ich przetwarzanie odbywało się wyłącznie w celu i zakresie, dla którego zostały zebrane.

 

6. REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH

6.1. Dla wszystkich zidentyfikowanych kategorii danych osobowych, Administrator Danych Osobowych przy współpracy z Administratorem Systemu Informatycznego prowadzi Rejestr czynności przetwarzania danych osobowych.

6.2. Na rejestr czynności przetwarzania danych osobowych składają się co najmniej następujące pola:

6.2.1. opis kategorii osób, których dane dotyczą,

6.2.2. cel przetwarzania danych osobowych,

6.2.3. informacja przetwarzaniu danych wrażliwych,

6.2.4. lokalizacje, w których przetwarzane są dane osobowe,

6.2.5. systemy teleinformatyczne, w których przetwarzane są dane osobowe,

6.2.6. informacja o przetwarzaniu danych osobowych w formie papierowej,

6.2.7. planowany termin usunięcia danych osobowych,

6.2.8. stosowane zabezpieczenia organizacyjne i techniczne,

6.2.9. informacje o podmiotach, którym dokonano powierzenia i dalszego powierzenia danych osobowych,

6.2.10. informacje o podmiotach, którym udostępniono dane osobowe,

6.2.11. informacje o przekazaniu danych osobowych do państwa trzeciego,

6.2.12. imię i nazwisko lub nazwę oraz dane kontaktowe administratora.

6.3. Rejestr czynności przetwarzania danych osobowych może być prowadzony w formie papierowej, elektronicznej lub w systemie teleinformatycznym.

 

7. ŚRODKI TECHNICZNE I ORGANIZACYJNE OCHRONY DANYCH OSOBOWYCH

7.1. W celu zapewnienia ochrony danych osobowych przetwarzanych w BE Poland Think, Solve & Execute Sp. z o.o. stosuje się następujące zabezpieczenia organizacyjne i techniczne:

7.1.1. opracowano i wdrożono Politykę Bezpieczeństwa Danych Osobowych w BE Poland Think, Solve & Execute Sp. z o.o.,

7.1.2. opracowano i wdrożono Instrukcję zarządzania systemami informatycznymi przetwarzającymi dane osobowe w BE Poland Think, Solve & Execute Sp. z o.o.,

7.1.3. opracowano Procedurę oraz regularnie przeprowadza się ocenę skutków dla ochrony danych osobowych, a na podstawie jej wyników podejmuje adekwatne działania zapewniające właściwy poziom bezpieczeństwa przetwarzanych danych osobowych,

7.1.4. do przetwarzania danych osobowych dopuszcza się wyłącznie osoby posiadające ważne upoważnienia do ich przetwarzania w zakresie niezbędnym do realizacji obowiązków służbowych,

7.1.5. prowadzi się rejestr osób upoważnionych do przetwarzania danych osobowych,

7.1.6. zapewnia się realizację szkoleń dla wszystkich pracowników dopuszczonych do przetwarzania danych osobowych obejmujących zasady ich ochrony,

7.1.7. do przetwarzania danych osobowych dopuszcza się jedynie pracowników, którzy uprzednio pisemnie zobowiązali się do zachowania ich w poufności,

7.1.8. przetwarzania danych osobowych dokonuje się w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych, w szczególności poprzez: kontrolę do-stępu do pomieszczeń i budynków, instalację alarmową, zapewnienie środków przetwarzania danych osobowych z trwałym znaczeniem otwarcia, w których przetwarza się dane osobowe (szafy, biurka zamykane na klucz),

7.1.9. każdą osobę przetwarzającą dane osobowe zobowiązuje się do przestrzegania podstawowych zasad bezpieczeństwa informacji (Załącznik nr 11),

7.1.10. przebywanie osób nieupoważnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe dopuszcza się tylko w obecności osoby upoważnionej do przetwarzania danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych,

7.1.11. stosuje się pisemne umowy powierzenia przetwarzania danych osobowych przy współpracy z podmiotami zewnętrznymi przetwarzającymi dane osobowe,

7.1.12. przetwarzanie danych osobowych odbywa się wyłącznie w ramach wykonywanych zadań służbowych,

7.1.13. zapewnia się zdolność do szybkiego przywrócenia dostępności danych osobowych w razie naruszenia fizycznego lub technicznego,

7.1.14. zapewnia się zdolność do ciągłego zapewnienia poufności, integralności i dostępności danych osobowych przetwarzanych w systemach teleinformatycznych w Spółce,

7.1.15. dokonuje się regularnych audytów i testów skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych,

7.1.16. tam, gdzie to możliwe zapewnia się zdolność systemów teleinformatycznych do spełnienia praw osób, których dane dotyczą (usunięcie, sprostowanie, sprzeciw, ograniczenie).

 

8. REALIZACJA OBOWIĄZKU INFORMACYJNEGO

8.1. Każdorazowo, podczas zbierania danych osobowych, należy przekazać osobie, której dane dotyczą:

8.1.1. tożsamość i dane kontaktowe Administratora Danych Osobowych,

8.1.2. cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania,

8.1.3. informacje, że przetwarzanie dokonywane jest do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora Danych Osobowych,

8.1.4. informacje o odbiorach danych osobowych lub o kategoriach odbiorców, jeśli istnieją,

8.1.5. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz wzmiankę o stosowanych zabezpieczeniach, możliwościach uzyskania kopii tych danych lub o miejscu ich udostępnienia,

8.1.6. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,

8.1.7. informacje o prawie do żądania od Spółki dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,

8.1.8. jeżeli przetwarzanie odbywa się na podstawie uzyskanej zgody – informacje o prawie do cofnięcia zgody na przetwarzanie danych osobowych,

8.1.9. informację o prawie do wniesienia skargi do organu nadzorczego,

8.1.10. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, istotnych zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

8.2. W przypadku, gdy dane osobowe zbierane są bezpośrednio, od osoby, której dane dotyczą, należy przekazać informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą jest zobowiązana do ich podania i konsekwencjach niepodania danych.

8.3. W przypadku, gdy dane osobowe pozyskiwane są w inny sposób niż od osoby, której dane dotyczą, należy przekazać ponadto informację o:

8.3.1. kategoriach przetwarzanych danych osobowych,

8.3.2. źródle pochodzenia danych osobowych, a gdy ma to zastosowanie informacji czy po-chodzą one ze źródeł publicznie dostępnych.

8.4. W przypadku, gdy planuje się dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, należy poinformować osobę, której dane dotyczą, o nowym celu przetwarzania oraz udzielić jej stosowanych informacji zawartych w niniejszym punkcie.

8.5. Do realizacji obowiązku informacyjnego zobowiązani są wszyscy pracownicy i współpracownicy Spółki.

8.6. Obowiązek informacyjny w BE Poland Think, Solve & Execute Sp. z o.o. należy realizować:

8.6.1. ustnie – w przypadku bezpośredniego kontaktu z osobą, której dane dotyczą,

8.6.2. pisemnie – jako integralną część umowy lub innego dokumentu z podmiotem zewnętrznym zawierającego dane osobowe,

8.6.3. w formie elektronicznej – jako informacja w systemie teleinformatycznym przetwarzającym dane osobowe,

8.6.4. mailowo – w przypadku korespondencji mailowej.

8.7. Informacje zawarte w niniejszym punkcie nie mają zastosowania w przypadku, gdy osoba, której dane dotyczą dysponuje już tymi informacjami.

8.8. Przykładowa treść spełniająca wymagania obowiązku informacyjnego została zamieszczona w Załączniku nr 5.

8.9. Podstawowe informacje z zakresu danych osobowych obejmujące informacje o Administratorze Danych Osobowych oraz przetwarzanych kategoriach danych udostępniane są na stronie internetowej BE Poland Think, Solve & Execute Sp. z o.o.

 

9. PRAWA OSÓB, KTÓRYCH DANE SĄ PRZETWARZANE PRZEZ BE POLAND THINK, SOLVE & EXECUTE SP. Z O.O.

9.1. Prawo dostępu przysługujące osobie, której dane dotyczą

9.1.1. Każda osoba, której dane dotyczą jest uprawniona do uzyskania potwierdzenia, czy w Spółce przetwarzane są jej dane osobowe.

9.1.2. Na wniosek osoby, której dane dotyczą, należy przekazać informację o:

9.1.2.1. celu przetwarzania danych osobowych,

9.1.2.2. kategoriach przetwarzanych danych osobowych

9.1.2.3. odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych oraz zabezpieczeniach wykorzystywanych w związku z tym przekazaniem,

9.1.2.4. w miarę możliwości planowanym okresie przechowywania danych osobowych, a gdy nie jest to możliwe, kryteriach tego okresu,

9.1.2.5. prawie do żądania od Administratora Danych Osobowych sprostowania, usunięcia lub ograniczenia przetwarzania jej danych osobowych, oraz prawie wniesienia sprzeciwu wobec takiego przetwarzania,

9.1.2.6. prawie wniesienia skargi do organu nadzorczego,

9.1.2.7. źródle pozyskiwania danych osobowych, jeśli nie zostały zebrane od osoby, której dane dotyczą,

9.1.2.8. zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, istotnych zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane doty-czą.

9.1.3. W przypadku wystąpienia przez osobę, które dane dotyczą o kopię danych osobowych, należy zgłosić taki fakt Administratorowi Danych Osobowych.

9.1.4. Administrator Danych Osobowych dostarcza osobie, której dane dotyczą kopię danych podlegających przetwarzaniu.

9.1.5. Administrator Danych Osobowych podejmuje decyzję o formie, w której zostanie przekazana kopia danych oraz wysokościach opłat za wszelkie kolejne kopie.

9.1.6. Administrator Danych Osobowych ma prawo odmowy przekazania kopii danych osobowych w przypadku, gdy może to wpłynąć na prawa i wolności innych.

9.2. Prawa do sprostowania, usunięcia, ograniczenia, przenoszenia danych osobowych oraz sprzeciwu wobec ich przetwarzania

9.2.1. Prawo do sprostowania – każda osoba, której dotyczą dane ma prawo do żądania nie-zwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Występująca osoba, której dane dotyczą ma prawo żądania uzupełnienia nie-kompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

9.2.2. Prawo do usunięcia danych („Prawo do bycia zapomnianym”) – każda osoba, której dane dotyczą, ma prawo żądania od niezwłocznego usunięcia dotyczących jej danych osobowych.

9.2.3. Prawo do ograniczenia przetwarzania – osoby, której dane dotyczą ma prawo żądania od Administratora Danych Osobowych ograniczania przetwarzania jej danych osobowych.

9.2.4. Prawo do przenoszenia danych – osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu ma-szynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe.

9.2.5. Prawo do sprzeciwu – osoba, której dane dotyczą ma prawo wnieść sprzeciw wobec przetwarzania jej danych osobowych.

9.3. Zasady realizacji praw osób, których dane dotyczą

9.3.1. Wnioski o realizację praw osób, których dane dotyczą kierowane są do Administratora Danych Osobowych.

9.3.2. W przypadku, gdy wniosek zostanie skierowany do pracownika BE Poland Think, Solve & Execute Sp. z o.o., należy niezwłocznie przekazać go do Administratora Danych Osobowych.

9.3.3. Administrator Danych Osobowych dokonuje analizy wniosku oraz weryfikuje zasadność realizacji prawa osoby, której dane dotyczą.

9.3.4. W przypadku braku zasadności realizacji prawa, Administrator Danych Osobowych zobligowany jest do niezwłocznego (nie więcej niż 1 miesiąc) przekazania tej informacji osobie wnioskującej wraz z właściwym uzasadnieniem decyzji.

9.3.5. W przypadku pozytywnej oceny wniosku, Administrator Danych Osobowych zobligowany jest do wszczęcia postępowania mającego na celu realizację prawa osoby wnioskującej. Po zakończeniu działań związanych z realizacją prawa osoby wnioskującej, Administrator Danych Osobowych informuje o tym fakcie osobę wnioskującą. W przypadku, gdy czas realizacji prawa może przekroczyć 1 miesiąc Administrator Danych Osobowych przekazuje osobie wnioskującej odpowiedź wraz z planowanym terminem realizacji prawa, o które wnioskowała.

9.3.6. W przypadku realizacji prawa osoby, które dane dotyczą, Administrator Danych Osobowych ma obowiązek przekazania obowiązku realizacji tego prawa do wszystkich pod-miotów, którym powierzono dane do przetwarzania.

9.3.7. W sytuacji, w której realizacja prawa osoby, której dane dotyczą wymaga zaangażowania pracowników Spółki, na wniosek Administratora Danych Osobowych pracownicy ci są zobligowani do wykonania zadań niezbędnych do realizacji prawa wnioskującego.

 

10. REALIZACJA UDOSTĘPNIEŃ DANYCH OSOBOWYCH

10.1. Dane osobowe udostępniane są wyłącznie na pisemny umotywowany wniosek chyba, że przepisy prawa stanowią inaczej.

10.2. Udostępnienia danych osobowych może dokonać wyłącznie Administrator Danych Osobowych. Wszyscy pracownicy Spółki, w przypadku otrzymania wniosku o udostępnienie danych osobowych, zobligowani są do przekazania wniosku Administratorowi Danych Osobowych.

10.3. Wniosek musi zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie.

10.4. Zgodę na udostępnienie danych osobowych wydaje Administrator Danych Osobowych w uzgodnieniu z prawnikami, jeżeli uzna to za stosowne.

10.5. W przypadku wyrażenia zgody na udostępnienie, Administrator Danych Osobowych przygotowuje udostępniane dane osobowe oraz odnotowanie faktu udostępnienia w Rejestrze udostępnień danych osobowych stanowiącym (Załącznik nr 6).

10.6. W przypadku udostępniania danych z systemów informatycznych, które nie odnotowują udostępnienia automatycznie, plik przekazywanych danych jest przechowywany przez Administratora Danych Osobowych wraz z dokumentem wskazującym na podstawę udostępnienia i dodatkowym opisem wskazującym datę udostępnienia danych oraz określeniem odbiorcy danych (np. nazwa i adres instytucji).

 

11. ZASADY POWIERZANIA DANYCH OSOBOWYCH

11.1. Powierzenie przetwarzania danych osobowych przez BE Poland Think, Solve & Execute Sp. z o.o. podmiotom zewnętrznym następuje wyłącznie w drodze umowy powierzenia przetwarzania danych osobowych zawartej na piśmie. Wzór umowy powierzenia danych osobowych stanowi Załącznik nr 7. Dopuszczalne jest wykorzystanie innego wzoru jedynie w przypadku, gdy treść umowy spełnia minimalne wymagania wskazane w punkcie 11.6.

11.2. Administratorem Danych Osobowych, które zostały powierzone do przetwarzania jest BE Poland Think, Solve & Execute Sp. z o.o.

11.3. Podmiot zewnętrzny, któremu powierzono przetwarzanie danych nie może powierzyć do dalszego przetwarzania powierzonych mu danych bez wyraźnej zgody Administratora Da-nych Osobowych.

11.4. Podmiot zewnętrzny, któremu powierzono przetwarzanie danych zobowiązany jest przetwarzać powierzone mu dane wyłącznie w celach, które zostały wskazane w zawartej z nim umowie.

11.5. Podmiot zewnętrzny, któremu powierzono przetwarzanie danych zobowiązany jest do spełnienia mających zastosowanie wymagań prawnych w obszarze danych osobowy.

11.6. Umowa o powierzeniu przetwarzania danych osobowych powinna w szczególności zawierać zapisy dotyczące:

11.6.1. przedmiotu i czasu trwania przetwarzania danych osobowych,

11.6.2. charakteru i celu przetwarzania danych osobowych,

11.6.3. rodzaju danych osobowych oraz kategorii osób, których dane dotyczą,

11.6.4. obowiązków i praw Administratora Danych Osobowych,

11.6.5. zobowiązań pracowników podmiotu przetwarzającego do zachowania powierzonych danych osobowych w tajemnicy,

11.6.6. zapewnienia bezpieczeństwa organizacyjnego i technicznego przetwarzania danych osobowych,

11.6.7. zasad dalszego powierzania danych osobowych administrowanych przez BE Poland Think, Solve & Execute Sp. z o.o.,

11.6.8. udziału w procesie udzielania odpowiedzi na żądanie osoby, które dane dotyczą, oceny skutków dla przetwarzania danych osobowych, zgłaszania incydentów,

11.6.9. usunięciu lub zwróceniu powierzonych danych osobowych po zakończeniu świadczenia usługi,

11.6.10. udostępniania Administratorowi Danych Osobowych wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w mających zastosowanie przepisach prawa w obszarze ochrony danych osobowych (np. audyty drugiej strony),

11.6.11. możliwości żądania natychmiastowego wstrzymania przetwarzania danych osobowych powierzonych w razie stwierdzenia niedostatecznej ochrony danych osobowych,

11.7. Wszyscy pracownicy i współpracownicy Spółki mają obowiązek zasięgnąć opinii Administratora Danych Osobowych w każdej sytuacji, w której ma nastąpić podpisanie umowy, której przedmiot choćby pośrednio wiąże się z powierzeniem innej firmie danych osobowych bądź z przyjęciem przez BE Poland Think, Solve & Execute Sp. z o.o. danych osobowych do przetwarzania.

 

12. NARUSZENIA OCHRONY DANYCH OSOBOWYCH

12.1. Za naruszenie ochrony danych osobowych uznaje się naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

12.2. Każdy z pracowników Spółki w przypadku zidentyfikowania zdarzenia mogącego stanowić naruszenie ochrony danych osobowych, jest zobowiązany do niezwłocznego kontaktu z Administratorem Danych Osobowych osobiście lub poprzez:

12.2.1. telefon: 501 373604

12.2.2. e-mail: rekrutacja@be-tse.com

12.3. W uzasadnionych przypadkach osoba, która zgłosiła naruszenie zobowiązana jest postępować zgodnie z wytycznymi Administratora Danych Osobowych w zakresie zabezpieczenia materiału dowodowego i jeśli zajdzie taka potrzeba zaprzestania wykonywania obowiązków służbowych w celu nienaruszania materiałów dowodowych.

12.4. W przypadku zakwalifikowania zdarzenia jako naruszenie ochrony danych osobowych, Administrator Danych Osobowych bez zbędnej zwłoki zgłasza organowi nadzorczemu fakt wystąpienia zdarzenia mogącego naruszyć bezpieczeństwo danych osobowych zgodnie ze wzorem stanowiącym Załącznik nr 8.

12.5. Jeżeli istnieje małe prawdopodobieństwo, iż naruszenie ochrony danych osobowych skutkować będzie naruszeniem praw lub wolności osób fizycznych, Administrator Danych Osobowych nie jest zobligowany do zgłoszenia takiego naruszenia do organu nadzorczego.

12.6. Wszystkie zdarzenie zakwalifikowane jako naruszenie ochrony danych osobowych należy udokumentować zgodnie z wzorem Rejestru naruszeń ochrony danych osobowych stanowiącym Załącznik nr 9.

12.7. W przypadku, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób, których dotyczy naruszenie, należy je bez zbędnej zwłoki o tym poinformować o ile to technicznie możliwe.

 

13. AUDYT OCHRONY DANYCH OSOBOWYCH

13.1. Administrator Danych Osobowych jest zobowiązany do prowadzenia cyklicznych audytów przestrzegania zasad ochrony danych osobowych opisanych w regulacjach wewnętrznych Spółki oraz mających zastosowanie wymaganiach prawnych. Zaleca się, aby audyty ochrony danych osobowych prowadzone były z przynajmniej roczną częstotliwością.

13.2. Podczas określania zakresu audytu ochrony danych osobowych należy wziąć pod uwagę w szczególności:

13.2.1. obszary, w których zostały zidentyfikowane naruszenia ochrony danych osobowych

13.2.2. rezultaty wcześniejszych audytów ochrony danych osobowych,

13.2.3. zmiany w otoczeniu wewnętrznym i zewnętrznym organizacji,

13.2.4. informacje zwrotną od zainteresowanych stron.

13.3. Audytowi ochrony danych osobowych podlegają:

13.3.1. systemy informatyczne przetwarzające dane osobowe,

13.3.2. zabezpieczenia fizyczne,

13.3.3. zabezpieczenia organizacyjne,

13.3.4. bezpieczeństwo osobowe oraz

13.3.5. zgodność stanu faktycznego z wymaganiami mających zastosowanie aktów prawnych oraz dokumentacji wewnętrznej Spółki.

13.4. Do audytu ochrony danych osobowych upoważniony jest Administrator Danych Osobowych lub osoba przez niego wyznaczona posiadająca niezbędną wiedzę i kwalifikacje.

13.5. Po dokonanym audycie osoba przeprowadzająca audyt przygotowuje i przekazuje raport Administratorowi Danych Osobowych.

13.6. W przypadku wystąpienia braku zgodności z wymaganiami prawnymi lub regulacjami wewnętrznymi, Administrator Danych Osobowych inicjuje adekwatne działania doskonalące.

 

14. SZKOLENIA

14.1. Każdy pracownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub danymi osobowymi w wersji papierowej musi być poddany prze-szkoleniu w zakresie ochrony danych osobowych.

14.2. Za przeprowadzenie szkolenia odpowiada Administrator Danych Osobowych lub osoby przez niego upoważnione. Odbycie szkolenia warunkuje dopuszczenie do przetwarzania danych osobowych.

14.3. Szkolenie powinno obejmować zaznajomienie pracownika z wymaganiami w zakresie ochrony danych osobowych zawartych w mających zastosowanie przepisach prawa oraz regulacjach wewnętrznych obowiązujących w BE Poland Think, Solve & Execute Sp. z o.o.

14.4. Każdorazowo w przypadku znaczącej zmiany wymagań prawnych w zakresie ochrony danych osobowych, Administrator Danych Osobowych jest zobowiązany do zapewnienia skutecznego przekazania tych zmian pracownikom i współpracownikom Spółki.

14.5. Administrator Danych Osobowych jest zobowiązany do budowy świadomości i organizacji cyklicznych szkoleń lub kampanii informacyjnych poświęconych tematyce ochrony danych osobowych oraz podstawowych zasadach bezpieczeństwa informacji. Zaleca się, aby każdy pracownik brał udział w takim szkoleniu nie rzadziej niż raz na 3 lata.

14.6. Opisywane powyżej szkolenia mogą odbywać się w dowolnej formie, ogólnie przyjętej u Administratora Danych Osobowych.

 

15. RETENCJA DANYCH

15.1. Dane osobowe przetwarzane w BE Poland Think, Solve & Execute Sp. z o.o. przechowywane są przez okres nie dłuższy niż jest to niezbędne. Okres przechowywania danych dostosowywany jest dostosowywany do celu, w którym zostały zebrane.

15.2. Okres retencji może:

15.2.1. wynikać z przepisów prawa,

15.2.2. zostać określony przez organ nadzorczy w zakresie ochrony danych osobowych

15.2.3. lub być ustalany przez komórki biznesowe będące właścicielami przetwarzanych da-nych osobowych.

15.3. Okres retencji danych osobowych odnotowany w Rejestrze czynności przetwarzania w stosunku do określonej kategorii i celu, w jakim dane osobowe zostały zebrane.

15.4. W przypadku dokumentacji w formie papierowej, za zniszczenie danych po ustaniu okresu retencji odpowiedzialny jest każdy pracownik przetwarzający te dane.

15.5. W przypadku danych osobowych przetwarzanych w systemach teleinformatycznych, każdy pracownik przetwarzający te dane jest odpowiedzialny, w miarę możliwości, za usunięcie tych danych lub zgłoszenie potrzeby ich usunięcia (dowolną drogą) do Administratora Danych Osobowych. Na podstawie tego wniosku, Administrator Danych Osobowych kontaktuje się z wszystkimi Administratorami Systemów Informatycznych w celu usunięcia danych w wersji elektrycznej.

15.6. Przynajmniej raz w roku, wszyscy pracownicy i współpracownicy Spółki są odpowiedzialni za przeprowadzenie weryfikacji, czy cel przetwarzania danych osobowych w stosunku do danych, które przetwarzają jest nadal aktualny oraz czy nie przetwarzają danych dłużej ani-żeli zostało to określone w Rejestrze czynności przetwarzania.

15.7. Wyniki przeglądu są raportowane do Administratora Danych Osobowych.

 

16. ZGODY NA PRZETWARZANA DANYCH OSOBOWYCH

16.1. W każdej sytuacji, w której nie zidentyfikowano podstawy prawnej innej niż zgoda osoby, której dane dotyczą, niezbędne jest uzyskanie takiej zgody.

16.2. Forma wyrażenia zgody na przetwarzanie danych osobowych jest dowolna (np. treść wiadomości mailowej, wydruk, checkbox w systemie teleinformatycznym). Forma zgody po-winna jednak gwarantować możliwość potwierdzenia uzyskania takiej zgody.

16.3. Wyrażenie zgody na przetwarzanie danych osobowych nie może stanowić podstawy do odmowy wykonania umowy/świadczenia usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do ich wykonania.

16.4. Za uzyskanie zgody na przetwarzanie danych osobowych odpowiedzialny jest pracownik pozyskujący dane osobowe od osoby, której dane dotyczą.

16.5. Zgoda na przetwarzanie danych osobowych musi zawierać przynajmniej:

16.5.1. tożsamość Administratora Danych Osobowych,

16.5.2. zamierzone cele przetwarzania, dla których dane osobowe są zbierane,

16.5.3. fakt wyrażenia zgody,

16.5.4. informację o możliwości wycofania zgody.

16.6. Nie dopuszcza się sytuacji, w których łączy się zgody na przetwarzanie danych osobowych zbieranych dla spełnienia różnych celów. W przypadku zbierania danych osobowych dla kilku celów jednocześnie, należy uzyskać indywidualną zgodę dla każdego z celów.

16.7. W przypadku, gdy zgoda dotyczy danych wrażliwych, konieczne jest zebranie jej w formie pisemnego oświadczenia od osoby, której dane dotyczą.

16.8. Osoba, której dane dotyczą ma prawo w dowolnym momencie wycofać zgodę.

16.9. W przypadku uzyskania wniosku o wycofanie zgody na przetwarzanie danych osobowych, każdy pracownik jest zobowiązany do powiadomienia o tym fakcie Administratora Danych Osobowych, który podejmuje właściwe kroki.

 

17. UPOWAŻNIENIA DO PRZETWARZANIA DANYCH OSOBOWYCH

17.1. Przed uzyskaniem dostępu do przetwarzania danych osobowych, każdy pracownik musi zostać formalnie upoważniony przez Administratora Danych Osobowych do ich przetwarzania.

17.2. Upoważnienie wydawane jest przez Administratora Danych Osobowych po przejściu stosownego szkolenia wstępnego.

17.3. Przetwarzanie danych osobowych w zakresie innym niż na upoważnieniu jest zabronione.

17.4. Rejestr wydanych upoważnień w dowolnej formie prowadzony jest przez Administratora Danych Osobowych.

17.5. Rejestr wydanych upoważnień musi zawierać przynajmniej:

17.5.1. imię i nazwisko osoby upoważnionej,

17.5.2. datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobo-wych,

17.5.3. identyfikator użytkownika, jeżeli dane są przetwarzane w systemie informatycznym.

17.6. Wzór Rejestru wydanych upoważnień do przetwarzania danych osobowych stanowi Załącznik nr 2.

 

18. OCENA SKUTKÓW DLA OCHRONY DANYCH – ANALIZA RYZYKA

18.1. Ocena skutków dla ochrony danych osobowych osoby jest procesem realizowanym w celu:

18.1.1. systematycznego opisu planowanych operacji przetwarzania i celów przetwarzania danych osobowych,

18.1.2. oceny, czy operacje przetwarzania są niezbędne oraz proporcjonalne do celów,

18.1.3. oceny ryzyka naruszenia praw lub wolności osób, których dane dotyczą,

18.1.4. planowania zarządzania ryzykiem, w tym zabezpieczeń (organizacyjnych i technicznych) oraz środków i mechanizmów bezpieczeństwa mających zapewnić ochronę danych osobowych i wykazać przestrzeganie mających zastosowanie regulacji prawnych.

18.2. Proces oceny skutków dla ochrony danych osobowych jest realizowany cyklicznie i inicjowany przez Administratora Danych Osobowych lub każdorazowo, gdy zajdzie taka potrzeba (np. wdrożenie nowego systemu teleinformatycznego).

18.3. W proces oceny skutków dla ochrony danych zaangażowani są główni użytkownicy systemów i pomieszczeń, w których przetwarzane są dane osobowe oraz Administratorzy Systemów Informatycznych jak i osoby odpowiedzialne za zabezpieczenie pomieszczeń.

18.4. Wyniki oceny skutków dla ochrony danych osobowych oraz propozycje działań w planie postępowania z ryzykiem przedstawiane są Administratorowi Danych Osobowych w celu ich akceptacji i uruchomienia ich realizacji.

18.5. Szczegółowy opis czynności został określony w Procedurze oceny skutków dla ochrony danych osobowych stanowiącej załącznik nr 10.