Polityka organizacji w zakresie ochrony danych osobowych
Prywatność życia osobistego odwiedzających naszą Stronę internetową („Użytkowników”) jest bardzo ważna dla IBA Group. Nasza Polityka organizacji w spawie ochrony danych osobowych („Polityka”) opracowana jest, aby pomóc użytkownikowi zrozumieć, w jaki sposób IBA Group gromadzi, wykorzystuje, przechowuje i ujawnia dane osobowe użytkownika. Akceptując niniejszą Politykę, użytkownik wyraża zgodę na gromadzenie, przechowywanie, wykorzystywanie i ujawnianie przez IBA Group jego danych osobowych w sposób opisany poniżej.
Przeznaczenie
Niniejsza polityka ochrony danych osobowych (dalej Polityka) formułuje podstawowe zasady przetwarzania danych osobowych użytkowników, klientów, dostawców, partnerów biznesowych, pracowników i innych osób, a także określa główne działania w zakresie przetwarzania danych osobowych oraz środki ich ochrony dla przedsiębiorstw działających pod kierownictwem i kontrolą ich biura głównego– IBA Group a.s., lista których podana jest w Załączniku 1 (dalej – IBA lub organizacja).
Celem niniejszej Polityki jest zapewnienie ochrony praw i wolności człowieka przy przetwarzaniu jego danych osobowych, w tym prawa do nietykalności życia prywatnego, tajemnicy osobistej i rodzinnej oraz unifikacja procedury przetwarzania danych osobowych w organizacji z wymogami prawa międzynarodowego oraz prawa krajów, w których organizacja działa.
W swoich codziennych działaniach biznesowych IBA wykorzystuje różnorodne dane o osobach identyfikowanych, w tym informacje o:
- Obecnych, byłych i potencjalnych przyszłych pracownikach,
- Klientach,
- Użytkownikach swoich stron internetowych,
- Innych zainteresowanych stronach.
Podczas gromadzenia i wykorzystywania tych danych organizacja podlega szeregowi prawnych przepisów regulujących sposób przeprowadzania takiej działalności oraz środków bezpieczeństwa, które należy podjąć w celu ochrony tych danych.
IBA zobowiązuje się do przestrzegania prawa i przepisów, dotyczących ochrony danych osobowych, które obowiązują w krajach, w których działa organizacja.
Polityka jest weryfikowana co roku oraz w przypadku istotnych zmian w organizacji lub w odpowiednich przepisach prawa.
Obszar stosowania
Polityka jest obowiązkowa dla wszystkich pracowników IBA, zarówno etatowych, jak i freelancerów, oraz wszystkich działów strukturalnych organizacji, w tym poszczególnych działów. Wymogi Polityki dotyczą również innych osób, jeżeli jest konieczny ich udział w procesie przetwarzania przez organizację danych osobowych, a także w przypadkach przekazywania do nich danych osobowych w określony sposób na podstawie porozumień i umów.
Wymogi Polityki dotyczą wszelkich danych osobowych, niezależnie od rodzaju nośnika, na którym dane są zapisane.
Polityka jest dokumentem publicznym IBA i przewiduje możliwość zapoznania się z nią przez każdą osobę.
Polityka została opracowana w oparciu i zgodnie z wymaganiami:
- Ustawa Republiki Białoruś „O informacji, informatyzacji i ochronie informacji” z dnia 10 listopada 2008 r. Nr 455-3 (ze zmianami: Ustawa Republiki Białoruś z dnia 04.01.2014 r. Nr 102-3 „O zmianach i uzupełnieniach do Ustawy Republiki Białoruś „O informacji, informatyzacji i ochronie informacji”);
- Europejskiego rozporządzenia o ochronie danych osobowych – REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation, GDPR);
- Ustawa federalna Federacji Rosyjskiej z dnia 27.07.2006 r. nr 152-FZ „O danych osobowych”;
- Ustawa Republiki Kazachstanu z dnia 21 maja 2013 r. Nr 94-V „O danych osobowych i ich ochronie”
- STB ISO/IEC 27001 (Załącznik A, rozdziały: A.8.2, A.15.1.1, A18.1.1, A.18.1.4).
Jeżeli w wyniku zmian w ustawodawstwie krajów, w których są zarejestrowane podmioty IBA, jakiekolwiek wymagania niniejszej Polityki staną w sprzeczności z prawem tych krajów, takie wymagania tracą ważność i do momentu wprowadzenia zmian i uzupełnień do Polityki, zastosowanie mają wymogi prawa krajów, w których zarejestrowane są podmioty IBA.
Terminy i definicje
W niniejszym dokumencie są używane następujące terminy wraz z odpowiednimi definicjami:
Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („podmiotu danych”); zidentyfikowana osoba fizyczna to osoba, którą można zidentyfikować bezpośrednio lub pośrednio, w szczególności na podstawie informacji identyfikujących, takich jak: imię, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy (identyfikator online) lub poprzez jeden lub więcej wskaźników, charakterystycznych dla fizycznej, fizjologicznej, genetycznej, umysłowej, ekonomicznej, kulturowej lub społecznej tożsamości tej osoby fizycznej;
Przetwarzanie danych osobowych – każda operacja lub zestaw operacji, które są wykonywane na danych osobowych lub zbiorze danych osobowych, przy użyciu zautomatyzowanych środków i bez takich środków, w tym zbieranie, zapisywanie, porządkowanie, strukturyzowanie, przechowywanie, przetwarzanie lub modyfikacja, wyszukiwanie i selekcja, ekspertyza, wykorzystywanie, ujawnianie poprzez przekazanie, rozpowszechnianie lub udostępnianie w inny sposób, grupowanie lub łączenie, ograniczanie przetwarzania, usuwanie lub niszczenie;
Kontroler – osoba fizyczna lub prawna, organ publiczny, agencja lub inny organ, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; w przypadku jeśli cele i sposoby takiego przetwarzania są określone przez prawo kraju, w którym znajduje się podmiot danych, kontroler lub szczegółowe kryteria jego wyznaczenia mogą być określone przez prawo kraju, w którym znajduje się podmiot danych;
Podmiot przetwarzający – osoba fizyczna lub prawna, organ publiczny, agencja lub inny organ, który przetwarza dane osobowe w imieniu i na rzecz kontrolera;
Szczególne kategorie danych osobowych – dane osobowe wskazujące na pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dotyczące stanu zdrowia, życia intymnego, orientacji seksualnej, dane genetyczne lub biometryczne dane, wykorzystywane do identyfikacji osoby fizycznej;
Podmioty IBA – podmioty działające pod kierownictwem i kontrolą IBA Group a.s. – ich biura głównego, których lista jest podana w Załączniku 1.
Zasady przetwarzania danych osobowych
Organizacja zobowiązuje się do przestrzegania poniższych zasad przy przetwarzaniu danych osobowych.
Dane osobowe muszą:
(a) być przetwarzane na podstawie prawa, rzetelnie i przejrzyście w odniesieniu do podmiotu danych („zasada legalności, rzetelności i przejrzystości”);
(b) być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie powinny potem poddawane przetwarzaniu w sposób nie zgodny z tymi celami; dalsze przetwarzanie dla celów archiwalnych w interesie publicznym, do celów naukowych lub historycznych badań lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami („zasada ograniczenia celu”);
(c) być zgodne z odpowiednimi wymogami, odnoszącymi się do sprawy, i być ograniczone do tego, co niezbędne do celów, w jakich są przetwarzane („zasada minimalizacji danych”);
(d) być dokładne i, w razie potrzeby, na czas aktualizowane; należy podjąć wszelkie uzasadnione środki, aby niedokładne dane osobowe, w zależności od celów ich przetwarzania, zostały usunięte lub poprawione bez niezwłocznie („zasada dokładności”);
(e) być przechowywane w postaci umożliwiającej identyfikację podmiotu danych, nie dłużej niż jest to wymagane przez cele przetwarzania danych osobowych; dane osobowe mogą być przechowywane przez dłuższy czasu, na tyle, na ile dane osobowe będą przetwarzane wyłącznie w celach archiwalnych w interesie publicznym, do celów naukowych lub historycznych badań lub do celów statystycznych, z zastrzeżeniem zastosowania odpowiednich środków technicznych i organizacyjnych dla ochrony praw i wolności podmiotu danych („zasada ograniczenia okresu przechowywania”);
(f) przetwarzane w sposób, który zapewniaj odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, a także przed przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („zasada integralności i poufności”).
IBA zobowiązuje się do przestrzegania powyższych zasad nie tylko podczas obecnego przetwarzania danych osobowych, ale także przy wdrażaniu nowych metod i systemów przetwarzania.
Organizacja jest gotowa na żądanie organa nadzorczego potwierdzić jemu, ze przestrzega ona powyższych zasad przetwarzania danych osobowych, w zakresie swojej działalności jako kontrolera („zasada sprawozdawczości”).
Zgodność przetwarzania z prawem
Przed rozpoczęciem przetwarzania danych osobowych jako kontroler, IBA określa podstawę prawną dla przetwarzania.
Jeżeli organizacja przetwarza, jako kontroler, szczególne kategorie danych osobowych lub dane dotyczące wyroków skazujących i wykroczeń, wówczas organizacja określa jak podstawę prawną ogólnego przetwarzania, tak i szczegółowe warunki przetwarzania tego rodzaju danych.
IBA zachowuje uzasadnione, udokumentowane dowody na zgodność z prawem przetwarzania danych osobowych, w części swojej działalności jako kontrolera i dostarcza je tam, gdzie jest to potrzebne.
Organizacja przetwarza dane osobowe jako podmiot przetwarzający wyłącznie na podstawie udokumentowanych poleceń kontrolera, określonych w umowie lub w innym akcie prawnym, który określa przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych i kategorie podmiotów danych, a także obowiązki i prawa kontrolera. W takim przypadku zgodność przetwarzania z prawem ustala kontroler.
Istnieje sześć stosowanych podstaw prawnych dla ogólnego przetwarzania danych osobowych. Istnieje dziesięć odrębnych warunków przetwarzania szczególnych kategorii danych osobowych. Możliwe opcje są opisane w kolejnych rozdziałach.
Zgoda
Organizacja zawsze będzie otrzymywać wyraźną zgodę podmiotu na gromadzenie i przetwarzanie jego danych, z wyjątkiem przypadków, w których zgoda nie jest wymagana przez przepisy prawa.
W przypadku przetwarzania danych osobowych dzieci poniżej 16 roku życia (w niektórych krajach może być dozwolony młodszy wiek) należy uzyskać zgodę osoby sprawującej władzę rodzicielską nad dzieckiem.
Zwracając się o zgodę, IBA informuje podmioty danych o danych identyfikacyjnych organizacji, charakterze i celach przetwarzania, wykazie przetwarzanych kategorii danych osobowych oraz wyjaśnia prawa osób fizycznych w związku z ich danymi osobowymi, w tym prawo do wycofania zgody . Informacje te podawane są w zrozumiałej i łatwo dostępnej formie, przy użyciu jasnego i prostego języka.
IBA prosi o osobną zgodę dla różnych celów i rodzajów przetwarzania i nie używa we wnioskach wstępnie oznaczonych pól ani żadnych innych domyślnych uprawnień.
Personal Data Protection in Business Activities of the Organisation
Jeżeli zebrane i przetworzone dane osobowe są niezbędne do wykonania umowy z podmiotem danych, wyraźna zgoda nie jest wymagana. Niniejszy punkt ma zastosowanie w przypadkach, gdy nie można zrealizować umowy bez odpowiednich danych osobowych, np. dostawa nie może zostać zrealizowana bez adresu dostawy.
Realizacja umowy
Jeżeli zebrane i przetworzone dane osobowe są niezbędne do wykonania umowy z podmiotem danych, wyraźna zgoda nie jest wymagana. Niniejszy punkt ma zastosowanie w przypadkach, gdy nie można zrealizować umowy bez odpowiednich danych osobowych, np. dostawa nie może zostać zrealizowana bez adresu dostawy.
Zobowiązanie prawne
Jeśli dane osobowe trzeba zebrać i przetworzyć w celu spełnienia wymogów prawnych, wyraźna zgoda nie jest wymagana. Bywa tak na przykład w przypadku pracy z niektórymi danymi, dotyczącymi zatrudnienia i podatków oraz w wielu obszarach objętych sektorem publicznym.
Życiowe interesy podmiotu danych
W przypadku, gdy dane osobowe są niezbędne do ochrony życiowych interesów podmiotu danych lub innej osoby fizycznej, potrzeba ta może być wykorzystana jako prawnie uzasadniona podstawa przetwarzania. Na przykład można to wykorzystać w dziedzinie pomocy społecznej, zwłaszcza w sektorze publicznym.
Zadanie realizowane w interesie publicznym
W przypadku gdy organizacja jest zobowiązana do wykonania zadania, które jej zdaniem leży w interesie publicznym lub jest dokonywane w ramach władzy publicznej, zgoda podmiotu danych może nie być wymagana.
Interesy prawne
Jeżeli wynik przetwarzania lub określone dane osobowe leżą w prawnie uzasadnionym interesie organizacji i nie wpływają w istotny sposób na prawa i wolności podmiotu danych, można to uznać za prawnie uzasadniony powód przetwarzania danych.
IBA przeprowadza ocenę uzasadnionego interesu (LIA), aby mieć pewność w przestrzeganiu zasady proporcjonalności.
Warunki przetwarzania szczególnych kategorii danych osobowych
Organizacja przetwarza jako kontroler szczególne kategorie danych osobowych tylko wtedy, gdy określiła ona jeden z następujących warunków przetwarzania:
(a) podmiot danych wyraził bezpośrednią zgodę na przetwarzanie tych danych osobowych w jednym lub większej liczbie wyznaczonych celów, chyba że prawo kraju, w którym znajduje podmiot danych nie przewiduje prawa do wycofania przed podmiot danych zakazu przetwarzania;
(b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania określonych praw kontrolera lub podmiotu danych, w dziedzinie zatrudnienia i ubezpieczenia społecznego oraz przepisów prawnych dotyczących ochrony socjalnej, z zastrzeżeniem zapewnienia odpowiednich środków ochrony podstawowych praw i interesów podmiotu danych;
(c) przetwarzanie jest niezbędne do ochrony życiowych interesów podmiotu danych lub innej osoby fizycznej, jeżeli podmiot danych jest fizycznie lub prawnie niezdolny do wyrażenia zgody;
(d) przetwarzanie jest realizowane w celach politycznych, filozoficznych, religijnych lub związkowych przez fundację, stowarzyszenie lub inny podmiot nienastawiony na zysk, w zakresie ich prawnie uzasadnionej działalności i z zachowaniem odpowiednich środków bezpieczeństwa, oraz pod warunkiem, że przetwarzanie dotyczy wyłącznie członków, byłych członków organu lub osób, które mają z nim stały kontakt w związku z jego celami, a dane osobowe nie są udostępniane osobom trzecim bez zgody podmiotu danych osobowych;
(e) przetwarzanie dotyczy danych osobowych, które podmiot danych osobowych wyraźnie upublicznił;
(f) przetwarzanie jest niezbędne do złożenia, dochodzenia lub obrony roszczeń lub w przypadku sprawowania przez sądy kompetencji sądowych;
(g) przetwarzanie jest niezbędne ze względu na ważny interes publiczny, pod warunkiem zapewnienia odpowiednich i szczególnych środków ochrony podstawowych praw i interesów podmiotu danych;
(h) przetwarzanie jest niezbędne do celów profilaktyki lub medycyny profesjonalnej, dla oceny zdolności pracownika do pracy, diagnozy stanu zdrowia, świadczenia medycznej lub społecznej opieki lub leczenia, lub zarządzania systemami i usługami opieki zdrowotnej i społecznej;
(i) przetwarzanie jest konieczne ze względu na interes publiczny w dziedzinie zdrowia publicznego, taki jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowia lub w celu zapewnienia wysokich standardów jakości i niezawodności opieki medycznej i leków lub sprzętu medycznego, pod warunkiem zapewnienia odpowiednich i szczególnych środków ochrony praw i wolności podmiotu danych, w szczególności tajemnicy zawodowej;
(j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, pod warunkiem podjęcia odpowiednich i szczególnych środków w celu ochrony podstawowych praw i interesów podmiotu danych.
IBA przetwarza dane osobowe związane z wyrokami skazującymi i przestępstwami wyłącznie pod kontrolą organu publicznego lub gdy przetwarzanie jest dozwolone przez prawo państwa, w którym znajduje się podmiot danych, z zastrzeżeniem warunków bezpieczeństwa zapewniających prawa i wolności podmiotu danych.
Prawa podmiotu danych osobowych
Podmiotowi danych przysługują następujące prawa:
- Prawo do otrzymywania informacji.
Osoby fizyczne mają prawo do informacji o gromadzeniu i wykorzystywaniu ich danych osobowych. - Prawo dostępu do danych.
Osoby fizyczne mają prawo dostępu do swoich danych osobowych. - Prawo do poprawiania danych.
Osoby fizyczne mają prawo żądać sprostowania swoich danych osobowych, jeśli są one niedokładne lub uzupełnienia, jeśli są niekompletne. - Prawo do skasowania („prawo do bycia zapomnianym”).
Osoby fizyczne mają prawo żądania usunięcia ich danych osobowych. - Prawo do ograniczenia przetwarzania. Osoby fizyczne mają prawo do żądania ograniczenia lub zaprzestania przetwarzania ich danych osobowych.
- Prawo do przenoszenia danych. Osoby fizyczne mają prawo do otrzymywania swoich danych osobowych i ponownego wykorzystywania ich do własnych celów w różnych serwisach.
- Prawo do sprzeciwu. Osoby fizyczne mają prawo do wniesienia sprzeciwu wobec przetwarzania ich danych osobowych.
- Prawa dotyczące automatycznego podejmowania decyzji i profilowania. Osoby fizyczne mają prawo do tego, aby decyzje oparte wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, nie miały na nie wpływu, jeśli mogą one mieć na nie prawny lub podobny istotny wpływ.
Organizacja wspiera każde z tych praw odpowiednimi procedurami, które pozwalają na podjęcie niezbędnych działań w terminach podanych w tabeli 1.
Tabela 1 – Ramy czasowe dla wniosków podmiotu danych.
Organizacja wspiera każde z tych praw odpowiednimi procedurami, które pozwalają na podjęcie niezbędnych działań w terminach podanych w tabeli 1.
Tabela 1 – Ramy czasowe dla wniosków podmiotu danych.
Wniosek podmiotu danych | Skala czasu |
Prawo do otrzymywania informacji | Kiedy są gromadzone dane (jeśli zostały dostarczone przez podmiot danych) lub w ciągu jednego miesiąca (jeśli nie zostały dostarczone przez podmiot danych) |
Prawo dostępu | Jeden miesiąc |
Prawo do poprawiania | Jeden miesiąc |
Prawo do skasowania | Niezwłocznie |
Prawo do ograniczenia przetwarzania | Niezwłocznie |
Prawo do przenoszenia danych | Jeden miesiąc |
Prawo do sprzeciwu | Po otrzymaniu sprzeciwu |
Prawa dotyczące automatycznego podejmowania decyzji i profilowania | Nieokreślony |
Ochrona danych osobowych w działalności gospodarczej organizacji
IBA w swojej działalności gospodarczej podejmuje lub może podjąć, w niektórych przypadkach, w razie konieczności, szereg środków organizacyjnych i technicznych w celu ochrony danych osobowych przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, a także przed przypadkową utratą, zniszczeniem, uszkodzeniem lub innymi nielegalnymi działaniami w stosunku do danych osobowych. Środki te obejmują:
- przyjmowanie i wdrażanie regulacyjnych dokumentów w zakresie przetwarzania i ochrony danych osobowych;
- zastosowanie podejścia „ochrona danych co do projektowania i domyślnie” – wdrożenie odpowiednich środków ochrony danych przez cały cykl życia procesów przetwarzania;
- zawarcie pisemnych umów z podmiotami przetwarzającymi dane osobowe w imieniu organizacji;
- zapewnienie odpowiednich gwarancji przy przekazywaniu danych osobowych do państw trzecich;
- dokumentowanie swoich działań w zakresie przetwarzania danych osobowych;
- wdrożenie odpowiednich środków bezpieczeństwa;
- rejestrowanie i w razie potrzeby zgłaszanie naruszeń związanych z danymi osobowymi;
- przeprowadzenie oceny skutków ochrony danych w przypadku wykorzystywania danych osobowych, które mogą skutkować wysokim ryzykiem dla interesów osób fizycznych;
- wyznaczenie Inspektora do ochrony danych (jeśli istnieje potrzeba);
- przestrzeganie odpowiednich kodeksów postępowania i zgodność z systemami certyfikacji (w miarę możliwości).
Ochrona danych w procesie projektowania i domyślnie
Organizacja przyjmuje zasadę „ochrony danych przy projektowaniu i domyślnie” oraz stosuje odpowiednie środki techniczne i organizacyjne w celu realizacji zasad ochrony danych i ochrony praw jednostki.
W istocie rzeczy „ochrona danych przy projektowaniu” oznacza, że IBA zintegrowała ochronę danych ze swoimi systemami, usługami, produktami i praktykami biznesowymi, począwszy od etapu projektowania i przez cały cykl życiowy. Organizacja wykorzystuje tylko te podmioty przetwarzające dane, które zapewniają wystarczające gwarancje dla swoich środków technicznych i organizacyjnych w dziedzinie ochrony danych na etapie projektowania. Organizacja bierze pod uwagę ochronę danych na etapie projektowania przy zakupie produktów do wykorzystania w procesach przetwarzania danych.
W istocie rzeczy „domyślna ochrona danych” oznacza, że IBA w ramach swojej działalności jako kontrolera:
- przed przetwarzaniem danych określa minimalny zbiór danych osobowych niezbędnych do osiągnięcia szczególnych celów przetwarzania;
- odpowiednio informuje podmioty danych;
- przetwarza tylko te dane, które są niezbędne do celów przetwarzania;
- nie przetwarza dodatkowych danych osobowych, dopóki podmiot danych nie wyrazi na to zgody;
- zapewnia, że dane osobowe nie będą automatycznie udostępniane innym osobom, dopóki podmiot danych nie wyrazi na to zgody;
- zapewnia automatyczną ochronę danych osobowych w dowolnym IT-systemie, usłudze, produktach i/lub praktykach biznesowych, dzięki czemu osoby fizyczne nie muszą podejmować żadnych konkretnych działań w celu ochrony swojej prywatności;
- oferuje silne ustawienia prywatności, przyjazne dla użytkownika opcje i elementy zarządzania oraz dotrzymanie preferencji użytkownika.
Organizacja uwzględnia użycie takich technik, jak pseudonimizacja tam, gdzie może to mieć zastosowanie i jest właściwe.
Umowy związane z przetwarzaniem danych osobowych
IBA zapewnia, że wszystkie relacje związane z przetwarzaniem danych osobowych, w które organizacja jest zaangażowana, są regulowane przez udokumentowane umowy, które zawierają określone informacje i warunki wymagane przez prawo.
Umowy organizacji zawierają następujące obowiązkowe informacje:
- przedmiot i czas trwania przetwarzania;
- charakter i cel przetwarzania;
- rodzaje danych osobowych i kategorie podmiotów danych;
- obowiązki i prawa kontrolera.
Umowy organizacji obejmują następujące warunki obowiązkowe: - podmiot przetwarzający musi działać wyłącznie zgodnie z pisemnymi instrukcjami kontrolera (chyba że prawo wymaga działania bez takich instrukcji);
- podmiot przetwarzający musi zapewnić, aby osoby upoważnione do przetwarzania danych osobowych były zobowiązane do zachowania poufności lub podlegały odpowiedniemu obowiązkowi zachowania poufności, przewidzianemu przez prawo;
- podmiot przetwarzający musi podjąć odpowiednie środki w celu zapewnienia bezpieczeństwa przetwarzania;
- podmiot przetwarzający może korzystać ze współprzetwarzającego wyłącznie za uprzednią zgodą kontrolera danych i podpisaniem pisemnej umowy;
- podmiot przetwarzający musi pomóc kontrolerowi danych w zapewnieniu praw podmiotom danych zgodnie z prawem kraju, w którym znajduje się podmiot danych;
- podmiot przetwarzający musi pomagać kontrolerowi danych w wypełnianiu jego obowiązków w zakresie bezpieczeństwa przetwarzania, powiadamiania o naruszeniu ochrony danych osobowych oraz oceny skutków w zakresie ochrony danych;
- podmiot przetwarzający musi usunąć lub zwrócić wszystkie dane osobowe kontrolerowi zgodnie z żądaniem po rozwiązaniu umowy;
- podmiot przetwarzający musi ułatwiać przeprowadzenie audytów i inspekcji, dostarczać kontrolerowi wszelkich informacji niezbędnych do potwierdzenia wywiązywania się przez podmiot przetwarzający ze swoich zobowiązań oraz niezwłocznie powiadamiać kontrolera, jeśli podmiot przetwarzający zostanie poproszony o zrobienie czegokolwiek, co narusza przepisy o ochronie danych.
IBA, jako kontroler, wyznaczy do przetwarzania tylko te podmioty przetwarzające, które mogą zapewnić „wystarczające gwarancje”, że wymogi prawa krajów, w których znajdują się podmioty danych, będą przestrzegane, a prawa podmiotów danych będą chronione.
Międzynarodowe przekazanie danych osobowych
IBA przekazuje dane osobowe do państwa trzeciego lub organizacji międzynarodowej tylko wtedy, gdy wymogi prawa krajów, w których znajdują się podmioty danych są w pełni przestrzegane, na przykład, jeżeli przekazanie danych osobowych do tego państwa trzeciego lub organizacji międzynarodowej jest dozwolone przez organ regulacyjny bez dodatkowego zezwolenia ze strony organu nadzorczego, ponieważ istnieje tam wystarczający poziom ochrony zgodny z wymogami prawa lub jeśli organizacja, otrzymująca dane osobowe, zapewniła odpowiednie środki ochronne, które są zgodne z wymogami prawa.
IBA musi upewnić się przed takim przekazaniem, że po jego zakończeniu gwarantowany prawem poziom ochrony podmiotów danych nie ulegnie osłabieniu, w tym w przypadku późniejszego przekazania danych osobowych z państwa trzeciego lub organizacji międzynarodowej do kontrolerów, podmiotów przetwarzających w tym samym lub innym państwie trzecim lub organizacji międzynarodowej.
Po takim przekazaniu prawa osób fizycznych muszą pozostać ważne oraz muszą pozostać dostępne skuteczne środki ochrony prawnej dla osób fizycznych.
Dokumentowanie czynności przetwarzania
IBA w ramach swojej działalności jako kontroler prowadzi ewidencję następujących kategorii w celu udokumentowania swoich czynności przetwarzania:
- konta przetwarzania danych;
- dowody zgodności przetwarzania z prawem;
- zapisy zgody na przetwarzanie;
- raporty oceny uzasadnionego interesu do przetwarzania;
- informacje przekazywane podmiotom danych;
- umowy kontroler-podmiot przetwarzający;
- zapisy o umieszczeniu danych osobowych;
- sprawozdania z oceny skutków ochrony danych;
- rejestry naruszeń związanych z danymi osobowymi.
IBA, w ramach swojej działalności jako podmiot przetwarzający, prowadzi ewidencję następujących kategorii w celu udokumentowania swojej działalności przetwarzania:
- konta przetwarzania danych;
- umowy kontroler-podmiot przetwarzający;
- zapisy o umieszczeniu danych osobowych;
- rejestry naruszeń związanych z danymi osobowymi.
Podmioty IBA zatrudniające mniej niż 250 osób nie prowadzą konta przetwarzania danych, chyba że przeprowadzane przetwarzanie może rodzić ewentualne zagrożenia dla praw i wolności podmiotów danych, gdy przetwarzanie to odbywa się regularnie lub przetwarzanie obejmuje szczególne kategorie danych osobowych lub danych osobowych, dotyczących wyroków skazujących i przestępstw.
Ewidencję prowadzone są w formie pisemnej. Ewidencję są stale aktualizowane i odzwierciedlają bieżące przetwarzanie.
Organizacja udostępnia ewidencje do organu kontroli na żądanie.
Stosowanie odpowiednich środków bezpieczeństwa
IBA ustaliła i regularnie aktualizuje zagrożenia dla bezpieczeństwa danych osobowych, w razie potrzeby dokonuje analizy ryzyka, związanego z przetwarzaniem danych osobowych, dokumentuje wnioski , które wykorzystuje do oceny odpowiedniego poziomu bezpieczeństwa, który należy wdrożyć.
Zagrożenie bezpieczeństwa danych osobowych rozumiane jest jako czynnik stwarzający ryzyko nieuprawnionego, w tym przypadkowego, przetwarzania danych osobowych, a także przypadkowej lub celowej utraty, zniszczenia lub uszkodzenia danych osobowych.
IBA rozdzieliła odpowiedzialność za zapewnienie bezpieczeństwa informacji pomiędzy niektórych osób i zespoły oraz zapewniła im odpowiednie zasoby i uprawnienia. Osoby upoważnione przez organizację do przetwarzania danych osobowych, przed rozpoczęciem pracy z danymi osobowymi, zobowiązują się do przestrzegania poufności i innych wymogów Polityki.
Podmioty IBA posiadają zasady bezpieczeństwa informacji i podejmują niezbędne kroki w celu ich przestrzegania. Tam, gdzie jest to wymagane, podmioty IBA przyjmują dodatkowe dokumenty regulacyjne i zapewniają mechanizmy ich wdrażania.
IBA regularnie dokonuje przeglądu swoich dokumentów dotyczących bezpieczeństwa informacji i w razie potrzeby ulepsza je. IBA przeprowadza regularne przeglądy i analizę swoich środków kontroli bezpieczeństwa informacji, aby upewnić się w ich skuteczności, oraz podejmuje odpowiednie działania w oparciu o wyniki tych przeglądów, kiedy zostały zidentyfikowane obszary wymagające poprawy.
Podmioty IBA prowadzą ewidencję zasobów zaangażowanych w przetwarzanie danych osobowych (aplikacje, systemy, personel, nośniki danych).
W stosownych przypadkach IBA stosuje szyfrowanie i/lub pseudonimizację.
Podmioty IBA muszą korzystać z narzędzi ochrony kryptograficznej podczas przesyłania danych osobowych za pośrednictwem otwartych kanałów komunikacji.
Podmioty IBA posiadają odpowiednie procesy tworzenia kopii zapasowych, aby w przypadku jakichkolwiek incydentów mogły przywrócić integralność i dostęp do danych osobowych w jak najkrótszym czasie.
Podmioty IBA zapewniają, że każdy podmiot przetwarzający dane, z którego oni korzystają, wdraża również odpowiednie środki techniczne i organizacyjne.
Podmioty IBA zapewniają niezbędne środki bezpieczeństwa fizycznego w celu ochrony pomieszczeń, sprzętu i informacji przed nieautoryzowanym dostępem.
IBA określiła środki zapewnienia ciągłości biznesu, które chronią i odzyskują wszelkie dane osobowe przechowywane przez organizację.
IBA prowadzi odpowiednie wstępne i powtórne szkolenia z zakresu ochrony danych osobowych dla personelu zaangażowanego w przetwarzanie danych, obejmujące m.in. obowiązki personelu przy przetwarzaniu danych osobowych, odpowiedzialność personelu za ochronę danych osobowych, zasady i ograniczenia dotyczące personelu do korzystania z systemów i serwisów (na przykład w celu uniknięcia zakażenia wirusowego lub spamowego).
Naruszenia, związane z danymi osobowymi
Organizacja przygotowała plan reagowania dla usunięcia wszelkich naruszeń, związanych z danymi osobowymi, które mogą wystąpić. IBA rozdzieliła odpowiedzialność za zarządzanie naruszeniami pomiędzy odpowiednich osób i zespołów. Pracownicy organizacji wiedzą, jak przekazać odpowiedniej osobie lub zespołowi w IBA informacje o incydencie, związanym z bezpieczeństwem informacji, aby ustalić, czy doszło do naruszenia.
IBA ustaliła procedurę powiadamiania organu nadzorczego o naruszeniu w ciągu 72 godzin od uzyskania informacji o tym naruszeniu, nawet jeśli pełne szczegóły nie są jeszcze dostępne. Organizacja ustaliła procedurę niezwłocznego informowania poszkodowanych osób fizycznych o naruszeniu, gdy może ono skutkować wysokim ryzykiem naruszenia ich praw i wolności. Inspektorzy do ochrony danych w organizacji nadzorują proces powiadamiania podmiotów danych oraz organów nadzorczych o naruszeniach.
IBA dokumentuje wszystkie naruszenia, nawet jeśli nie wszystkie wymagają zgłoszenia.
Ocena wpływu ochrony danych
IBA, działając jako kontroler, wykonuje DPIA, gdy przetwarzanie danych osobowych wiązałoby się z wysokim ryzykiem dla osób fizycznych.
Organizacja rozważa sensowność przeprowadzenia DPIA w przypadku każdego dużego projektu dotyczącego danych osobowych, wykonywanego przez nią jako kontroler. Jeśli IBA zdecyduje się nie wykonywać DPIA, udokumentuje powody swojej decyzji.
DPIA musi:
- opisać charakter, zakres, kontekst i cele przetwarzania;
- ocenić potrzebę przetwarzania i proporcjonalność do celów;
- identyfikować zagrożenia i ocenić ich poziom dla osób fizycznych;
- ustalić wszelkie środki w celu złagodzenia tych zagrożeń i potwierdzenia zgodności z prawem.
Jeśli organizacja podczas wykonywania DPIA stwierdzi wysokie ryzyko, które nie może złagodzić, przed rozpoczęciem przetwarzania skonsultuje się ona z organem nadzorczym.
Inspektor do Ochrony Danych
IBA nie ma obowiązku wyznaczania DPO, ponieważ nie jest agencją rządową, nie prowadzi monitoringu na dużą skalę i nie przetwarza na dużą skalę szczególnych kategorii danych osobowych, ale zdecydowała się ona zrobić to dobrowolnie. Organizacja rozumie, że w tym przypadku mają zastosowanie te same obowiązki i odpowiedzialność, co i w przypadku obowiązkowego wyznaczenia DPO. IBA wyznacza iDPO w biurze głównym oraz, w stosownych przypadkach, w poszczególnych biurach organizacji.
IBA zleciła swoim DPO monitorowanie zgodności z obowiązującymi przepisami prawa i regulaminami w organizacji, dotyczącymi ochrony danych osobowych, podnoszenie świadomości, szkolenie personelu i audyty związane z ochroną danych osobowych. IBA terminowo angażuje swoich DPO we wszystkie sprawy związane z ochroną danych osobowych.
DPO organizacji informują i doradzają personelowi organizacji, przetwarzającemu dane osobowe, o ich obowiązkach wynikających z przepisów prawa o ochronie danych.
DPO głównego biura podlega bezpośrednio najwyższemu kierownictwu organizacji. DPO innych biur organizacji współdziałają z DPO głównego biura i zdają sprawozdanie kierownictwu swoich organizacji oraz najwyższemu kierownictwu organizacji. Wszyscy DPO mają niezbędną niezależność do wykonywania swoich zadań.
DPO, jako osoby kontaktowe, są łatwo dostępne dla naszych pracowników, osób fizycznych i organów nadzorczych. IBA udostępniła dane kontaktowe swoich DPO i przekazała je organowi nadzorczemu.
Główna podmiot i główny organ nadzorczy
IBA Group a.s. jest głównym podmiotem (main establishment) w organizacji i podejmuje podstawowe decyzje dotyczące celów i sposobów przetwarzania prowadzonych przez organizację jako kontroler. Tym samym organ nadzorczy IBA Group a.s. pełni funkcję wiodącego organu nadzorczego dla przetwarzania transgranicznego prowadzonego przez organizację.
DPO głównego podmiotu pełni funkcję osoby kontaktowej wiodącego dla wiodącego organu nadzorczego w sprawach dotyczących przetwarzania danych osobowych.
Przestrzeganie kodeksów postępowania i systemów certyfikacji
Stowarzyszenia zawodowe i organy przedstawicielskie mogą sporządzać kodeksy postępowania obejmujące takie tematy, jak rzetelne i przejrzyste przetwarzanie, uzasadnione interesy realizowane przez kontrolerów, pseudonimizacja, korzystanie z praw człowieka i inne.
Ponadto organy nadzorcze lub akredytowane jednostki certyfikujące mogą wydawać certyfikaty zgodności z wymogami prawnymi procesów przetwarzania danych.
Przestrzeganie kodeksu postępowania i certyfikacji jest dobrowolne, ale organizacja postrzega go jako doskonały sposób monitorowania i wykazywania przestrzegania wymagań dotyczących ochrony danych osobowych.