Politique de protection des données personnelles chez MDP Engineering Sp. z o.o. Sp. K.
DÉCLARATION
- Le présent document constitue un ensemble de règles et de réglementations en matière de protection des données personnelles au sein de MDP Engineering. Cette Politique est définie au sens du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 24 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ainsi qu’à l’abrogation de la directive 95/46/CE (Règlement général sur la protection des données, ci-après dénommé RGPD).
- Par l’adoption de la présente Politique, MDP Engineering déclare respecter les droits des personnes dont les données sont traitées conformément aux dispositions du RGPD, ainsi que la transparence et l’ouverture des principes de traitement des données.
- La Politique décrit les principes de protection des données personnelles chez MDP Engineering, proportionnels à l’ampleur du traitement de ces données au sein de l’entreprise.
- Principes de responsabilité :
- La mise en œuvre et l’application de la présente Politique sont sous la responsabilité de la direction/commanditaires de MDP Engineering, exerçant la fonction de Responsable du traitement des données (RTD).
- En raison de l’existence de deux commanditaires dans la société, la fonction de RTD implique une action conjointe des deux associés.
- La surveillance du respect des dispositions de la Politique et du RGPD est confiée, à défaut de la nomination d’un Délégué à la protection des données (DPO), à un employé désigné, chargé du suivi de la sécurité des données traitées et du respect des règles de protection des données.
DÉFINITIONS
- Politique : désigne la présente politique de MDP Engineering et les documents qui y sont liés.
- RGPD : désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 24 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ainsi qu’à l’abrogation de la directive 95/46/CE.
- PUODO : Président de l’Autorité de protection des données personnelles, autorité nationale en matière de protection des données.
- Données personnelles : définies selon l’article 4 du RGPD et l’article 9, paragraphe 1 du RGPD.
- Traitement : toute opération ou ensemble d’opérations effectuées sur des données personnelles, de manière automatisée ou non, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation, la consultation, la divulgation, la modification, la récupération, l’association, l’effacement, la destruction, et toute autre opération définie par le RGPD.
- Responsable du traitement (RTD) : personne morale déterminant les finalités et moyens du traitement des données chez MDP Engineering, y compris les co-responsables.
- Sous-traitant : entité traitant des données personnelles pour le compte de MDP Engineering en vertu d’un contrat.
- Délégué à la protection des données (DPO) : employé désigné par la direction de MDP Engineering, chargé de surveiller la conformité du traitement des données personnelles aux dispositions du RGPD et à la présente Politique. Si nommé conformément à l’article 37, paragraphe 1 du RGPD, il est enregistré auprès du PUODO.
- Ensemble de données : ensemble structuré de données personnelles accessibles selon des critères définis, qu’il soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.
- Destinataire : personne physique ou morale, autorité publique, agence ou autre entité à laquelle les données personnelles sont divulguées.
- Incident : événement ayant un impact direct sur la perte d’un niveau défini de sécurité des données, y compris la divulgation illégale, la perte, la modification non autorisée ou la transmission non autorisée de données.
PRINCIPES GÉNÉRAUX DE LA PROTECTION DES DONNÉES PERSONNELLES
Principe de légalité :
- La société veille à la protection des données et les traite conformément à la loi.
Principe de nécessité (adéquation, minimisation) de la portée du traitement :
- Cela signifie que seules les données personnelles qui, au regard des dispositions en vigueur du Code du travail, peuvent être exigées d’un employé lors de l’embauche sont traitées. L’application de ce principe ne porte pas atteinte au droit de l’employé de fournir d’autres données personnelles qu’il estime nécessaires pour exercer ses droits et répondre à ses besoins personnels. La fourniture de ces données est alors également volontaire.
Principe de finalité et de traitement :
- Cela signifie que les données personnelles sont traitées uniquement dans le but de réaliser un objectif légitime prévu par la loi. L’objectif légitime doit être clairement indiqué à l’employé dont les données proviennent, et tout changement ou élargissement de la portée de cet objectif de traitement ne peut être effectué sans en informer clairement l’employé et obtenir son consentement formel pour cette extension ou modification.
Principe de transparence de la politique d’information :
- Cela signifie que la direction de MDP Engineering fait tout son possible pour informer de manière précise l’employé dont les données proviennent de ses droits en vertu des dispositions du RGPD. Dans les documents adressés aux personnes concernées par les données, la base légale générale du traitement ainsi que d’autres informations spécifiées en détail au point IX sont fournies.
Principe de sécurité du traitement des données :
- Il est mis en œuvre par quatre attributs : la confidentialité, l’intégrité, la disponibilité et la responsabilité. Cela signifie que les données sont traitées en tenant compte des mesures de protection organisationnelles et techniques nécessaires, y compris la protection contre la divulgation non autorisée, le traitement illégal, la destruction, l’endommagement, ainsi que l’évaluation des conséquences du traitement pour la protection des données. Cela inclut également la conservation des données uniquement pendant la période exigée par la loi. En matière de gestion des incidents, des procédures sont appliquées pour permettre l’identification, l’évaluation et la notification de la violation identifiée à l’APD.
BASES DU TRAITEMENT
- La base légale du traitement des données personnelles des employés est l’article 6 du RGPD ainsi que la loi du 26 juin 1974, le Code du travail (avec ses modifications ultérieures) :
- Dans le cadre interne juridique de l’entreprise, la base du traitement des données personnelles par un employé est une autorisation nominative délivrée par le responsable du traitement (RTPD), retirée après la cessation de l’emploi ou en raison d’un changement dans le champ des responsabilités.
- Le nombre de personnes autorisées à traiter les données personnelles dans MDP Engineering est limité au strict nécessaire.
- Objectifs du traitement :
- L’objectif du traitement des données personnelles des employés est la réalisation des obligations légales de l’employeur liées à la gestion du processus de recrutement, telles que : le recrutement, l’embauche, la sécurité sociale, le paiement des salaires, la gestion du temps de travail, le calcul de l’ancienneté, la gestion des dossiers du personnel.
- L’objectif du traitement des données personnelles des partenaires commerciaux est la gestion des processus de production réalisés par MDP Engineering, tels que : les approvisionnements, la coopération et la sous-traitance, la vente de produits, les services logistiques.
- Inventaire des ressources :
- Dans le domaine des données personnelles, des ensembles de données ont été identifiés, comprenant les employés de MDP Engineering, les candidats dans le cadre du processus de recrutement et les partenaires commerciaux, ainsi que les données archivées pertinentes pour ces ensembles.
- MDP Engineering confie le traitement des données personnelles des employés en lien avec l’emploi uniquement à un organisme avec lequel un contrat de traitement des données a été signé (Contrat du 25 mai 2018 avec TAX FREE).
- Les données des personnes/candidats dans le cadre du processus de recrutement sont traitées dans un système supervisé par l’entité avec laquelle un contrat de prestation de services informatiques a été signé pour MDP Engineering.
Oto tłumaczenie na francuski:
GESTION DES DROITS DES PERSONNES ET OBLIGATION D’INFORMATION
- Droits :
- Droit à l’information : Cela comprend le droit de la personne concernée par les données à obtenir une information claire et compréhensible sur :
- Les coordonnées de l’administrateur des données et de l’inspecteur à la protection des données, y compris les informations pour les contacter,
- Les destinataires des données,
- Les objectifs du traitement,
- L’intention de transférer des données,
- La période de conservation des données,
- Le droit d’accès à ses propres données,
- Le traitement automatisé et le profilage,
- L’information concernant l’obligation de fournir des données personnelles, lorsqu’elles sont nécessaires à la conclusion d’un contrat ou exigées par la loi, ainsi que les conséquences en cas de non-fourniture de ces données.
- Droit à l’effacement des données (droit à l’oubli)
- Droit de réclamation — Cela inclut la possibilité de déposer une plainte auprès du Président de l’Autorité de protection des données personnelles ou directement auprès du tribunal administratif.
- Droit d’accès à ses propres données
- Droit de rectification des données
- Droit à la limitation du traitement
- Droit à la portabilité des données
- Droit à l’information : Cela comprend le droit de la personne concernée par les données à obtenir une information claire et compréhensible sur :
- Réalisation de l’obligation d’information :
- Dans les documents adressés aux personnes concernées par les données, la base légale du traitement des données doit toujours être indiquée, ainsi que les éléments suivants :
- Les coordonnées de l’administrateur des données et de l’inspecteur à la protection des données ou d’une autre personne désignée pour gérer le processus,
- Information sur le droit de consentir au traitement des données, le droit d’accès à ses données, le droit d’opposition au traitement, le droit à la limitation du traitement, la demande d’effacement des données, la rectification des données, la portabilité des données, ainsi que le droit d’être informé en cas de violation des données,
- Information sur la possibilité d’un prolongement du délai pour répondre à la demande,
- Information sur le but du traitement et son éventuelle modification,
- Information sur la suppression permanente (anonymisation) des données.
Afin de satisfaire à l’obligation d’information et de gérer les demandes concernant l’exercice des droits des personnes concernées, la direction de MDP Engineering, sauf si un inspecteur à la protection des données est désigné, désigne un employé pour effectuer cette tâche en précisant ses responsabilités dans une fiche de description de poste.
MESURES DE PROTECTION DES DONNÉES PERSONNELLES
- L’Administrateur des Données Personnelles est responsable de la mise en œuvre des mesures techniques, organisationnelles et juridiques appropriées pour assurer la sécurité des données. Ces mesures sont révisées et mises à jour si nécessaire. L’étendue des mesures appliquées doit refléter les conclusions de l’analyse et de l’évaluation des risques.
- Mesures organisationnelles, incluant :
- l’élaboration et la mise en œuvre de la présente Politique de Protection,
- la délégation du traitement des données sur la base d’autorisations individuelles,
- les obligations des employés définies dans le Règlement du Travail de MDP Engineering,
- l’application par la direction de MDP Engineering du contrôle du respect du RGPD, y compris le contrôle du sous-traitant et des vérifications ponctuelles des procédures internes de sécurité,
- la nomination d’un Délégué à la Protection des Données avec des missions définies selon l’article 39 du RGPD.
- Mesures techniques et humaines, comprenant :
- la sécurisation des locaux de traitement des données situés au Trakt św. Wojciecha 243C, 80-017 Gdańsk, grâce à un poste de sécurité physique, une vidéosurveillance, un contrôle d’accès à la réception, un zonage du bâtiment via un Système de Contrôle d’Accès (SKD), des fermetures physiques des locaux à clé et un système de protection incendie,
- la sécurisation du système informatique par des identifiants et mots de passe renouvelés périodiquement,
- l’utilisation de systèmes antivirus,
- la gestion des autorisations d’accès à certaines zones et locaux (clés).
- Mesures juridiques :
- Formation sur les dispositions du RGPD, y compris les principes de responsabilité pénale et administrative en cas de violation des règles,
- Formation sur les règles d’accès aux systèmes informatiques, y compris la responsabilité administrative en cas de violation des réglementations internes en matière de sécurité informatique,
- Formation des employés aux procédures à suivre en cas de violation (incident) de protection des données,
- Mise en place d’un contrat juridique de sous-traitance des données, garantissant les droits de l’Administrateur (MDP Engineering) ainsi que la protection des données personnelles traitées, conformément aux exigences du RGPD, signé avec le sous-traitant (TAX FREE).
DONNÉES NON IDENTIFIÉES
- Le traitement des données non identifiées — MDP Engineering identifie les cas où un traitement de données non identifiées peut avoir lieu et met en place des mécanismes garantissant l’exercice intégral des droits des personnes concernées.
PROFILAGE
- MDP Engineering ne procède à aucun profilage des données personnelles de ses employés. Dans le cadre de la supervision du traitement des données confiées à d’autres entités, MDP Engineering garantit la conformité légale du traitement par le biais d’un contrat définissant précisément les droits du sous-traitant en matière de traitement des données.
REGISTRES
- Conformément à l’article 30 du RGPD, l’Entreprise n’a pas l’obligation de tenir un Registre des Activités de Traitement. Toutefois, afin d’identifier d’éventuelles violations, ce registre est tenu par le sous-traitant et, pour les besoins du processus de recrutement, par un employé habilité.
- Le registre des violations (incidents) est tenu pour assurer l’identification, la notification et la gestion des incidents de protection des données.
- Le registre des autorisations de traitement des données personnelles est maintenu afin de garantir la traçabilité et la légalité du traitement.
- D’autres registres que ceux mentionnés dans la présente Politique peuvent être créés en fonction des besoins de documentation. Leur finalité sera précisée ultérieurement dans ce document.
CONTRÔLE
- Le respect des dispositions du RGPD au sein de l’entreprise est supervisé par la direction (Responsable du Traitement des Données – ADO), par l’intermédiaire d’une personne désignée pour exercer la fonction de Délégué à la Protection des Données (DPO). Si aucun DPO n’est nommé, un employé spécifiquement désigné assure ces mêmes missions.
- La supervision du respect des termes du contrat de sous-traitance des données est assurée par la direction (ADO) ou, sur la base d’une autorisation nominative, par le Délégué à la Protection des Données ou toute autre personne désignée.
- Les contrôles et vérifications effectués par le Délégué à la Protection des Données sont documentés par écrit.
DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPO)
- Si un Délégué à la Protection des Données (DPO) a été nommé conformément à l’article 37, paragraphe 4 du RGPD, il relève directement de l’Administrateur des Données Personnelles (ADO) et agit de manière indépendante dans l’exécution de ses missions.
- Si aucun DPO n’a été désigné en vertu de l’article 37, paragraphe 4 du RGPD, mais que l’ADO a confié ces fonctions à un autre employé, les tâches attribuées à cet employé doivent être définies sur la base du catalogue des missions du DPO énumérées à l’article 39, paragraphe 1 du RGPD.
- L’ADO et le sous-traitant soutiennent le DPO dans l’exercice de ses fonctions en lui garantissant l’accès aux données et aux opérations de traitement.
- Le DPO est la personne de contact désignée pour toutes les personnes dont les données sont traitées par MDP Engineering.
- Missions du DPO :
- Informer l’ADO et les employés des obligations liées au traitement des données conformément au RGPD,
- Recommander des solutions organisationnelles, techniques et juridiques et fournir des conseils en matière de protection des données au sein de l’entreprise,
- Surveiller le respect des dispositions du RGPD, notamment en formant le personnel,
- Fournir des informations et des explications sur demande aux personnes concernées,
- Collaborer avec l’Autorité Polonaise de Protection des Données (PUODO) ainsi qu’avec d’autres autorités compétentes.
INCIDENTS
- Chaque employé de MDP Engineering est tenu de signaler à l’Administrateur des Données Personnelles (ADO) tout incident détecté. L’ADO et le Délégué à la Protection des Données (DPO) agissant en son nom prennent immédiatement les mesures nécessaires pour identifier l’incident et prévenir ses conséquences négatives sur la sécurité des données.
DISPOSITIONS FINALES
- La présente Politique entre en vigueur à compter de la date de sa signature.
- Ce document est destiné à un usage interne.
- La Politique est disponible sous forme électronique ou papier pour tous les employés de MDP Engineering.
- La Politique et les documents connexes sont mis à jour en continu, notamment en cas d’événements ayant un impact direct sur la sécurité des données personnelles traitées.
- La responsabilité de la mise à jour de la Politique incombe au Délégué à la Protection des Données (DPO) ou à un autre employé désigné pour remplir cette fonction.
En cas de divergences ou de litiges, seule la version polonaise de ce document sera considérée comme juridiquement contraignante et valable devant les tribunaux.