Polityka Ochrony Danych Osobowych w MDP Engineering Sp. z o.o. Sp. K.

 

DEKLARACJA

  1. Niniejszy dokument stanowi ramowy zbiór zasad i regulacji w sprawach ochrony danych osobowych w MDP Engineering. Niniejsza Polityka jest polityka w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 20t6/679 z dnia 24.04.2016r w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych) zwanym dalej RODO.
  2. Przez przyjęcie niniejszej Polityki MDP Engineering deklaruje przestrzeganie uprawnień osób których przetwarzane dane dotyczą wynikających z przepisów RODO oraz transparentności i otwartości zasad przetwarzania danych.
  3. Polityka zawiera opis zasad ochrony danych osobowych w MDP Engineering proporcjonalny do wielkości przetwarzania tych danych w firmie.
  4. Zasady odpowiedzialności:
  5. Za wdrożenie i utrzymanie stosowania niniejszej Polityki odpowiedzialni są Zarząd/Komandytariusze MDP Engineering, pełniący funkcję ADO,
  6. Z uwagi na istnienie dwóch komandytariuszy spółki, funkcja ADO stanowi zgodne działanie obu wspólników,
  7. Za monitorowanie przestrzegania postanowień Polityki oraz przepisów RODO odpowiedzialny jest, o ile nie powołano inspektora ochrony – wyznaczony pracownik, pełniący funkcje monitorowania   bezpieczeństwa   przetwarzanych   danych i przestrzegania przepisów o ochronie danych.

 

DEFINICJE

  1. Polityka  oznacza  niniejsza  politykę  Firmy  MDP Engineering  wraz z dokumentami powiązanymi.
  2. RODO  oznacza  Rozporządzenie  Parlamentu  Europejskiego i Rady (UE) 2016/679 z dnia 24.04.2016r  w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
  3. PUODO — Prezes Urzędu Ochrony Danych Osobowych- nadrzędny, krajowy organ ochrony danych.
  4. Dane osobowe — dane wg definicji art. 4 RODO oraz wg definicji art. 9 ust 1 RODO.
  5. Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych w sposób zautomatyzowany lub niezautomatyzowany takich jak: zbieranie, utrwalanie, porządkowanie, organizowanie, przechowywanie, adaptowanie, przeglądanie, ujawnianie poprzez przesłanie, modyfikowanie, pobieranie, dopasowywanie, niszczenie i inne objęte definicją RODO.
  6. Administrator danych (ADO) osoba prawna ustalająca cele i sposoby przetwarzania danych w MDP Engineering, także współadministrator.
  7. Procesor — oznacza podmiot przetwarzający, któremu MDP Engineering powierzyła w drodze umowy powierzenia przetwarzanie danych osobowych.
  8. Inspektor Ochrony Danych — wyznaczony przez kierownictwo MDP Engineering pracownik odpowiedzialny za monitorowanie zgodności przetwarzania danych osobowych w MDP Engineering z przepisami RODO oraz niniejszej Polityki. O ile zostaje wyznaczony w trybie art. 37 ust 1 RODO jako IODO podlega zgłoszeniu do Prezesa Urzędu Ochrony Danych Osobowych.
  9. Zbiór danych — uporządkowany zestaw danych osobowych dostępnych wg. określonych kryteriów, niezależnie od tego czy jest scentralizowany, zdecentralizowany, rozproszony funkcjonalnie lub geograficznie.
  10. Odbiorca — osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe.
  11. Incydent- zdarzenie mające bezpośredni wpływ na utratę określonego poziomu bezpieczeństwa danych, w szczególności bezprawne ujawnienie, utrata, nieuprawniona modyfikacja, nieuprawnione przekazanie danych.

 

ZASADY OGÓLNE OCHRONY DANYCH OSOBOWYCH

  1. Zasada  legalności:
    • Spółka  dba  o  ochronę  danych i przetwarza je zgodnie z prawem.
  2. Zasada niezbędności (adekwatności, minimalizacji) zakresu przetwarzania:
    • oznacza, iż przetwarzane są wyłącznie te dane osobowe, które w świetle obowiązujących przepisów Kodeksu Pracy mogą być wymagane od pracownika przy zatrudnieniu. Stosowanie powyższej zasady nie narusza prawa pracownika do podania pracodawcy innych danych osobowych, których podanie uzna za niezbędne dla realizacji swoich praw i potrzeb osobistych. Podanie tych danych ma wówczas także charakter dobrowolny.
  3. Zasada celowości i przetwarzania:
    • oznacza, iż dane osobowe przetwarzane są wyłącznie dla realizacji prawnie uzasadnionego celu. Prawnie uzasadniony cel musi być wskazany pracownikowi od którego dane pochodzą a zmiana lub rozszerzenie zakresu celu przetwarzania nie może odbyć się bez wyraźnego poinformowania pracownika i uzyskania jego zgody formalnej na przedmiotowe rozszerzenie lub zmianę.
  4. Zasada stosowania przejrzystej polityki informacyjnej:
    • oznacza, iż zarząd MDP Engineering dokłada wszelkich starań, aby pracownik od którego dane pochodzą był rzetelnie poinformowany o swoich prawach wynikających z przepisów RODO. W dokumentach kierowanych do osób których dane dotyczą podaje się ogólna podstawę prawną przetwarzania oraz inne informacje o których mówi szczegółowo pkt IX.
  5. Zasada bezpieczeństwa przetwarzania danych:
    • realizowana jest poprzez 4 atrybuty: poufności, integralności, dostępności i rozliczalności. Oznacza przetwarzanie danych z zachowaniem wymaganych analizą (oceną) ryzyka organizacyjnych i technicznych środków ochrony w tym ochronę przed nieuprawnionym udostępnieniem, niedozwolonym przetwarzaniem, zniszczeniem, uszkodzeniem a także ocenę skutków przetwarzania dla ochrony danych. Oznacza także przechowywanie danych tylko przez okres wymagany przepisami prawa. W zakresie zarzadzania incydentami stosuje się procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia do PUODO.

 

PODSTAWY PRZETWARZANIA

  1. Podstawą prawną przetwarzania danych osobowych pracowników jest art. 6 RODO oraz ustawa z dnia 26 czerwca 1974 Kodeks pracy/z późniejszymi zmianami/:
    • W wewnętrznym obiegu prawnym firmy podstawą przetwarzania danych osobowych przez pracownika jest imienne upoważnienie wydawane przez ADO, wycofywane po ustaniu zatrudnienia lub w związku ze zmianą zakresu obowiązków.
    • Liczba osób upoważnionych do przetwarzania danych osobowych w MDP Engineering jest ograniczona do niezbędnego minimum
  2. Cele przetwarzania:
    • Celem przetwarzania danych osobowych pracowników jest realizacja ustawowych obowiązków pracodawcy związanych z obsługa procesu zatrudnienia takich jak, rekrutacja, zatrudnianie, ubezpieczenia społeczne, wypłacanie wynagrodzeń, rozliczanie czasu pracy, naliczanie wysługi, prowadzenie akt osobowych.
    • Celem przetwarzania danych osobowych kontrahentów jest obsługa procesów produkcji realizowanego przez MDP Engineering takich jak: zaopatrzenie, kooperacja i podwykonawstwo, zbycie produktów, usługi logistyczne.
  3. Inwentaryzacja zasobów:
    • W obszarze danych osobowych zidentyfikowane zostały zbiory danych obejmujące pracowników zatrudnionych w MDP Engineering, kandydatów w procesie rekrutacji pracowników oraz kontrahentów i właściwe dla tych zbiorów dane archiwalne.
  4. MDP Engineering powierza przetwarzania danych osobowych pracowników w związku z zatrudnieniem wyłącznie podmiotowi z którym podpisana została umowa powierzenia przetwarzania danych. (Umowa z dnia 25 maja 2018 z TAX FREE)
  5. Dane osób/kandydatów w procesie rekrutacji przetwarzane są w systemie nadzorowanym przez podmiot z którym została podpisana umowa na świadczenie usług informatycznych dla MDP Engineering.

 

OBSŁUGA PRAW OSÓB I OBOWIĄZKU INFORMACYJNEGO

    1. Prawa:
      • Prawo do informacji- obejmuje prawo osoby której dane dotyczą do uzyskania czytelnej i zrozumiałej informacji o:
        • danych administratora oraz inspektora ochrony w tym danych do kontaktu,
        • odbiorcach danych,
        • celach przetwarzania,
        • zamiarze przekazywania danych,
        • okresie przechowywania danych,
        • żądania dostępu do swoich danych,
        • zautomatyzowanym przetwarzaniu i profilowaniu,
        •  informacji o tym czy podanie danych osobowych jest konieczne jako wymóg ustawowy zawarcia umowy oraz konsekwencji ich nie podania,
      • Prawo do usunięcia danych (bycia zapomnianym)
      • Prawo do skargi — obejmuje możliwość złożenia skargi do Prezesa Urzędu ochrony danych Osobowych lub bezpośrednio do sądu administracyjnego,
      • Prawo dostępu do swoich danych,
      • Prawo do sprostowania danych,
      • Prawo do ograniczenia przetwarzania,Prawo do przenoszenia danych.
    2. Realizacja obowiązku informacyjnego:

W dokumentach kierowanych do osób których dane dotyczą umieszcza się każdorazowo podstawę prawną czynności przetwarzania a ponadto:

  • dane administratora oraz inspektora ochrony lub innej osoby wyznaczonej do obsługi procesu,
  • pouczenie o prawie do wyrażenia zgody na przetwarzanie, prawie dostępu do swoich danych, prawie sprzeciwu wobec przetwarzania, prawie ograniczenia przetwarzania, wnioskowania o usunięcie danych, sprostowania danych, przeniesienia danych, prawie do informacji o naruszeniu ochrony danych,
  • informację o ewentualnym przedłużeniu terminu realizacji wniosku,
  • informacje o celu przetwarzani i jego zmianie,
  • informacje o trwałym usunięciu (anonimizacji) danych

Do realizacji obowiązku informacyjnego i obsługi wniosków dotyczących realizacji praw osób których dane dotyczą zarząd MDP Engineering o ile nie jest powołany inspektor ochrony wyznacza pracownika określając jego zadania w karcie zakresu czynności

 

ŚRODKI OCHRONY DANYCH OSOBOWYCH

  1. Administrator Danych Osobowych odpowiedzialny jest za wdrażanie odpowiednich dla zabezpieczenia danych środków technicznych, organizacyjnych i prawnych. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Zakres zastosowanych środków powinien odzwierciedlać wnioski z analizy i oceny ryzyka.
  2. Środki organizacyjne które obejmują:
    • opracowanie i wdrożenie niniejszej Polityki Ochrony,
    • powierzanie przetwarzania w trybie indywidualnych upoważnień,
    • obowiązki pracowników zapisane w Regulaminie Pracy MDP Engineering,
    • stosowanie przez kierownictwo MDP Engineering kontroli przestrzegania przepisów RODO w tym kontroli pomiotu Procesora oraz sprawdzenia doraźne wewnętrznych procedur bezpieczeństwa,
    • powołaniu inspektora ochrony danych z zadaniami wg zakresu art. 39 RODO,
  3. Środki techniczno-osobowe obejmują:
    • zabezpieczenia obiektów przetwarzania przy ul. Trakt św. Wojciecha 243C, 80-017 Gdańsk, w postaci stanowiska ochrony fizycznej, monitoringu wizyjnego, stanowiska kontroli recepcyjnej, podziału budynku na strefy SKD (Systemu Kontroli Dostępu), zamknięć fizycznych pomieszczeń na klucze oraz systemu ochrony ppoż.,
    • zabezpieczenia systemu informatycznego w postaci loginów i haseł dostępu zmienianych cyklicznie,
    • zastosowanych systemów antywirusowych,
    • zastosowanych upoważnień do dostępu do określonych stref i pomieszczeń (klucze).,
  4. Środki prawne:
    • Przeszkolenie z zakresu przepisów RODO w tym z zasad odpowiedzialności karnej i służbowej za naruszenie przepisów RODO,
    • Przeszkolenie z zasad dostępu do systemów informatycznych w tym zasad odpowiedzialności służbowej za naruszenie przepisów wewnętrznych dotyczących bezpieczeństwa teleinformatycznego,
    • Przeszkolenie pracowników z zasad postępowania w przypadku naruszenia (incydentu) ochrony danych,
    • Wdrożeniu umowy prawnej o powierzenie przetwarzania danych, zabezpieczającej prawa Administratora (MDP Engineering) oraz zabezpieczającej przetwarzane dane osobowe zgodnie z wymogami RODO, podpisanej z procesorem (TAX FREE) .

 

DANE NIEZIDENTYFIKOWANE

  • Postępowanie  z danymi niezidentyfikowanymi — MDP Engineering identyfikuje przypadki w których może wystąpić przetwarzanie danych niezidentyfikowanych i utrzymuje mechanizmy realizacji praw osób których dane te dotyczą w pełnym zakresie.

PROFILOWANIE

  • MDP Engineering nie stosuje profilowania przetwarzanych danych osobowych pracowników. W zakresie nadzoru nad przetwarzaniem powierzonym innym podmiotom MDP Engineering zastrzega zgodność przetwarzania z prawem w drodze umowy określającej szczegółowo prawa procesora do form przetwarzania.

 

REJESTRY

  1. Zgodnie z art. 30 RODO Spółka nie ma obowiązku prowadzenia Rejestru Czynności Przetwarzania, Jednakże dla potrzeb identyfikacji ew. naruszeń rejestr taki jest prowadzony przez procesora a dla potrzeb obsługi procesu rekrutacji przez upoważnionego pracownika.
  2. Rejestr naruszeń (incydentów) prowadzony jest w celu obsługi procesu identyfikowania, powiadamiania i zarzadzania incydentami.
  3. Rejestr wydanych upoważnień do przetwarzania danych osobowych prowadzony jest w celu zachowania rozliczalności i legalności przetwarzania.
  4. W zależności od potrzeb dokumentowania mogą być tworzone inne niż wymienione w Polityce rejestry, których przeznaczenie zostanie następnie określone w niniejszym dokumencie.

 

KONTROLA

  1. Kontrolę nad przestrzeganiem przepisów RODO w firmie sprawuje zarząd (ADO), poprzez osobę wyznaczoną do pełnienia funkcji Inspektora ochrony, a w przypadku gdy inspektor nie jest powołany, wyznaczony imiennie pracownik wykonujący tożsame zadania.
  2. Kontrolę nad przestrzeganiem postanowień umowy o powierzenie przetwarzania sprawuje zarząd (ADO) lub na podstawie imiennego upoważnienia Inspektor ochrony lub inna wyznaczona osoba.
  3. Kontrole i sprawdzenia wykonane przez Inspektora ochrony są dokumentowane w formie pisemnej.

 

INSPEKTOR OCHRONY

  1. Inspektor ochrony, o ile został powołany w trybie art. 37 ust 4 RODO podlega bezpośrednio ADO i jest niezależny w zakresie wypełnianych przez niego zadań.
  2. W przypadku, gdy inspektor ochrony nie został powołany w trybie art. 37 ust 4 RODO a ADO wyznaczył do pełnienia tożsamych funkcji innego pracownika , należy określić wyznaczonemu pracownikowi zakres zadań z katalogu zadań inspektora umieszczonych w art. 39 ust 1 RODO.
  3. Zarówno ADO jak i procesor wspierają inspektora w wypełniania przez niego zadań, zapewniając mu dostęp do danych i operacji przetwarzania.
  4. inspektor ochrony jest wyznaczoną osobą kontaktową dla wszystkich osób których dane są przetwarzane przez MDP Engineering i których dane dotyczą.
  5. Zadania Inspektora ochrony:
    1. Informowanie ADO oraz pracowników o obowiązkach wynikających z przetwarzania danych w oparciu o przepisy RODO,
    2. Rekomendowanie rozwiązań organizacyjnych , technicznych i prawnych oraz doradztwo w zakresie ochrony danych w firmie,
    3. Monitorowanie przestrzegania przepisów RODO, w tym szkolenie personelu
    4. Udzielanie informacji i wyjaśnień na żądanie
    5. stron których dane dotyczą,
    6. Współpraca z organami PUODO oraz innymi organami.

 

INCYDENTY

  1. Każdy pracownik MDP Engineering ma obowiązek zgłoszenia ADO ujawnionego incydentu. ADO oraz działający w jego imieniu Inspektor ochrony podejmują niezwłoczne działania na rzecz identyfikacji incydentu oraz zapobieżenia jego negatywnym skutkom dla bezpieczeństwa danych.

 

POSTANOWIENIA KOŃCOWE

  1. Polityka zostaje wdrożona z dniem podpisania.
  2. Polityka ma charakter dokumentu do użytku służbowego.
  3. Dokument Polityki jest dostępny w formie elektronicznej lub pisemnej dla wszystkich pracowników MDP Engineering.
  4. Polityka i dokumenty powiązane są na bieżąco aktualizowane, w szczególności w następstwie zdarzeń mających bezpośredni wpływ na bezpieczeństwo przetwarzanych danych osobowych.
  5. Za bieżące aktualizowanie Polityki odpowiedzialny jest Inspektor ochrony lub inny pracownik wyznaczony do pełnienia tożsamej funkcji.