Wytyczne dotyczące ochrony danych
1 Wstęp
Ochrona danych osobowych jest ważnym zagadnieniem w naszym przedsiębiorstwie. Dlatego też dane osobowe pracowników, klientów, partnerów handlowych, usługodawców, organów publicznych i innych osób trzecich przetwarzamy wyłącznie zgodnie z obowiązującymi przepisami prawa dotyczącymi ochrony danych osobowych i bezpieczeństwa danych.
W celu podkreślenia wagi tego zadania kierownictwo przyjmuje niniejszym poniższe wytyczne dotyczące ochrony danych osobowych, aby obowiązywały w naszym przedsiębiorstwie. Niniejsze wytyczne mają na celu przedstawienie w przejrzystej formie organizacji, zakresu odpowiedzialności i celów ochrony danych w naszym przedsiębiorstwie.
2 Zakres obwiązywania
Niniejsze wytyczne obowiązują w całej spółce TECHNE KIROW GmbH i obejmują wszystkie obecne i przyszłe lokalizacje przedsiębiorstwa. Są skierowane do wszystkich obecnych i przyszłych pracowników firmy. Niniejsze wytyczne zobowiązują wszystkich pracowników do przestrzegania określonych w nich przepisów i obowiązków na własną odpowiedzialność oraz do wypełniania obowiązków związanych z zakresem odpowiedzialności ciążącym na pracownikach.
3 Organizacja ochrony danych
Ogólna odpowiedzialność za ochronę danych i przetwarzanie danych osobowych spoczywa na kierownictwie przedsiębiorstwa. Kierownictwo zapewnia wystarczające zasoby czasowe, finansowe i kadrowe, aby spełnić wymagania przepisów o ochronie danych.
Powyższe obejmuje wyznaczenie inspektora ochrony danych w przedsiębiorstwie. Inspektor ochrony danych wykonuje zadania zgodnie z art. 39 RODO oraz doradza kierownictwu i pracownikom zaangażowanym w planowanie i wdrażanie w przedsiębiorstwie procesów ochrony danych i procesów zgodnych z ochroną danych.
Należy dopilnować, aby inspektor ochrony danych był angażowany na wczesnym etapie planowania i wprowadzania nowych procesów, w których przetwarzane są również dane osobowe. To samo dotyczy zmian w istniejących procesach.
Inspektorowi ochrony danych przydzielono osobę do bezpośrednich kontaktów jako koordynatora ds. ochrony danych. Osoba ta kieruje zespołem ds. ochrony danych, który działa jako pierwszy punkt kontaktowy w przypadku problemów związanych z ochroną danych oraz wewnętrznie towarzyszy, wspiera i promuje planowanie, wdrażanie i ocenę systemu ochrony danych. Inspektor ochrony danych doradza zespołowi ds. ochrony danych i na życzenie uczestniczy w jego spotkaniach.
4 Zakres odpowiedzialności
4.1 Kierownictwo przedsiębiorstwa
Kierownictwo przedsiębiorstwa ponosi ogólną odpowiedzialność za ochronę danych w przedsiębiorstwie. Zapewnia dostępność wystarczających zasobów czasowych, finansowych i ludzkich. Ponadto upoważnia członków zespołu ds. ochrony danych do planowania i - po konsultacji - wdrażania odpowiednich środków w celu osiągnięcia, utrzymania i poprawy poziomu ochrony danych.
4.2 Inspektor ochrony danych
Inspektor ochrony danych jest osobą kontaktową w zakresie ochrony danych w przedsiębiorstwie. Wykonuje on swoje obowiązki zgodnie z art. 39 RODO oraz doradza, monitoruje i wspiera kierownictwo przedsiębiorstwa, zespół ds. ochrony danych i pracowników w zakresie przetwarzania danych osobowych w przedsiębiorstwie.
4.3 Koordynator ds. ochrony danych
Koordynator ds. ochrony danych działa jako główna osoba kontaktowa dla inspektora ochrony danych i przewodniczy zespołowi ds. ochrony danych.
4.4 Zespół ds. ochrony danych
Zespół ds. ochrony danych jest pierwszym punktem kontaktowym w sprawach dotyczących ochrony danych. Doradza on pracownikom w kwestiach ochrony danych i odpowiada na pytania osób, których dane dotyczą. W tym celu korzysta z pomocy inspektora ochrony danych.
Ponadto zespół ds. ochrony danych zajmuje się planowaniem, koordynacją, wdrażaniem i oceną ochrony danych w przedsiębiorstwie oraz podejmuje odpowiednie działania. Zespół spotyka się z inspektorem ochrony danych w regularnych odstępach czasu, aby zapewnić proces ciągłego doskonalenia.
4.5 Wszyscy pracownicy
Każdy pracownik samodzielnie przyczynia się do zapewnienia ochrony danych w przedsiębiorstwie pracując w sposób zgodny z zasadami ochrony danych. Wszyscy pracownicy są przy tym zobowiązani do przestrzegania i stosowania się do niniejszych wytycznych oraz innych wytycznych dotyczących ochrony danych. W przypadku pytań lub wątpliwości dotyczących poszczególnych punktów, pracownicy powinni zwrócić się o poradę do zespołu ds. ochrony danych. Dla pracowników o specjalnych zadaniach wymienionych poniżej obowiązują również określone tam przepisy.
W przypadku jakichkolwiek niejasności lub wątpliwości co do zgodności z prawem poszczególnych operacji przetwarzania, w szczególności w odniesieniu do przekazywania lub ujawniania danych, przed przystąpieniem do przetwarzania należy poinformować zespół ds. ochrony danych lub inspektora ochrony danych i zasięgnąć ich rady.
W przypadku stwierdzenia oczywistych lub przynajmniej ewentualnych naruszeń ochrony danych w codziennej pracy, każdy pracownik jest zobowiązany do niezwłocznego i bezpośredniego zgłoszenia tych incydentów oraz innych zakłóceń w przetwarzaniu danych zespołowi ds. ochrony danych.
4.6 Kierownik działu IT
Kierownik działu IT zapewnia bezpieczeństwo elektronicznego przetwarzania danych poprzez planowanie, pozyskiwanie, wdrażanie i monitorowanie odpowiednich technicznych środków ochrony. W tym celu kierownictwo zapewnia niezbędny budżet. Kierownik działu IT wraz z inspektorem ochrony danych koordynuje środki, które mają wpływ na bezpieczeństwo przetwarzania danych i zapewnia wystarczającą dokumentację istniejących środków ochronnych.
4.7 Administratorzy
Administratorzy w porozumieniu z kierownikiem działu IT realizują działania techniczne, dokumentują je i proponując ulepszenia przyczyniają się do optymalizacji bezpieczeństwa przetwarzania danych i ochrony danych.
4.8 Przełożeni odpowiedzialni za personel
Przełożeni odpowiedzialni za personel zapewniają, że osoby pracujące w ich obszarze odpowiedzialności są odpowiednio informowane o kwestiach ochrony danych i pracy zgodnej z ochroną danych, które ich dotyczą, oraz są zobowiązani do zachowania ochrony i poufności danych. Ponadto podejmują działania umożliwiające osobom pracującym w ich obszarze odpowiedzialności pracę zgodną z zasadami ochrony danych.
4.9 Kierownicy projektów lub procesów lub kierownicy działów
Kierownicy projektów lub procesów albo kierownicy działów muszą angażować inspektora ochrony danych na wczesnym etapie planowania projektów mających wpływ na przetwarzanie danych osobowych, aby zapewnić przestrzeganie przepisów o ochronie danych.
W przypadku udzielania zleceń zewnętrznym usługodawcom lub dostawcom kierownicy projektów lub procesów albo kierownicy działów są zobowiązani do ich starannego wyboru pod kątem ochrony danych. Udzielając zlecenia należy sprawdzić czy dochodzi do przetwarzania danych i w razie potrzeby, należy zawrzeć odpowiednią umowę o przetwarzaniu. Nawet jeśli nie mamy do czynienia z przetwarzaniem danych, w umowie muszą znaleźć się regulacje dotyczące ochrony danych i poufności. Dokonując tego typu kontroli można skorzystać z pomocy zespołu ds. ochrony danych.
4.10 Dostawcy, zewnętrzni usługodawcy i inni podwykonawcy
Na mocy odrębnych umów dostawcy, zewnętrzni usługodawcy i inni podwykonawcy są zobowiązani do przestrzegania i odpowiedniego dokumentowania przestrzegania wymogów w zakresie ochrony danych, którym podlegają. Jeżeli przetwarzają oni dane w imieniu kierownictwa przedsiębiorstwa (przetwarzanie zlecone), przed zleceniem musi zostać zawarta umowa o zlecenie przetwarzania danych.
4.11 Najemcy lokali na terenie przedsiębiorstwa
Z najemcami lokali znajdujących się na terenie przedsiębiorstwa należy zawrzeć umowy o ochronie danych i zachowaniu poufności.
5 Zasady przetwarzania danych osobowych
Celem niniejszych wytycznych jest zapewnienie ochrony danych w przedsiębiorstwie. W tym celu podczas planowania, wprowadzania i w trakcie realizacji procesów przedsiębiorstwo uwzględnia w przetwarzaniu danych poniższe zasady.
5.1 Legalność
Podczas przetwarzania danych osobowych należy w jak największym stopniu przestrzegać podstawowych praw i wolności osób, których dane dotyczą. Dane osobowe mogą być zatem gromadzone i przetwarzane wyłącznie w sposób zgodny z prawem, tzn. wyłącznie wtedy, gdy istnieje wyraźna podstawa prawna.
5.2 Cele przetwarzania
Przetwarzanie danych osobowych może odbywać się wyłącznie do celów, które zostały ustalone i udokumentowane przed pozyskaniem danych. Cele te muszą odpowiadać rozsądnym oczekiwaniom osób, których dane dotyczą, w odniesieniu do odpowiedniej czynności przetwarzania. Późniejsze zmiany celów zasadniczo nie są przewidywane. Jeżeli w poszczególnych przypadkach zaistnieje potrzeba zmiany celu, jest to możliwe jedynie w ograniczonym zakresie i wymaga udokumentowanego rozważenia interesów po konsultacji z inspektorem ochrony danych oraz zatwierdzenia przez kierownictwo.
5.3 Transparentność
Osoby, których dane dotyczą, muszą być informowane o planowanych działaniach związanych z przetwarzaniem na wczesnym etapie. Osoby, których dane dotyczą muszą w momencie gromadzenia danych być w stanie rozpoznać przynajmniej następujące informacje lub zostać o nich odpowiednio poinformowane:
- tożsamość podmiotu odpowiedzialnego, tj. naszego przedsiębiorstwa
- dane kontaktowe inspektora ochrony danych
- cel i podstawa prawna przetwarzania danych
- planowani odbiorcy danych, w szczególności gdy dane mają być przekazane do państwa trzeciego
Ponadto dane osobowe muszą być zawsze gromadzone bezpośrednio od osób, których dane dotyczą. W miarę możliwości należy unikać pozyskiwania danych od osób trzecich.
5.4 Unikanie pozyskiwania danych i oszczędne zarządzanie danymi
Przed zebraniem danych osobowych należy zawsze sprawdzić, czy i w jakim zakresie są one niezbędne do osiągnięcia celu przetwarzania. Gromadzone i przechowywane mogą być tylko te dane, które zostały określone jako niezbędne. Wszystkie inne dane nie mogą być posykiwanie. Ponadto, dane osobowe nie mogą być przechowywane dla potencjalnych przyszłych celów, chyba że jest to wymagane lub dozwolone przez prawo krajowe.
Dostęp do przechowywanych danych osobowych powinien być udzielany tylko tym pracownikom, którzy stale potrzebują ich do wykonywania powierzonych im zadań służbowych. Konieczność dalszego istnienia upoważnień do dostępu jest na bieżąco kontrolowana.
5.5 Usuwanie
Dane osobowe mogą być przechowywane tylko do momentu osiągnięcia celu ich gromadzenia i przetwarzania, a żadne bezwzględnie obowiązujące przepisy prawa nie zabraniają ich usunięcia. Po upływie ustawowych lub związanych z procesem biznesowym okresów przechowywania danych lub na wniosek osób, których dane dotyczą, dane te muszą zostać niezwłocznie usunięte lub zniszczone. Podczas usuwania lub niszczenia danych należy zadbać o zastosowanie bezpiecznych środków niszczenia odpowiednich dla ochrony danych.
Jeżeli w konkretnym przypadku istnieją przesłanki, że nasze przedsiębiorstwo może mieć słuszny interes w przechowywaniu danych, dane te należy przechowywać w oddzielnym obszarze poza aktywnym dostępem użytkowników do momentu sprawdzenia słuszności tego interesu lub wyjaśnienia kwestii prawnych.
5.6 Poprawność i aktualność danych
Dane osobowe muszą być zawsze poprawne, kompletne i aktualne. Dlatego należy podjąć odpowiednie środki w celu zapewnienia, że niepoprawne, niekompletne lub nieaktualne dane zostaną usunięte, poprawione, uzupełnione lub zaktualizowane.
5.7 Poufność i bezpieczeństwo danych
Podczas przetwarzania danych osobowych szczególnie ważne jest zachowanie poufności i integralności danych. Dlatego też dane osobowe muszą być traktowane w sposób poufny w codziennym wykorzystywaniu i muszą być zabezpieczone za pomocą odpowiednich środków organizacyjnych i technicznych przed nieuprawnionym dostępem, bezprawnym przetwarzaniem lub ujawnieniem, jak również przypadkową utratą, zmianą lub zniszczeniem.
Przy konkretnym wdrażaniu celów podjęte środki ochronne muszą pozostawać w ekonomicznie uzasadnionej proporcji do potrzeby ochrony przetwarzanych danych i informacji.
6 Sankcje
Naruszenie niniejszych wytycznych może stanowić naruszenie obowiązków pracowniczych i podlegać odpowiednim sankcjom.
Dla dostawców, zewnętrznych usługodawców i innych wykonawców należy uzgodnić umowne regulacje dotyczące kar w przypadku wystąpienia szczególnych zagrożeń.
Stoisko 11/2021