Polityka ochrony danych osobowych
wraz z
Rejestrem czynności przetwarzania
i
Rejestrem kategorii czynności przetwarzania
w
ZREW Transformatory spółka akcyjna
ul. Rokicińska 144
92-412 Łódź
Spis treści
1. Wyjaśnienia terminów użytych w dokumencie (na podstawie art. 4 i n. RODO)
2. Informacje ogólne.
3. Zakres informacji objętych dokumentem oraz zakres zastosowania.
4. Interpretacja postanowień Polityki oraz zasada maksymalnego poziomu bezpieczeństwa danych.
5. Prowadzenie Polityki wraz z Rejestrem Czynności i Rejestrem Kategorii.
6. Sposób aktualizacji oraz przeglądania Polityki.
7. Metody zapoznawania się z Polityką.
8. Główne obszary, w których przetwarzane są Dane.
9. Dokumentacja przetwarzania Danych.
9.1. Upoważnienia do przetwarzania Danych i zasady ich nadawania.
9.2. Ewidencja upoważnień do przetwarzania Danych.
9.3. Umowy powierzenia Danych do przetwarzania.
9.4. Zgody na przetwarzanie Danych.
9.5. Obowiązek informacyjny ADO.
9.6. Procedura stosowania DPIA.
9.7. Polityka czystego biurka.
9.8. Polityka retencji danych.
9.9. Rejestr incydentów.
10. Realizacja przez ADO praw osób, których Dane dotyczą.
11. Rejestr Czynności.
12. Rejestr Kategorii.
1.Wyjaśnienia terminów użytych w dokumencie (na podstawie art. 4 i n. RODO)
1.1. „administrator danych osobowych” (ADO) podmiot (odpowiednio organ, jednostka organizacyjna, osoba fizyczna), który decyduje o celach i środkach przetwarzania Danych;
1.2. „Procesor” osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza Dane w imieniu ADO;
1.3. „dane osobowe” (Dane) oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
1.4. „Data Protection Impact Assessment” (DPIA) ocena skutków planowanych operacji przetwarzania dla ochrony Danych, której dokonuje ADO jeżeli dany rodzaj przetwarzania (w szczególności z użyciem nowych technologii) ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych;
1.5. „Europejski Obszar Gospodarczy” (EOG) Państwa Unii Europejskiej oraz Islandia, Norwegia i Liechtenstein;
1.6. „hasło” ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym;
1.7. „identyfikator użytkownika” ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania Danych w systemie informatycznym;
1.8. „Inspektor Ochrony Danych” (IOD) powołana przez ADO osoba fizyczna, w uproszczeniu zobowiązana do zapewniania przestrzegania przepisów o ochronie Danych zgodnie z rozdziałem IV pkt. 4 RODO;
1.9. „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się Dane niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać Dane w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych Danych przez te organy publiczne musi być zgodne z przepisami o ochronie Danych mającymi zastosowanie stosownie do celów przetwarzania;
1.10. „państwo trzecie” państwo nienależące do EOG;
1.11. „poufność danych” właściwość zapewniającą, że Dane nie są udostępniane nieupoważnionym podmiotom w rozumieniu art. 5 ust. 1 lit. f) RODO;
1.12. „powierzenie przetwarzania Danych” sytuacja zlecenia na podstawie umowy przez ADO innemu podmiotowi (Procesorowi) dokonywania w imieniu ADO określonych operacji na Danych (przetwarzania ich w imieniu ADO). Procesor nie decyduje samodzielnie o celach i środkach przetwarzania;
1.13. „przetwarzanie Danych” oznacza operację lub zestaw operacji wykonywanych na Danych lub zestawach Danych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
1.14. „rozliczalność” odpowiedzialność administratora za przestrzeganie zasad RODO i możliwość wykazania ich przestrzegania, w szczególności: zgodność z prawem, rzetelność i przejrzystość, ograniczenie celu, minimalizacja danych, prawidłowość danych, ograniczenie przechowywania, integralność i poufność;
1.15. „szczególne kategorie Danych” Dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby, o których mowa w art. 9 ust. 1 RODO;
1.16. „system informatyczny” zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania Danych;
1.17. „usuwanie Danych” zniszczenie Danych lub ich modyfikacja, uniemożliwiająca ustalenie tożsamości osoby, której Dane dotyczą;
1.18. „uwierzytelnianie” działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;
1.19. „zbiór Danych” uporządkowany zestaw Danych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
1.20. „zgoda” osoby, której Dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której Dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej Danych.
2.Informacje ogólne
Dla zachowania zgodności z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz.UE.L Nr 119, str. 1) (dalej: „RODO”), ZREW Transformatory S.A. z siedzibą w Łodzi (dalej: „Spółka”), działając jako ADO i Procesor sporządziła niniejszą Politykę wraz z rejestrem czynności przetwarzania danych osobowych, a także rejestrem kategorii czynności przetwarzania.
Zawarte w niniejszej Polityce opisy zasad i procedur przetwarzania danych osobowych i ich zabezpieczenia mają na celu uporządkowanie procesów przetwarzania danych, a także realizację przez ADO zasady rozliczalności.
3.Zakres informacji objętych dokumentem oraz zakres zastosowania
Na Politykę składa się zestaw obowiązujących zasad i reguł dotyczących sposobu zarządzania, ochrony i dystrybucji Danych wewnątrz Spółki, w tym w szczególności dotyczących:
a. prowadzenia dokumentacji przetwarzania danych osobowych;
b. realizacji praw osób, których Dane dotyczą;
c. wdrażania technicznych i organizacyjnych środków bezpieczeństwa, zarówno przetwarzanych tradycyjnie, czyli w formie papierowej, jak i danych przetwarzanych w systemach informatycznych.
Elementem polityki są prowadzone przez Spółkę zgodnie z art. 30 ust. 1 i 2 RODO:
a. jako ADO rejestr czynności przetwarzania (dalej: „Rejestr Czynności”),
b. jako Procesora rejestr kategorii czynności przetwarzania (dalej: „Rejestr Kategorii”).
Rejestr Kategorii i Rejestr Czynności zwane są wspólnie „Rejestrami”, a każdy z osobna „Rejestrem”.
Politykę stosuje się do wszelkich czynności stanowiących w myśl RODO przetwarzanie Danych. Bez względu na źródło pochodzenia Danych, ich zakres, cel zebrania, sposób lub czas przetwarzania, stosowane są zasady przetwarzania Danych ujęte w niniejszym dokumencie.
Rygorowi Polityki podlegają również Dane powierzone ADO do przetwarzania na podstawie umowy powierzenia Danych do przetwarzania.
4.Interpretacja postanowień Polityki oraz zasada maksymalnego poziomu bezpieczeństwa danych
Wszelkie wątpliwości dotyczące sposobu interpretacji zapisów Polityki powinny być rozstrzygane na korzyść zapewnienia możliwie najwyższego poziomu ochrony Danych oraz realizacji praw osób, których Dane dotyczą.
Każda osoba mająca dostęp do Danych na podstawie nadanego upoważnienia, została zapoznana z zasadami zachowania maksymalnego poziomu bezpieczeństwa danych i zobowiązana do ich przestrzegania w zakresie wynikającym z przydzielonych zadań.
5.Prowadzenie Polityki wraz z Rejestrem Czynności i Rejestrem Kategorii
Polityka oraz zawarte w niej Rejestr Czynności i Rejestr Kategorii, zgodnie z art. 30 ust. 3 RODO, są prowadzone w formie elektronicznej i pisemnej oraz udostępniane przez Spółkę na żądanie organu nadzorczego.
Spółka wyznaczyła osobę odpowiedzialną za prowadzenie i aktualizację Polityki wraz z Rejestrem Czynności i Rejestrem Kategorii..
6.Sposób aktualizacji oraz przeglądania Polityki
W związku z dynamiką zmian w zakresie bezpieczeństwa informacji oraz mając na uwadze częste zmiany w konstrukcji systemów informatycznych, osoba upoważniona przez ADO dokonuje corocznie przeglądów i w razie konieczności aktualizacji Polityki. Weryfikacja zapisów Polityki jest prowadzona pod kątem zgodności stanu deklarowanego ze stanem faktycznym.
Do końca września każdego roku kalendarzowego osoba upoważniona przez ADO dokona sprawdzenia aktualności Polityki. W razie konieczności do końca września każdego roku przygotuje projekt zmian w treści Polityki. Projekt zmian zawiera informacje pozwalające na wyeliminowanie niezgodności stanu opisanego w Polityce ze stanem faktycznym.
Niezależnie od powyższego Polityka, a w szczególności Rejestr Czynności i Rejestr Kategorii podlegają aktualizacji każdorazowo w przypadku likwidacji, utworzenia lub zmiany zawartości zbioru danych, a także w przypadku zmiany przepisów prawa dotyczącego ochrony Danych. Aktualizacja jest przeprowadzana przez osobę upoważnioną przez ADO.
W celu zapewnienia kontroli nad procesem przetwarzania Danych oraz w celu zapewnienia aktualności dokumentu Polityki, wszystkie działania dotyczące sfery ochrony Danych są raportowane oraz konsultowane z osobą upoważnioną przez ADO, o której mowa w pkt 5. Dotyczy to w szczególności czynności zawierania nowych umów, prowadzenia akcji rekrutacyjnych oraz innych procesów, podczas których przetwarzane są Dane. W każdej komórce organizacyjnej prowadzącej działania w obszarze Danych została wyznaczona osoba odpowiedzialna za przekazywanie informacji, o których mowa powyżej.
7.Metody zapoznawania się z Polityką
Każda osoba upoważniona do przetwarzania Danych przez Spółkę ma obowiązek zapoznania się z Polityką i stosowania zasad w niej opisanych. Spółka udostępnia do zapoznania się osobom upoważnionym treść dokumentu lub wyciąg z dokumentu w wersji elektronicznej lub papierowej, według własnego wyboru.
8.Główne obszary, w których przetwarzane są Dane
Dane przetwarzane przez Spółkę są przetwarzane głównie w pomieszczeniach należących do ADO, położonych w siedzibie przy ul. Rokicińskiej 144 w Łodzi (92-412).
9.Dokumentacja przetwarzania Danych
Dokumentacja przetwarzania Danych przechowywana jest przez ADO.
9.1.Upoważnienia do przetwarzania Danych i zasady ich nadawania
Zgodnie z RODO ADO i Procesor muszą zapewnić, aby każda osoba fizyczna działająca z ich upoważnienia, mająca dostęp do Danych, przetwarzała je wyłącznie na ich polecenie.
W celu wypełniania wspomnianego obowiązku, w strukturze wewnętrznej Spółki do przetwarzania Danych dopuszczone są wyłącznie osoby posiadające upoważnienie nadane przez ADO / Procesora, które zawiera w szczególności:
-
zakres Danych objętych upoważnieniem;
-
zakres operacji przetwarzania;
-
okres obowiązywania upoważnienia;
-
oświadczenie o zapoznaniu się z przepisami o ochronie Danych oraz dokumentacją dotyczącą przetwarzania Danych obowiązującą u ADO / Procesora;
-
obowiązek zachowania poufności Danych oraz sposobów ich gromadzenia i zabezpieczania.
W celu zapewnienia rozliczalności wykonywania obowiązków Spółka wprowadziła mechanizm upoważnień w formie pisemnej. Upoważnienia nadawane są w dwóch lub, w przypadku pracowników, trzech egzemplarzach: jeden dla osoby upoważnionej, drugi do akt pracowniczych, trzeci dla Spółki.
Jednocześnie praktyką obowiązującą w Spółce jest każdorazowa weryfikacja zakresu upoważnienia i odpowiednia jego modyfikacja w stosunku do osób zatrudnionych w przypadku awansu / zmiany zakresu kompetencji.
Co do zasady upoważnienia nadawane są w przypadku:
-
nowozatrudnionych osób - przed przystąpieniem do wykonywania ich obowiązków;
-
osób awansowanych / zmiany zakresu kompetencji – przed przystąpieniem do wykonywania nowych obowiązków;
obok formalności HR-owych związanych z zatrudnieniem / jego zmianą.
Upoważnienie (w tym zmiana jego zakresu) zostaje nadane na wniosek osoby przełożonej osoby mającej zostać dopuszczoną do przetwarzania Danych, co do zasady w formie mailowej (w drodze wyjątku – ustnie).
Mając na uwadze, że upoważnieniem powinny dysponować również osoby incydentalnie dopuszczone do przetwarzania Danych (nie mające dostępu do Danych w toku wykonywania obowiązków lub mające dostęp w innym zakresie) praktyką obowiązująca w Spółce może być udzielanie w takich wypadkach upoważnień w formie ustnej.
Zakres Danych, do których dostępu osoba zostaje upoważniona pozostaje w związku z wykonywanymi na rzecz Spółki czynnościami.
Spółka wyznaczyła osobę odpowiedzialną za nadawanie i przechowywanie upoważnień do przetwarzania Danych (jednocześnie IOD nie może być osobą odpowiedzialną za nadawanie upoważnień).
9.2.Ewidencja upoważnień do przetwarzania Danych
Realizowanie zasady rozliczalności wymaga od Spółki wiedzy o osobach, którym udzielono upoważnień do przetwarzania Danych, a także o zakresie Danych do których przetwarzania są one upoważnione, w tym celu ADO prowadzi ewidencję osób upoważnionych.
Spółka wyznaczyła osobę odpowiedzialną za prowadzenie ewidencji upoważnień do przetwarzania Danych. Każdorazowo osoba odpowiedzialna za nadawanie upoważnień niezwłocznie przekazuje osobie odpowiedzialnej za prowadzenie ewidencji skan udzielonego upoważnienia w formie mailowej (w przypadku jeśli incydentalnie upoważnienie zostało udzielone ustnie – osoba ta opisuje w wiadomości mailowej szczegóły upoważnienia), chyba, że ewidencję prowadzi ta sama osoba.
9.3.Umowy powierzenia Danych do przetwarzania
Podstawą przetwarzania Danych w imieniu Spółki przez podmioty trzecie, oraz przetwarzania Danych przez Spółkę w imieniu innych administratorów, są umowy powierzenia Danych do przetwarzania.
Umowy powierzenia zawierane przez Spółkę odpowiadają w szczególności wymogom określonym w art. 28 ust. 3 RODO.
Spółka dochowuje staranności, aby w każdym przypadku powierzenia Danych podmiotowi trzeciemu, biorąc pod uwagę specyfikę konkretnych sytuacji, w tym swobodę kontraktowania stron umowy powierzenia przy precyzowaniu warunków współpracy określonych w art. 28 RODO, zapewnić sobie możliwość jak najszerszego kontrolowania podmiotów przetwarzających (przeprowadzania audytów i inspekcji) oraz wpływu na dalsze powierzanie Danych, tak aby w jak największym stopniu zagwarantować bezpieczeństwo przetwarzania Danych.
W tym celu w Spółce funkcjonują wzorcowe umowy powierzenia Danych zawierające zapisy dostosowane zarówno do sytuacji:
-
powierzenia Danych przez Spółkę jako ADO;
-
przyjęcia przez Spółkę od innego Administratora, Danych do przetwarzania;
-
powierzenia Danych przez Spółkę jako ADO do kraju trzeciego.
Jednocześnie, w zakresie w jakim Spółka przetwarza Dane jako podmiot przetwarzający zostały wdrożone odpowiednie techniczne i organizacyjne środki bezpieczeństwa.
Spółka zapewnia, aby w przypadkach przekazywania Danych do państw trzecich w ramach mechanizmu powierzenia, transfer danych odbywał się wyłącznie do państw, w stosunku do których Komisja Europejska stwierdziła występowanie odpowiedniego stopnia ochrony Danych zgodnie z art. 45 ust. 3 RODO, lub w przypadku braku takiej decyzji odpowiednie zabezpieczenia zostały w szczególności zapewnione za pomocą standardowych klauzul ochrony Danych przyjętych przez Komisję Europejską.
Spółka na bieżąco monitoruje prace Komisji Europejskiej oraz orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej w zakresie aktualności decyzji stwierdzających odpowiedni stopnień ochrony Danych oraz katalogu i treści klauzul ochrony danych, w celu każdoczesnego zagwarantowania zgodności przekazywania Danych do państw trzecich z wymogami RODO.
W przypadku gdy Spółka zawiera umowę powierzenia danych osobowych do przetwarzania, osoba odpowiedzialna za dany proces jest zobowiązana niezwłocznie powiadomić osobę prowadzącą niniejszą Politykę o zawarciu i rozwiązaniu takiej umowy za pośrednictwem wiadomości mailowej, chyba, że wysłanie wiadomości mailowej nie było możliwe – w takim wypadku informacja przekazywana jest ustnie (zawarte umowy mogą wpłynąć na potrzebę aktualizacji Polityki). Spółka w szczególności zadbała o podpisanie odpowiednich umów w ramach grupy kapitałowej, w przypadku takiej potrzeby.
9.4.Zgody na przetwarzanie Danych
Spółka w zakresie w jakim nie dysponuje inną podstawą przetwarzania wskazaną w art. 6 ust. 1 lub art. 9 ust. 2 RODO, odbiera od podmiotów Danych zgody na przetwarzanie ich Danych.
W celu zagwarantowania ważności odbieranych oświadczeń Spółka wprowadziła system ujednoliconych zgód na przetwarzanie Danych, korzystając w tym zakresie z możliwie standardowych wzorów dostosowanych do potrzeb konkretnego przypadku m.in. w części dotyczącej zakresu Danych, celów przetwarzania, etc.
9.5.Obowiązek informacyjny ADO
RODO wprowadza obowiązek informowania przez ADO osób, których Dane dotyczą, o przetwarzaniu ich Danych poprzez podanie informacji wymienionych w art. 13 i 14 RODO.
Co do zasady klauzula informacyjna powinna zostać przekazana:
-
o ile osoba, której Dane dotyczą sama je udostępnia – w trakcie zbierania jej danych (art. 13 RODO);
-
w przypadku pozyskiwania Danych w sposób inny niż od osoby, której Dane dotyczą (art. 14 RODO):
-
w rozsądnym terminie po pozyskaniu Danych – najpóźniej w ciągu miesiąca;
-
jeżeli Dane mają być stosowane do komunikacji z osobą, której Dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której Dane dotyczą; lub
-
jeżeli planuje się ujawnić Dane innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
W związku z powyższym Spółka wdrożyła odpowiednie mechanizmy mające zapewnić przekazanie osobom, których Dane dotyczą kompletu wymaganych przepisami informacji z zachowaniem wspominanych ram czasowych, w szczególności Spółka zagwarantowała, aby klauzula informacyjna została umieszczona:
-
we wszystkich umowach (w treści - lub jako odrębny dokument, np. załącznik) na mocy których dochodzi do udostępnienia ADO Danych, tj. np. w umowach o pracę (chyba, że dane są odbierane wcześniej w ramach formularzy – wtedy „przy” tych formularzach), umowach z kontrahentami etc.;
-
w związku z prowadzonymi kanałami rekrutacji (m.in. w ramach ogłoszenia o pracę, w ramach CV oraz w miejscach przyjmowania dokumentów od kandydatów do pracy);
-
w związku z prowadzonym monitoringiem w Spółce;
-
w związku z prowadzoną ewidencją osób wchodzących i wychodzących z terenu zakładu Spółki.
9.6.Procedura stosowania DPIA
DPIA to proces mający opisać przetwarzanie, ocenić niezbędność i proporcjonalność przetwarzania oraz pomóc w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikającym z przetwarzania Danych (oceniając ryzyko i ustalając środki mające mu zaradzić).
Spółka każdorazowo – w stosunku do poszczególnych kategorii operacji – weryfikuje, czy zachodzą podstawy dokonania DPIA – w związku z tym, że wspomniana weryfikacja jest nieodłącznym procesem wewnętrznym, Spółka wdrożyła odrębną Procedurę w zakresie postępowania na potrzeby oceny zasadności przeprowadzenia DPIA oraz ew. jej dokonania.
9.7.Rejestr incydentów
Spółka prowadzi rejestr incydentów. W rejestrze opisane są w szczególności:
a. zidentyfikowane naruszenia bezpieczeństwa danych prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez Administratora;
b. charakter incydentów;
c. osoba, która zidentyfikowała incydent;
d. podjęte środki zaradcze;
e. termin i sposób spełnienia obowiązków Administratora dotyczących poinformowania o incydencie:
-
osoby, której dane dotyczą;
-
organu nadzorczego.
Każdy kto stwierdził wystąpienie incydentu lub podejrzewa, że mógł on wystąpić zobowiązany jest niezwłocznie – nie później niż w ciągu 15 minut poinformować o tym osobę wyznaczoną do prowadzenia i aktualizacji Polityki. Osoba ta kontaktuje się z Administratorem, wspólnie z którym podejmuje środki zaradcze, mające na celu usunięcie lub – jeśli nie jest to możliwe - ograniczenie skutków incydentu.
10.Realizacja przez ADO praw osób, których Dane dotyczą
Na gruncie RODO osobie, której Dane dotyczą przysługuje szereg praw związanych z możliwością żądania od ADO określonych operacji na Danych (np. wyeksportowanie / wykonanie kopii / sprostowanie / usunięcie). Systemy stosowane przez Spółkę przewidują odpowiednie rozwiązania techniczne, które pozwolą na realizację tych praw.
Jednocześnie Spółka przestrzega praktyk dotyczących realizacji żądań osób, których Dane dotyczą.
11.Rejestr Czynności
Artykuł 30 ust. 1 RODO nakłada na Spółkę jako ADO obowiązek prowadzenia rejestru czynności przetwarzania Danych. Dotyczy on czynności przetwarzania, za które ADO odpowiada. W Rejestrze Czynności zamieszczone są następujące informacje:
a. nazwa oraz dane kontaktowe ADO oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela ADO oraz IOD;
b. cele przetwarzania;
c. opis kategorii osób, których Dane dotyczą, oraz kategorii Danych;
d. kategorie odbiorców, którym Dane zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
e. gdy ma to zastosowanie, informacje o przekazaniu Danych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 RODO, dokumentacja odpowiednich zabezpieczeń;
f. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
g. ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO;
12.Rejestr Kategorii
Artykuł 30 ust. 2 RODO nakłada na Spółkę jako Procesora obowiązek prowadzenia rejestru kategorii czynności przetwarzania Danych. W Rejestrze Kategorii zamieszczone są następujące informacje:
a. dane identyfikujące Spółkę jako Procesora (nazwa oraz dane kontaktowe), a także dane przedstawiciela ADO lub Procesora oraz IOD - jeżeli zostali wyznaczeni;
b. informacje o przekazaniu Danych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa lub organizacji, a w przypadku przekazań, o których mowa w art. 49 ust. 1 RODO, dokumentację odpowiednich zabezpieczeń, gdy dochodzi do takiego przekazania danych do państwa trzeciego lub organizacji międzynarodowej;
c. ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO;