Polityka prywatności Velocity

2. Zasady ochrony danych

W ramach prawa o ochronie danych istnieje kilka zasad, których należy przestrzegać, przetwarzając dane osobowe. W następującym punkcie znajduje się opis tego, w jaki sposób dążymy do osiągnięcia zgodności z tymi zasadami:

• Odpowiedzialność: Jesteśmy odpowiedzialni za i musimy być w stanie zademonstrować spełnienie głównych zasad i wytycznych prawa o ochronie danych.
• Zgodność z prawem, uczciwość i przejrzystość: Dane osobowe mogą być przetwarzane jedynie zgodnie z prawem, uczciwie i w sposób przejrzysty. Oznacza to, że musimy informować osoby, których dane dotyczą o tym, jak i dlaczego przetwarzamy ich dane (przejrzystość), że przetwarzanie musi być zgodne z jego opisem podanym osobom, których dane dotyczą (uczciwość), i że przetwarzanie wynika z jednej z podstaw prawnych określonych w prawie o ochronie danych (zgodność z prawem).
• Zasada ograniczenia celu: Musimy dokładnie określić (przed ich uzyskaniem), do czego będą wykorzystywane gromadzone przez nas dane osobowe i ograniczyć przetwarzanie danych osobowych do zakresu, w którym jest to konieczne do spełnienia określonego celu.
• Zasada ograniczenia ilości zbieranych danych: Gromadzone przez nas dane osobowe będą prawidłowe, stosowne i ograniczone tylko do celów koniecznych, do jakich są przetwarzane.
• Poprawność: Korzystamy z odpowiednich procesów, aby zapewniać poprawność i aktualność danych.
• Ograniczenie okresu przechowywania danych: Dane osobowe będą przechowywane w sposób umożliwiający nam identyfikację osoby, której dane dotyczą, jedynie tak długo, jak to konieczne w celach, w jakich przetwarzane są dane osobowe.
• Bezpieczeństwo/integralność i poufność: Wykorzystujemy odpowiednie środki techniczne i organizacyjne, aby chronić integralność i poufność danych osobowych, w tym ochrona przed nieautoryzowanym i niezgodnym z prawem przetwarzaniem, oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem danych.

a. Monitorowanie

odpowiedzialności

Z naruszeniami i niestosowaniem się do naszych obowiązków prawnych wynikających z prawa o ochronie danych wiążą się poważne konsekwencje. Przetwarzanie wszelkich danych osobowych zgodnie z naszymi obowiązkami prawnymi i zasadami ochrony danych leży w naszej odpowiedzialności.

Jeśli nie spełnimy wymogów dotyczących odpowiedzialności, wynikających z prawa o ochronie danych, ryzykujemy nie tylko naruszenie przepisów, ale także poważny szwank naszej dobrej reputacji.

Oceniamy zgodność z niniejszą polityką pod dwoma względami:

1. zgodność związana z ogólną ochroną danych;
2. skuteczność środków ochrony danych związana z naszymi procesami operacyjnymi.

Regularnie przeprowadzamy przeglądy i stosujemy się do zasad modelu „planuj, wykonaj, sprawdź i działaj” (Plan-Do-Act-Check; PDAC) w celu kontroli i ciągłego ulepszania naszych procesów. Działania te mają na celu stwierdzenie, czy osiągany jest odpowiedni poziom zgodności.

Zgłaszanie naruszeń ochrony danych osobowych

Jesteśmy odpowiedzialni za zgłaszanie naruszeń ochrony danych osobowych odpowiedniemu organowi nadzorczemu w ciągu 72 godzin, jeśli taki jest wymóg prawa (czas ten liczy się od momentu, w którym dowiedzieliśmy się o incydencie).

Jeśli podejrzewa się, że miało miejsce naruszenie ochrony danych osobowych, za które my (jako administrator) odpowiadamy, incydent ten musi zostać zbadany wewnętrznie przez inspektora ochrony danych (DPO) i zespół reagowania na incydenty. Jeśli z incydentem wiąże się ryzyko dla osób, których dane dotyczą, incydent ten musi być zgłoszony odpowiedniemu organowi nadzorczemu w ciągu 72 godzin od otrzymania wiadomości o nim.

Szkolenie

Wszyscy pracownicy muszą przejść odpowiednie do swojego stanowiska szkolenie w zakresie ochrony danych.

Dział HR odpowiada za odpowiednie przeszkolenie nowych pracowników w ramach procesu wdrażania, a wszyscy pracownicy uczestniczą w szkoleniach z ochrony danych raz w roku, lub wtedy, gdy ma miejsce znacząca zmiana prawa lub naszej polityki lub procedur, co ma miejsce częściej. Velocity Quality odpowiada za prowadzenie ewidencji szkoleń i przechowywanie najbardziej aktualnych materiałów szkoleniowych i dokumentów.

Odpowiedzialność

Każdy pracownik mający styczność z danymi osobowymi odpowiada za obchodzenie się z i przetwarzanie danych osobowych zgodnie z niniejszą polityką i obowiązującym prawem o ochronie danych.

W obrębie firmy Velocity są stanowiska o określonych obszarach odpowiedzialności:

• Kierownictwo firmy jest ostatecznie odpowiedzialne za zapewnienie wypełnienia przez nas naszych obowiązków prawnych.
• Urzędnik ds. prywatności Velocity w ogólny sposób odpowiada za zapewnienie przestrzegania prawa o ochronie danych.
• The Zespół ds. prywatności w ogólny sposób odpowiada za konsekwentne stosowanie zasad niniejszej polityki oraz za:
  • przegląd na bieżąco wszelkich procedur związanych z ochroną danych i politykami;
  • organizację szkoleń i udzielanie porad w związku z ochroną danych wszystkim pracownikom i osobom, które obejmuje niniejsza polityka;
  • udzielanie odpowiedzi osobom, których dane dotyczą, które chcą wiedzieć jakie ich dane osobowe są przez nas przechowywane;
  • weryfikacja i zatwierdzanie przetwarzania danych osobowych przez strony trzecie, które są w posiadaniu tych danych oraz umów lub porozumień;
  • prowadzenie dokumentacji zawierającej operacje przetwarzania danych, w tym okresowe oceny i zatwierdzenia.
• Kierownik działu technologi informatycznych odpowiada za:
  • spełnianie akceptowalnych standardów bezpieczeństwa przez wszystkie systemy, usługi i sprzęt służące do przechowywania danych;
  • przeprowadzanie regularnych kontroli i skanów w celu sprawdzenia, czy sprzęt komputerowy i oprogramowanie odpowiedzialne za bezpieczeństwo działa w sposób prawidłowy;
  • ocenę wszelkich firm zewnętrznych, z usług których firma Velocity rozważa skorzystać w celu zatrzymywania lub przetwarzania danych osobowych.

Przegląd operacji przetwarzania danych

W prawie o ochronie danych określono szeroki zakres wymogów w związku z dokumentacją i dowodem zachowywania zgodności z obowiązkami związanymi z ochroną danych. Kluczowym elementem w tym względzie jest przegląd operacji przetwarzania danych, jak zostało to określone w prawie o ochronie danych. Wykazujemy stosowanie się do prawa o ochronie danych za pomocą dokumentacji w aplikacji Foxondo .

„Ochrona prywatności w fazie projektowania”

Dokładamy starań, aby opracowywać wewnętrzne procesy, tak aby zasady ochrony danych były zawarte w każdym kroku operacji przetwarzania. „Ochrona prywatności w fazie projektowania” oznacza konieczność wdrożenia odpowiednich środków technicznych i organizacyjnych zarówno przed, jak i w trakcie, każdej wykonywanej przez nas operacji przetwarzania, aby w operacje te włączyć zabezpieczenia. To ważny krok zapewniający ochronę osobom, których dane dotyczą i spełnienie wymogów przepisów prawa o ochronie danych.

Zawsze staramy się wdrażać odpowiednie środki techniczne i organizacyjne, zarówno podczas określania środków niezbędnych do przetwarzania, jak i podczas samego powtarzania, aby stosować się do zasady ograniczenia ilości zbieranych danych.

W celu umożliwienia identyfikacji i uwzględnienia wszelkich wymogów związanych z ochroną danych podczas projektowania nowych systemów lub procesów i/lub podczas oceny lub rozbudowy istniejących systemów lub procesów, przed rozpoczęciem pracy nad projektem konieczne jest przeprowadzenie wstępnej oceny skutków w zakresie ochrony danych (ocena wstępna, wersja skrócona oceny skutków w zakresie ochrony danych). W zależności od wyniku, pełna ocena skutków w zakresie ochrony danych może być prawnie wymagana.

b. Zgodność z prawem, uczciwość i przejrzystość

Odpowiadamy za zrozumienie kontekstu, w jakim przebiega przetwarzanie danych osobowych, jako część naszych codziennych działań. Chcemy czuwać nad tym, aby przebiegało to w sposób sprawiedliwy i zgodny z prawem i abyśmy byli to w stanie jasno wyjaśnić osobom, których dane dotyczą. Zawsze będzie przetwarzać dane osobowe w sposób zgodny z prawem, uczciwy i przejrzysty, szanując prawa osób, których dane dotyczą.

Nasi zewnętrzni dostawcy usług/kontrahenci przetwarzający dane osobowe w naszym imieniu są także zobowiązani do ochrony danych. W tym kontekście, jesteśmy prawnie zobowiązani do:

• korzystania z usług jedynie tych zewnętrznych dostawców usług/kontrahentów, którzy są w stanie wykazać, że stosują się do prawa o ochronie danych, tj. RODO;
• zawierania spełniających wymogi prawa o ochronie danych, tj. RODO, pisemnych uzgodnień umownych z zewnętrznymi dostawcami usług/kontrahentami; oraz
• wykazywania organom ochrony danych osobowych, że zastosowaliśmy się do powyższych wymogów prawnych.

Gromadzenie danych osobowych i powiadamianie o nich

Możemy gromadzić dane osobowe tylko wtedy, gdy jest to konieczne do spełnienia prawnie zasadnych celów lub wyraźnie dozwolone. Będziemy gromadzić dane osób, których one dotyczą tylko w przypadku, gdy jedno z następujących stwierdzeń będzie mieć zastosowanie:

• jesteśmy do tego zobowiązani na podstawie wymogów prawa, np. prawa UE lub obowiązującego prawa lokalnego;
• przetwarzanie jest konieczne, aby mogły zostać spełnione cele biznesowe oraz, by nasza organizacja mogła podjąć lub wykonać zobowiązania umowne z osobami, których dane dotyczą;
• przetwarzanie leży w naszych (rozsądnych) prawnie uzasadnionych interesach, a osoby, których dane dotyczą nie posiadają ważniejszych od nas, sprzecznych interesów;
• osoby te wyraziły swoją zgodę na przetwarzanie. Zgoda musi zostać wyrażona dobrowolnie i uzyskana zgodnie z obowiązującym prawem o ochronie danych, jak określono w art. 7 RODO.
• Przetwarzanie danych leży w żywotnym interesie osoby, której dane dotyczą lub innej.

Gromadząc dane osobowe, udzielamy osobom, których te dane dotyczą informacji dotyczących przetwarzania ich danych osobowych bezpłatnie i w sposób zwięzły, przejrzysty, zrozumiały i w łatwo dostępnym formacie, używając jasnego i prostego języka. Obejmuje to informacje o zewnętrznych dostawcach usług, którym ujawniane są dane osobowe tych osób i cel ujawnienia.

W przypadku, gdy dane osobowe będą przesyłane z terytorium objętym przepisami RODO do USA wewnątrz grupy Velocity, zawarta będzie także informacja o tym,

• że firma Velocity podlega uprawnieniom dochodzeniowym i wykonawczy Federalnej Komisji Handlu (FTC) Stanów Zjednoczonych;
• Firma Velocity jest zobowiązana do przeprowadzania arbitrażu w sprawie roszczeń i przestrzegania warunków określonych w załączniku I zasad DPF, pod warunkiem, że osoba powołała się na wiążący arbitraż, dostarczając Twojej organizacji zawiadomienie i postępując zgodnie z procedurami i spełniając warunki określone w załączniku I zasad;
• Firma Velocity jest zobowiązana ujawnić dane osobowe w odpowiedzi na prawnie uzasadnione żądania ze strony organów władzy publicznej, w tym w celu spełnienia wymogów bezpieczeństwa międzynarodowego lub organów ścigania;
• Velocity ponosi prawną odpowiedzialność za wtórne przekazywanie danych stronom trzecim;

 

c. Zasada ograniczenia celu: Przetwarzanie w ograniczonych celach

Dane osobowe uzyskane w jednym celu zazwyczaj nie mogą być wykorzystywane do innych celów. Dążymy do tego, aby przetwarzać dane osobowe tylko do celów wyraźnie dozwolonych przez prawo o ochronie danych. Informujemy osoby, których dane dotyczą o tych celach.

d. Zasada ograniczenia ilości zbieranych danych: Przetwarzanie danych, które jest wystarczające, odpowiednie i nie nadmierne w stosunku do celów

W każdym przypadku do przetwarzania danych wykorzystanych powinno być tylko tyle danych osobowych, ile jest to konieczne do osiągnięcia danego celu. Zawsze będziemy dążyć do tego, aby gromadzić dane osobowe w zakresie koniecznym do osiągnięcia danego celu, o którym osoba, której dane dotyczą została poinformowana i nie gromadzić niepotrzebnych danych osobowych.

e. Poprawność: Zapewnienie poprawności danych osobowych

Dążymy do tego, aby nasze systemy i procesy służące do wykrywania niepoprawnych informacji były rozbudowane i by szybko aktualizować lub usuwać wszelkie niepoprawne dane osobowe. Dokładamy wszelkich starań, aby przechowywane przez nas dane osobowe były poprawne i aktualne. Osoby, których dane dotyczą mają prawo zażądać poprawienia swoich błędnych danych osobowych.

f. Ograniczenie okresu przechowywania danych: Prowadzone w odpowiednim czasie przetwarzanie i przechowywanie danych

Dążymy do tego, aby nie przechowywać danych osobowych osób, których one dotyczą dłużej, niż jest to konieczne, zgodnie z obowiązującym prawem. Podejmujemy wszelkie wymagane kroki w celu zniszczenia lub usunięcia wszelkich niepotrzebnych danych osobowych z naszych systemów (elektronicznych i papierowych).

Wszyscy pracownicy muszą zapoznać się z procedurą usuwania/polityką przechowywania danych.

g. Bezpieczeństwo/integralność i poufność: Bezpieczeństwo danych osobowych

Zawsze powinniśmy dokładać wszelkich starań, aby poziom ochrony wszystkich przechowywanych przez nas danych osobowych był odpowiedni w stosunku do potencjalnego ryzyka. Stosujemy odpowiednie środki ochrony przed niezgodnym z prawem i nieautoryzowanym przetwarzaniem danych osobowych oraz przed ich przypadkową utratą lub uszkodzeniem zgodnie z naszą polityką prywatności. Procedury bezpieczeństwa obejmują (między innymi):

• kontrole wejść – odwiedzający nie mogą wejść na teren ośrodków bez nadzoru pracowników i nie wolno im wkraczać do stref, w których przechowywane są dane osobowe, chyba że w towarzystwie pracownika;
• bezpieczne, zamykane na zamek biurka i szafki – jeśli są w nich przechowywane informacje poufne jakiegokolwiek rodzaju, są one trzymane zamknięte; (Dane osobowe są zawsze traktowane jako poufne).
• kontrole dostępu – dane przechowywane na komputerach są chronione silnymi hasłami i technologiami identyfikacji;
• kontrole miejsc przechowywania danych – dane nie są nigdy zapamiętywane bezpośrednio na urządzeniach przenośnych, takich jak laptopy, tablety, czy smartfony (ale na scentralizowanych serwerach);
• metody utylizacji – dokumenty papierowe przeznaczone do utylizacji są przechowywane w zamkniętych pudełkach, a następnie niszczone przez licencjonowane i powiązane z nami firmy złamujące się niszczeniem dokumentów; cyfrowe urządzenia do przechowywania danych są wymazywane za pomocą pełnego nadpisania danych lub fizycznie niszczone, gdy nie są już potrzebne;
• sprzęt – użytkownicy danych pilnują tego, aby monitory komputerów nie pokazywały przechodzącym informacji poufnych i by wylogowywać się lub wyłączać komputer, gdy opuszczają stanowisko pracy.