I. Wstęp

Niniejsza Polityka Ochrony Danych Osobowych (dalej zwana „Polityką”) określa zasady zabezpieczania przetwarzania danych osobowych obowiązujących w Zoomlion Heavy Industry (Poland) sp. z o.o., ul. Sokołowska 47B, 05-806 Sokołów (dalej zwana ,,Zoomlion”) odnosi się do wszystkich osób mających dostęp do bazy danych osobowych przetwarzanych przez Zoomlion. Zawiera zakres gromadzonych danych osobowych oraz sposób ich zabezpieczenia, jak również opis zastosowanych środków organizacyjnych i technicznych pozwalających na zoptymalizowanie bezpieczeństwa informacji, jak również mechanizmy ochrony danych osobowych przetwarzanych zarówno w zbiorach tradycyjnych (papierowych) oraz w systemach elektronicznych. Ponadto normuje sposoby aktualizacji dokumentacji związanej z ochroną danych osobowych, a także wprowadza jednolite zasady wydawania upoważnień do przetwarzania danych osobowych oraz formalizuje proces udostępniania informacji.

 

 

II. Postanowienia ogólne

1. Niniejsza Polityka zostaje wdrożona uchwałą Zarządu, celem ustandaryzowania procesów związanych z przetwarzaniem danych osobowych w Zoomlion oraz określenia reguł właściwego wykonywania obowiązków administratora danych osobowych i prawidłowej ochrony przetwarzanych danych osobowych w Zoomlion.

2. Niniejsza Polityka odnosi się do zabezpieczenia wszystkich danych osobowych przetwarzanych w Zoomlion w sposób tradycyjny (na papierze, w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych) oraz przy użyciu systemów informatycznych, również w przypadku przetwarzania danych poza zbiorem danych.

 

 

III. Definicje

Użyte w niniejszej Polityce pojęcia oznaczają:

a) Polityka – niniejsza Polityka Ochrony Danych Osobowych w Zoomlion;

b) RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);

c) PUODO – Prezes Urzędu Ochrony Danych Osobowych, organ państwowy powołany do spraw ochrony danych osobowych;

d) Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, tzn. takiej, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań;

e) Administrator Danych Osobowych (ADO) – Zoomlion, w imieniu ADO działa Zarząd;

f) Kadra Kierownicza – operacyjnie wyznaczona w Zoomlion osoba/osoby, sprawująca funkcję kierowniczą w danej komórce organizacyjnej lub biurze, w obszarze której ponosi odpowiedzialność za funkcjonowanie systemu lub zbioru danych osobowych;

g) Zbiór danych osobowych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

h) Przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;

i) System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;

j) Usuwanie danych – zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą (np. anonimizacja danych);k) Zgoda osoby, której dane dotyczą – oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda może być odwołana w każdym czasie;

l) Odbiorca danych – każdy, komu udostępnia się dane osobowe, z wyłączeniem:

• osoby, której dane dotyczą,

• osoby, upoważnionej do przetwarzania danych,

• organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem;

m) Państwo trzecie – państwo nienależące do Europejskiego Obszaru Gospodarczego; przekazywanie danych osobowych na teren państwa trzeciego wymaga spełnienia dodatkowych obowiązków określonych przepisach prawa;

n) Administrator Systemu Informatycznego (ASI) – osoba lub zespół nadzorująca pracę systemu informatycznego oraz wykonująca na nim czynności wymagające specjalnych uprawnień, działająca w imieniu Administratora Danych Osobowych;

o) Użytkownik Systemu/Użytkownik – osoba posiadająca uprawnienia do pracy w systemie informatycznym, zgodnie ze swoim zakresem upoważnienia;

p) Osoba upoważniona – każdy pracownik lub współpracownik Zoomlion, mający nadane pisemne upoważnienie Zoomlion do przetwarzania danych osobowych.

 

 

IV. Deklaracja Administratora Danych Osobowych

1. Administrator Danych Osobowych rozumie potrzebę szczególnego dbania o bezpieczeństwo danych osobowych, jak też funkcjonowania zgodnie z przepisami prawa i w zgodzie z przyjętymi normami w zakresie bezpieczeństwa danych osobowych oraz deklaruje, że zbiera i przetwarza dane wyłącznie w uzasadnionych celach, określonych w niniejszej Polityce, stosuje niezbędne środki, aby zapobiegać nieautoryzowanym dostępom do danych. W tym celu wprowadza się i na bieżąco aktualizuje zasady przetwarzania danych osobowych w Zoomlion.

2. Administrator Danych Osobowych zobowiązuje się wdrożyć i stosować w Zoomlion środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, w szczególności zabezpieczające te dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

3. Administrator Danych Osobowych zobowiązuje się do podjęcia odpowiednich kroków, aby dane osobowe przez cały okres ich przetwarzania, były:

a) przetwarzane zgodnie z prawem,

b) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

4. Administrator Danych Osobowych po rozważeniu zasadności wszelkich organizacyjnych i technicznych środków ochrony danych osobowych oraz ich proporcjonalności, zdecydował się nie powoływać Inspektora Ochrony Danych. Administrator Danych Osobowych zobowiązuje się do bieżącego monitorowania bezpieczeństwa ochrony danych osobowych i powołania Inspektora Ochrony Danych niezwłocznie po zidentyfikowaniu takiej potrzeby.

 

 

V. Główne zasady ochrony danych osobowych

1. Zasady bezpieczeństwa przetwarzania danych osobowych, wprowadzane niniejszą Polityką, w szczególności mają na celu zapewnienie:

a) poufności, rozumianej jako właściwość zapewniającą, że dane osobowe nie są udostępniane osobom nieupoważnionym,

b) integralności, rozumianej jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,

c) rozliczalności, rozumianej jako właściwość zapewniającą, że działania podmiotu wobec danych osobowych mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,

d) dostępności, rozumianej jako właściwość zapewniającą, że dane osobowe będą osiągalne i możliwe do wykorzystania na żądanie, w założonym czasie, przez osobę upoważnioną.

2. Zasady określone w niniejszej Polityce oraz w dokumentach powiązanych powinny być znane i stosowane przez pracowników oraz współpracowników Zoomlion przetwarzających dane osobowe, których administratorem jest Zoomlion, jak i tych, których Zoomlion jest podmiotem przetwarzającym, w szczególności każdy upoważniony do przetwarzania pracownik/współpracownik ma obowiązek podejmować odpowiednie środki ochrony danych przed utratą lub nieuprawnioną zmianą, dostępem lub ujawnieniem.

3. Pracownicy/współpracownicy mają świadomość możliwości zaistnienia sytuacji naruszenia ochrony danych osobowych, przestrzegają procedur związanych z przebywaniem w obszarze przetwarzania danych osobowych osób nieupoważnionych oraz odpowiednio reagują na sytuacje stwarzające podejrzenie naruszenia bezpieczeństwa informacji i Polityki.

4. Każda osoba przetwarzająca dane osobowe w Zoomlion, przed dopuszczeniem do przetwarzania danych osobowych, otrzymuje pisemne upoważnienie Administratora Danych Osobowych.

5. Przed rozpoczęciem przetwarzania danych osobowych każdy pracownik/współpracownik zostaje zapoznany z obowiązującymi w Zoomlion zasadami przetwarzania danych osobowych, w szczególności z obowiązującymi przepisami prawa o ochronie danych osobowych, Polityką oraz z zasadami użytkowania urządzeń i systemów informatycznych służących do przetwarzania danych osobowych, zasadami dostępu do pomieszczeń, w których przetwarzane są dane osobowe, sposobem postępowania w przypadku naruszenia ochrony danych osobowych lub systemu informatycznego oraz odpowiedzialnością z tytułu naruszenia ochrony danychosobowych, a także zasadami przetwarzania danych osobowych przewidzianymi przepisami RODO.

6. Osoby, które zostały upoważnione do przetwarzania danych, obowiązane są zachować w tajemnicy gromadzone w Zoomlion dane osobowe, a także sposoby ich zabezpieczenia.

7. Za bieżącą ochronę danych osobowych odpowiada każda osoba przetwarzająca te dane w zakresie zgodnym z udzielonym upoważnieniem, kompetencjami lub rolą sprawowaną w procesie przetwarzania danych.

8. Pracownicy/współpracownicy Zoomlion są zobowiązani do informowania o wszelkich podejrzeniach naruszenia lub zauważonych naruszeniach oraz słabościach systemu przetwarzającego dane osobowe Administratorowi Systemu Informatycznego, Kadrze Kierowniczej lub bezpośredniego Administratorowi Danych Osobowych.

 

 

VI. Role i odpowiedzialności

A. Obowiązki i kompetencje Administratora Danych Osobowych

1. Administrator Danych Osobowych jest odpowiedzialny za przetwarzanie i ochronę danych osobowych w Zoomlion zgodnie z przepisami prawa, w tym wprowadzenie do stosowania procedur postępowania zapewniających prawidłowe przetwarzanie danych osobowych.

2. Administrator Danych Osobowych upoważniony jest do przetwarzania wszelkich danych osobowych przetwarzanych w Zoomlion, zgodnie z obowiązującymi przepisami prawa w tym zakresie.

3. Do kompetencji Administratora Danych Osobowych należy podział zadań i obowiązków związanych z organizacją ochrony danych osobowych w Zoomlion, przyjmowanie i zatwierdzanie niezbędnych, wymaganych przez przepisy powszechnie obowiązującego prawa lub aktualny stan faktyczny dokumentów regulujących ochronę danych osobowych w Zoomlion (w tym Polityki i Instrukcji Zarządzania Systemem Informatycznym przetwarzającym dane osobowe), zapewnia niezbędne zasoby i narzędzia w celu realizacji Polityki w sposób efektywny oraz monitoruje jej przestrzeganie.

4. Administrator Danych Osobowych zapewnia osobom przetwarzającym dane osobowe w Zoomlion szkolenia wstępne i okresowe z zakresu ochrony danych osobowych oraz zagrożeń związanych z ich przetwarzaniem, ze szczególnym uwzględnieniem przetwarzania danych w Systemach Informatycznych.

5. Do obowiązków Administratora Danych Osobowych należy:

a) zapewnianie przestrzegania przepisów o ochronie danych osobowych,

b) wdrożenie niezbędnych procedur dotyczących zasad przetwarzania danych osobowych w Zoomlion,

c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

6. Ponadto zgodnie z zapisami RODO, Administrator Danych Osobowych ma obowiązek przede wszystkim dbania o to, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to skutecznie wykazać. W tym celu ma on wdrażać odpowiednie i skuteczne środki techniczne oraz organizacyjne:

a) które zapewniają najwyższy znany i możliwy w chwili przetwarzania danych poziom ochrony,

b) środki, o których mowa powyżej są w razie potrzeby poddawane przeglądom i uaktualniane, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia,

c) jeżeli będzie to proporcjonalne w stosunku do czynności przetwarzania, środki te obejmą wdrożenie przez administratora odpowiednich polityk ochrony danych.

B. Obowiązki i kompetencje Administratora Systemu Informatycznego (ASI)

1. W celu prawidłowego i rzetelnego sprawowania kontroli nad bezpieczeństwem przetwarzanych danych osobowych w Zoomlion powołuje się Administratora Systemu Informatycznego (ASI), który jest odpowiedzialny za przestrzeganie wymogów bezpieczeństwa systemów informatycznych przetwarzających dane osobowe.

2. Do sprawowania funkcji ASI powołano profesjonalną osobę, zajmującą się obsługą teleinformatyczną Zoomlion na podstawie odrębnej umowy.

3. Do obowiązków ASI należy w szczególności:

a) nadzorowanie bezpieczeństwa i zgodności z niniejszą Polityką przetwarzania danych w systemach informatycznych, bazach danych oraz sprzęcie komputerowym;

b) konfiguracja systemów, instalowanie i aktualizacja oprogramowania;

c) nadzorowanie, wykrywanie i eliminowanie nieprawidłowości pracy systemów;

d) asystowanie i współpraca z zewnętrznymi specjalistami przy pracach instalacyjnych, konfiguracyjnych i naprawczych, jeżeli zajdzie konieczność wykonania takich prac przez podmiot zewnętrzny;

e) nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych, na których zapisane są dane osobowe;

f) sprawdzenie poprawności i prawidłowości wykonywanych kopii bezpieczeństwa oraz możliwości ich odtworzenia w razie wystąpienia incydentu lub awarii;

g) kontrola stosowanych zabezpieczeń teleinformatycznych pod kątem odporności i aktualności stosowanych środków zabezpieczenia IT;

h) nadzór nad zapewnieniem i sprawdzaniem awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych.

4. ASI odpowiedzialny jest ponadto za weryfikację użytkowanych systemów, w których przetwarzane są dane osobowe w zakresie wymagań RODO, tj. zapewnienia takich funkcjonalności, które zapewniają:

a) pseudonimizację, szyfrowanie oraz anonimizację danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

C. Obowiązki i kompetencje Kadry Kierowniczej

1. Kadra Kierownicza jest odpowiedzialna za określenie i zapewnienie odpowiedniego poziomu bezpieczeństwa z uwzględnieniem zagrożeń i kategorii danych przetwarzanych w danym Zbiorze/Systemie informatycznym oraz za ustalanie uprawnień do przetwarzania danych w zbiorze/systemie oraz zasad weryfikacji tych uprawnień.

2. Ponadto każda osoba, w szczególności Kadra Kierownicza odpowiada za zapewnienie przestrzegania niniejszej Polityki a także innych wdrożonych procedur dotyczących zasad gromadzenia i przetwarzania danych osobowych w Zoomlion.

3. Kadra Kierownicza, w celu zapewnienia, aby dane były przechowywane w postaci umożliwiającej identyfikację osób, których dane dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania, każdorazowo ustala okres przechowywania danych osobowych w Zbiorach/Systemach maksymalnie do realizacji celu, w którym dane te zostały zebrane, chyba że istnieje przepis prawa, który zobowiązuje Zoomlion do dłuższego przechowywania tych danych. Po ustalonym okresie dane te zostaną usunięte lub zanonimizowane w taki sposób, aby uniemożliwić identyfikację osób, których dane dotyczą.

D. Obowiązki i kompetencje Użytkowników

1. Użytkownik systemu jest odpowiedzialny za przestrzeganie wymogów bezpieczeństwa określonych przepisami prawa oraz niniejszą Polityką, jak również za przetwarzanie danych zgodnie ze swoim zakresem upoważnienia oraz uprawnień w danym systemie informatycznym.

2. Do obowiązków każdej osoby upoważnionej do przetwarzania danych osobowych należy przede wszystkim dochowanie należytej staranności w celu ochrony danych oraz stosowanie w możliwie największym zakresie wszelkich dostępnych środków ochrony danych osobowych, eliminując ryzyko dostępu do stacji roboczej osoby nieuprawnionej, ponadto do obowiązków każdej osoby należy w szczególności:

a) przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami prawa oraz przyjętymi regulacjami;

b) postępowania zgodnie z ustalonymi regulacjami wewnętrznymi dotyczącymi przetwarzania danych osobowych;

c) zachowania w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia;

d) informowania Administratora Danych Osobowych za pośrednictwem przełożonego lub bezpośrednio, o wszelkich podejrzeniach naruszenia lub zauważonych naruszeniach oraz słabościach systemu przetwarzającego dane osobowe.

E. Dopuszczenie osób do przetwarzania danych osobowych

1. Przed dopuszczeniem pracownika/współpracownika Zoomlion do wykonywania zadań związanych z przetwarzaniem danych osobowych ADO:

a) zapoznaje pracownika/współpracownika z przepisami dotyczącymi ochrony danych osobowych, niniejszą Polityką oraz innymi uregulowaniami wewnętrznymi obowiązującymi w tym zakresie w Zoomlion;

b) odbiera od pracownika/współpracownika podpisane zobowiązanie do zachowania danych osobowych i sposobów ich zabezpieczania w tajemnicy oraz przetwarzania danych osobowych zgodnie z obowiązującymi przepisami oraz oświadczenie o znajomości niniejszej Polityki, jak również Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w Zoomlion. Wzór przedmiotowego oświadczenia stanowi załącznik do niniejszej Polityki;

c) nadaje pracownikowi/współpracownikowi formalne upoważnienie do przetwarzania danych osobowych w określonym zakresie.

2. Oświadczenia i upoważnienia, o których mowa w ust. 1 powyżej, przechowuje się w aktach osobowych pracownika/współpracownika.

 

 

VII. Upoważnienia i ewidencja osób upoważnionych do przetwarzania danych osobowych

1. Procedura wydawania upoważnień:

a) w imieniu Zoomlion (Administratora Danych Osobowych) indywidualne upoważnienia do przetwarzania danych osobowych dla poszczególnych pracowników nadaje Kadra Kierownicza;

b) upoważnienia w formie pisemnej (dopuszczalna forma elektroniczna – email) i/lub papierowej wydawane są na wniosek bezpośredniego przełożonego lub polecenie ADO;

c) w przypadku potrzeby nadania upoważnienia do przetwarzania danych osobowych nowemu pracownikowi, bezpośredni przełożony takiej osoby zwraca się z pisemnym wnioskiem (dopuszczalnym jest zwrócenie się z wnioskiem w postacie elektronicznej, tj. służbowego e-maila) do Administratora Danych Osobowych, w którym wskazuje zakres żądanych uprawnień w systemie informatycznym dla nowego pracownika (jeżeli uprawnienia mają być standardowe, wystarczające jest w tym zakresie wskazanie grupy uprawnień, którą determinuje stanowisko w danej komórce organizacyjnej);

d) ADO wydaje pisemne upoważnienie do utworzenia odpowiednich fizycznych uprawnień w systemie informatycznym (dopuszczalna forma służbowego e-maila);

e) po wydaniu upoważnienia i nadaniu uprawnień pracownik może rozpocząć pracę.

2. Upoważnienia, o których mowa powyżej obowiązują do czasu ustania stosunku pracy lub obowiązków związanych z przetwarzaniem danych osobowych, chyba, że w treści upoważnienia zaznaczono inaczej.

3. Zapewnia się, aby w Zoomlion była prowadzona ewidencja osób upoważnionych do przetwarzania danych osobowych (dopuszczalna jest forma elektroniczna).

4. Ewidencja osób upoważnionych do przetwarzania danych osobowych powinna zawierać:

a) imię i nazwisko osoby upoważnionej do przetwarzania danych osobowych;

b) zakres upoważnienia do przetwarzania danych osobowych;

c) identyfikator, jeśli osoba upoważniona została zarejestrowana w systemie informatycznym służącym do przetwarzania danych osobowych;

d) datę nadania i wygaśnięcia uprawnień.5. Każde nadanie uprawnień dla nowego Użytkownika do zbioru/systemu powinno być uprzednio przez ADO zgłoszone do prowadzonej ewidencji.

6. Jakakolwiek zmiana w zakresie informacji zawartych w ewidencji powinna podlegać natychmiastowej aktualizacji w prowadzonej ewidencji.

7. Za zgłoszenie uprawnień dla osoby prowadzącej ewidencję odpowiada odpowiednio Kadra Kierownicza. Zmiany zakresu uprawnień powinny być odnotowywane na bieżąco przez Kadrę Kierowniczą, przełożeni pracowników i pracownicy kadrowi odpowiadają za bezzwłoczne zgłoszenie do ADO osób, które utraciły uprawnienia dostępu lub upoważnienie do przetwarzania danych osobowych.

 

VIII. Obowiązek informacyjny

1. Administrator Danych Osobowych jest zobowiązany do spełnienia obowiązku informacyjnego w każdym wypadku zbierania danych. Klauzula taka powinna informować osobę, której dane zbieramy przede wszystkim o:

a) danych kontaktowych ADO;

b) przepisie prawa, na podstawie którego odbywa się przetwarzanie;

c) gdy przetwarzanie odbywa się na podstawie prawnie uzasadnionego interesu ADO lub strony trzeciej, należy go wskazać;

d) gdy przetwarzanie odbywa się na podstawie zgody podmiotu danych o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

e) gdy dane zostały pozyskane nie bezpośrednio od podmiotu danych, źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;

f) informacji o zamiarze przekazywania danych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu bądź braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony. W przypadku przekazania do państwa niegwarantującego odpowiedniego poziomu ochrony należy podać informację o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych bądź o miejscu udostępnienia danych;

g) okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteria ustalania tego okresu;

h) prawie do żądania od ADO dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

i) prawie wniesienia skargi do PUODO;

j) zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

2. Klauzuli informacyjnej, opisanej w ust. 1 powyżej nie stosuje się w przypadkach, kiedy:

a) istnieje przepis szczególny, który zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania;

b) osoba, której dane dotyczą, posiada już informacje, o których mowa w pkt.1.

3. W przypadku zbierania danych osobowych od podmiotu innego niż osoba, której one dotyczą, należy poinformować osobę, której dane dotyczą, bezpośrednio po utrwaleniu zebranych danych, o:

a) adresie siedziby i pełnej nazwie ADO;

b) celu zbierania danych, a w szczególności o znanych ADO w czasie udzielania informacji przewidywanych odbiorcach lub kategoriach odbiorców danych, jeśli dane te będą udostępniane innym podmiotom;

c) źródle danych (tzn. skąd lub od kogo Zoomlion pozyskał dane osobowe, np. od innej osoby, innego podmiotu, ze źródeł powszechnie dostępnych);

d) prawie do dostępu do treści swoich danych osobowych;

e) uprawnieniach osoby, której dane dotyczą, wynikających z przepisów prawa w szczególności:

• prawa do wniesienia, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację,

• prawa wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, przewidzianych w przepisach prawa.

4. Obowiązek informacyjny, opisany w ust. 3 powyżej, nie obowiązuje tylko w przypadkach, kiedy:

a) istnieje przepis szczególny, który przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą;

b) zebrane dane są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą, a spełnienie obowiązku informacyjnego wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania;

c) osoba, której dane dotyczą, posiada już informacje, o których mowa.

5. Obowiązek informacyjny może być spełniony umieszczeniem na stronie internetowej Polityki Prywatności w zakresie przez nią przewidzianą. Polityka Prywatności stanowi załącznik do niniejszej Polityki.

 

 

IX. Obszar przetwarzania danych osobowych

1. Dane osobowe mogą być przetwarzane wyłącznie w obszarach przetwarzania danych osobowych, na które składają się pomieszczenia biurowe oraz budynki, w których Zoomlion prowadzi swoją działalność.

2. Szczegółowa lista obszarów przetwarzania danych osobowych stanowi załącznik do Polityki.

3. Postanowienia ust. 1 nie wyłączają możliwości przetwarzania danych osobowych poza obszarami przetwarzania danych osobowych przez pracownika/współpracownika za pomocą służbowego sprzętu.

4. Uprawnienie do przetwarzania danych osobowych w sposób, o którym mowa w ust. 3, powinno być udzielone w upoważnieniu, o którym mowa w rozdz. VII.

 

X. Identyfikacja zagrożeń

1. Ze względu na źródło powstania ewentualnego zagrożenia wyróżnia się następujące grupy:

a) zagrożenia losowe zewnętrzne – np. klęski żywiołowe, powodzie, przerwy w zasilaniu – ich występowanie może prowadzić do zniszczenia danych, utraty ich integralności i uszkodzenia infrastruktury technicznej systemu, w tym przypadku zakłócona zostaje ciągłość systemu, ale nie dochodzi do naruszenia poufności danych;

b) zagrożenia losowe wewnętrzne – np. awarie sprzętowe, pomyłki administratora, błędy oprogramowania – może zostać zakłócona ciągłość pracy systemu, może dojść do zniszczenia lub naruszenia poufności danych;

c) zagrożenia celowe – najpoważniejsze zagrożenie naruszenia poufności danych, zazwyczaj nie następuje zakłócenie ciągłości pracy systemu ani uszkodzenie infrastruktury.

2. System przetwarzania danych osobowych został skonstruowany w sposób udostępniający połączenie z siecią publiczną, w związku z czym, szczególnej analizie poddano ryzyko dostania się do systemu z zewnątrz. Zagrożenia wewnętrzne są jednak groźniejsze, a ich wystąpienie może prowadzić do wystąpienia znacznych strat i utrudnień w działaniu tego sytemu. Identyfikuje się również zagrożenie ze strony własnych pracowników. Zdefiniowanie listy i wymiarów zagrożeń pozwala na wprowadzenie stosownych do rodzaju zagrożenia oraz ryzyka jego wystąpienia metod i reguł wspomagających ich unikania, wdrożenie odpowiednich środków bezpieczeństwa.

3. Przypadki zakwalifikowane, jako naruszenie lub uzasadnienie podejrzenia naruszenia bezpieczeństwa systemu informatycznego, podlegające stałemu monitorowaniu to w szczególności:

a) sytuacje losowe lub nieprzewidziane zdarzenia zewnętrzne (np. wybuch gazu, pożar, zalanie, katastrofa budowlana, napad, działanie terrorystyczne, niepożądane działanie ekipy remontowej itp.);

b) niewłaściwe środowisko użytkowania (np. nadmierna wilgotność, zbyt wysoka temperatura, oddziaływanie pola elektromagnetycznego);

c) uszkodzenie sprzętu lub oprogramowania bezpośrednio wskazujące na umyślne działanie ukierunkowane na naruszenie ochrony danych, niewłaściwe działanie serwisu lub sam fakt pozostawienia serwisantów bez nadzoru;

d) pojawienie się alarmu z części systemu bezpośrednio odpowiadającej za ochronę zasobów;

e) niska jakość danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenia systemu bądź inna nadzwyczajna i niepożądana modyfikacja w systemie;

f) wystąpienie naruszenia lub próba naruszenia integralności systemu;

g) wystąpienie niedopuszczalnej zmiany danych osobowych w systemie;

h) ujawnienie osobom trzecim danych osobowych lub objętych tajemnicą procedur przetwarzania danych bądź innego strzeżonego elementu systemu zabezpieczeń;

i) wykazanie nieprzypadkowego odstępstwa od założonego rytmu pracy wskazujące na przełamanie lub zaniechanie ochrony danych osobowych;

j) ujawnienie nieautoryzowanego konta dostępu do systemu;

k) skasowanie lub skopiowanie danych w niedozwolony sposób;

l) rażące naruszenie dyscypliny pracy w zakresie procedur bezpieczeństwa informacji (np. opuszczenie stanowiska bez wcześniejszego wylogowania lub odpowiedniego zabezpieczenia stanowiska, pozostawienie danych osobowych na kserokopiarce, drukarce, niezamknięcie pomieszczenia z komputerem, praca nad danymi w prywatnych celach, itp.).

4. Analizy ryzyka, związanego z wystąpieniem oraz wagą ewentualnego zaistniałego incydentu dokonuje ADO lub wyznaczona przez niego osoba.

 

XI. Ochrona danych osobowych w fazie projektowania oraz domyślna ochrona danych 1. 2. 3. 4. Podczas planowania procesów, podczas których będzie dochodziło do przetwarzania danych osobowych, konieczne jest przeprowadzenie oceny w zakresie uwzględnienia wymogów ochrony danych osobowych wynikających z RODO.

Podczas oceny należy wziąć po uwagę:

a) stan wiedzy technicznej;

b) koszt wdrażania;

c) charakter, zakres, kontekst i cele przetwarzania;

d) ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania. Proces może zostać uruchomiony tylko w przypadku spełnienia wymagań ochrony danych osobowych. W celu uwzględnienia ochrony danych w fazie projektowania oraz stosowania domyślnej ochrony danych Administrator wdraża odpowiednie środki organizacyjne.

 

XII. Środki bezpieczeństwa

1. Po dokonaniu wnikliwej analizy, w Zoomlion dokonano wyboru poszczególnych metod zabezpieczeń oraz warunków technicznych stosowanych w celu optymalnego zabezpieczenia przetwarzanych danych osobowych w zależności od aktualnego poziomu zagrożeń.

2. W zakresie środków bezpieczeństwa organizacyjnych i fizycznych stosuje się m.in.:

a) drzwi wejściowe zabezpieczone zamkiem oraz wewnętrznym system identyfikacji osobowej;

b) przetwarzane dane osobowe w formie papierowej i elektronicznej przechowywane są w pomieszczeniach zabezpieczonych dodatkowymi zamykanymi drzwiami zabezpieczonymi zamkiem, do których dostęp mają jedynie osoby do tego upoważnione;

c) ochronę obszaru przetwarzania danych osobowych zapewnia się poprzez odpowiednie fizyczne zabezpieczenia, w szczególności zapewnienie solidnej konstrukcji ścian zewnętrznych pomieszczeń oraz odpowiednie zabezpieczenie drzwi zewnętrznych przed nieautoryzowanym dostępem za pomocą mechanizmów zabezpieczeń (alarmów i zamków);

d) obszar przetwarzania danych jest zabezpieczony przed dostępem osób nieupoważnionych. Dostęp osób trzecich jest możliwy jedynie pod nadzorem osoby upoważnionej;

e) główne centra przechowywania i przetwarzania danych, takie jak serwerownia, archiwum, klasyfikuje się jako obszary krytyczne, z ograniczonym, reglamentowanym dostępem. Obszary krytyczne muszą być chronione w odpowiedni sposób przed pożarem, zalaniem itp.;

f) dostęp do pomieszczeń, w których przetwarzane są dane osobowe jest reglamentowany drzwiami wyposażonymi w zamek;

g) pomieszczenie, w którym są przetwarzane dane osobowe zabezpieczone powinno być przed skutkami pożaru za pomocą wolnostojącej gaśnicy;

h) dane w postaci papierowej oraz nośniki elektroniczne zawierające dane osobowe zabezpiecza się przed dostępem osób nieupoważnionych w szafach, które znajdują się w specjalnie wydzielonym do tego obszarze odseparowanym od pomieszczeń, w których mogą przebywać osoby trzecie bez nadzoru osób upoważnionych;

i) dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów;

j) kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są dedykowanym archiwum znajdującym się w osobnym pomieszczeniu lub osobnej szafie;

k) monitory i ekrany komputerów, na których przetwarzane są dane osobowe w Spółce, ustawione powinny być w sposób uniemożliwiający wgląd w ekrany osobom nieupoważnionym, pracownicy/współpracownicy zobowiązani są stosować politykę czystego biurka i ekranu, podczas pracy przy przetwarzaniu danych osobowych;

l) opuszczając stanowisko pracy, dokumenty zawierające dane osobowe powinny zostać schowane, a ekrany komputerów zablokowane (np. za pośrednictwem wygaszacza ekranu chronionego hasłem);

m) wydruki powinny być niezwłocznie usuwane z drukarki, a robocze, błędne lub zdezaktualizowane powinny być niezwłocznie niszczone przy użyciu niszczarki do papieru lub w inny sposób zapewniający skuteczne ich usunięcie lub zanonimizowanie;

n) przetwarzanie danych osobowych na komputerach przenośnych wymaga stosowania i przestrzegania zasad przetwarzania danych poza obszarem przetwarzania, opisanych w Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w Zoomlion.

3. W zakresie zabezpieczenia sprzętowego oraz infrastruktury informatycznej i telekomunikacyjnej w Zoomlion stosuje się m.in. takie środki jak:

a) gaśnice, hydranty i czujniki dymu mające na celu ochronę systemu infrastruktury informatycznej służącego do przetwarzania danych osobowych;

b) zabezpieczenie dostępu do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe za pomocą procesu uwierzytelnienia z wykorzystaniem hasła;

c) wyposażenie każdej stacji roboczej w program antywirusowy w celu ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity;

d) standardowy system Firewall oferowany z oprogramowaniem Windows do ochrony dostępu do sieci komputerowej;

e) zakaz korzystania ze sprzętu firmowego w celach prywatnych;

f) zabezpieczenie nośników informacji, które po zakończeniu pracy są pozostawiane w pomieszczeniu przed zabraniem przez osobę nieuprawnioną lub zniszczeniem, poprzez zamknięcie sprzętu w szafce zamykanej na klucz, do której dostęp ma tylko użytkownik danego sprzętu;

g) obowiązek zabezpieczenia nośników informacji zawierających dane osobowe zabieranych do domu przez pracowników, sprzętu komputerowego przed wglądem osób nieupoważnionych, a także dochowanie wszelkich starań w celu ochrony sprzętu przed zniszczeniem etc.;

h) zastosowanie automatycznych wygaszaczy ekranu i obowiązku blokowania nieużywanej stacji roboczej przez pracowników, automatycznej blokady komputera podczas dłuższej nieobecności pracownika przy stanowisku pracy, w przypadku, gdyby nie dokonał zabezpieczenia komputera samodzielnie;

i) w celu ochrony przed utratą zgromadzonych danych wykonywane są cyklicznie kopie zapasowe, w Zoomlion wyznaczono osoby odpowiedzialne za zabezpieczenie danych w wypadku wystąpienia incydentu lub zdarzenia losowego, które mogłoby zakłócić zasady ciągłości przetwarzania danych;

j) serwer oraz każda stacja robocza wyposażone są w ochronę antywirusową.

4. W celu maksymalizacji stosowanych zabezpieczeń przetwarzanych danych osobowych wyselekcjonowano m.in. poniższe środki bezpieczeństwa w ramach narzędzi programowych i baz danych:

a) wykorzystano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych osobowych;

b) zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych;

c) dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem hasła, stosuje się kryptograficzne środki ochrony danych osobowych, na stanowisku może być zaimportowany wyłącznie klucz prywatny i odpowiadający mu certyfikat do połączeń VPN.

5. W zakresie środków organizacyjnych zabezpieczenia przetwarzanych danych osobowych zastosowanie mają m.in. poniższe zasady:

a) osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych;

b) przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego;

c) osoby zatrudnione przy przetwarzaniu danych osobowych zobowiązane zostały do zachowania ich w tajemnicy;

d) prowadzi się ewidencję osób upoważnionych do przetwarzania danych osobowych;

e) jedynie osoby posiadające stosowne upoważnienie mają klucze wejściowe do biura oraz są uprawnione do otwierania i zamykania obszarów przetwarzania danych osobowych wymienionych w załączniku.;

f) w Zoomlion obowiązuje zasada ,,czystego biurka”.

 

 

XIII. Współadministrowanie danymi osobowymi

1. W przypadku, gdy Administrator będzie wspólnie z innym podmiotem lub podmiotami ustalał cele i sposoby przetwarzania danych osobowych, konieczne jest dokonanie wspólnych uzgodnień pomiędzy podmiotami będącymi współadministratorami. Uzgodnienia takie mogą przyjąć formę w szczególności umowy lub innego porozumienia stron.

2. Uzgodnienia muszą określać odpowiednie zakresy odpowiedzialności współadministratorów dotyczącej wypełniania obowiązków wynikających z RODO, w szczególności w odniesieniu do realizacji praw osób oraz wypełnienia obowiązków informacyjnych, o których mowa w art. 13 i 14 RODO, chyba że przypadające współadministratorom obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu podlegają współadministratorzy. W uzgodnieniach należy także wskazać punkt kontaktowy dla osób, których dane dotyczą. Zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą.

3. W celu przestrzegania obowiązków dotyczących współadministrowania Administrator weryfikuje zasady współpracy z innymi podmiotami w zakresie ustalenia, czy dochodzi do współadministrowania danymi z innymi podmiotami.

 

 

XIV. Powierzanie przetwarzania danych osobowych

1. Powierzenie przetwarzania danych osobowych następuje w sytuacji, kiedy Zoomlion jako administrator danych osobowych, zleca innemu podmiotowi realizację zadań, w których podmiot ten będzie miał dostęp do tych danych i będzie przeprowadzał na nich jakiekolwiek operacje, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Podmiot, któremu powierzono przetwarzanie danych osobowych, może przetwarzać te dane wyłącznie w imieniu i za zgodą ADO, która pozostaje administratorem tych danych osobowych.

2. Aby zapewnić kontrolę nad danymi osobowymi i w wykonaniu przepisów Ustawy, ADO zapewni, aby powierzenie przetwarzania danych osobowych odbywało się wyłącznie po zawarciu pisemnej umowy powierzenia przetwarzania danych osobowych z podmiotem, któremu zleca się czynności związane z przetwarzaniem tych danych. ADO prowadzi rejestr podmiotów, którym powierzyła przetwarzanie danych osobowych.

3. W umowie powierzenia przetwarzania danych osobowych określa się przede wszystkim cel i zakres przetwarzania danych osobowych. Zapisy takie mogą być częścią ogólnej umowy współpracy.

4. W każdej umowie powierzenia przetwarzania danych osobowych oraz w umowach, na podstawie których dochodzi do wymiany informacji, uwzględnia się m.in. następujące elementy:

a) określenie administratora danych;

b) określenie podmiotu przetwarzającego dane na zlecenie administratora;

c) oświadczenie administratora danych, potwierdzające, że ma prawo decydować o celu i środkach przetwarzania powierzanych danych;

d) przedmiot i czas trwania przetwarzania;

e) charakter i cel przetwarzania, rodzaj powierzanych danych osobowych oraz kategorie osób, których powierzenie dotyczy (czyli określenie jakie dane, w jakiej ilości, jakiej formie są powierzane);

f) oświadczenie podmiotu przetwarzającego, że posiada niezbędne, wymagane przepisami prawa środki ochrony fizycznej i organizacyjnej, mające na celu zapewnienie zgodności przetwarzania danych z przepisami, w szczególności, że:

• dokonał wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie powierzonych danych spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą,

• wdrożone środki są na poziomie co najmniej takim, jak u ADO oraz zostały dobrane i są stosowane w oparciu o prowadzoną analizę ryzyka i zagrożeń,

• zapewnia regularne testowanie, mierzenie i ocenianie wdrożonych środków ochrony danych,

• przeszkolił oraz zobligował do zachowania poufności personel, który będzie przetwarzał dane,

• informuje administratora o obowiązku przekazania, wynikającym z przepisów prawa, powierzonych danych do Państwa trzeciego lub organizacji międzynarodowej. W takiej sytuacji administrator ma prawo zrezygnować z powierzenia;

g) zasady dalszego powierzenia danych: czy ADO zgadza się na dalsze powierzenie. W przypadku zgody, komu dane będą powierzone oraz czy jest planowane dalsze powierzenie (obowiązek informowania ADO o każdym dalszym powierzeniu i pozyskanie jego zgody);

h) określenie odpowiedzialności podmiotu przetwarzającego za każde dalsze powierzenie, także za zawarcie odpowiedniej umowy oraz zapewnienie przez ten podmiot poziomu ochrony nie niższej niż ten zapewniony przez podmiot przetwarzający;

i) obowiązek (w miarę możliwości) wsparcia przy wywiązywaniu się z obowiązków informacyjnych wobec podmiotu danych;

j) obowiązek usunięcia lub zwrócenia danych po zakończeniu przetwarzania;

k) prawo do bycia kontrolowanym przez ADO;

l) obowiązek niezwłocznego informowania ADO, o każdym naruszeniu lub podejrzeniu naruszenia poufności powierzonych danych.

5. Umowa powierzenia przetwarzania danych osobowych nie wyłącza odpowiedzialności Zoomlion za bezpieczeństwo tych danych osobowych.

6. Powierzenie przetwarzania danych osobowych do państw trzecich, nienależących do Europejskiego Obszaru Gospodarczego, odbywa się po sprawdzeniu przez ADO odpowiednich wymagań prawnych obowiązujących w tym zakresie.

7. ADO może powierzyć sprawdzenie, o którym mowa w ust. 6, Kadrze Zarządzającej.

8. ADO korzysta wyłącznie z usług podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.XV. Postępowanie w przypadku naruszenia lub podejrzenia naruszenia ochrony danych osobowych

1. Przed przystąpieniem do pracy pracownicy i współpracownicy Zoomlion zobowiązani są dokonać sprawdzenia stanu urządzeń informatycznych oraz oględzin swojego stanowiska pracy, w tym zwrócić szczególną uwagę, czy nie zaszły okoliczności wskazując na naruszenie lub próby naruszenia ochrony danych osobowych przetwarzanych w systemach informatycznych, jak i w zbiorach nieinformatycznych (w postaci papierowej).

2. Za okoliczności, które uznaje się za naruszenie lub podejrzenie naruszenia ochrony danych lub systemu przetwarzającego dane osobowe mogą być uznane w szczególności:

a) Niewłaściwe zabezpieczenie fizyczne pomieszczeń, sprzętu komputerowego czy dokumentacji;

b) nieprzestrzeganie zasad ochrony danych osobowych (np. niestosowanie zasady czystego biurka/ekranu, ochrony i zmiany haseł, niezamykanie pomieszczeń i szafek z dokumentami);

c) zdarzenia losowe (np. pożar, zalanie wodą, utrata zasilania) i awarie;

d) umyślne incydenty (np. włamanie do systemu, kradzież sprzętu);

e) nieuprawniony dostęp lub próbę dostępu do danych osobowych lub pomieszczeń, w których się one znajdują;

f) niezamierzoną zmianę lub utratę danych zapisanych na kopiach zapasowych;

g) nieuprawniony dostęp do danych osobowych (sygnał o nielegalnym logowaniu lub inny objaw wskazujący na próbę lub działanie związane z nielegalnym dostępem do systemu);

h) udostępnienie osobom nieupoważnionym danych osobowych lub ich części;

i) inny stan systemu informatycznego lub pomieszczeń, niż pozostawiony przez użytkownika po zakończeniu pracy;

j) utrata nośników danych, czyli zagubienie lub kradzież sprzętu informatycznego lub nośników zewnętrznych zawierających dane osobowe (np. wydruków komputerowych, płyt CD-ROM, dysków twardych, pamięci zewnętrznych, itp.);

k) pozostawianie osób postronnych bez nadzoru w miejscach, gdzie dane osobowe są przetwarzane i łatwo dostępne;

l) przekazywanie danych osobowych podczas rozmowy telefonicznej, bez weryfikacji czy rozmówca jest osobą uprawnioną do uzyskania takich informacji;

m) wyrzucanie podręcznych notatek czy dokumentów do zwykłych koszy na śmieci, bez użycia niszczarki do papieru.

3. W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenia ochrony danych osobowych osoba stwierdzająca naruszenie zobowiązana jest:

a) powstrzymać się od rozpoczęcia lub kontynuowania pracy, jak również od podejmowania jakichkolwiek czynności mogących spowodować zatarcie śladów bądź innych dowodów naruszenia;

b) zabezpieczyć elementy systemu informatycznego lub dokumentację, przede wszystkim poprzez uniemożliwienie dostępu do nich osobom nieupoważnionym;

c) podjąć stosowne do zaistniałej sytuacji i niezbędne działania celem zapobieżenia dalszym zagrożeniom, które mogą skutkować utratą danych osobowych;

d) bezzwłocznie powiadomić o naruszeniu ADO, Kadrę Kierowniczą oraz ASI, jeśli naruszenie dotyczy danych przetwarzanych w Systemie informatycznym; wykonywać polecenia tych podmiotów.

4. W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenia ochrony danych osobowych ADO:

a) ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki;

b) ocenia zastałą sytuację, biorąc pod uwagę w szczególności stan pomieszczeń, w których przetwarzane są dane osobowe oraz stan urządzeń;

c) wysłuchuje relacji osoby, która dokonała powiadomienia oraz innych osób związanych z incydentem;

d) rekomenduje działania prewencyjne zmierzające do eliminacji podobnych zdarzeń w przyszłości;

e) podejmuje decyzje o toku dalszego postępowania, stosownie do zakresu naruszenia lub zasadności podejrzenia naruszenia ochrony danych osobowych;

f) dokumentuje prowadzone postępowanie;

g) dokonuje oceny ryzyka ewentualnego naruszenia praw i wolności osób fizycznych w wyniku zaistniałej sytuacji;

h) wykonuje analizę incydentu, mającą na celu eliminację ich wystąpienia w przyszłości;

i) każdy incydent jest ewidencjonowany przez ADO.

5. W przypadku, gdy naruszenie ochrony danych osobowych jest wynikiem uchybienia obowiązującej w Zoomlion dyscypliny pracy, ADO wyjaśnia wszystkie okoliczności incydentu i podejmuje stosowne działania wobec osób, które dopuściły się wskazanego naruszenia.

6. Wykonanie wszystkich lub niektórych zadań wymienionych w ust. 4 i 5 ADO może zlecić Kadrze Kierowniczej lub podmiotowi trzeciemu.

7. Szczegółowe postępowanie w przypadku naruszeń określa Procedura Zgłaszania Naruszeń Ochrony Danych stanowiąca załącznik do niniejszej

Polityki.

 

XVI. Zasady przetwarzania danych osobowych w chmurze obliczeniowej i na serwerach zewnętrznych

1. Przed przekazaniem zasobów Zoomlion, zawierających dane osobowe, do przetwarzania w chmurze, należy dokonać oceny zagrożeń w kontekście przetwarzania danych osobowych w chmurze, w szczególności ewentualnego zagrożenia braku kontroli ADO nad danymi oraz niewystarczających informacjidotyczących samych operacji przetwarzania.

2. Zoomlion musi uzyskać od dostarczyciela usługi chmurowej pełną informację o wszystkich fizycznych lokalizacjach serwerów, na których przetwarzane będą dane osobowe Zoomlion. Informacja o zmianie lokalizacji przetwarzania danych powinna być przekazywana Zoomlion i z wyprzedzeniem, aby móc rozważyć zgodność z przepisami oraz zagrożenia bezpieczeństwa danych, w szczególności, jeśli dane mają być przekazywane do krajów trzecich.

3. Zoomlion powinien mieć możliwość zapoznania się z dokumentacją dotyczącą zasad bezpieczeństwa oraz środków technicznych zabezpieczających dane osobowe, stosowanych u dostarczyciela usług w chmurze.

4. Zoomlion zobowiązany jest posiadać pełną informację dotyczącą podwykonawców i podmiotów współpracujących z dostarczycielem chmury, a każdy z tych podmiotów powinien być związany takimi samymi klauzulami umownymi jak dostarczyciel chmury.

5. Zoomlion w przypadku skorzystania z usług oferowanych przez dostawcę chmury zobowiązany jest do podpisania umowy powierzenia przetwarzania danych osobowych, regulującej zakres przekazania i zarządzania danymi.

6. Zoomlion powinien określić w umowie z dostarczycielem usług w chmurze zasady przetwarzania danych osobowych w chmurze, retencji i usuwania tych danych oraz raportowania incydentów oraz wszelkich metod i środków zabezpieczenia danych osobowych.

7. W przypadku, gdy podmiot udostępniający serwery Zoomlion nie posiada wiedzy co do rodzaju danych przetwarzanych na tych serwerach przez ADO i nie ma możliwości zapoznania się z tymi danymi, Zoomlion powinien przynajmniej zobowiązać umownie ten podmiot do zachowania zasad bezpieczeństwa danych.

8. W przypadku podmiotów zagranicznych jako dostawców usług w chmurze lub usług hostingowych, Zoomlion zapewni, aby umowa z usługodawcą zawierała zapisy zapewniające, że dane osobowe będą chronione nie gorzej niż w Zoomlion i na zasadach zgodnych z polskimi przepisami o ochronie danych osobowych.

9. Szczegółowy opis środków i metod zabezpieczeń oraz stosowanych procedur dotyczących przetwarzania danych osobowych znajduje się w Instrukcji Zarządzania Systemem Informatycznym, stanowiącej załącznik do Polityki, służącym do przetwarzania danych osobowych w Zoomlion.

 

XVII. Zasady bezpieczeństwa podczas przekazywaniadanych osobowych

1. Podczas przekazywania informacji lub dokumentów zawierających dane osobowe, pracownicy i współpracownicy Zoomlion zobowiązani są stosować następujące zasady bezpieczeństwa:

a) stosowanie technik kryptograficznych podczas przesyłania danych publicznymi sieciami telekomunikacyjnymi;

b) zapewnienie ochrony przesyłanych danych osobowych przed przechwyceniem, skopiowaniem, modyfikacją, zniszczeniem poprzez zastosowanie odpowiednich środków technicznych I organizacyjnych oraz należytej staranności;

c) upewnienie się przed ustnym przekazaniem danych osobowych, czy rozmówca jest osobą upoważnioną do uzyskania określonych danych osobowych;

d) zachowanie szczególnej ostrożności w trakcie rozmów telefonicznych, aby uniknąć podsłuchania danych osobowych przez osoby nieupoważnione;

e) niepozostawianie wiadomości zawierających dane osobowe w automatycznych sekretarkach.

2. Transport danych osobowych w formie elektronicznej i papierowej pomiędzy obszarami, w których są przetwarzane dane osobowe, powinien być prowadzony przez osoby upoważnione, w sposób ograniczający możliwość pozyskania i odczyt danych przez osoby nieupoważnione.

 

XVIII. Sankcje za naruszenie zasad ochrony danych osobowych

1. Pracownik dopuszczający się nieuprawnionego ujawnienia lub wykorzystania danych osobowych w sposób sprzeczny z ich przeznaczeniem (np. wykorzystania danych osobowych do celów prywatnych), czy też ich przetwarzania w sposób niezgodny z przyjętymi w Zoomlion procedurami, w szczególności niniejszą Polityką, może zostać ukarany karą upomnienia lub karą nagany.

2. W razie ciężkiego naruszenia obowiązku zachowania danych osobowych w tajemnicy lub przetwarzania ich w sposób rażąco sprzeczny z przyjętymi zasadami i procedurami, Zoomlion może rozwiązać bez wypowiedzenia umowę o pracę z winy pracownika.

3. Sankcje dotyczące ujawnienia poufnych danych osobowych stosuje się analogicznie do ujawnienia przez pracownika informacji dotyczących zabezpieczenia danych osobowych w Zoomlion.

4. Współpracownicy Zoomlion odpowiadają za naruszenie niniejszej Polityki odpowiednio do zapisów w umowie współpracy z Zoomlion.

5. Każda osoba zobowiązana do przestrzegania zasad niniejszej Polityki może być zobowiązana do naprawienia szkody wynikającej z naruszenia tych zasad.

 

XIX. Postanowienia końcowe

1. Niniejsza Polityka i dokumenty z nią powiązane podlegają cyklicznemu przeglądowi i aktualizacji dokonywanym przez IOD. Przeglądy doraźne są przeprowadzane w razie konieczności, w szczególności przy każdej zmianie stanu faktycznego lub prawnego dotyczącego przetwarzania danych osobowych, zmian organizacyjnych w Zoomlion oraz gdy jest to niezbędne w wyniku zmian wprowadzonych na skutek zaistniałych incydentów bezpieczeństwa i/lub wyników audytów wewnętrznych i zewnętrznych.

2. Administrator Danych Osobowych uprawniony jest do cyklicznej weryfikacji i aktualizacji ewidencji zbiorów danych osobowych i wykorzystywanych do przetwarzania danych osobowych systemów informatycznych.

3. Wszyscy pracownicy i współpracownicy Zoomlion zobowiązani są do bezwzględnego stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszej Polityce, a w wypadku odrębnych od zawartych w niniejszej Polityce uregulowań występujących w innych procedurach obowiązujących w Zoomlion, pracownicy i współpracownicy mają obowiązek stosowania zapisów dalej idących, których stosowanie zapewni wyższy poziom ochrony danych osobowych.

 

XX. Załączniki

1. Do Polityki sporządza się następujące załączniki:

a) Rejestr czynności przetwarzania,

b) Polityka prywatności,

c) Procedura Zgłaszania Naruszeń,

d) Instrukcja Dotycząca Okresów Przechowywania Danych,

e) Instrukcja Okresów Przechowywania Danych,

f) Instrukcja Zarządzania Systemami Informatycznymi

2. 3. 4. Zmianę załączników a), c), d), e), f) dokonuje się poprzez zakomunikowanie tego faktu ASI i Kadrze Kierowniczej w sposób przyjęty u pracodawcy. Zmianę załącznika b) dokonuje się poprzez upublicznienie zmienionej wersji na stronie internetowej. Dodatkowo zmianę załącznika f) należy skonsultować z ASI.