1. O TEJ POLITYCE

SC RHEIN VISION SRL jest zobowiązana, w ramach swojej odpowiedzialności społecznej, do przestrzegania międzynarodowego prawa o ochronie danych, Rozporządzenie (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Niniejsza polityka opiera się na aktualnych przepisach europejskich oraz rumuńskich dyrektywach o ochronie danych. Ochrona danych osobowych jest podstawą relacji opartych na zaufaniu – zarówno na poziomie pracowników, jak i partnerów biznesowych.

Niniejsza dyrektywa zawiera przegląd najważniejszych przepisów dotyczących ochrony danych, których musi przestrzegać kierownictwo i pracownicy w ramach RHEIN VISION. Procedura ochrony danych RHEIN VISION jest również dostępna dla wszystkich pracowników w celu uzyskania informacji i wyjaśnień na temat ochrony danych.

2. TERMINY I DEFINICJE

Obowiązujące przepisy o ochronie danych osobowych (zwane dalej: Ustawą o ochronie danych osobowych) posługują się własną terminologią. Pozwala to na zwięzłe wyjaśnienia w tekście i poprawia jego czytelność.

W niniejszej polityce ochrony danych używamy następujących terminów:

Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („osoby, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można zidentyfikować bezpośrednio lub pośrednio, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość tej osoby fizycznej.

Prawo o ochronie danych odnosi się do wykorzystania „danych osobowych”, tj. wszelkich informacji o osobie fizycznej, której tożsamość jest określona lub możliwa do ustalenia. Informacje te mogą obejmować imię i nazwisko, datę urodzenia, adres, numer telefonu, adres IP itp. Dane dotyczące ogólnego zachowania lub nawyków danej osoby (np. osądy wartościujące), a także zdjęcia i obrazy zarejestrowane przez kamerę monitoringu również stanowią dane osobowe.

Dlatego też w każdym przypadku, gdy daną informację można przypisać osobie fizycznej, należy domniemywać, że stosuje się przepisy o ochronie danych.

  • Osoba zainteresowana –każda osoba fizyczna, której dane są przetwarzane.

Przetwarzanie danych – Przetwarzanie danych osobowych oznacza każdą procedurę, z wykorzystaniem procesów zautomatyzowanych lub niezautomatyzowanych, służącą do gromadzenia, przechowywania, porządkowania, modyfikowania, pobierania, wykorzystywania, przesyłania, rozpowszechniania lub łączenia i dopasowywania danych. Obejmuje to również usuwanie, kasowanie i blokowanie danych oraz administratorów danych.

  • Przetwarzanie – str.przetwarzanie, przetwarzanie, przechowywanie, adaptacja lub zmiana, pobieranie, konsultacja, używanie, opracowywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
  • Ograniczenie przetwarzania – rOgraniczenie przetwarzania polega na oznaczeniu przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania.
  • Profilowanie – str.Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
  • Pseudonim – przetwarzanie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
  • Administrator lub osoba odpowiedzialna za przetwarzanie – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.
  • Procesor – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
  • Odbiorca - Odbiorca – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Jednakże organy publiczne, które mogą otrzymywać dane osobowe w kontekście konkretnego dochodzenia zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są uznawane za odbiorców; przetwarzanie takich danych przez te organy publiczne musi być zgodne z obowiązującymi przepisami o ochronie danych, zgodnie z celami przetwarzania.
  • Strona trzecia - osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający oraz osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe.
  • Zgoda - każde konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Zgoda to pisemne oświadczenie wyrażone jasnym i prostym językiem. Osoba, której dane dotyczą, jest informowana, że ma prawo do cofnięcia zgody w dowolnym momencie. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.

Jeżeli przetwarzane są również dane osobowe osób małoletnich, wymagana jest zgoda osób małoletnich powyżej 16 roku życia; w przypadku pozostałych osób zgodę wyraża opiekun.

  • Pliki cookie –pliki tekstowe przechowywane w systemie komputerowym za pośrednictwem przeglądarki internetowej.

Wiele stron internetowych i serwerów korzysta z plików cookie. Wiele plików cookie zawiera identyfikator pliku cookie. Identyfikator pliku cookie to unikalny identyfikator pliku cookie. Składa się on z ciągu znaków, za pomocą którego strony internetowe i serwery mogą zostać przypisane do przeglądarki internetowej, w której plik cookie został zapisany. Pozwala to odwiedzanym stronom internetowym i serwerom odróżnić indywidualną przeglądarkę osoby, której dane dotyczą, od innych przeglądarek internetowych, które zawierają inne pliki cookie. Konkretną przeglądarkę internetową można rozpoznać i zidentyfikować za pomocą unikalnego identyfikatora pliku cookie.

Dzięki stosowaniu plików cookie możemy zaoferować użytkownikom tej witryny bardziej przyjazne usługi, które nie byłyby możliwe bez wcześniejszego ustawienia.

Dzięki plikom cookie informacje i oferty na naszej stronie internetowej mogą być optymalizowane pod kątem użytkownika. Pliki cookie pozwalają nam, jak wspomniano powyżej, rozpoznawać użytkowników naszej strony internetowej. Celem tego rozpoznania jest ułatwienie użytkownikom korzystania z naszej strony internetowej. Użytkownik strony internetowej, która korzysta z plików cookie, nie musi na przykład wprowadzać danych dostępowych przy każdym wejściu na stronę, ponieważ zadanie to przejmuje strona internetowa, a plik cookie jest przechowywany w systemie komputerowym użytkownika.

Incydent naruszenia ochrony danych – zdarzenie, w którym istnieje uzasadnione podejrzenie, że dane osobowe zostały odkryte, zebrane, zmodyfikowane, skopiowane, przesłane lub wykorzystane niezgodnie z prawem. Może to dotyczyć działań podejmowanych zarówno przez osoby trzecie, jak i pracowników.

3. ZASADY PRZETWARZANIA DANYCH OSOBOWYCH

  • Sprawiedliwość i legalność

Dane osobowe muszą być gromadzone i przetwarzane zgodnie z prawem.

  • Zakres

Przetwarzanie danych osobowych może odbywać się wyłącznie w celach, dla których dane zostały zebrane. Zmiany celów z mocą wsteczną są możliwe jedynie w ograniczonym zakresie i wymagają uzasadnienia.

  • Przezroczystość

Osoba, której dane dotyczą, musi zostać poinformowana o przetwarzaniu jej danych. Zasadniczo dane osobowe muszą być zbierane od samej osoby, której dane dotyczą. Podczas zbierania danych osoba, której dane dotyczą, musi być świadoma lub odpowiednio poinformowana o następujących kwestiach:

  • tożsamość organu odpowiedzialnego
  • cel przetwarzania danych
  • określone okresy przechowywania
  • strony trzecie lub kategorie stron trzecich, którym przekazywane są dane

Administrator udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem bez zbędnej zwłoki, a w każdym razie nie później niż w terminie jednego miesiąca od otrzymania żądania. Termin ten może zostać przedłużony o dwa miesiące w razie potrzeby, biorąc pod uwagę złożoność i liczbę żądań. Administrator informuje osobę, której dane dotyczą, o takim przedłużeniu terminu w terminie jednego miesiąca od otrzymania żądania, podając przyczyny opóźnienia. W przypadku gdy osoba, której dane dotyczą, składa żądanie w formie elektronicznej, informacje są przekazywane w formie elektronicznej, o ile jest to możliwe, chyba że osoba, której dane dotyczą, zażąda innego formatu.

Jeżeli administrator nie podejmie działań w odpowiedzi na żądanie osoby, której dane dotyczą, to niezwłocznie, nie później niż w terminie miesiąca od otrzymania żądania, informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego i skorzystania ze środków ochrony prawnej przed sądem.

Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój powtarzalny charakter, administrator może:

(a) pobrać opłatę w rozsądnej wysokości, uwzględniając koszty administracyjne związane z udzieleniem informacji, komunikacją lub podjęciem żądanych działań;

(b) lub odmówić spełnienia żądania.

W takich przypadkach na administratorze spoczywa ciężar wykazania, że żądanie jest ewidentnie bezzasadne lub nadmierne. Administrator może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.

Informacje, które mają być przekazywane osobom, których dane dotyczą, mogą być udostępniane w połączeniu ze standardowymi piktogramami, aby zapewnić zrozumiały obraz planowanego przetwarzania w sposób widoczny, zrozumiały i czytelny. W przypadku gdy piktogramy są prezentowane w formacie elektronicznym, muszą być one czytelne maszynowo.

  • Unikanie danych i oszczędność danych

Przed przetwarzaniem danych osobowych należy zweryfikować, czy i w jakim zakresie jest to niezbędne do osiągnięcia celu przetwarzania. Jeżeli jest to możliwe do osiągnięcia celu, a środek jest odpowiedni do zamierzonego celu, należy wykorzystać dane zanonimizowane lub statystyczne. Dane osobowe nie mogą być przechowywane do celów przyszłych, chyba że jest to wymagane lub dozwolone przez prawo krajowe.

  • Ograniczenia usuwania i przechowywania

Dane osobowe, które nie są już potrzebne po upływie ustawowych okresów przechowywania, muszą zostać usunięte. Jeżeli w indywidualnych przypadkach istnieją uzasadnione powody uzasadniające ochronę tych danych, dane te muszą pozostać przechowywane do czasu prawnego wyjaśnienia uzasadnionego interesu.

  • Dokładność procesu ochrony danych

Przechowywane dane osobowe muszą być dokładne, kompletne i – w niezbędnym zakresie – aktualizowane. Należy podjąć odpowiednie środki w celu zapewnienia usunięcia, poprawienia, uzupełnienia lub aktualizacji nieistotnych, niekompletnych lub nieaktualnych danych.

  • Prywatność i bezpieczeństwo danych

Poufność dotyczy danych osobowych. Muszą być one traktowane poufnie i chronione odpowiednimi środkami organizacyjnymi i technicznymi przed nieautoryzowanym dostępem, bezprawnym przetwarzaniem lub przekazywaniem, a także przypadkową utratą, zmianą lub zniszczeniem.

4. DOPUSZCZALNOŚĆ PRZETWARZANIA DANYCH / OKOLICZNOŚCI DOPUSZCZENIA

Gromadzenie, przetwarzanie i wykorzystywanie danych osobowych jest dozwolone wyłącznie w przypadku zaistnienia jednej z okoliczności upoważniających wymienionych poniżej. 

  • Przetwarzanie danych w związku ze stosunkiem umownym

Dane osobowe klienta, dostawcy lub innego partnera biznesowego mogą być przetwarzane w celu realizacji umowy, jej zawarcia i wykonania. W tzw. fazie inicjowania umowy (opracowanie oferty, kontakt z zainteresowanymi stronami z wykorzystaniem udostępnionych przez nich danych) dopuszczalne jest również przetwarzanie danych osobowych.

  • Umowa o przetwarzaniu danych

Przetwarzanie danych może odbywać się za zgodą osoby, której dane dotyczą. Przed wyrażeniem zgody, osoba, której dane dotyczą, musi zostać poinformowana o przepisach. Oświadczenie o wyrażeniu zgody musi zostać złożone na piśmie lub drogą elektroniczną, ze względów dowodowych. W pewnych okolicznościach, na przykład podczas konsultacji telefonicznej, zgoda może zostać również udzielona w formie ustnej. Wyrażenie zgody musi zostać udokumentowane.

NOTATKA! Osoba, której dane osobowe dotyczą, ma prawo w każdej chwili cofnąć zgodę.

  • Przetwarzanie danych na podstawie zgody prawnej

Przetwarzanie danych osobowych jest również dozwolone, jeżeli krajowe przepisy prawne wymagają, wymagają lub zezwalają na przetwarzanie danych. Rodzaj i zakres przetwarzania danych muszą być niezbędne do zgodnego z prawem przetwarzania danych i być zgodne z tymi przepisami.

  • Przetwarzanie danych w oparciu o uzasadniony interes

Przetwarzanie danych osobowych może mieć również miejsce, jeżeli jest to konieczne dla realizacji prawnie uzasadnionego interesu firmy. Przetwarzanie danych osobowych w oparciu o prawnie uzasadniony interes nie może mieć miejsca, jeżeli w konkretnym przypadku istnieją uzasadnione powody ochrony interesów osoby, której dane dotyczą, nadrzędne wobec interesu przetwarzania. Interesy zasługujące na ochronę muszą zostać zweryfikowane i udokumentowane dla każdego przetwarzania.

  • Przetwarzanie szczególnych kategorii danych osobowych

Przetwarzanie takich danych osobowych, w szczególności danych wrażliwych, może mieć miejsce wyłącznie wtedy, gdy jest to wymagane prawnie lub gdy osoba, której dane dotyczą, wyraziła na to wyraźną zgodę. Przetwarzanie takich danych jest również dozwolone, jeżeli jest to absolutnie niezbędne do ustalenia, dochodzenia lub obrony roszczeń prawnych wobec osoby, której dane dotyczą.

  • Zautomatyzowane decyzje indywidualne

Zautomatyzowane przetwarzanie danych osobowych, w ramach którego oceniane są indywidualne cechy osobowe, nie może być jedyną podstawą decyzji pociągających za sobą negatywne skutki prawne lub istotne zagrożenia dla osoby, której dane dotyczą. Osoba, której dane dotyczą, musi zostać poinformowana o fakcie i skutkach zautomatyzowanej decyzji indywidualnej oraz mieć możliwość złożenia oświadczenia. Aby uniknąć błędnych decyzji, konieczne jest zapewnienie kontroli i weryfikacji wiarygodności decyzji przez pracownika.

  • Dane użytkownika i Internet

Jeśli dane osobowe są gromadzone, przetwarzane i wykorzystywane na stronach internetowych, osoby, których dane dotyczą, są o tym informowane w oświadczeniach o ochronie danych oraz, w stosownych przypadkach, w informacjach o plikach cookie. Informacje o ochronie danych oraz, w stosownych przypadkach, informacje o plikach cookie muszą być zintegrowane w taki sposób, aby były łatwo rozpoznawalne, dostępne i dostępne dla Podmiotu Danych w dowolnym momencie.

Jeśli profile użytkowania (śledzenie) są kompilowane w celu oceny zachowań użytkowników stron internetowych i aplikacji, osoby, których dane dotyczą, muszą zostać o tym w każdym przypadku poinformowane w oświadczeniach o ochronie danych. Jeśli śledzenie odbywa się pod pseudonimem, osoba, której dane dotyczą, musi mieć możliwość wyrażenia sprzeciwu (rezygnacji) w oświadczeniach o ochronie danych.

  • Przetwarzanie danych w związku ze stosunkiem pracy

W ramach stosunku pracy mogą być przetwarzane dane osobowe niezbędne do zawarcia, wykonania i rozwiązania umowy o pracę.

Podczas nawiązywania stosunku pracy mogą być przetwarzane dane osobowe kandydatów. W przypadku odrzucenia kandydata, dane kandydata muszą zostać usunięte, z uwzględnieniem ustawowych okresów próbnych, chyba że kandydat wyraził zgodę na dalsze przechowywanie danych do celów kolejnego procesu rekrutacyjnego.

W istniejącym stosunku pracy przetwarzanie danych musi zawsze odnosić się do celu umowy o pracę, o ile nie ma zastosowania żaden z następujących warunków upoważniających do przetwarzania danych.

W przypadku konieczności zebrania dodatkowych informacji o kandydacie od osoby trzeciej podczas nawiązywania stosunku pracy lub w trakcie jego trwania, należy uwzględnić odpowiednie przepisy prawa. W razie wątpliwości należy uzyskać zgodę osoby, której dane dotyczą.

  • Przetwarzanie danych na podstawie zgody prawnej

Przetwarzanie danych osobowych pracowników jest również dozwolone, jeżeli krajowe przepisy prawne wymagają, wymagają lub zezwalają na przetwarzanie danych. Rodzaj i zakres przetwarzania danych muszą być niezbędne do zgodnego z prawem przetwarzania danych i być zgodne z tymi przepisami. W przypadku istnienia wolności prawnej należy uwzględnić interesy pracownika zasługujące na ochronę.

(1) Przetwarzanie jest zgodne z prawem wyłącznie w przypadku, gdy spełniony jest co najmniej jeden z następujących warunków:

(a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

(b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

(c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

(d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

(e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

  • Przepisy zbiorowe dotyczące przetwarzania danych

Jeżeli przetwarzanie wykracza poza cel wykonania umowy, jest ono dozwolone, o ile zezwala na to przepis zbiorowy. Przepisy zbiorowe to układy zbiorowe pracy lub porozumienia między pracodawcami a przedstawicielami pracowników, w kontekście możliwości wynikających z danego prawa pracy. Przepisy muszą obejmować konkretny cel żądanego przetwarzania i mogą być ustanawiane w powiązaniu z krajowymi przepisami o ochronie danych.

  • Zgoda na przetwarzanie danych

Przetwarzanie danych osobowych pracowników może odbywać się za zgodą osoby, której dane dotyczą. Oświadczenia o wyrażeniu zgody muszą być złożone dobrowolnie. Zgody złożone mimowolnie są nieważne. Oświadczenie o wyrażeniu zgody musi być złożone na piśmie lub w formie elektronicznej, ze względów dowodowych. Jeżeli okoliczności na to nie pozwalają, w drodze wyjątku, zgoda może zostać udzielona ustnie. Zgoda musi być w każdym przypadku odpowiednio udokumentowana. W przypadku dobrowolnego, świadomego podania danych przez osobę, której dane dotyczą, można domniemywać zgodę, jeżeli prawo krajowe nie przewiduje wyraźnej zgody. Przed wyrażeniem zgody osoba, której dane dotyczą, musi zostać poinformowana zgodnie z niniejszymi wytycznymi dotyczącymi ochrony danych.

  • Przetwarzanie danych w oparciu o uzasadniony interes

Przetwarzanie danych osobowych pracowników może mieć również miejsce, jeśli jest to konieczne dla realizacji prawnie uzasadnionego interesu firmy. Prawnie uzasadnione interesy zazwyczaj opierają się na podstawach prawnych (np. ustaleniu, dochodzeniu lub obronie roszczeń) lub celach komercyjnych.

Przetwarzanie danych osobowych na podstawie prawnie uzasadnionego interesu nie może mieć miejsca, jeżeli w konkretnym przypadku istnieją przesłanki wskazujące na to, że interesy pracownika zasługują na ochronę nadrzędną wobec interesu przetwarzania. Istnienie prawnie uzasadnionego interesu musi zostać zweryfikowane w przypadku każdego przetwarzania.

Środki kontrolne wymagające przetwarzania danych pracowników mogą być stosowane wyłącznie w przypadku istnienia obowiązku prawnego lub uzasadnionego powodu. Nawet w przypadku uzasadnionego powodu należy sprawdzić proporcjonalność środka kontrolnego. Uzasadnione interesy firmy w zakresie stosowania środka kontrolnego (np. zgodność z wytycznymi prawnymi i wewnętrznymi regulacjami firmy) muszą być zrównoważone z ewentualnym uzasadnionym interesem pracownika, którego środek ten dotyczy, i mogą być stosowane wyłącznie wtedy, gdy są proporcjonalne. Uzasadniony interes firmy i ewentualne uzasadnione interesy pracowników muszą zostać ustalone i udokumentowane przed każdym zastosowaniem środka. Ponadto należy uwzględnić wszelkie inne wymogi wynikające z prawa krajowego.

  • Przetwarzanie danych zasługujących na ochronę

Firma nie przetwarza dane osobowe, które ujawniają pochodzenie rasowe lub etnicznepoglądy polityczneprzekonania filozoficzne lub przynależność do związków zawodowych i przetwarzania dane genetyczne, dane na temat życie seksualne Lub orientacja seksualna osoby fizycznej.

Dane dotyczące zdrowia pracownika są przetwarzane przez dostawcę usług opieki zdrowotnej; firma jest informowana o zdolności/niezdolności osoby, której dane dotyczą, do wykonywania określonej pracy. Interpretacja danych dotyczących zdrowia jest przetwarzana przez firmę za zgodą pracownika. Przetwarzanie jest niezbędne do celów związanych z profilaktyką lub medycyną pracy, w celu oceny zdolności pracownika do pracy.

Podobnie dane dotyczące wyroków skazujących (np. rejestry karne) mogą być często przetwarzane jedynie w szczególnych warunkach określonych w prawie krajowym.

Przetwarzanie musi być wyraźnie dozwolone lub wymagane przez prawo krajowe. Ponadto przetwarzanie może być dozwolone, jeśli jest to konieczne, aby funkcja odpowiedzialna mogła wypełniać swoje prawa i obowiązki w dziedzinie prawa pracy.

  • Zautomatyzowane decyzje

W zakresie, w jakim stosunek pracy wiąże się ze zautomatyzowanym przetwarzaniem danych, na podstawie którego oceniane są indywidualne cechy osobowości (np. w ramach doboru personelu lub oceny profili kwalifikacyjnych), takie zautomatyzowane przetwarzanie nie może stanowić wyłącznej podstawy podejmowania decyzji pociągających za sobą negatywne lub istotne konsekwencje.

Aby uniknąć podejmowania błędnych decyzji, w procedurach zautomatyzowanych należy zapewnić, aby osoba fizyczna przeprowadziła ocenę stanu faktycznego i aby ocena ta stanowiła podstawę decyzji. Pracownik, którego dotyczy decyzja, powinien zostać poinformowany o fakcie i wyniku zautomatyzowanej decyzji indywidualnej oraz mieć możliwość złożenia oświadczenia.

  • Telekomunikacja i Internet

Systemy telefoniczne, adresy e-mail, intranet i internet, a także wewnętrzne sieci społecznościowe, są w pierwszej kolejności udostępniane przez firmę w celu realizacji zadań. Stanowią one wsparcie pracy i zasoby firmy. Mogą być wykorzystywane zgodnie z obowiązującymi przepisami prawa i wewnętrznymi wytycznymi firmy.

Prowadzony jest ogólny monitoring komunikacji telefonicznej i e-mailowej, a także korzystania z intranetu i internetu. Aby zapobiec atakom na infrastrukturę IT lub poszczególnych użytkowników, na interfejsach sieciowych firmy wdrożono środki ochronne, które blokują technicznie szkodliwe treści lub analizują wzorce ataków. Ze względów bezpieczeństwa i identyfikowalności, dokumentowane jest korzystanie z systemów telefonicznych, adresów e-mail, intranetu, internetu i wewnętrznych sieci społecznościowych.

Indywidualne oceny tych danych mogą mieć miejsce wyłącznie w przypadku konkretnego i uzasadnionego podejrzenia naruszenia prawa lub wytycznych firmy. Kontrole te mogą odbywać się wyłącznie zgodnie z zasadą proporcjonalności. Należy przestrzegać przepisów krajowych w powiązaniu z obowiązującymi regulacjami firmy.

5. PRZEKAZYWANIE DANYCH OSOBOWYCH

Przekazywanie danych osobowych odbiorcom spoza RHEIN VISION podlega warunkom zgody na przetwarzanie danych osobowych. Odbiorca danych jest zobowiązany do ich wykorzystywania wyłącznie w podanych celach.

W przypadku przekazania danych odbiorcy spoza grupy kapitałowej w państwie trzecim, odbiorca musi zapewnić poziom bezpieczeństwa danych równoważny niniejszemu rozporządzeniu o ochronie danych. Nie ma to zastosowania, jeśli przekazanie wynika z obowiązku prawnego.

W przypadku przekazywania danych przez osoby trzecie do grupy kapitałowej należy upewnić się, że dane te mogą zostać wykorzystane zgodnie z zamierzonymi celami.

6. PRZETWARZANIE PRZYDZIELONE (w przypadku cesji, przeniesienia, fuzji itp.)

Przetwarzanie podwykonawcze to takie, w którym podwykonawcy powierza się przetwarzanie danych osobowych bez przeniesienia odpowiedzialności za powiązany proces biznesowy. W takich przypadkach z podwykonawcami zewnętrznymi należy zawrzeć umowę o podwykonawstwie przetwarzania.

Firma zlecająca ponosi pełną odpowiedzialność za prawidłowe wykonanie przetwarzania danych. Zleceniobiorca może przetwarzać dane osobowe wyłącznie zgodnie z poleceniami zleceniodawcy.

  1. Wyboru wykonawcy należy dokonać na podstawie jego zdolności do zapewnienia niezbędnych środków ochrony technicznej i organizacyjnej.
  2. Zlecenie musi zostać wydane w formie pisemnej. Instrukcje dotyczące przetwarzania danych oraz obowiązki wykonawcy i wykonawcy muszą być udokumentowane.
  3. Przed rozpoczęciem przetwarzania danych wykonawca musi mieć pewność, że obowiązki zostały spełnione. Spełnienie wymogów bezpieczeństwa danych może zostać potwierdzone przez wykonawcę, w szczególności poprzez przedstawienie odpowiedniego certyfikatu. W zależności od ryzyka związanego z przetwarzaniem danych, weryfikacja musi być regularnie powtarzana, w razie potrzeby w trakcie trwania umowy.
  4. W przypadku przetwarzania danych w ramach zlecenia transgranicznego muszą być spełnione odpowiednie wymogi krajowe dotyczące przekazywania danych osobowych za granicę. W szczególności przetwarzanie danych osobowych z Europejskiego Obszaru Gospodarczego w państwie trzecim może mieć miejsce wyłącznie wtedy, gdy wykonawca może udowodnić poziom bezpieczeństwa danych równoważny z niniejszą Dyrektywą o Ochronie Danych.

7. PRAWA OSOBY, KTÓREJ DANE DOTYCZĄ

Każda osoba, której dane dotyczą, może skorzystać z następujących praw. Jej wniosek zostanie niezwłocznie rozpatrzony przez podmiot odpowiedzialny i nie może skutkować żadnymi niedogodnościami dla Podmiotu Danych.

  1. Osoba, której dane dotyczą, może zażądać informacji o tym, jakie dane osobowe, z jakich źródeł i w jakim celu są przechowywane. Jeżeli w ramach stosunku pracy przewidziane są dodatkowe prawa do wglądu w dokumenty pracodawcy (np. akta osobowe), nie są one naruszane.
  2. W przypadku przekazywania danych osobowych osobom trzecim konieczne jest również podanie informacji o tożsamości odbiorcy lub kategoriach odbiorców.
  3. Jeżeli dane osobowe są nieprawidłowe lub niekompletne, Podmiot Danych ma prawo żądać ich sprostowania lub uzupełnienia.
  4. Osoba, której dane dotyczą, może sprzeciwić się przetwarzaniu jej danych osobowych w celach reklamowych, badań rynku i ankiet. W tym celu dane muszą zostać zablokowane.
  5. Osoba, której dane dotyczą, ma prawo żądać usunięcia swoich danych, jeżeli podstawa prawna przetwarzania danych nie istnieje lub przestała obowiązywać. To samo dotyczy sytuacji, gdy cel przetwarzania danych przestał obowiązywać z powodu upływu czasu lub z innych przyczyn. Należy wziąć pod uwagę istniejące obowiązki przechowywania danych oraz interesy zasługujące na ochronę, które przeważają nad usunięciem.
  6. Osoba, której dane dotyczą, ma podstawowe prawo do sprzeciwu wobec przetwarzania jej danych, które należy uwzględnić, jeżeli jej uzasadniony interes w ochronie danych osobowych przeważa nad interesem przetwarzania ze względu na szczególną sytuację osobistą. Prawo to nie ma zastosowania, jeżeli przetwarzanie danych osobowych jest wymagane przepisami prawa.

8. POUFNOŚĆ PRZETWARZANIA

Dane osobowe podlegają zasadzie poufności. Nieautoryzowane gromadzenie, przetwarzanie lub wykorzystywanie danych przez pracowników jest zabronione.

Każde przetwarzanie, którego pracownik dokonuje bez należytego wyznaczenia i upoważnienia w ramach wykonywania swoich zadań, jest uznawane za nieautoryzowane. Obowiązuje zasada ograniczonej wiedzy: pracownicy mogą uzyskać dostęp do danych osobowych wyłącznie w zakresie niezbędnym do realizacji swoich zadań. Wymaga to starannego podziału i rozdziału ról i obowiązków, a także ich wdrożenia i utrzymania w ramach koncepcji autoryzacji.

Pracownikom nie wolno wykorzystywać danych osobowych do celów prywatnych lub komercyjnych, przekazywać ich osobom nieupoważnionym ani udostępniać ich w żaden inny sposób.

9. BEZPIECZEŃSTWO PRZETWARZANIA

Dane osobowe muszą być stale chronione przed nieuprawnionym dostępem, bezprawnym przetwarzaniem lub przekazywaniem oraz utratą, sfałszowaniem lub zniszczeniem. Dotyczy to niezależnie od tego, czy przetwarzanie danych odbywa się elektronicznie, czy w formie papierowej. Przed wprowadzeniem nowych procedur przetwarzania danych, w szczególności nowych systemów informatycznych, należy ustanowić i wdrożyć środki techniczne i organizacyjne w celu ochrony danych osobowych. Środki te muszą być dostosowane do aktualnej technologii, ryzyka związanego z przetwarzaniem oraz wymogów ochrony danych (określonych w procesie klasyfikacji informacji).

Biorąc pod uwagę obecny stan rozwoju, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi, w stosownych przypadkach:

(a) pseudonimizacja i szyfrowanie danych osobowych;

b) zdolność do zapewnienia ciągłej poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do przywrócenia dostępności danych osobowych i dostępu do nich w odpowiednim czasie w przypadku incydentu fizycznego lub technicznego;

d) proces okresowego testowania, oceniania i analizy skuteczności środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa przetwarzania.

Środki techniczne i organizacyjne służące ochronie danych osobowych stanowią część ogólnofirmowego systemu zarządzania bezpieczeństwem informacji i ochroną danych i muszą być stale dostosowywane do rozwoju technicznego i zmian organizacyjnych.

10. KONTROLA OCHRONY DANYCH

Zgodność z dyrektywami dotyczącymi ochrony danych oraz obowiązującymi przepisami o ochronie danych jest regularnie weryfikowana za pomocą audytów ochrony danych i dodatkowych kontroli.

O wynikach audytów ochrony danych należy powiadomić kadrę zarządzającą.

11. INCYDENT ZWIĄZANY Z OCHRONĄ DANYCH

Każdy pracownik powinien niezwłocznie powiadomić Inspektora Ochrony Danych o każdym naruszeniu niniejszej Dyrektywy o ochronie danych lub innych przepisów dotyczących ochrony danych osobowych (incydentach ochrony danych). Powiadomienie można wysłać pocztą elektroniczną na adres: dpo@rhein-vision.com w przypadku:

  • nielegalnego przekazywania danych osobowych osobom trzecim,
  • nielegalnego dostępu osób trzecich do danych osobowych lub
  • utrata danych osobowych

Powiadomienia wewnątrz firmy muszą być dokonywane bezzwłocznie, aby istniejące obowiązki zgłaszania incydentów związanych z ochroną danych mogły być wypełniane zgodnie z prawem krajowym.

Powiadomienie organu nadzorczego w przypadku naruszenia ochrony danych osobowych

W przypadku naruszenia ochrony danych osobowych administrator zgłasza naruszenie ochrony danych osobowych organowi nadzorczemu właściwemu zgodnie z art. 55 bez zbędnej zwłoki, a w miarę możliwości nie później niż w terminie 72 godzin od momentu powzięcia o nim wiadomości, chyba że istnieje prawdopodobieństwo, że naruszenie to spowoduje ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli zgłoszenie nie zostanie dokonane w terminie 72 godzin, należy dołączyć do niego uzasadnione wyjaśnienie organu nadzorczego.

Podmiot przetwarzający jest zobowiązany bez zbędnej zwłoki powiadomić administratora o naruszeniu ochrony danych osobowych.

Zawiadomienie, o którym mowa w ust.

a) opisać charakter naruszenia ochrony danych osobowych, w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dane dotyczą, a także kategorie i przybliżoną liczbę rekordów danych osobowych, których dotyczy naruszenie;

b) podać nazwę i dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, w którym można uzyskać dalsze informacje;

(c) opisuje prawdopodobne konsekwencje naruszenia danych osobowych;

d) opisywać środki podjęte lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym, w stosownych przypadkach, środki mające na celu złagodzenie jego możliwych negatywnych skutków.

(4) jeżeli i w zakresie, w jakim nie jest możliwe udzielenie informacji w tym samym czasie, można je przekazać w kilku etapach, bez zbędnej zwłoki.

(5) Administrator jest zobowiązany do prowadzenia rejestru wszystkich naruszeń ochrony danych osobowych, w tym opisu okoliczności faktycznych, w których doszło do naruszenia ochrony danych osobowych, jego skutków oraz podjętych środków zaradczych. Dokumentacja ta ma umożliwić organowi nadzorczemu sprawdzenie przestrzegania niniejszego artykułu.

12. ODPOWIEDZIALNOŚĆ I SANKCJE

Zarząd jest odpowiedzialny za przetwarzanie danych osobowych zgodnie z dyrektywą.

W związku z tym jest ona zobowiązana zapewnić przestrzeganie wymogów prawnych dotyczących ochrony danych (np. krajowych obowiązków sprawozdawczych).

W przypadku kontroli ochrony danych przez organy ścigania należy niezwłocznie powiadomić Inspektora Ochrony Danych.

Kierownictwo wyznaczyło inspektora ochrony danych. Inspektor ochrony danych może przeprowadzać kontrole i musi zapoznać pracowników z treścią wytycznych dotyczących ochrony danych. Kierownictwo jest zobowiązane do wspierania koordynatora ochrony danych w jego zadaniach.

Kierownictwo musi zapewnić pracownikom niezbędną wiedzę na temat ochrony danych. Niewłaściwe przetwarzanie danych osobowych lub inne naruszenia przepisów o ochronie danych pociągają za sobą konsekwencje prawne w wielu krajach i mogą prowadzić do roszczeń odszkodowawczych. Naruszenia, za które odpowiadają poszczególni pracownicy, mogą skutkować podjęciem działań dyscyplinarnych.

13. INSPEKTOR OCHRONY DANYCH

Jako wyspecjalizowana jednostka wewnętrzna, Inspektor Ochrony Danych zapewnia przestrzeganie przepisów o ochronie danych. Jest odpowiedzialny za monitorowanie przestrzegania przepisów o ochronie danych. Inspektor Ochrony Danych niezwłocznie informuje kadrę zarządzającą o zagrożeniach bezpieczeństwa danych.

Każda osoba zainteresowana może skontaktować się z inspektorem ochrony danych w celu złożenia sugestii, pytań, wniosków o informacje lub skarg dotyczących ochrony danych lub kwestii bezpieczeństwa danych. Wnioski i skargi są traktowane poufnie na żądanie.

14. WDROŻENIE ARE

Dokument ten musi być dostępny dla wszystkich zainteresowanych osób.