POLITYKA OCHRONY DANYCH OSOBOWYCH W MORE GROUP SP. Z O.O. Z SIEDZIBĄ W WARSZAWIE
I. Postanowienia ogólne
1. Niniejsza Polityka Ochrony Danych Osobowych (dalej: „Polityka”) przyjęta została przez More Group Sp. z o.o. z siedzibą w Warszawie (dalej: „Spółka”) i stanowi politykę ochrony danych sporządzoną na potrzeby Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, Dz.Urz. UE L 119, s. 1, dalej: „RODO”).
2. Celem niniejszej Polityki jest określenie obowiązujących w Spółce reguł i standardów postępowania z danymi osobowymi oraz ochrony danych osobowych, przy uwzględnieniu następujących zasad:
a. Poufności danych, tj. pewności, że dane osobowe nie są udostępniane nieupoważnionym do tego podmiotom;
b. Integralności danych, tj. pewności, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany oraz, że są chronione przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem;
c. Legalności i rzetelności danych, tj. zgodności przetwarzania zgodnie z obowiązującym prawem i przy uwzględnieniu interesów i rozsądnych oczekiwań osób, których dane dotyczą;
d. Ograniczenia celu, tj. pewności, że dane osobowe przetwarzane są w konkretnych, wyraźnych i prawnie uzasadnionych celach;
e. Minimalizacji danych, tj. odpowiedniości zakresu przetwarzanych danych, przy jednoczesnym jego ograniczaniu do tego, co niezbędne do celów, w których są przetwarzane;
f. Prawidłowości, tj. pewności, że dane osobowe są poprawne i w razie potrzeby uaktualniane;
g. Ograniczenia czasu przechowywania, tj. pewności, że dane osobowe są przetwarzane przez okres nie dłuższy, niż jest to niezbędne do realizacji celów, w których dane te są przetwarzane;
h. Rozliczalności, tj. odpowiedzialności za przestrzeganie zasad ochrony danych osobowych wskazanych w niniejszej Polityce, w szczególności poprzez wdrożenie środków gwarantujących przestrzeganie przepisów o ochronie danych osobowych oraz sporządzenie odpowiedniej dokumentacji przetwarzania danych potwierdzającej podjęcie tych środków. Niniejsza Polityka ma również na celu zminimalizowanie możliwości wystąpienia naruszeń praw i wolności osób których dane dotyczą w związku z przetwarzaniem danych osobowych.
3. Odpowiedzialny za wdrożenie i utrzymanie niniejszej Polityki jest Zarząd Spółki More Group Sp. z o.o., któremu powierzono nadzór nad obszarem ochrony danych osobowych.
II. Definicje
1. Terminy użyte w niniejszej Polityce otrzymują następujące znaczenie:
a. „Administrator” oznacza Spółkę w odniesieniu do tych Danych, w stosunku do których Spółka decyduje o celach i środkach ich przetwarzania;
b. „Dane osobowe” lub „Dane” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której Dane dotyczą”) o ile nic innego nie wynika wyraźnie z treści niniejszej Polityki;
c. „Osoby upoważnione” oznaczają pracowników i inne osoby wskazane w pkt V ust. 2 niniejszej Polityki, dopuszczone do przetwarzania Danych na podstawie stosownego upoważnienia wydanego przez Administratora;
d. „Państwo trzecie” – państwo niebędące członkiem Europejskiego Obszaru
Gospodarczego;
e. „Podmiot przetwarzający” oznacza osobę fizyczną lub prawną, jednostkę lub inny podmiot, któremu Spółka powierzyła przetwarzanie Danych;
f. „Przetwarzanie Danych” oznacza operację lub zestaw operacji wykonywanych na
danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
g. „RCP” oznacza rejestr czynności przetwarzania Danych;
h. „RKCP” oznacza rejestr kategorii czynności przetwarzania Danych;
i. „systemy informatyczne” oznaczają zespół współpracujących ze sobą urządzeń i/lub programów komputerowych oraz procedur i polityk dotyczących Przetwarzania
Danych osobowych w Spółce;
2. Terminy użyte w niniejszej Polityce, które nie zostały zdefiniowane w ust. 1 powyżej powinny być rozumiane zgodnie z ich znaczeniem nadanym im na gruncie odpowiednich przepisów RODO.
III. Zakres stosowania Polityki
1. Niniejsza Polityka ma zastosowanie do przetwarzania Danych zarówno w sposób
zautomatyzowany jak i niezautomatyzowany, przy wykorzystaniu metod tradycyjnych (w księgach i dokumentach papierowych) jak i nowych technologii (w systemach informatycznych).
2. Postanowienia niniejszej Polityki mają zastosowanie do wszystkich Osób upoważnionych w Spółce do przetwarzania Danych, w tym zarówno pracowników jak i świadczących na rzecz Spółki usługi na podstawie umów cywilnoprawnych oraz innych osób, np. stażystów, praktykantów.
IV. Ogólne zasady ochrony danych osobowych
1. Administrator realizując zadania z zakresu ochrony danych osobowych uwzględnia w szczególności zasady określone w pkt I ust. 2 niniejszej Polityki. Do kompetencji i obowiązków Administratora należą:
a. Nadawanie i cofanie upoważnień do przetwarzania danych osobowych na zasadach określonych w pkt V niniejszej Polityki; b. Zapewnienie Osobom upoważnionym stanowisk pracy umożliwiających bezpieczne przetwarzanie Danych;
c. Stosowanie procedur pozwalających na identyfikację, ocenę i zgłoszenie
zidentyfikowanego naruszenia ochrony Danych osobowych właściwemu organowi
nadzorczemu − zarządzanie incydentami w zakresie bezpieczeństwa Danych;
d. Prowadzenie i aktualizacja RCP i RKCP;
e. Zapewnienie identyfikacji i weryfikacji podstaw prawnych przetwarzania Danych
osobowych i w miarę możliwości odnotowanie ich w RCP i RKCP;
f. Spełnianie obowiązków informacyjnych względem osób, których dane dotyczą oraz zapewnienie obsługi ich praw, w tym realizację otrzymanych w tym zakresie żądań, takich jak:
i. Żądania uzyskania dostępu do Danych i określonych informacji na temat Danych przetwarzanych przez Spółkę,
ii. Żądania sprostowania danych,
iii. Realizacji prawa do bycia zapomnianym,
iv. Żądania ograniczenia przetwarzania,
v. Przenoszenia Danych.
g. Zapoznawanie Osób upoważnionych z przepisami dotyczącymi ochrony Danych
osobowych, w tym w szczególności poprzez prowadzenie odpowiednich szkoleń w tym zakresie na zasadach opisanych w dalszej części niniejszej Polityki;
h. Zapewnienie odpowiedniego poziomu bezpieczeństwa Danych, w tym:
i. Przeprowadzenie, tam gdzie to uzasadnione, analizy ryzyka przetwarzania
Danych i dostosowania środków ochrony Danych do poziomu zidentyfikowanego ryzyka,
ii. Wdrożenie instrukcji, o której mowa w pkt XI ust. 4 poniżej,
iii. Sprawowanie nadzoru nad ewidencją Osób upoważnionych,
iv. Reagowanie na stwierdzone naruszenia bezpieczeństwa Danych,
v. Przeprowadzanie okresowych kontroli systemów zabezpieczeń zarówno