POLITYKA OCHRONY DANYCH OSOBOWYCH
I. INFORMACJE OGÓLNE
| Wersja: | V1
| Data wersji: | 2023 08 31
| Data przyjęcia polityki: | 2023 08 31
| Data przyjęcia polityki | 2023 09 14
II. CELE, ZAKRES ZASTOSOWANIA I UŻYTKOWNICY
3.1. Pickvibe" CJSC (kod podmiotu prawnego 303144763, adres Lazdynų g. 21, Wilno) (zwana dalej "Spółką") dokłada wszelkich starań, aby przestrzegać wszystkich obowiązujących przepisów ustawowych i wykonawczych dotyczących ochrony danych osobowych w kraju, w którym Spółka prowadzi działalność. Niniejsza Polityka określa główne cele i zasady przetwarzania przez Spółkę danych osobowych osób fizycznych, reguluje gromadzenie i wykorzystywanie danych osobowych takich osób, procedurę korzystania z praw takich osób jako podmiotów danych w Spółce, środki bezpieczeństwa, a także odpowiedzialność za przetwarzanie danych osobowych.
3.2. Niniejsza Polityka ma zastosowanie w połączeniu z innymi politykami, zasadami, procedurami i/lub wytycznymi przyjętymi lub wdrożonymi przez Spółkę, jak również z przepisami międzynarodowymi i/lub krajowymi.
3.3. Użytkownikami niniejszej Polityki są wszyscy stali lub tymczasowi pracownicy Spółki oraz wszystkie osoby działające w imieniu Spółki, które mogą mieć dostęp do danych osobowych przetwarzanych przez Spółkę. Spółka zapozna takie osoby z niniejszą Polityką lub wszelkimi jej zmianami, dostarczając im podpisaną kopię niniejszej Polityki i wymagając od nich jej przestrzegania.
3.4. W przypadku niejasności lub niezrozumienia postanowień niniejszej Polityki lub któregokolwiek z nich przez użytkownika, osoba taka powinna podjąć próbę wyjaśnienia niejasności i niezwłocznie skontaktować się z Dyrektorem Generalnym Spółki i/lub jego Inspektorem Ochrony Danych i/lub Inspektorem Ochrony Danych Spółki, Evaldasem Aleksaitisem, e-mail:
[email protected].
III. ODPOWIEDNIE DOKUMENTY
4.1. Polityka ta opiera się na:
4.1.1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane dalej rozporządzeniem (UE) 2016/679);
4.1.2. Ustawa Republiki Litewskiej o prawnej ochronie danych osobowych (zwana dalej ADTAĮ);
4.1.3. inne normatywne akty prawne regulujące bezpieczne przetwarzanie danych osobowych i legalność ich przetwarzania.
IV. DEFINICJE
5.1. Poniższe definicje terminów użytych w niniejszej Polityce należy rozumieć zgodnie z definicjami zawartymi w Rozporządzeniu (UE) 2016/679 i ADTAĮ:
5.1.1. Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (podmiotu danych); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, osobisty numer identyfikacyjny, dane o lokalizacji i identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
5.1.2. "Naruszenie ochrony danych osobowych" oznacza naruszenie bezpieczeństwa skutkujące niezamierzonym lub nieuprawnionym zniszczeniem, utratą, zmianą, nieuprawnionym ujawnieniem, nieuprawnionym dostępem do danych osobowych, nieuprawnionym przekazaniem, nieuprawnionym przechowywaniem lub nieuprawnionym przetwarzaniem.
5.1.3. Podmiot przetwarzający dane - osoba fizyczna lub prawna, organ publiczny, agencja lub inny organ przetwarzający dane osobowe w imieniu administratora.
5.1.4. "Administrator" oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub inny organ, który samodzielnie lub wspólnie z innymi określa cele i metody przetwarzania. Dla celów niniejszej Polityki - Spółka.
5.1.5. Wrażliwe dane osobowe oznaczają dane osobowe, które ze względu na swój charakter są szczególnie wrażliwe w odniesieniu do podstawowych praw i wolności i które powinny być objęte szczególną ochroną, ponieważ kontekst, w którym są przetwarzane, może powodować poważne zagrożenie dla podstawowych praw i wolności. Takie dane osobowe powinny obejmować dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne lub przynależność do związków zawodowych, dane genetyczne, dane biometryczne, które mogą być wykorzystane do indywidualnej identyfikacji osoby fizycznej, dane dotyczące zdrowia lub dane dotyczące życia seksualnego lub orientacji seksualnej.
5.1.6. "Organ nadzorczy" oznacza organ nadzorczy państwa członkowskiego, w którym Spółka ma swoją siedzibę. W przypadku Republiki Litewskiej takim organem jest Państwowy Inspektorat Ochrony Danych Republiki Litewskiej, kod osoby prawnej 188607912, siedziba A. Juozapavičiaus g. 6, Wilno, strona internetowa 188607912. 6, Wilno, strona internetowa www.ada.lt.
5.1.7. Dane dotyczące zdrowia - dane osobowe dotyczące zdrowia fizycznego lub psychicznego osoby fizycznej, w tym dane związane ze świadczeniem usług medycznych, ujawniające informacje o stanie zdrowia tej osoby fizycznej.
5.1.8. "Strona trzecia" oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub inny organ inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający lub osoby upoważnione do przetwarzania danych osobowych na wyraźne polecenie administratora lub podmiotu przetwarzającego.
5.2. Inne terminy użyte w niniejszej Polityce i niewymienione w punkcie 5.1 mają znaczenie nadane im w Rozporządzeniu (UE) 2016/679 i ADTAĮ.
V. PODSTAWOWE ZASADY PRZETWARZANIA DANYCH OSOBOWYCH
6.1. Przetwarzając dane osobowe osób fizycznych, Spółka kieruje się następującymi zasadami dotyczącymi przetwarzania danych osobowych.
ZASADA LEGALNOŚCI, UCZCIWOŚCI I PRZEJRZYSTOŚCI
6.2. Dane osobowe muszą być przetwarzane w sposób zgodny z prawem, rzetelny i przejrzysty w stosunku do osoby, której dane dotyczą, co oznacza, że dane osobowe są przetwarzane przez Spółkę na podstawie zgodnej z prawem, bez naruszania przepisów ustawowych, wykonawczych, innych prawnie wiążących zobowiązań lub ograniczeń.
6.3. Spółka przetwarza dane osobowe w odniesieniu do osoby, której dane dotyczą, wyłącznie w celach zgodnych z prawem i określonych w niniejszej Polityce.
6.4. Spółka przetwarza wrażliwe dane osobowe wyłącznie wtedy, gdy takie przetwarzanie jest zgodne, legalne i wymagane lub dozwolone przez obowiązujące prawo, w którym to przypadku dane mogą być przetwarzane zgodnie z przepisami obowiązującego prawa.
6.5. Spółka informuje osoby, których dane dotyczą, o zasadach, gwarancjach i prawach związanych z przetwarzaniem danych osobowych, a także o sposobach wykonywania praw przysługujących im w związku z takim przetwarzaniem.
OGRANICZENIA DOCELOWE
6.6. Spółka gromadzi dane osobowe w konkretnych, jasno określonych i uzasadnionych celach określonych w niniejszej Polityce. Dane osobowe nie będą dalej przetwarzane w sposób niezgodny z tymi celami.
6.7. Aby przetwarzać dane osobowe w celu innym niż określony w niniejszej Polityce, Spółka przekaże osobie, której dane dotyczą, informacje o celu i wszelkie dodatkowe informacje z nim związane.
ZASADA MINIMALIZACJI DANYCH
6.8. Dane osobowe przetwarzane przez Spółkę muszą być adekwatne, stosowne i niezbędne wyłącznie do celów, dla których są przetwarzane. Spółka ogranicza przetwarzanie do tych danych, które są niezbędne do osiągnięcia celów przetwarzania określonych w niniejszej Polityce i nie przetwarza danych osobowych, które nie są niezbędne do osiągnięcia tych celów.
ZASADA PRECYZJI
6.9. Spółka przetwarza dane osobowe w taki sposób, aby zapewnić dokładność danych osobowych i aktualizować je w przypadku jakichkolwiek zmian. Spółka podejmie wszelkie uzasadnione środki w celu niezwłocznego usunięcia lub poprawienia danych osobowych, które nie są dokładne w odniesieniu do celów ich przetwarzania określonych w niniejszej Polityce.
ZASADA OGRANICZENIA CZASU PRZECHOWYWANIA
6.10. Spółka przechowuje dane osobowe w formie umożliwiającej identyfikację osoby fizycznej przez okres nie dłuższy niż jest to konieczne do celów, dla których dane osobowe zostały zebrane i przetworzone. Jeśli okres przechowywania nie jest określony przez prawo, dane osobowe są przechowywane przez rozsądny okres lub przez okres przeglądu okresowego.
ZASADA INTEGRALNOŚCI I POUFNOŚCI
6.11. Spółka przetwarza dane osobowe w sposób zapewniający, poprzez odpowiednie środki techniczne lub organizacyjne, należyte bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.
ZASADA ODPOWIEDZIALNOŚCI
6.12. Spółka jest odpowiedzialna za zapewnienie zgodności z zasadami przetwarzania danych osobowych określonymi w niniejszej Polityce i obowiązującym prawie oraz za możliwość wykazania takiej zgodności właściwym organom i/lub osobom, których dane dotyczą, jeśli jest to wymagane przez obowiązujące prawo.
VI. WDROŻENIE OCHRONY DANYCH OSOBOWYCH W SpółCe
7.1. W celu przestrzegania zasad dotyczących przetwarzania danych osobowych wymaganych przez niniejszą Politykę i obowiązujące przepisy prawa, ochrona danych osobowych w Spółce odbywa się w sposób określony poniżej w niniejszej sekcji.
7.2. Cele przetwarzania danych osobowych przetwarzanych przez Spółkę określa kierownik Spółki.
7.3. Dane osobowe osób fizycznych w Spółce przetwarzane są przez kierownika Spółki i/lub osoby przez niego upoważnione. Dostęp do danych osobowych osób fizycznych przetwarzanych w Spółce mają te osoby, dla których jest to niezbędne do wykonywania ich obowiązków/funkcji i tylko wtedy, gdy jest to konieczne do osiągnięcia odpowiednich celów.
VII.1 Przetwarzanie określonych kategorii danych osobowych przez Spółkę PRZETWARZANIE DANYCH OSOBOWYCH PRACOWNIKÓW I KANDYDATÓW 7.4. Przetwarzanie danych osobowych pracowników Spółki (stałych i tymczasowych) zatrudnionych w Spółce na podstawie umowy o pracę, w tym byłych pracowników (zwanych dalej "Pracownikiem") oraz osób ubiegających się o zatrudnienie w Spółce (zwanych dalej "Kandydatem"), a także przetwarzanie danych osobowych Pracowników i Kandydatów, określone w Polityce Ochrony Danych Osobowych Pracowników i Kandydatów, która stanowi
załącznik nr 1 do niniejszej Polityki
, która reguluje przetwarzanie danych osobowych tych osób, procedurę realizacji praw tych osób jako podmiotów danych w Spółce, środki bezpieczeństwa oraz inne kwestie związane z przetwarzaniem danych osobowych i legalnością ich przetwarzania. Postanowienia niniejszej Polityki mają zastosowanie do Pracowników i Kandydatów Spółki w zakresie, w jakim kwestie te nie zostały uregulowane w Polityce Ochrony Danych Osobowych Pracowników i Kandydatów.
PRZETWARZANIE DANYCH OSOBOWYCH PRACOWNIKÓW LUB PRZEDSTAWICIELI PARTNERÓW BIZNESOWYCH LUB POTENCJALNYCH PARTNERÓW BIZNESOWYCH 7.5. Spółka przetwarza dane osobowe pracowników lub przedstawicieli partnerów biznesowych lub potencjalnych partnerów biznesowych w następujących celach:
7.5.1. w celu zawarcia i prawidłowego wykonania umów;
7.5.2. dla celów rozliczeń i innych płatności, a także zgodności z zasadami rachunkowości;
7.5.3. Ochrona uzasadnionych interesów spółki.
7.6. W zależności od celów przetwarzania danych osobowych, Spółka przetwarza następujące dane osobowe pracowników lub przedstawicieli partnerów biznesowych lub potencjalnych partnerów biznesowych: nazwisko, imię, osobisty numer identyfikacyjny, data urodzenia, obywatelstwo, miejsce zamieszkania (adres), numer telefonu kontaktowego, adres e-mail, dane dokumentu tożsamości, podpis, inne dane osobowe, jeżeli przetwarzanie takich danych jest obowiązkowe dla Spółki na mocy aktów prawnych i tylko w zakresie, w jakim jest to niezbędne do celów przetwarzania danych osobowych.
7.7. Podstawa prawna przetwarzania danych osobowych pracowników lub przedstawicieli partnerów biznesowych Spółki lub potencjalnych partnerów biznesowych:
7.7.1. wykonanie umowy, której stroną jest osoba, której dane dotyczą, lub podjęcie działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (stosunek przedumowny);
7.7.2. zgoda osoby, której dane dotyczą, lub przetwarzanie danych osobowych, które osoba, której dane dotyczą, podała do wiadomości publicznej;
7.7.3. wnoszenia, egzekwowania lub obrony roszczeń prawnych;
7.7.4. Uzasadnione interesy Spółki lub strony trzeciej.
PRZETWARZANIE DANYCH OSOBOWYCH UCZESTNIKÓW I CZŁONKÓW ORGANÓW ZARZĄDZAJĄCYCH SPÓŁKI 7.8. Spółka przetwarza dane osobowe swoich uczestników i członków organów zarządzających w następujących celach:
7.8.1. w celu prawidłowego wypełnienia (wdrożenia) obowiązków członków spółki i/lub organów zarządzających ustanowionych przez ustawodawstwo;
7.8.2. w celach biznesowych Spółki;
7.8.3. dla celów rozliczeń i innych płatności, a także zgodności z zasadami rachunkowości;
7.8.4. w celu prawidłowej realizacji umów i/lub innych dokumentów przyjętych przez członków i/lub organy zarządzające Spółki;
7.8.5. Ochrona uzasadnionych interesów Spółki.
7.9. W zależności od celów przetwarzania danych osobowych, Spółka przetwarza następujące dane osobowe swoich uczestników i członków organów zarządzających: nazwisko, imię, osobisty numer identyfikacyjny, data urodzenia, obywatelstwo, miejsce zamieszkania (adres), numer telefonu kontaktowego, adres e-mail, dane dokumentu tożsamości, podpis, inne dane osobowe, jeżeli Spółka jest zobowiązana do przetwarzania takich danych na mocy aktów prawnych i tylko w zakresie wymaganym przez akty prawne.
7.10. Podstawa prawna przetwarzania danych osobowych uczestników i członków organów zarządzających Spółki:
7.10.1. Na Spółce ciąży obowiązek prawny;
7.10.2. wykonanie umowy, której stroną jest osoba, której dane dotyczą;
7.10.3. Uzasadnione interesy Spółki lub strony trzeciej.
PRZETWARZANIE DANYCH OSOBOWYCH KLIENTÓW FIRMY (UŻYTKOWNIKÓW OPRACOWYWANYCH PRODUKTÓW) 7.11. klienci Spółki, którzy korzystają z usług Spółki, a mianowicie produktów Spółki MobyTime i pickVibe, które są zintegrowane w jedno rozwiązanie na platformie Pickvibe, której strona internetowa znajduje się pod adresem
www.pickvibe.lt. Przetwarzanie danych osobowych zostało odrębnie opisane w polityce ochrony danych osobowych tej strony internetowej, która zawiera wszystkie niezbędne informacje dotyczące przetwarzania i ochrony danych osobowych klientów Spółki, które są przetwarzane przez Spółkę w celu obsługi produktów i funkcjonalności udostępnianych na platformie Pickvibe, a także informacje dotyczące w jaki sposób klienci, jako osoby, których dane dotyczą, mogą wykonywać swoje prawa w odniesieniu do przetwarzanych danych osobowych. Postanowienia niniejszej polityki mają zastosowanie do klientów Spółki (użytkowników produktów w fazie rozwoju) w zakresie, w jakim kwestie te nie są regulowane polityką ochrony danych osobowych witryny.
VII. 2. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ I TRYB ICH REALIZACJI W SPÓŁCE 7.12. Osobom fizycznym, których dane osobowe są przetwarzane przez Spółkę zgodnie z rozporządzeniem (UE) 2016/679 (art. 12-18, 20-22), przysługują następujące prawa:
7.12.1. wiedzieć (być informowanym) o przetwarzaniu przez Spółkę danych osobowych użytkownika;
7.12.2. mieć dostęp do swoich danych osobowych przetwarzanych przez Spółkę i sposobu ich przetwarzania;
7.12.3. żądania poprawienia lub, biorąc pod uwagę cele przetwarzania danych osobowych przez Spółkę, uzupełnienia niekompletnych danych osobowych dotyczących danej osoby;
7.12.4. żądania usunięcia danych osobowych dotyczących danej osoby;
7.12.5. zażądać od Spółki ograniczenia przetwarzania danych osobowych;
7.12.6. otrzymywania danych osobowych osoby fizycznej, które dostarczyła ona Spółce w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego i/lub przekazywania ich innemu administratorowi danych;
7.12.7. wniesienia sprzeciwu wobec przetwarzania danych osobowych dotyczących osoby fizycznej, jeżeli takie przetwarzanie odbywa się w interesie publicznym lub jest niezbędne do realizacji uzasadnionych interesów Spółki lub strony trzeciej, w przypadku gdy interesy osoby fizycznej nie mają charakteru nadrzędnego;
7.12.8. w stosownych przypadkach, wymagać, aby decyzja oparta wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, w tym profilowaniu, nie była stosowana wobec danej osoby i aby taka decyzja została poddana przeglądowi;
7.12.9. złożyć skargę do organu nadzorczego.
7.13. Proces i procedura wykonywania praw osób fizycznych jako podmiotów danych w Spółce są oddzielnie wyszczególnione i określone w Zasadach wdrażania praw podmiotów danych, które są określone w
Załączniku 2 do niniejszej Polityki.
VII.3. ŚRODKI ZAPEWNIAJĄCE BEZPIECZEŃSTWO DANYCH OSOBOWYCH W SPÓŁCE 7.14. Podczas przetwarzania danych osobowych Spółka podejmuje i zapewnia odpowiednie środki organizacyjne i techniczne w celu ochrony danych osobowych osób, których dane osobowe są przetwarzane przez Spółkę, przed przypadkowym lub niezgodnym z prawem zniszczeniem, zmianą, ujawnieniem lub jakimkolwiek innym niezgodnym z prawem przetwarzaniem.
7.15. Jednym z takich środków jest ustanowienie poziomów poufności informacji zawierających dane osobowe w Spółce za pomocą odrębnego dokumentu, Zasad Klasyfikacji Informacji, które są określone w
Załączniku 3 do niniejszej Polityki, w celu zapewnienia integralności, dostępności, poufności i właściwego wykorzystania danych osobowych przetwarzanych w Spółce.
7.16. Spółka zapewnia dostęp do danych osobowych osób, których dane dotyczą, wyłącznie osobom upoważnionym przez Spółkę do dostępu do takich danych i tylko wtedy, gdy jest to konieczne do osiągnięcia celów określonych w niniejszej Polityce. Dostęp do danych osobowych przetwarzanych w sposób zautomatyzowany mają wyłącznie pracownicy Spółki lub inne osoby odpowiedzialne upoważnione do przetwarzania danych osobowych.
7.17. Pracownicy lub inne osoby odpowiedzialne upoważnione do przetwarzania danych osobowych osób, których dane dotyczą, przestrzegają zasady poufności i zachowują w tajemnicy wszelkie informacje dotyczące danych osobowych, o których dowiedzieli się podczas wykonywania swoich obowiązków, chyba że takie informacje są jawne zgodnie z obowiązującymi przepisami ustawowymi lub wykonawczymi. Obowiązek zachowania poufności danych osobowych dotyczy również przekazywania obowiązków, stosunków pracy lub stosunków umownych.
7.18. Pracownicy Spółki lub inne osoby odpowiedzialne upoważnione do przetwarzania danych osobowych osób, których dane dotyczą, zapobiegają przypadkowemu lub niezgodnemu z prawem zniszczeniu, zmianie, ujawnieniu lub innemu niezgodnemu z prawem przetwarzaniu danych osobowych poprzez właściwe i bezpieczne przechowywanie dokumentów oraz wykluczenie ich niepotrzebnego kopiowania. Kopie dokumentów zawierających dane osobowe powinny być niszczone w sposób uniemożliwiający ich odtworzenie i ustalenie ich treści.
7.19. Jeśli pracownik Spółki lub inna osoba odpowiedzialna za zautomatyzowane przetwarzanie danych osobowych ma wątpliwości co do niezawodności podjętych środków bezpieczeństwa, powinna skontaktować się z kierownikiem Spółki w celu oceny podjętych środków bezpieczeństwa i, w razie potrzeby, zainicjowania nabycia i wdrożenia dodatkowych środków.
7.20. Pracownicy Spółki lub inne odpowiedzialne osoby, które automatycznie przetwarzają dane osobowe lub mają dostęp ze swoich komputerów do obszarów sieci lokalnej, w których przechowywane są dane osobowe, muszą używać haseł utworzonych zgodnie z obowiązującymi przepisami. Pracownik pracujący na danym komputerze może znać tylko swoje własne hasło. Hasła są zmieniane okresowo i w określonych okolicznościach (np. zmiana pracownika, zagrożenie włamaniem, podejrzenie, że hasło zostało złamane itp.)
7.21. Reagując na wszelkie (w tym potencjalne) naruszenia ochrony danych osobowych, Spółka kieruje się obowiązującą w Spółce Polityką zarządzania incydentami dotyczącymi danych osobowych, która szczegółowo określa obowiązki Spółki w związku z identyfikacją potencjalnego i/lub faktycznego naruszenia ochrony danych osobowych, a także procedurę oceny charakteru naruszenia ochrony danych osobowych, formularze i procedurę zgłaszania naruszenia ochrony danych osobowych oraz omawiania innych kwestii związanych z naruszeniem ochrony danych osobowych.
VII.4. POWIADOMIENIE OSÓB, KTÓRYCH DANE DOTYCZĄ 7.22. Spółka poinformuje osoby, których dane dotyczą, poprzez oświadczenie o ochronie prywatności, w przypadku gdy Spółka przetwarza dane osobowe na swojej stronie internetowej lub w inny sposób online. Spółka zapewnia, że takie powiadomienie osób, których dane dotyczą, o przetwarzaniu danych osobowych odnoszących się do tych danych osobowych jest łatwo dostępne i stale widoczne, czytelne dla komputera, bezpośrednio dostępne i zrozumiałe oraz napisane prostym i zrozumiałym językiem.
7.23. Spółka określa podstawowe zasady i warunki przetwarzania danych osobowych, które muszą być przestrzegane przez wszystkich odwiedzających stronę internetową
www.pickvibe.lt w polityce ochrony danych osobowych tej strony internetowej.
VII.5. WOLNA WOLA I ZGODA OSOBY, KTÓREJ DANE DOTYCZĄ 7.24. Spółka opiera się na zgodzie osoby, której dane dotyczą, jako podstawie prawnej przetwarzania danych osobowych wyłącznie po upewnieniu się, że spełnia warunki określone w rozporządzeniu (UE) 2016/679. Zgoda jest udzielana dobrowolnie, na piśmie, w tym drogą elektroniczną, oraz zgodnie z wymogami obowiązującego prawa.
7.25. Spółka przetwarza wrażliwe dane osobowe tylko wtedy, gdy osoba, której dane dotyczą, wyraziła wyraźną zgodę na takie przetwarzanie, chyba że istnieją wyjątki od przetwarzania takich danych zgodnie z przepisami obowiązującego prawa.
7.26. Osoba, której dane dotyczą, ma prawo wycofać swoją zgodę w dowolnym momencie.
VII.6. PRZECHOWYWANIE DANYCH OSOBOWYCH I OKRESY PRZECHOWYWANIA 7.27. Spółka zapewnia bezpieczeństwo pomieszczeń, w których przechowywane są dane osobowe, odpowiednie rozmieszczenie i przegląd środków technicznych, właściwe zarządzanie siecią, utrzymanie systemów informatycznych oraz wdrożenie innych środków technicznych i/lub organizacyjnych niezbędnych do zapewnienia ochrony danych osobowych.
7.28. Spółka przechowuje dane osobowe w formie umożliwiającej identyfikację osoby fizycznej przez okres nie dłuższy niż jest to konieczne do celów, dla których dane osobowe zostały zebrane i przetworzone. O ile okres przechowywania nie jest określony przepisami prawa, dane osobowe są przechowywane przez rozsądny okres lub okresowo weryfikowane.
7.29. Okresy przechowywania danych osobowych przetwarzanych przez Spółkę oraz podstawowe wymogi dotyczące przechowywania są szczegółowo określone w Zasadach przechowywania danych osobowych Spółki, które są określone w
Załączniku 5 do niniejszej Polityki. Spółka może również określić okresy przechowywania danych osobowych przetwarzanych przez Spółkę w innych dokumentach, takich jak oświadczenie o ochronie prywatności opublikowane na stronie internetowej Spółki lub na stronie internetowej produktu opracowanego przez Spółkę, w zakresie, w jakim nie są one określone w Zasadach przechowywania danych osobowych Spółki.
VII. PODMIOTY PRZETWARZAJĄCE DANE
8.1. Dyrektor Spółki może korzystać z usług podmiotów przetwarzających dane, takich jak dostawcy usług informatycznych i łączności elektronicznej, doradcy, audytorzy, konsultanci, służby bezpieczeństwa i inne podmioty w celu przetwarzania danych osobowych przetwarzanych przez Spółkę zgodnie z niniejszą Polityką, w celach określonych w niniejszej Polityce i zgodnie z poleceniami Spółki, przy zachowaniu pełnej poufności przetwarzania danych osobowych.
8.2. Wiarygodność podmiotu przetwarzającego dane musi zostać oceniona przed skorzystaniem z jego usług. Podmioty przetwarzające dane są uważane za godne zaufania, jeśli zapewnią, że posiadają wystarczającą wiedzę specjalistyczną, zasoby i wiarygodność, aby zapewnić bezpieczne przetwarzanie danych osobowych.
8.3. Spółka zawiera pisemne umowy z podmiotami przetwarzającymi dane, które stanowią, że podmioty przetwarzające dane będą przetwarzać dane osobowe wyłącznie zgodnie z instrukcjami Spółki i zobowiązaniami do zachowania poufności. Umowy te określają również poziom bezpieczeństwa i/lub ewentualne wymogi mające zastosowanie do ochrony danych Spółki. Umowa musi określać sposób, w jaki przedstawiciel Spółki jest upoważniony do weryfikacji zgodności podmiotu przetwarzającego z jego zobowiązaniami, a także odpowiedzialność podmiotu przetwarzającego za naruszenie umowy i/lub przetwarzanie danych osobowych.
8.4. Podmioty przetwarzające dane wykorzystywane i upoważnione przez Spółkę, o ile takie istnieją, są identyfikowane w rejestrze czynności przetwarzania danych osobowych Spółki. Przy zawarciu każdej nowej umowy z podmiotem przetwarzającym, lista podmiotów przetwarzających będzie aktualizowana z inicjatywy kierownika Spółki o dane nowego podmiotu przetwarzającego. W przypadku rozwiązania umowy z podmiotem przetwarzającym, niezbędne zmiany zostaną wprowadzone do powyższej ewidencji czynności przetwarzania z inicjatywy dyrektora Spółki.
8.5. Dyrektor Spółki poinformuje odpowiednich pracowników Spółki o wszelkich zmianach na liście Podmiotów Przetwarzających Dane w zwykły sposób Spółki nie później niż trzy (3) dni robocze po wprowadzeniu zmian na liście Podmiotów Przetwarzających Dane.
VIII. ODBIORCY DANYCH
IX.1. OSOBY TRZECIE
9.1. Dane osobowe są gromadzone, przetwarzane i przekazywane organom publicznym i/lub innym osobom na podstawie ustaw i aktów prawnych Republiki Litewskiej, a także po otrzymaniu uzasadnionego pisemnego wniosku i tylko wtedy, gdy istnieją uzasadnione podstawy do przekazania takich danych i/lub zgody osoby, której dane dotyczą. Dane osobowe osób, których dane dotyczą, mogą być ujawniane stronom trzecim wyłącznie w przypadkach i w sposób określony w ustawach i innych aktach prawnych Republiki Litewskiej.
9.1.1. dane osobowe pracowników Spółki: do Urzędu Państwowego Funduszu Ubezpieczeń Społecznych przy Ministerstwie Ochrony Socjalnej i Pracy, do Państwowej Inspekcji Podatkowej przy Ministerstwie Finansów Republiki Litewskiej, do Giełdy Pracy przy Ministerstwie Ochrony Socjalnej i Pracy Republiki Litewskiej oraz do Państwowej Inspekcji Pracy przy Ministerstwie Ochrony Socjalnej i Pracy Republiki Litewskiej;
9.1.2. w jednorazowych przypadkach - innym osobom trzecim, gdy obowiązek Spółki do przekazania danych osobowych wynika z przepisów prawa lub innych aktów prawnych, w innych przypadkach i w sposób określony w przepisach prawa i innych aktach prawnych Republiki Litewskiej (np. dane osobowe niektórych (indywidualnych) pracowników Spółki mogą być przekazywane komornikom itp.)
9.2. Lista osób trzecich, którym Spółka udostępnia dane osobowe, zostanie dostarczona i, w razie potrzeby, zaktualizowana poprzez wskazanie tego w rejestrze czynności przetwarzania danych osobowych Spółki.
9.3. Dyrektor Spółki zostanie poinformowany o wszystkich otrzymanych wnioskach o udostępnienie danych osobowych (pojedynczych i wielokrotnych) osobom trzecim przed rozpoczęciem udostępniania danych osobowych lub wysłaniem odmowy udostępnienia danych osobowych. Podstawę prawną i cel przekazania danych osobowych we wszystkich przypadkach określa Dyrektor Spółki.
9.4. Jeśli nie ma podstaw prawnych do udostępnienia danych osobowych przetwarzanych przez Spółkę osobom trzecim, osoba lub organizacja składająca wniosek zostanie o tym poinformowana przez pisemną odpowiedź na wniosek kierownika Spółki z uzasadnieniem.
X.2. PAŃSTWA TRZECIE LUB ORGANIZACJE MIĘDZYNARODOWE
9.5. Spółka przekaże dane osobowe do kraju trzeciego lub organizacji międzynarodowej tylko wtedy, gdy Spółka ustanowiła odpowiednie zabezpieczenia, pod warunkiem, że prawa osoby, której dane dotyczą, i skuteczne środki zaradcze są zapewnione i nie ma odstępstwa na mocy obowiązującego prawa.
9.6. Ogólne zasady i procedury związane z przekazywaniem danych osobowych przetwarzanych przez Spółkę do państwa trzeciego lub organizacji międzynarodowej są szczegółowo określone w Regulaminie Spółki dotyczącym przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych, który znajduje się w Załączniku 6 do niniejszej Polityki.
IX. INSPEKTOR OCHRONY DANYCH
10.1. Zgodnie z przepisami Rozporządzenia (UE) 2016/679 Spółka wyznaczyła inspektora ochrony danych [Evaldas Aleksaitis,
[email protected]].
10.2. Niniejszej Polityce towarzyszy Regulamin Inspektora Ochrony Danych (
Załącznik 7), który określa obowiązki, ogólne wymagania, funkcje, prawa i obowiązki Inspektora Ochrony Danych jako pracownika Spółki.
X. WYTYCZNE DOTYCZĄCE IDENTYFIKACJI WIODĄCEGO ORGANU NADZORCZEGO
11.1. Właściwym wiodącym organem nadzorczym Spółki jest organ nadzorczy państwa członkowskiego, w którym znajduje się siedziba Spółki. W przypadku Republiki Litewskiej takim organem jest Państwowy Inspektorat Ochrony Danych Republiki Litewskiej, kod podmiotu prawnego 188607912, siedziba A. Juozapavičiaus g. 6, Wilno.
XI. SPÓŁKA I ODPOWIEDZIALNOŚĆ
12.1. Stali lub tymczasowi pracownicy Spółki, a także wszystkie osoby działające w imieniu Spółki, są odpowiedzialni za przestrzeganie postanowień niniejszej Polityki i prawidłowe przetwarzanie danych osobowych i mogą zostać pociągnięci do odpowiedzialności za ich naruszenie zgodnie z procedurą ustanowioną przez prawo.
12.2. Wszelkie pytania związane z ochroną danych osobowych osób, których dane dotyczą w Spółce, które nie są objęte niniejszą Polityką, należy kierować do Dyrektora Generalnego Spółki i/lub osoby przez niego wyznaczonej do spraw ochrony danych i/lub wyznaczonego inspektora ochrony danych Spółki, pana Evaldasa Aleksaitisa, e-mail:
[email protected].
XII. OCENA I MONITOROWANIE WPŁYWU NA OCHRONĘ DANYCH
13.1. Spółka jest zobowiązana do przeprowadzenia oceny skutków dla ochrony danych w przypadkach określonych w rozporządzeniu (UE) 2016/679. Zasady oceny skutków dla ochrony danych określone w Załączniku 8 do niniejszej Polityki określają ogólne zasady i procedury, których Spółka powinna przestrzegać przy identyfikowaniu operacji przetwarzania, dla których wymagana jest ocena skutków dla ochrony danych, przy przeprowadzaniu oceny skutków dla ochrony danych, przy uzyskiwaniu opinii osób, których dane dotyczą, lub ich przedstawicieli na temat proponowanego przetwarzania oraz przy określaniu, jakie działania należy podjąć, przez kogo i kiedy.
13.2. Dyrektor Spółki i/lub jego zastępca i/lub Inspektor Ochrony Danych co najmniej raz w roku dokonują przeglądu zgodności niniejszej Polityki z wymogami zewnętrznych przepisów prawa i regulacji, oceniają skuteczność wdrożenia ochrony danych osobowych podmiotów danych osobowych w procesach biznesowych Spółki i aktualizują ją z uwzględnieniem uzyskanych wyników.
13.3. W razie potrzeby Spółka może przyjąć wewnętrzne dokumenty regulacyjne uzupełniające i/lub wdrażające postanowienia niniejszej Polityki lub od nich odbiegające. Takie wewnętrzne dokumenty będą przyjmowane zgodnie z ustalonymi procedurami Spółki.
XIII. ZARZĄDZANIE DOKUMENTACJĄ PROWADZONĄ NA PODSTAWIE DOKUMENTU
14.1. W celu zapewnienia zgodności z Rozporządzeniem (UE) 2016/679, Spółka prowadzi rejestr czynności przetwarzania danych, za które jest odpowiedzialna, poprzez prowadzenie elektronicznego rejestru rejestrów, który jest zgodny z wymogami dotyczącymi treści określonymi w Rozporządzeniu (UE) 2016/679 i który jest dołączony do niniejszej Polityki jako Załącznik 9.
14.2. Dziennik czynności przetwarzania danych zapewnia, że Spółka spełnia kluczowe wymogi sprawozdawcze rozporządzenia (UE) 2016/679, a mianowicie:
14.2.1. Prowadzenie rejestrów wszystkich operacji przetwarzania danych;
14.2.2. Prowadzenie rejestrów umów z podmiotem przetwarzającym dane;
14.2.3. Prowadzenie rejestrów naruszeń ochrony danych, w tym powiadomień o naruszeniach kierowanych do organu nadzorczego i osób, których dane dotyczą.
XIV. DODATKI.
15.1. Poniższe Załączniki mają zastosowanie w połączeniu z niniejszą Polityką i stanowią jej integralną część:
15.1.1. Polityka ochrony danych osobowych pracowników i kandydatów.
15.1.2. Zasady realizacji praw osób, których dane dotyczą.
15.1.3. Zasady klasyfikacji informacji.
15.1.4. Zasady zarządzania incydentami dotyczącymi danych osobowych.
15.1.5. Zasady przechowywania danych osobowych.
15.1.6. Zasady przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych.
15.1.7. Opis stanowiska inspektora ochrony danych.
15.1.8. Zasady oceny skutków dla ochrony danych.
15.1.9. Rejestr czynności przetwarzania danych osobowych.
15.2. W razie potrzeby Spółka może przyjąć dodatkowe dodatki.