RODO

POLITYKA PRYWATNOŚCI

POLITYKA OCHRONY DANYCH OSOBOWYCH

  1. Wstęp
  2. Niniejszy dokument ma za zadanie stanowić mapę wymogów, zasad i regulacji ochrony danych osobowych w Up Recruitment, stosownie do Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
  3. Polityka zawiera Opis zasad ochrony danych obowiązujących w Up Recruitment.
  4. Odpowiedzialny za wdrożenie i utrzymanie niniejszej Polityki jest Administrator Danych, tj. Up Recruitment Sp. z o.o.
  5. Za nadzór i monitorowanie przestrzegania Polityki odpowiada Administrator Danych tj. Up Recruitment.
  6. Za przestrzeganie i stosowanie niniejszej Polityki odpowiedzialny jest cały personel Up Recruitment, wszyscy pracownicy, współpracownicy.
  7. Up Recruitment dołoży wszelkich starań, aby kontrahenci współpracujący z Up Recruitment, którym przekazywane są dane osobowe, również przestrzegali zasad wynikających z niniejszej Polityki.
  8. Definicje

 

Polityka- niniejsza Polityka ochrony danych osobowych

RODO- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Dane- dane osobowe zgodnie z definicją RODO

Dane szczególnych kategorii- dane wymienione w art. 9 ust. 1 RODO

Dane dzieci- dane osób poniżej 16 roku życia

Osoba- oznacza osobę, której dane dotyczą

Podmiot przetwarzający- organizacja lub osoba, której Up Recruitment powierzyło dane osobowe

Profilowanie dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się

Eksport danych- przekazanie danych osobowych do państwa trzeciego, spoza obszaru EOG

RCPD- Rejestr Czynności Przetwarzania Danych

 

  • OCHRONA DANYCH OSOBOWYCH- ZASADY OGÓLNE
  1. Filary ochrony danych w Up Recruitment:
  2. Legalność- Up Recruitment dba o ochronę prywatności i przetwarza dane zgodnie z prawem
  3. Bezpieczeństwo- Up Recruitment zapewnia odpowiedni poziom bezpieczeństwa danych
  4. Prawa jednostki- Up Recruitment umożliwia osobom wykonywanie ich praw w związku z przetwarzaniem danych
  5. Rozliczalność- Up Recruitment dokumentuje to w jaki sposób spełnia obowiązki, aby w każdej chwili móc wykazać zgodność.
  6. Zasady ochrony danych

Up Recruitment przetwarza dane osobowe z poszanowaniem następujących zasad:

  1. W oparciu o podstawę prawną i zgodnie z prawem (legalizm)
  2. Rzetelnie i uczciwie (rzetelność)
  3. W sposób przejrzysty (transparentność)
  4. W konkretnych celach i nie na zapas (minimalizm)
  5. Nie więcej niż potrzeba (adekwatność)
  6. Z dbałością o prawidłowość danych (prawidłowość)
  7. Nie dłużej niż potrzeba (czasowość)
  8. Zapewniając odpowiednie bezpieczeństwo (bezpieczeństwo).
  9. System ochrony danych

System ochrony danych składa się z następujących elementów:

  1. Inwentaryzacja danych. Up Recruitment dokonuje identyfikacji zasobów danych osobowych, zależności miedzy zasobami danych, sposób wykorzystania danych, w tym:

– przypadków przetwarzania danych osób, których nie identyfikuje

– przypadków przetwarzania danych wrażliwych

– przypadków przetwarzania danych dzieci

– profilowania

  1. Rejestr. Up Recruitment opracowuje, prowadzi i utrzymuje Rejestr Czynności Przetwarzania Danych (RCPD), jest on narzędziem rozliczalności Up Recruitment z RODO.
  2. Podstawy prawne. Up Recruitment zapewnia, identyfikuje, weryfikuje podstawy prawne przetwarzania danych i rejestruje je w RCPD, w tym:

– utrzymuje system zarządzania zgodami na przetwarzanie danych i komunikację na odległość

– inwentaryzuje uzasadnienie przypadków, gdy Up Recruitment przetwarza dane na podstawie prawnie uzasadnionego interesu.

  1. Obsługa praw jednostki. Up Recruitment spełnia obowiązki informacyjne względem osób, których dane przetwarza oraz zapewnia obsługę ich praw, realizując otrzymane w tym zakresie żądania, w tym:

– obowiązki informacyjne

– możliwość wykonania żądań

– obsługa żądań

– zawiadamianie o naruszeniach

  1. Minimalizacja. Up Recruitment posiada zasady i metody zarządzania minimalizacją, a w tym:

– zasady zarządzania adekwatnością danych

– zasady zarządzania dostępem do danych

– zasady zarządzania okresem przechowywania danych

  1. Bezpieczeństwo. Up Recruitment zapewnia odpowiedni poziom bezpieczeństwa danych, w tym:

– przeprowadza analizy ryzyka dla czynności przetwarzania danych

– przeprowadza oceny skutków dla ochrony danych, tam gdzie ryzyko naruszenia jest wysokie

– dostosowuje środki do ryzyka

– posiada procedurę identyfikacji i zgłoszenia naruszenia do Urzędu Ochrony Danych

  1. Przetwarzający. Up Recruitment posiada zasady doboru przetwarzających dane na rzecz KOKO, wymogów co do warunków przetwarzania (umowy) oraz weryfikacji wykonywania umów.
  2. Eksport danych. Up Recruitment dokłada starań celem weryfikacji czy dane przekazywane są do państwa trzeciego, a jeżeli ma to miejsce, dokłada wszelkich starań aby zapewniono odpowiedni poziom ochrony.
  3. Privacy by design. Up Recruitment zarządza zmianami wpływającymi na prywatność. W tym celu wprowadza procedury uwzgledniające konieczność oceny ryzyka i wpływu na ochronę danych przy wdrażaniu nowych projektów.
  4. OCHRONA DANYCH OSOBOWYCH- ZASADY SZCZEGÓLNE
  5. Dane wrażliwe. Up Recruitment monitoruje czy dochodzi do przetwarzania danych wrażliwych, jednakże w bieżącej działalności nie ma to zastosowania.
  6. Dane niezidentyfikowane. Up Recruitment identyfikuje przypadki, w których przetwarza lub może przetwarzać dane niezidentyfikowane i utrzymuje mechanizmy ułatwiające realizację praw osób, których dotyczą dane.
  7. Up Recruitment nie prowadzi działań związanych z profilowaniem.
  8. RCPD
  9. RCPD stanowi formę dokumentowania czynności przetwarzania danych, pełni rolę mapy przetwarzania danych i jest jednym z kluczowych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności.
  10. Up Recruitment prowadzi RCPD, w którym inwentaryzuje i monitoruje sposób, w jaki wykorzystuje dane osobowe.
  11. W Rejestrze, dla każdej czynności przetwarzania danych, którą Up Recruitment uznało za odrębną dla potrzeb Rejestru, Up Recruitment odnotowuje co najmniej: nazwę czynności, cel przetwarzania, opis kategorii osób, opis kategorii danych, podstawę prawną przetwarzania, sposób zbierania danych, opis kategorii odbiorców danych, informacje o przekazaniu danych poza EOG, ogólny opis technicznych i organizacyjnych środków ochrony.
  12. Podstawa przetwarzania
  13. Up Recruitment w Rejestrze dokumentuje podstawy prawne poszczególnych czynności przetwarzania.
  14. Up Recruitment dla każdej czynności przetwarzania podaje właściwą podstawę, tj. zgoda, umowa, obowiązek prawny, żywotne interesy, zadanie publiczne, uzasadniony cel.
  15. Up Recruitment wdraża system zarządzania zgodami w konkretnym celu a także prowadzi rejestr odmowy zgody, cofnięcia i sprzeciwu.
  16. W przypadku przetwarzania danych na podstawie uzasadnionego interesu administratora, IOD ma obowiązek znać szczegóły tego interesu.
  17. Sposób obsługi praw jednostki i obowiązków informacyjnych.
  18. Up Recruitment dba o czytelność i styl przekazywanych informacji i komunikacji z osobami, których dane przetwarza.
  19. Up Recruitment zaktualizowało swoją Politykę prywatności celem pełnego poinformowania użytkowników jak Up Recruitment przestrzega danych.
  20. Up Recruitment dba o dotrzymywanie prawnych terminów realizacji obowiązków względem osób.
  21. W celu realizacji praw jednostki, Up Recruitment zapewnia procedury i mechanizmy pozwalające zidentyfikować dane konkretnych osób przetwarzane przez Up Recruitment, zintegrować te dane, wprowadzać do nich zmiany i usuwać w sposób zintegrowany.
  22. Up Recruitment dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań osób.
  23. Obowiązki informacyjne
  24. Up Recruitment określa zgodne z prawem i efektywne sposoby wykonywania obowiązków informacyjnych.
  25. Up Recruitment informuje osobę o przedłużeniu ponad 1 miesiąc terminu na rozpatrzenie żądania tej osoby.
  26. Up Recruitment informuje osobę o przetwarzaniu jej danych, przy pozyskiwaniu danych od tej osoby, jak również nie bezpośrednio od niej.
  27. Up Recruitment określa sposób informowania osób o przetwarzaniu danych niezidentyfikowanych, tam gdzie jest to możliwe.
  28. Up Recruitment informuje osobę o planowanej zmianie celu przetwarzania danych.
  29. Up Recruitment informuje odbiorców danych o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych (chyba, że będzie to wymagało niewspółmiernie dużego wysiłku)
  30. Up Recruitment informuje o prawie sprzeciwu względem przetwarzania danych.
  31. Up Recruitment bez zbędnej zwłoki zawiadamia osobę o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby.
  32. Żądania osób
  33. Prawa osób trzecich. W przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób, Up Recruitment może się zwrócić osoby, w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia żądaniu.
  34. Up Recruitment informuje osobę o tym, że nie przetwarza danych jej dotyczących, jeśli taka osoba zgłosiła żądanie dotyczące jej praw.
  35. Up Recruitment informuje osobę w ciągu miesiąca o odmowie rozpatrzenia żądania i o prawach osoby z tym związanych.
  36. Up Recruitment na żądanie osoby udziela osobie dostępu do danych jej dotyczących, może być to wykonane poprzez stworzenie kopii danych.
  37. Na żądanie osoby, Up Recruitment wydaje osobie kopię danych jej dotyczących i odnotowuje fakt wydania pierwszej kopii danych. Kolejne kopie mogą być wydane za opłatą,
  38. Up Recruitment dokonuje sprostowania nieprawidłowych danych na żądanie osoby. Up Recruitment ma prawo odmowić sprostowania, chyba że osoba w sposób wiarygodny wykaże nieprawidłowość danych.
  39. Up Recruitment uzupełnia i aktualizuje dane na żądanie osoby. Up Recruitment ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania.
  40. Na żądanie osoby, Up Recruitment usuwa dane, gdy:

– dane nie są niezbędne do celów, dla których zostały zebrane

– zgoda została cofnięta a nie ma innej podstawy przetwarzania

– osoba wniosła skuteczny sprzeciw wobec przetwarzania

dane były przetwarzane niezgodnie z prawem

konieczność usunięcia wynika z obowiązku prawnego

Jeżeli dane podlegające usunięciu zostały upublicznione przez Up Recruitment, Up Recruitment podejmie rozsądne działania by poinformować przetwarzających te dane o obowiązku usunięcia danych.

W przypadku usunięcia danych Up Recruitment informuje osobę o odbiorcach danych, na jej żądanie.

  1. Up Recruitment dokonuje ograniczenia przetwarzania danych za żądanie osoby, gdy:

-osoba kwestionuje prawidłowość danych- na okres pozwalający sprawdzić ich prawidłowość

– przetwarzanie jest niezgodne z prawem, a osoba żąda ograniczenia przetwarzania

– Up Recruitment już nie potrzebuje danych, ale potrzebuje ich osoba, której dane dotyczą celem dochodzenia roszczeń

W przypadku ograniczenia przetwarzania danych Up Recruitment informuje osobę o odbiorcach danych, na jej żądanie.

  1. Na żądanie osoby Up Recruitment wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła ona Up Recruitment, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy w systemach informatycznych Up Recruitment.
  2. Jeżeli osoba zgłosi sprzeciw względem przetwarzania je danych przez Up Recruitment na potrzeby marketingu bezpośredniego (w tym ewentualnie profilowania), KOKO uwzględni sprzeciw i zaprzestanie takiego przetwarzania.
  3. Minimalizacja

Up Recruitment dba o minimalizację przetwarzania danych pod katem: adekwatności danych do celu, dostępu do danych, czasu przechowywania danych.

 

  1. Minimalizacja zakresu. Up Recruitment zweryfikowała zakres pozyskiwanych danych, zakres ich przetwarzania i ilość przetwarzanych danych pod kątem adekwatności do celów przetwarzania w ramach wdrożenia RODO. Up Recruitment dokonuje okresowego przeglądu ilości przetwarzanych danych i zakresu ich przetwarzania nie rzadziej niż raz w roku.
  2. Minimalizacja dostępu. Up Recruitment stosuje ograniczenia dostępu do danych osobowych: prawne (zobowiązania do poufności, zakresy upoważnień), fizyczne (strefy dostępu, zamykanie pomieszczeń) i logiczne (ograniczenia uprawnień dostępów). Up Recruitment dokonuje regularnie aktualizacji uprawnień dostępowych, nie rzadziej niż raz na rok.
  3. Minimalizacja czasu. Up Recruitment wdraża mechanizmy kontroli cyklu życia danych osobowych, w tym weryfikacji dalszej przydatności danych względem terminów wskazanych w RCPD. Danych, których zakres przydatności ulega ograniczeniu, zostają usunięte z systemów Up Recruitment. Dane takie mogą być archiwizowane oraz znajdować się na kopiach zapasowych systemów i informacji przetwarzanych przez Up Recruitment.
  4. Bezpieczeństwo.
  5. Analiza ryzyka i adekwatności środków bezpieczeństwa

Up Recruitment przeprowadza i dokumentuje analizy adekwatności środków bezpieczeństwa. W tym celu:

– zapewnia odpowiedni stan wiedzy o bezpieczeństwie informatycznych, cyberbezpieczeństwie i ciągłości działania

– kategoryzuje dane i czynności przetwarzania pod kątem ryzyka

– przeprowadza analizy ryzyka naruszenia praw lub wolności osób fizycznych dla czynności przetwarzania danych lub ich kategorii. Up Recruitment analizuje możliwe sytuacje naruszenia, uwzględniając charakter, zakres, kontekst i cele przetwarzania, ryzyko naruszenia o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

– Up Recruitment ustala możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa i ocenia koszt ich wdrażania. W tym stosuje takie środki i podejście jak:

– szyfrowanie danych osobowych

– inne środki cyberbezpieczeństwa składające się na zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania

– środki zapewnienia ciągłości działania i zapobiegania skutkom katastrof, czyli zdolności szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.

  1. Ocena skutków dla ochrony danych.

Up Recruitment dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych tam, gdzie zgodnie  z analizą ryzyka ryzyko naruszenia praw i wolności osób jest wysokie.

  1. Zgłaszanie naruszeń. Up Recruitment stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych w terminie 72 godzin od ustalenia naruszenia. Każdy pracownik oraz podmiot współpracujący z Up Recruitment ma obowiązek niezwłocznie poinformować Administratora Danych poprzez kontakt mailowy o zaobserwowanych anomaliach i niezgodnościach w przetwarzaniu danych. Każde potencjalne naruszenie podlega ocenie Administratora Danych. Ostatecznie do Administratora Danych należy decyzja o zgłoszeniu, z zachowaniem terminu 72 godzin. Administrator Danych prowadzi rejestr naruszeń i wprowadza środki prewencyjne przed kolejnymi zdarzeniami mogącymi wystąpić w przyszłości.