Polityka danych osobowych

  1. Definicje 
    1. Administrator  NTT Poland spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie przy ul. Rondo Daszyńskiego 1, 00-843 WarszawaWarszawa, wpisanej do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000063801, NIP 952-18-51-834, REGON 016422763
    2. IOD – Inspektor Ochrony Danych, wyznaczony przez Spółkę, nadzorujący przestrzeganie przepisów o ochronie danych osobowych w Spółce, wykonujący zadania określone w art. 39 RODO. W przypadku braku powołania w Spółce IOD, zadania związane z zapewnieniem zgodności przetwarzania danych osobowych w Spółce z obowiązującym prawem wykonuje Koordynator ds. ochrony danych osobowych (KODO). 
    3. Polityka – niniejsza Polityka ochrony danych. 
    4. Pracownik – osoba fizyczna zatrudniona przez Administratora na podstawie umowy o pracę. 
    5. Współpracownik – osoba fizyczna świadcząca na rzecz Administratora usługi na podstawie umowy cywilnoprawnej (np. umowa zlecenie, umowa o dzieło).
    6. Organ nadzorczy – Prezes Urzędu Ochrony Danych Osobowych, lub ewentualnie właściwy organ nadzorczy w zakresie danych osobowych wyznaczony przez inne państwo członkowie Unii Europejskiej.
    7. Podmiot danych – osoba fizyczna, której dotyczą dane osobowe przetwarzane przez Administratora.
    8. RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
  2. Zasady ogólne
    1. Niniejsza Polityka ochrony danych osobowych („Polityka”) stanowi podstawowy dokument regulujący zasady przetwarzania danych w NTT Poland spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie przy ul. Siennej 73, 00-833 Warszawa, wpisanej do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m. st. Warszawy
      w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000063801, NIP 952-18-51-834, REGON 016422763 („Administrator”).
    2. Administrator zapewnia przestrzeganie Polityki przez wszystkich Pracowników Administratora. 
    3. W przypadku współpracy z podmiotem trzecim obejmującej przetwarzanie danych osobowych na zlecenie Administratora, Spółka zapewnia, by taki podmiot trzeci zobowiązał się do zapewnienia odpowiedniego poziomu ochrony danych osobowych, z uwzględnieniem postanowień Polityki. 
    4. W przypadku współpracy z podmiotem trzecim, obejmującej przetwarzanie przez Administratora danych osobowych na zlecenie tego podmiotu, Spółka zawiera umowę powierzenia przetwarzania danych osobowych oraz zapewnia stosowanie się do jej wymogów przez wszystkie osoby zaangażowane w tę współpracę. 
    5. Administrator poprzez odpowiednie środki techniczne i organizacyjne zapewnia możliwość wykazania zgodności przetwarzania danych osobowych z RODO oraz pozostałymi przepisami dotyczącymi danych osobowych („rozliczalność”). 
    6. Administrator wyznacza osobę odpowiedzialną za obszar ochrony danych osobowych, powierzając jej funkcję KODO, i zapewnia adekwatne środki oraz zasoby niezbędne do wykonywania powierzonych jej zadań. W przypadku powołania IOD Administrator zapewnia, by odpowiadał on bezpośrednio przed zarządem Administratora, oraz dba o unikanie konfliktu interesów pomiędzy IOD a Spółką. Postanowienia Polityki dotyczące IOD stosuje się odpowiednio do KODO. 
    7. Wdrożenie Polityki ma na celu zapewnienie zgodności z RODO procesów przetwarzania przez Administratora danych osobowych, bez względu na formę (elektroniczną bądź papierową), w jakiej to przetwarzanie następuje.
  3. Organizacja systemu ochrony danych osobowych
    1. Administrator przypisuje role i zakres odpowiedzialności w procesie przetwarzania danych każdemu z uczestników tego procesu. 
    2. Przed udzieleniem dostępu do przetwarzania danych osobowych Administrator zapoznaje każdego Pracownika, Współpracownika lub inne osoby przetwarzające dane z jego upoważnienia, z procedurami i zasadami dotyczącymi ochrony danych osobowych obowiązującymi u Administratora.
    3. Przetwarzanie danych osobowych przez Pracowników i Współpracowników może odbywać się wyłącznie na podstawie udokumentowanego upoważnienia Administratora, którego zakres odpowiada przypisanej roli i zakresowi odpowiedzialności. Ponadto Administrator zobowiązuje osoby upoważnione do zachowania poufności danych oraz informacji dotyczących zabezpieczeń danych, a także do przestrzegania procedur i polityk dotyczących ochrony danych obowiązujących w organizacji Administratora.
    4. Do zadań KODO należy między innymi:
      1. informowanie Administratora oraz Pracowników i Współpracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO i innych przepisów unijnych lub krajowych o ochronie danych osobowych, jak również doradztwo w kwestiach powiązanych;
      2. monitorowanie przestrzegania przez osoby upoważnione przepisów RODO oraz innych przepisów unijnych i krajowych z zakresu ochrony danych osobowych, jak również wewnętrznych polityk i procedur wdrożonych u Administratora w tym zakresie;
      3. udzielanie, na żądanie, zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
      4. współpraca z Organem nadzorczym;
      5. pełnienie funkcji punktu kontaktowego dla Organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
    5. KODO wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania. 
    6. Pracownicy i Współpracownicy przetwarzający dane osobowe są zobowiązani w szczególności do:
      1. przetwarzania danych zgodnie z posiadanym upoważnieniem oraz z należytą starannością;
      2. w przypadku zaobserwowania zdarzenia mogącego stanowić naruszenie ochrony danych osobowych, niezwłocznego informowania o nim bezpośredniego przełożonego oraz KODO na zasadach opisanych w Procedurze oceny i notyfikacji naruszeń ochrony danych osobowych;
      3. uczestnictwa w organizowanych szkoleniach z zakresu ochrony danych osobowych;
      4. zachowania w poufności danych osobowych oraz informacji na temat sposobu ich zabezpieczenia, zgodnie z podpisaną klauzulą poufności.
  4. Udostępnianie i powierzanie danych osobowych
    1. Udostępnianie danych osobowych jest dopuszczalne tylko wtedy, gdy spełniony jest jeden z warunków, o którym mowa w art. 6 ust. 1 albo w art. 9 ust. 2 RODO. W przypadku powzięcia wątpliwości, czy dane osobowe powinny zostać udostępnione, należy skonsultować się z KODO.
    2. Powierzenie przetwarzania danych osobowych podmiotowi trzeciemu następuje w oparciu o umowę powierzenia przetwarzania danych, po weryfikacji tego podmiotu w sposób określony w Polityce wyboru dostawcy przetwarzającego dane osobowe. 
  5. Naruszenia ochrony danych osobowych
    1. Administrator zapewnia zgłaszanie naruszeń ochrony danych osobowych Organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. W tym celu Administrator w szczególności zobowiązuje wszystkie osoby przetwarzające dane osobowe do niezwłocznego informowania o każdym dostrzeżonym naruszeniu ochrony danych osobowych zgodnie z Procedurą oceny i notyfikacji naruszeń ochrony danych osobowych. 
    2. W każdym wypadku Administrator bada zaistniałe naruszenie i wdraża stosowne organizacyjne i techniczne środki naprawcze. 
  6. Kontakty z Podmiotem danych
    1. Administrator wdraża odpowiednie środki, aby komunikacja z Podmiotem danych odbywała się w zwięzłej, przejrzystej i łatwo dostępnej formie.
    2. Przyjmowanie i obsługa żądań Podmiotów danych odbywa się na zasadach określonych w Procedurze obsługi żądań Podmiotów danych dotyczących realizacji praw związanych z przetwarzaniem danych.
  7. Zapewnienie ciągłości 
    1. Administrator zapewnia stałe monitorowanie zgodności działania Spółki z zasadami ochrony danych osobowych. 
    2. Do podejmowania czynności związanych z zapewnieniem zgodności zobowiązany jest KODO. Każdy pracownik i współpracownik Spółki zobowiązany jest wspierać KODO w wykonywaniu jego zadań, w szczególności udzielać niezbędnych informacji i wyjaśnień. 
  8. Załączniki
    1. W toku przetwarzania danych osobowych Administrator stosuje następujące zasady, polityki i procedury:
      1. wdrażana jest Polityka przetwarzania danych osobowych – zawierająca ogólne informacje o zasadach przetwarzania danych przez Administratora, sposobie realizacji wniosków dotyczących praw podmiotów danych oraz informacje wymagane w art. 13 lub art. 14 RODO w zakresie dotyczącym osób, których dane są przetwarzane przez Administratora, ze względu na prowadzoną z nimi komunikację oraz w innych przypadkach realizacji przez Administratora jego uzasadnionych interesów. Polityka przetwarzania danych osobowych udostępniana jest każdej osobie zainteresowanej, a ponadto zamieszczana na stronie internetowej Administratora;
      2. Pracownikom i Współpracownikom przekazywana jest Informacja o przetwarzaniu danych osobowych pracowników i współpracowników – zawierająca informacje wymagane w art. 13 RODO w zakresie obejmującym przetwarzanie danych osób zatrudnionych przez Administratora, niezależnie od podstawy prawnej zatrudnienia. Informacja o przetwarzaniu danych osobowych przekazywana jest każdemu Pracownikowi i Współpracownikowi, a ponadto udostępniana do wglądu każdemu zainteresowanemu Pracownikowi i Współpracownikowi w sposób przyjęty przez Administratora;
      3. prowadzony jest Rejestr czynności przetwarzania danych osobowych oraz Rejestr kategorii czynności przetwarzania; 
      4. wdrażana jest Polityka retencji danych osobowych – określająca zasady usuwania danych osobowych oraz okresy ich przetwarzania w zależności od celu tego przetwarzania;
      5. wdrażana jest Procedura obsługi żądań podmiotów danych – określająca zasady obsługi (przyjmowania i rozpoznawania) żądań osób fizycznych dotyczących realizacji praw podmiotów danych, w związku z przetwarzaniem ich danych osobowych, określonych przepisami RODO;
      6. wdrażana jest Polityka oceny ryzyka i oceny skutków przetwarzania danych osobowych – określająca zasady realizacji obowiązków wynikających z RODO w zakresie oceny ryzyka naruszenia praw podmiotów danych oraz oceny skutków przetwarzania danych;
      7. wdrażana jest Procedura oceny i notyfikacji naruszeń ochrony danych osobowych – określająca zasady identyfikacji i oceny naruszeń ochrony danych oraz sposób ich notyfikacji, w zakresie określonym w RODO, oraz zasady prowadzenia Rejestru naruszeń;
      8. prowadzony jest Rejestr naruszeń ochrony danych osobowych;
      9. wdrażana jest Polityka wyboru dostawcy przetwarzającego dane osobowe – określająca zasady weryfikacji dostawcy w zakresie gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych oraz ochrony praw osób, których dane dotyczą, zgodnie z RODO;
      10. wdrażana jest Polityka współpracy z organem nadzorczym – określająca zasady postępowania w zakresie wymagającym współpracy z Organem nadzorczym, w tym postępowania kontrolnego oraz sądowo-administracyjnego;
      11. stosowane są Zasady dokumentowania technicznych i organizacyjnych środków bezpieczeństwa ochrony danych – określające zasady dokumentowania środków bezpieczeństwa ochrony danych wdrożonych u Administratora, zgodnie z art. 32 RODO;
      12. realizowany jest Plan utrzymania ciągłości wdrożenia – określający ogólne ramy czasowe i organizacyjne działań związanych z zapewnieniem stałej zgodności z RODO i pozostałymi przepisami z zakresu danych osobowych.
    2. Dokumenty, o których mowa w pkt 8.1 wyżej, stanowią załączniki do Polityki. 
  9. Postanowienia końcowe
    1. Polityka jest aktualizowana przez Administratora na wniosek IOD/KODO. Zasady aktualizacji poszczególnych załączników Polityki określone są w tych załącznikach. 
    2. Polityka udostępniana jest wszystkim pracownikom i współpracownikom Administratora poprzez umieszczenie jej na SharePoint. 
    3. Polityka obowiązuje od 30 marca 2021 r.

Wypełnij formularz, jeśli chcesz poznać szczegóły naszych rozwiązań

Formularz