Polityka Prywatności

Polityka Ochrony Danych Osobowych, zwana dalej „Polityką”, określa środki techniczne i organizacyjne zastosowane przez Administratora Danych dla zapewnienia ochrony danych osobowych oraz tryb postępowania realizacji praw osób fizycznych.

Celem niniejszej Polityki jest wypełnienie założeń rozporządzenia Parlamentu Europejskiego
i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej zwane: RODO).

Nadzór nad przestrzeganiem zasad opisanych w niniejszej Polityce oraz przepisów ochrony danych osobowych pełni Administrator Danych Osobowych, który zobowiązuje wszystkich pracowników i współpracowników do zapoznania się z Polityką oraz do bezwzględnego przestrzegania zawartych tu zasad. 

Ochrona danych osobowych jest realizowana poprzez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz przez samych użytkowników. 

Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:

  1.   poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom,
  2.   integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
  3.   rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie,
  4.   integralność systemu rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej.

I DEFINICJE

Przez użyte w Polityce określenia należy rozumieć:

 

  1. Polityka – rozumie się przez to niniejszą Politykę bezpieczeństwa ochrony danych osobowych.
  2. Administrator danych osobowych (ADO) – Fundacja Truckers Life z siedzibą w Wysokiej, ul. Brzozowa 2/9, 52-200 Wysoka, wpisaną do rejestru przedsiębiorców, prowadzonego przez Sąd Rejonowy dla Wrocławia-Fabrycznej we Wrocławiu, VI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem 0000456520, NIP: 8961533368, REGON: 022107086 (e-mail: info@truckerslife.eu)
  3. Administrator systemu informatycznego (ASI) – wyznaczona przez ADO na podstawie pełnomocnictwa osoba odpowiedzialna za utrzymywanie Systemów Informatycznych  w stanie pozwalającym na pracę jego użytkownikom oraz wdrażanie i stosowanie zasad bezpieczeństwa danych osobowych w zakresie technicznych zabezpieczeń Systemów informatycznych.
  4. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
  5. Stacja robocza – stacjonarny lub przenośny komputer wchodzący w skład systemu informatycznego umożliwiający użytkownikom systemu dostęp do danych osobowych znajdujących się w systemie.
  6. Bezpieczeństwo systemu informatycznego – wdrożenie przez ADO lub osobę przez niego uprawnioną środków organizacyjnych i technicznych w celu zabezpieczenia oraz ochrony danych przed dostępem, modyfikacją, ujawnieniem, pozyskaniem lub zniszczeniem.
  7. Przetwarzanie danych osobowych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
  8. Ustawa – ustawa z 10 maja 2018 r. o ochronie danych osobowych.
  9. Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię                   i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
  10. Dane szczególne oznaczają dane wymienione w art. 9 ust. 1 RODO, tj. dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej;
  11. Hasło – rozumie się przez to ciąg znaków alfanumerycznych, znany jedynie użytkownikowi;
  12. Identyfikator – rozumie się przez to, ciąg znaków literowych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
  13. Naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 
  14. Obszar przetwarzania danych – rozumie się przez to budynki i pomieszczenia określone przez administratora danych osobowych, tworzące obszar, w którym przetwarzane są dane osobowe i inne informacje prawem chronione. Obszar przetwarzania danych został określony w dziale III Polityki.
  15. Odbiorca danych – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią; organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.
  16. Osoba, podmiot danych – oznacza osobę, której dane dotyczą.
  17. Podmiot przetwarzający – oznacza organizację lub osobę, której ADO powierzył przetwarzanie danych osobowych.
  18. Postępowanie z ryzykiem – proces planowania i wdrażania działań wpływających na ryzyko; 
  19. Ryzyko – niepewność osiągnięcia zamierzonych celów.
  20. Poufność danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom; szacowanie ryzyka – proces identyfikowania, analizowania i oceniania ryzyka.
  21. Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
  22. RCPD lub rejestr – oznacza rejestr czynności przetwarzania danych osobowych. 
  23. RODO – oznacza rozporządzenie parlamentu europejskiego i rady (UE) 2016/679             z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/we (ogólne rozporządzenie o ochronie danych) 
  24. System informatyczny administratora danych – rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych; w systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sieć teleinformatyczną administratora danych.
  25. Uwierzytelnienie – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu.
  26. Użytkownik – rozumie się przez to osobę upoważnioną do przetwarzania danych osobowych (na podstawie upoważnienia lub powierzenia przetwarzania danych osobowych), której nadano dostęp do danych.
  27. Zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome                  i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. 

II ZASADY OGÓLNE

  1. Administrator danych wyraża pełne zaangażowanie dla zapewnienia bezpieczeństwa przetwarzanych danych osobowych oraz wsparcie dla przedsięwzięć technicznych
    i organizacyjnych związaną z ochroną danych.
  2. Administrator przetwarza dane osobowe z poszanowaniem następujących zasad: 
  1. w oparciu o podstawę prawną i zgodnie z prawem (legalizm); 
  2. rzetelnie i uczciwie (rzetelność); 
  3. w sposób przejrzysty dla osoby, której dane dotyczą (transparentność); 
  4. w konkretnych celach i nie „na zapas” (minimalizacja); 
  5. nie więcej niż potrzeba (adekwatność); 
  6. z dbałością o prawidłowość danych (prawidłowość); 
  7. nie dłużej niż potrzeba (czasowość); 
  8. zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo).
  1. Dla skutecznej realizacji Polityki Administrator danych osobowych zapewnia:
  1. odpowiednie do zagrożeń i kategorii danych objętych ochroną, środki techniczne
    i rozwiązania organizacyjne;
  2. szkolenia w zakresie przetwarzania danych osobowych i sposobów ich ochrony w postaci e-learningu;
  3. kontrolę i nadzór nad przetwarzaniem danych osobowych;
  4. monitorowanie zastosowanych środków ochrony.
  1. Polityka dotyczy wszystkich danych osobowych, przetwarzanych w Spółce niezależnie od formy ich przetwarzania (zbiory ewidencyjne, systemy informatyczne).
  2. Polityka ma zastosowanie wobec wszystkich komórek organizacyjnych Spółki oraz podwykonawców i współpracowników, którzy mogą mieć dostęp do danych osobowych przetwarzanych w Fundacja Truckers Life

    IV. Obowiązki i odpowiedzialności w zakresie ochrony danych osobowych 
  1. Zarządzanie bezpieczeństwem danych osobowych jest procesem ciągłym, realizowanym przy współdziałaniu użytkowników i ich przełożonych. 
  2. Ochrona danych osobowych przetwarzanych w Fundacji Trukcers Life obowiązuje wszystkie osoby, które mają dostęp do informacji, bez względu na zajmowane stanowisko oraz miejsce wykonywania, jak również charakter stosunku pracy.
  3. Osoby mające dostęp do danych osobowych są zobligowane do stosowania niezbędnych środków technicznych i organizacyjnych zapobiegających ujawnieniu tych danych osobom nieupoważnionym, przynajmniej w stopniu określonym w wewnętrznej dokumentacji.
  4. Zachowanie tajemnicy obowiązuje zarówno podczas trwania stosunku pracy, jak i po jego ustaniu.
  5. Wszystkie osoby przetwarzające dane osobowe zobowiązane są do:
  1. przetwarzania danych osobowych zgodnie z obowiązującymi przepisami;
  2. postępowania zgodnie z ustaloną przez Administratora danych osobowych Polityką oraz pozostałymi wewnętrznymi Regulacjami, które zostały opracowane w Spółce.
  • System ochrony danych 

System ochrony danych osobowych w Fundacji Truckers Life składa się z następujących elementów: 

 

  • Inwentaryzacja danych

Spółka dokonuje identyfikacji zasobów danych osobowych, zależności między zasobami danych, identyfikacji sposobów wykorzystania danych (inwentaryzacja). 

 

  • Rejestr

Spółka opracowuje, prowadzi i utrzymuje Rejestr Czynności Przetwarzania Danych (Rejestr/RCPD). Rejestr jest jednym z podstawowych narzędzi umożliwiających Spółce rozliczanie większości obowiązków ochrony danych.

 

  • Podstawy prawne

Spółka zapewnia, identyfikuje, weryfikuje podstawy prawne przetwarzania danych i rejestruje je w Rejestrze, w tym: 

  1. utrzymuje system zarządzania zgodami na przetwarzanie danych, 
  2. inwentaryzuje i uszczegóławia uzasadnienie przypadków, gdy przetwarza dane na podstawie prawnie uzasadnionego interesu. 
  • Obsługa praw jednostki

Spółka spełnia obowiązki informacyjne względem osób, których dane przetwarza, oraz zapewnia obsługę ich praw, realizując otrzymane w tym zakresie żądania, w tym: 

  1. obowiązki informacyjne.  Fundacja Truckers Life przekazuje prawem wymagane informacje przy zbieraniu danych i w innych sytuacjach oraz organizuje i zapewnia udokumentowanie realizacji tych obowiązków; 
  2. możliwość wykonania żądań.  Fundacja Trukcers Life weryfikuje i zapewniają możliwość efektywnego wykonania każdego typu żądania przez siebie i swoich przetwarzających; 
  3. obsługa żądań. Spółka zapewnia odpowiednie nakłady i procedury, aby żądania osób były realizowane w terminach i w sposób wymagany RODO
    i dokumentowane; 
  4. zawiadamianie o naruszeniach. Spółka w przypadku  konieczności zawiadomienia osób dotkniętych zidentyfikowanym naruszeniem ochrony danych powiadamia odpowiedni organ w czasie i sposób określony w prawie krajowym
  • Sposób obsługi praw jednostki i obowiązków informacyjnych
  1. Fundacja Truckers Life dba o czytelność i styl przekazywanych informacji i komunikacji z osobami, których dane przetwarza. 
  2. Spółka ułatwia osobom korzystanie z ich praw poprzez różne działania, w tym: zamieszczenie na stronach internetowych  Fundacja Trukcers Life informacji o prawach osób, sposobie korzystania z nich w  Fundacja Trukcers Life, w tym wymaganiach dotyczących identyfikacji, metodach kontaktu z Fundacja Truckers Life  w tym celu itp. 
  3. Spółka dba o dotrzymywanie prawnych terminów realizacji obowiązków względem osób. 
  4. Spółka wprowadza adekwatne metody identyfikacji i uwierzytelniania osób dla potrzeb realizacji praw jednostki i obowiązków informacyjnych. 
  5. w celu realizacji praw jednostki Spółka zapewnia procedury i mechanizmy pozwalające zidentyfikować dane konkretnych osób przetwarzane przez  Fundacja Trukcers Life, zintegrować te dane, wprowadzać do nich zmiany i usuwać w sposób zintegrowany, 
  6. Spółka dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań osób.
  • Obowiązki informacyjne
  1. Spółka określa zgodne z prawem i efektywne sposoby wykonywania obowiązków informacyjnych.
  2. Spółka informuje osobę o przedłużeniu ponad jeden miesiąc terminu na rozpatrzenie żądania tej osoby. 
  3. Spółka informuje osobę o przetwarzaniu jej danych, przy pozyskiwaniu danych od tej osoby. 
  4. Spółka informuje osobę o przetwarzaniu jej danych, przy pozyskiwaniu danych
    o tej osobie niebezpośrednio od niej. 
  5. Spółka określa sposób informowania osób o przetwarzaniu danych niezidentyfikowanych, tam, gdzie to jest możliwe (np. tabliczka o objęciu obszaru monitoringiem wizyjnym, jeśli teren jest monitorowany).
  6. Spółka informuje osobę o planowanej zmianie celu przetwarzania danych.
  7. Spółka informuje osobę przed uchyleniem ograniczenia przetwarzania.
  8. Spółka informuje odbiorców danych o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych (chyba że będzie to wymagało niewspółmiernie dużego wysiłku lub będzie niemożliwe).
  9. Spółka informuje osobę o prawie sprzeciwu względem przetwarzania danych najpóźniej przy pierwszym kontakcie z tą osobą.
  10. Spółka bez zbędnej zwłoki zawiadamia osobę o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby.
  • Żądania osób

Prawa osób trzecich. Realizując prawa osób, których dane dotyczą, Spółka wprowadza proceduralne gwarancje ochrony praw i wolności osób trzecich. 

W Spółce realizację żądań osób, których dane dotyczą reguluje Procedura realizacji praw osób, których dane dotyczą.

 

  • Minimalizacja

Spółka posiada zasady i metody zarządzania minimalizacją, a w tym: 

  1. zasady zarządzania adekwatnością danych; 
  2. zasady reglamentacji i zarządzania dostępem do danych;
  3. zasady zarządzania okresem przechowywania danych i weryfikacji dalszej przydatności. 

Fundacja Truckers Life dba o minimalizację przetwarzania danych pod kątem: adekwatności danych do celów (ilości danych i zakresu przetwarzania), dostępu do danych, czasu przechowywania danych. 

 

  • Minimalizacja zakresu

Spółka zweryfikowała zakres pozyskiwanych danych, zakres ich przetwarzania i ilość przetwarzanych danych pod kątem adekwatności do celów przetwarzania w ramach wdrożenia RODO. Spółka dokonuje okresowego przeglądu ilości przetwarzanych danych i zakresu ich przetwarzania nie rzadziej niż raz na rok. 

 

  • Minimalizacja dostępu

Fundacja Trukcers Life stosuje ograniczenia dostępu do danych osobowych: prawne (zobowiązania do poufności, zakresy upoważnień), fizyczne (strefy dostępu, zamykanie pomieszczeń) i logiczne (ograniczenia uprawnień do systemów przetwarzających dane osobowe i zasobów sieciowych, w których rezydują dane osobowe). 

 

  • Prawne ograniczenie dostępu:
  1. Przetwarzać dane osobowe może wyłącznie osoba posiadająca upoważnienie do przetwarzania danych osobowych, nadane przez Administratora danych. 
  2. Nadawanie upoważnienia do przetwarzania danych osobowych następuje wraz
    z zawarciem umowy o pracę. 
  3. Stosowne upoważnienie jest przekazywane przez upoważnionego pracownika spółki wraz z kompletem innych dokumentów wymaganych przy zatrudnieniu. 
  1. Upoważnienia nadawane jest na czas wykonywania określonych zadań lub na czas trwania umowy o pracę. Po zmianie stanowiska pracownika pracownik odpowiedzialny za obsługę kadrową w Spółce dokonuje stosownej zmiany w treści upoważnienia.  Upoważnienie traci ważność w chwili rozwiązania umowy z pracownikiem. 
  2. Każda osoba, która otrzymała upoważnienie do przetwarzanie danych osobowych zobowiązuje się zachować w tajemnicy te dane oraz sposoby ich zabezpieczenia, także po zakończeniu umowy o pracę lub innej umowy cywilnoprawnej. 
  3. Dostęp do danych osobowych przetwarzanych w systemie informatycznym możliwy jest wyłącznie po uwierzytelnieniu użytkownika tj. podaniu identyfikatora i właściwego hasła.
  4. Identyfikator jest w sposób jednoznaczny przypisany użytkownikowi. Użytkownik odpowiedzialny jest za wszystkie czynności wykonane przy użyciu identyfikatora, którym się posługuje lub posługiwał.
  5. Rozpoczęcie pracy Użytkownika w systemie informatycznym obejmuje wprowadzenie identyfikatora i hasła w sposób minimalizujący ryzyko podejrzenia przez osoby nieupoważnione oraz ogólne stwierdzenie poprawności działania systemu. 
  6. Upoważniony i dedykowany pracownik Spółki do obsługi kadrowej prowadzi Rejestr osób upoważnionych do przetwarzania danych osobowych
  • Fizyczne ograniczenie dostępu:
  1. Miejscem wykonywania działalności, a tym samym przetwarzania danych osobowych przez Administratora jest siedziba Administratora a także inne lokalizacje w których Administrator prowadzi działalność. 
  2. Przetwarzanie danych osobowych może odbywać się wyłącznie w obszarach do tego celu przeznaczonych. 
  3. Możliwe jest przetwarzanie danych osobowych poza wyznaczonym obszarem (np. na komputerach przenośnych, w pojazdach) na zasadach określonych w niniejszej Polityce.
  4. Kontrolą dostępu zajmuje się zespół Helpdesk, na podstawie odrębnych umów . 
  5. Budynki, w których mieszczą się biura Spółki wyposażone są w system monitoringu wizyjnego. 
  • Logiczne ograniczenie dostępu:
  1. Do przetwarzania danych osobowych w systemach informatycznych mogą być dopuszczone wyłącznie osoby posiadająca upoważnienie do przetwarzania danych osobowych wydane przez Administratora danych. Sposób postępowania przy upoważnianiu użytkowników do przetwarzania danych osobowych określa ppkt. 5.2.1.
  2. Rejestracja Użytkownika Systemu Informatycznego przetwarzającego dane osobowe następuje na wniosek przełożonego pracownika, który jest skierowany mailowo do ASI (w ramach procedury obsługi Helpdesk).  
  3. Osobą odpowiedzialna za czynności nadawania i rejestrowania tych uprawnień w systemie informatycznym jest ASI lub osoba przez niego upoważniona
    (w przypadku nieobecności ASI) (w ramach procedury obsługi Helpdesk).
  4. Wyrejestrowanie Użytkownika z SI może nastąpić na wniosek przełożonego pracownika.
  5. Wniosek o usunięcie dostępu dla danego Użytkownika do danego SI należy przesłać e-mailem do ASI (w ramach procedury obsługi Helpdesk).  Na podstawie przedłożonego wniosku (może to być informacja przesłana e-mailem), zaakceptowanego przez przełożonego pracownika, ASI dokonuje wyrejestrowania Użytkownika z systemu. Wyrejestrowanie z SI nie może nastąpić później niż w dniu zakończenia umowy o pracę lub zakończenia zlecenia wykonywanego na rzecz Spółki. 

Spółka dokonuje aktualizacji uprawnień dostępowych przy zmianach w składzie personelu i zmianach ról osób oraz zmianach podmiotów przetwarzających. ASI dokonuje okresowego przeglądu ustanowionych użytkowników systemów i aktualizuje ich nie rzadziej niż raz na rok.

 

  • Minimalizacja czasu

Spółka wdraża mechanizmy kontroli cyklu życia danych osobowych, w tym weryfikacji dalszej przydatności danych względem terminów i punktów kontrolnych wskazanych w Rejestrze. Dane, których zakres przydatności ulega ograniczeniu wraz z upływem czasu, są usuwane           z systemów Spółki bądź animizowane, jak też z akt podręcznych i głównych. Dane takie mogą być archiwizowane oraz znajdować się na kopiach zapasowych systemów i informacji przetwarzanych przez  Fundacja Truckers Life.

 

  • Bezpieczeństwo 

Spółka zapewnia odpowiedni poziom bezpieczeństwa danych, w tym: 

  1. przeprowadza analizy ryzyka dla czynności przetwarzania danych lub ich kategorii; 
  2. przeprowadza oceny skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw i wolności osób jest wysokie; 
  3. dostosowuje środki ochrony danych do ustalonego ryzyka; 
  4. posiada system zarządzania bezpieczeństwem informacji; 
  5. stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Prezesa Urzędu Ochrony Danych Osobowych – zarządza incydentami.

Spółka zapewnia stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania danych osobowych przez Spółkę. 

 

  • Analizy ryzyka i adekwatności środków bezpieczeństwa 

Spółka przeprowadza i dokumentuje analizy adekwatności środków bezpieczeństwa danych osobowych. W tym celu Fundacja Truckers Life:

  1. zapewnia odpowiedni stan wiedzy o bezpieczeństwie informacji, cyberbezpieczeństwie i ciągłości działania – wewnętrznie lub ze wsparciem podmiotów wyspecjalizowanych. 
  2. kategoryzuje dane oraz czynności przetwarzania pod kątem ryzyka, które przedstawiają.
  3. przeprowadza analizy ryzyka naruszenia praw lub wolności osób fizycznych dla czynności przetwarzania danych lub ich kategorii. Spółka analizuje możliwe sytuacje i scenariusze naruszenia ochrony danych osobowych, uwzględniając charakter, zakres, kontekst i cele przetwarzania, ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. 
  4. ustala możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa
    i ocenia koszt ich wdrażania. W tym ustala przydatność i stosuje takie środki
    i podejście, jak: 
  • szyfrowanie danych osobowych, 
  • inne środki cyberbezpieczeństwa składające się na zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • środki zapewnienia ciągłości działania i zapobiegania skutkom katastrof, czyli zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.
  • Oceny skutków dla ochrony danych

Spółka dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych tam, gdzie zgodnie z analizą ryzyka ryzyko naruszenia praw i wolności osób jest wysokie. 

 

  • Środki bezpieczeństwa 

Spółka stosuje środki bezpieczeństwa ustalone w ramach analiz ryzyka i adekwatności środków bezpieczeństwa oraz ocen skutków dla ochrony danych. 

 

  • Zgłaszanie naruszeń 

Spółka stosuje wewnętrzną metodologię wyliczenia wagi naruszenia pozwalającą na identyfikację, ocenę i ew. zgłoszenie zidentyfikowanego naruszenia ochrony danych Prezesa Urzędu Ochrony Danych Osobowych  w terminie 72 godzin od ustalenia naruszenia. 

 

  • Przetwarzający 

Możliwe jest przetwarzanie w Fundacja Trukcers Life danych osobowych powierzonych przez inny podmiot, jak i powierzenie przez Spółkę przetwarzania danych innemu podmiotowi.  Dostęp do powierzonych danych osobowych z sieci zewnętrznej (np. siedziby podmiotu) musi odbywać się z zachowaniem odpowiednich zabezpieczeń. Dostęp do danych musi być chroniony identyfikatorem oraz hasłem, a połączenie sieciowe realizujące dostęp do danych musi być odpowiednio szyfrowane.

Fundacja Truckers Life posiada zasady doboru przetwarzających na rzecz Spółki, wymogów co do warunków przetwarzania (umowa powierzenia), zasad weryfikacji wykonywania umów powierzenia.

 

  • Eksport danych

Spółka posiada zasady weryfikacji, kiedy zachodzą przypadki przetwarzania transgranicznego oraz zasady ustalania wiodącego krajowego organu nadzorczego i głównej jednostki organizacyjnej w rozumieniu RODO. Spółka określa w Rejestrze przypadki eksportu danych, czyli przekazywania danych poza Europejski Obszar Gospodarczy (EOG = Unia Europejska, Islandia, Liechtenstein i Norwegia). Jednak co do zasady Spółka nie przekazuje danych poza EOG. 

 

  • Projektowanie prywatności 

Spółka zarządza zmianami wpływającymi na prywatność. W tym celu procedury uruchamiania nowych projektów w Fundacja Truckers Life uwzględniają konieczność oceny wpływu zmiany na ochronę danych, analizę ryzyka, zapewnienie prywatności (a w tym zgodności celów przetwarzania, bezpieczeństwa danych i minimalizacji) już w fazie projektowania zmiany czy na początku nowego projektu.

Spółka zarządza zmianą mającą wpływ na prywatność w taki sposób, aby umożliwić zapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz minimalizacji ich przetwarzania.

W tym celu zasady prowadzenia projektów przez Spółkę odwołują się do zasad bezpieczeństwa danych osobowych i minimalizacji, wymagając oceny wpływu na prywatność i ochronę danych, uwzględnienia i zaprojektowana bezpieczeństwa i minimalizacji przetwarzania danych od początku projektu lub inwestycji. 

 

  • Postanowienia końcowe 
  1. Polityka ochrony danych jest dokumentem wewnętrznym i nie może być udostępniana osobom postronnym w żadnej formie.
  2. Pracownicy zobowiązani są do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszej Polityce.
  3. Przypadki, nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu traktowane będą jako ciężkie naruszenie obowiązków pracowniczych.
  4. W sprawach nieuregulowanych w niniejszej Polityce ochrony danych mają zastosowanie przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.