Nasza strona internetowa wykorzystuje pliki cookie. Kontynuując, wyrażasz zgodę na użycie plików cookie, zgodnie z naszą polityką prywatności
Zatwierdź
eCom
Zostań partnerem o nas nowości kontakty
1. Cel, zakres i użytkownicy

ELKO Grupa AS, zwana dalej "ELKO", stara się przestrzegać obowiązujących przepisów i regulacji związanych z ochroną danych osobowych w krajach, w których działa ELKO. Niniejsza Polityka określa podstawowe zasady, na podstawie których ELKO przetwarza dane osobowe klientów, dostawców, partnerów biznesowych, pracowników i innych osób, a także wskazuje odpowiedzialność swoich działów biznesowych i pracowników podczas przetwarzania danych osobowych.
Niniejsza Polityka dotyczy ELKO i jej bezpośrednio lub pośrednio kontrolowanych spółek zależnych prowadzących działalność w Europejskim Obszarze Gospodarczym (EOG) lub przetwarzających dane osobowe podmiotów danych w EOG.
Użytkownikami tego dokumentu są wszyscy pracownicy zatrudnieni na stałe lub tymczasowo oraz wszyscy wykonawcy pracujący w imieniu ELKO.

2. Dokumenty referencyjne
  • UE GDPR 2016/679 (rozporządzenie (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. W sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych, oraz uchylająca dyrektywę 95/46 / WE)
  • Odpowiednie krajowe przepisy ustawowe lub wykonawcze dotyczące wdrażania GDPR w każdym kraju, w którym ELKO jest reprezentowana
  • Polityka ochrony danych osobowych pracowników
  • Zasady przechowywania danych
  • Wytyczne dotyczące ewidencji danych i czynności przetwarzania
  • Procedura żądania dostępu do danych podmiotu
  • Wytyczne dotyczące oceny wpływu na ochronę danych
  • Procedura przekazywania danych osobowych za granicę
  • Polityka bezpieczeństwa IT
  • Zasady kontroli dostępu
  • Procedury bezpieczeństwa dla działu IT
  • Zasady dotyczące posiadania własnego urządzenia (BYOD)
  • Zasady dotyczące urządzeń mobilnych i pracy zdalnej
  • Polityka anonimizacji i pseudonimizacji
  • Zasady korzystania z szyfrowania
  • Procedura powiadomienia o naruszeniach
3. Definicje

Poniższe definicje terminów użytych w niniejszym dokumencie pochodzą z art. 4 ogólnego rozporządzenia o ochronie danych Unii Europejskiej:

Dane osobowe: wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej ("podmiot danych"), które mogą zostać zidentyfikowane, bezpośrednio lub pośrednio, w szczególności poprzez odniesienie do identyfikatora, takiego jak nazwa, numer identyfikacyjny, dane dotyczące lokalizacji, identyfikator internetowy lub do jednego lub więcej czynników specyficznych dla fizycznej, fizjologicznej, genetycznej, umysłowej, ekonomicznej, kulturowej lub społecznej tożsamości tej osoby fizycznej.

Wrażliwe dane osobowe: dane osobowe, które ze względu na swój charakter są szczególnie wrażliwe w odniesieniu do podstawowych praw i wolności, zasługują na szczególną ochronę, ponieważ kontekst ich przetwarzania mógłby stworzyć poważne zagrożenie dla podstawowych praw i wolności. Te dane osobowe obejmują dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne lub przynależność do związków zawodowych, dane genetyczne, dane biometryczne w celu jednoznacznej identyfikacji osoby fizycznej, dane dotyczące zdrowia lub dane dotyczące życia seksualnego osoby fizycznej lub jej orientacjiseksualnej.

Administrator danych: Osoba fizyczna lub prawna, organ publiczny, agencja lub jakikolwiek inny organ, który samodzielnie lub wspólnie z innymi, określa cele i środki przetwarzania danych osobowych.

Przetwarzający dane: osoba fizyczna lub prawna, organ publiczny, agencja lub jakikolwiek inny organ przetwarzający dane osobowe w imieniu administratora danych.

Przetwarzanie: Operacja lub zestaw operacji wykonywanych na danych osobowych lub w zestawach danych osobowych, zautomatyzowanych lub nie, takich jak gromadzenie, rejestracja, organizacja, strukturyzacja, przechowywanie, adaptacja lub zmiana, wyszukiwanie, konsultacja, wykorzystanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, wyrównanie lub połączenie, ograniczenie, usunięcie lub zniszczenie danych.

Anonimizacja: nieodwracalne usunięcie danych osobowych, które uniemożliwiają identyfikację danej osoby za pomocą rozsądnego czasu, kosztów i technologii przez kontrolera lub inną osobę w celu zidentyfikowania danej osoby. Zasady przetwarzania danych osobowych nie mają zastosowania do anonimowych danych, ponieważ nie są to już dane osobowe.

Pseudonimizacja: przetwarzanie danych osobowych w taki sposób, że danych osobowych nie można już przypisać do konkretnego podmiotu danych bez wykorzystania dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i podlegają środkom technicznym i organizacyjnym w celu zapewnienia dane osobowe nie są przypisywane zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Pseudonimizacja zmniejsza, ale nie całkowicie eliminuje, możliwość łączenia danych osobowych z podmiotem danych. Ponieważ pseudonimizowane dane są nadal danymi osobowymi, przetwarzanie pseudonimów danych powinno być zgodne z zasadami przetwarzania danych osobowych.

Transgraniczne przetwarzanie danych osobowych: przetwarzanie danych osobowych, które ma miejsce w kontekście działalności zakładów w więcej niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii Europejskiej, w przypadku gdy administrator lub podmiot przetwarzający ma siedzibę w więcej niż jednym państwie członkowskim Stan; lub przetwarzanie danych osobowych, które ma miejsce w kontekście działalności pojedynczego przedsiębiorstwa kontrolera lub podmiotu przetwarzającego w Unii, ale które w istotny sposób wpływa lub może znacząco wpłynąć na podmioty danych w więcej niż jednym państwie członkowskim;

Organ nadzorczy: niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51 unijnego PKBR;

Wiodący organ nadzorczy: organ nadzorczy, którego główna odpowiedzialność spoczywa na transgranicznym przetwarzaniu danych, na przykład gdy osoba, której dane dotyczą, składa skargę na przetwarzanie swoich danych osobowych; odpowiada między innymi za otrzymywanie powiadomień o naruszeniu danych, powiadamianie o ryzykownych działaniach związanych z przetwarzaniem danych oraz pełną władzę w zakresie obowiązków związanych z zapewnieniem zgodności z przepisami unijnego PKBR;

Każdy "lokalny organ nadzorujący" będzie nadal prowadzić działalność na swoim terytorium i będzie monitorować wszelkie lokalne przetwarzanie danych, które wpływa na osoby, których dane dotyczą, lub które jest prowadzone przez kontrolera lub podmiot przetwarzający z UE lub spoza UE, gdy ich przetwarzanie jest ukierunkowane na podmioty danych zamieszkujące na jego terytorium. . Ich zadania i uprawnienia obejmują prowadzenie dochodzeń i stosowanie środków administracyjnych i grzywny, promowanie świadomości publicznej w zakresie ryzyka, zasad, bezpieczeństwa i praw w odniesieniu do przetwarzania danych osobowych, a także uzyskanie dostępu do wszelkich obiektów administratora i podmiotu przetwarzającego , w tym wszelkie urządzenia i środki do przetwarzania danych.

"Główny zakład w odniesieniu do administratora" z zakładami w więcej niż jednym państwie członkowskim, miejsce jego centralnej administracji w Unii, chyba że decyzje dotyczące celów i środków przetwarzania danych osobowych są podejmowane w innym zakładzie administratora danych w Unia i ten ostatni zakład mają prawo do wprowadzenia w życie takich decyzji; w takim przypadku zakład, który podjął takie decyzje, należy uznać za główny zakład;

"Główny zakład w odniesieniu do przetwarzającego" z zakładami w więcej niż jednym państwie członkowskim, miejsce jego centralnej administracji w Unii lub, jeżeli podmiot przetwarzający nie posiada centralnej administracji w Unii, ustanowienie podmiotu przetwarzającego w Unii, w którym główne działania związane z przetwarzaniem w kontekście działalności zakładu przetwórcy mają miejsce w zakresie, w jakim podmiot przetwarzający podlega szczególnym obowiązkom na mocy niniejszego rozporządzenia;

Grupa ELKO: ELKO Grupa AS i jej spółki zależne na terytorium UE i EOG.

Biuro sprzedaży: każda spółka zależna ELKO z siedzibą w UE i EOG.

Zespół ds. Ochrony danych ELKO: grupa zaawansowanych, wyszkolonych specjalistów w ELKO Grupa AS, które mogą się zmieniać od czasu do czasu, ale przez cały czas będą wyznaczać wyznaczone osoby z działu prawnego i działu IT, a do których można w każdej chwili dotrzeć, w dowolnym czasie, drogą mailową: Data_Privacy@elkogroup.com

Stróże danych ELKO: Wyznaczone osoby z każdego kraju Europejskiego Obszaru Gospodarczego (EOG), w którym reprezentowana jest Grupa ELKO, które w większości przypadków obejmują lokalnych kierowników działu HR i IT, ale mogą również obejmować przedstawicieli innych działów i są odpowiednio wyszkoleni specjaliści z grupy ELKO w zakresie przetwarzania danych osobowych. Aby uzyskać szczegółowe dane kontaktowe konkretnych opiekunów danych, wyślij prośbę za pośrednictwem poczty e-mail: Data_Privacy@elkogroup.com

4. Podstawowe zasady dotyczące przetwarzania danych osobowych

Zasady ochrony danych określają podstawowe obowiązki organizacji przetwarzających dane osobowe. Zgodnie z art. 5 ust. 2 RLP "administrator danych jest odpowiedzialny za przestrzeganie zasad i może wykazać taką zgodność."

4.1. Legalność, uczciwość i przejrzystość

Dane osobowe muszą być przetwarzane zgodnie z prawem, uczciwie i w sposób przejrzysty w stosunku do osoby, której dane dotyczą.

4.2. Ograniczenie celu

Dane osobowe muszą być gromadzone do określonych, jednoznacznych i legalnych celów i nie mogą być dalej przetwarzane w sposób niezgodny z tymi celami.

4.3. Minimalizacja danych

Dane osobowe muszą być adekwatne, istotne i ograniczone do tego, co jest konieczne w związku z celami, dla których są przetwarzane. Grupa ELKO musi w miarę możliwości anonimizować lub pseudonimizować dane osobowe, aby zmniejszyć ryzyko dla osób, których dane dotyczą.

4.4. Precyzyjność

Dane osobowe muszą być dokładne i, w razie konieczności, aktualizowane; należy podjąć odpowiednie kroki w celu zapewnienia, że dane osobowe, które są niedokładne, z uwzględnieniem celów, dla których są przetwarzane, są usuwane lub usuwane w odpowiednim czasie.

4.5. Ograniczenie okresu przechowywania

Dane osobowe muszą być przechowywane nie dłużej niż jest to konieczne do celów, dla których przetwarzane są dane osobowe.

4.6. Uczciwość i poufność

Biorąc pod uwagę stan technologii i inne dostępne środki bezpieczeństwa, koszty wdrożenia oraz prawdopodobieństwo i wagę ryzyka związanego z danymi osobowymi, Grupa ELKO musi zastosować odpowiednie środki techniczne lub organizacyjne w celu przetwarzania Danych Osobowych w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochrona przed przypadkowym lub bezprawnym zniszczeniem, utratą, zmianą, nieuprawnionym dostępem lub ujawnieniem.


4.7. Odpowiedzialność

Administratorzy danych muszą być odpowiedzialni i być w stanie wykazać zgodność z zasadami opisanymi powyżej.

5. Budowanie ochrony danych w działalności gospodarczej

Aby wykazać zgodność z zasadami ochrony danych, organizacja powinna włączyć ochronę danych do swojej działalności.

5.1. Powiadomienie do podmiotów danych

(Zobacz sekcję "Wytyczne dotyczące uczciwego przetwarzania").

5.2. Wybór podmiotu danych i zgoda

(Zobacz sekcję "Wytyczne dotyczące uczciwego przetwarzania").

5.3. Kolekcja

Grupa ELKO musi dążyć do zgromadzenia jak najmniejszej ilości danych osobowych. W przypadku zbierania danych osobowych od strony trzeciej, Zespół ds. Ochrony Danych ELKO musi zapewnić, że dane osobowe są gromadzone zgodnie z prawem.

5.4. Użycie, przechowywanie i utylizacja

Cele, metody, ograniczenia przechowywania i okres przechowywania danych osobowych muszą być zgodne z informacjami zawartymi w Polityce prywatności. Grupa ELKO musi zachować dokładność, integralność, poufność i trafność danych osobowych w oparciu o cel przetwarzania. Należy stosować odpowiednie mechanizmy bezpieczeństwa mające na celu ochronę danych osobowych, aby zapobiec kradzieży, niewłaściwemu użyciu lub nadużyciu danych osobowych oraz zapobiec naruszeniu danych osobowych. Zespół ds. Zachowania poufności danych ELKO odpowiada za zgodność z wymaganiami wymienionymi w tej sekcji.

5.5. Ujawnianie danych stronom trzecim

Ilekroć ELKO Group korzysta z zewnętrznego dostawcy lub partnera biznesowego w celu przetwarzania danych osobowych w jego imieniu, zespół ds. Ochrony danych ELKO musi zapewnić, że ten podmiot zapewni środki bezpieczeństwa w celu zabezpieczenia danych osobowych, które są odpowiednie do związanego z tym ryzyka. W tym celu należy użyć kwestionariusza zgodności z GDPR dla procesorów ELKO.
Grupa ELKO musi zgodnie z umową wymagać od dostawcy lub partnera biznesowego zapewnienia takiego samego poziomu ochrony danych. Dostawca lub partner biznesowy może przetwarzać dane osobowe wyłącznie w celu wywiązania się z zobowiązań umownych wobec ELKO Group lub na polecenie Grupy ELKO, a nie do jakichkolwiek innych celów. Kiedy Grupa ELKO przetwarza dane osobowe wspólnie z niezależną stroną trzecią, Grupa ELKO musi jednoznacznie określić swoje obowiązki i stronę trzecią w odpowiedniej umowie lub jakimkolwiek innym prawnie wiążącym dokumencie, takim jak szablon Umowy przetwarzania danych osobowych ELKO.

5.6. Transgraniczne przesyłanie danych osobowych

Przed przeniesieniem danych osobowych z Europejskiego Obszaru Gospodarczego (EOG) należy zastosować odpowiednie zabezpieczenia, w tym podpisanie umowy o przekazaniu danych, zgodnie z wymogami Unii Europejskiej oraz, w razie potrzeby, uzyskanie upoważnienia od właściwego organu ochrony danych. Podmiot otrzymujący dane osobowe musi przestrzegać zasad przetwarzania danych osobowych określonych w procedurze przekazywania danych przez granicę.

5.7. Prawa dostępu przez podmioty danych

Działając jako administrator danych, zespół ds. Ochrony danych osobowych ELKO jest odpowiedzialny za zapewnienie podmiotom danych uzasadnionego mechanizmu dostępu, aby umożliwić im dostęp do ich danych osobowych, oraz musi zezwolić im na aktualizację, poprawianie, usuwanie lub przekazywanie swoich danych osobowych, w stosownych przypadkach lub wymagane przez prawo. Mechanizm dostępu zostanie dokładniej opisany w procedurze żądania dostępu do danych podmiotu ELKO.

5.8. Przenośność danych

Podmioty danych mają prawo do otrzymywania na żądanie kopii danych, które nam przekazali w ustrukturyzowanym formacie i do przesyłania tych danych do innego kontrolera, za darmo. Zespół ds. Zachowania poufności danych ELKO jest odpowiedzialny za zapewnienie, że takie wnioski zostaną przetworzone w ciągu jednego miesiąca, nie są nadmierne i nie wpływają na prawa do danych osobowych innych osób.

5.9. Prawo do bycia zapomnianym

Na żądanie Podmiotów danych przysługuje prawo do uzyskania od Grupy ELKO usunięcia danych osobowych. Kiedy Grupa ELKO działa jako Kontroler, Zespół ds. Ochrony Danych ELKO musi podjąć niezbędne działania (w tym środki techniczne), aby poinformować osoby trzecie, które wykorzystują lub przetwarzają te dane, w celu spełnienia żądania.

6. Wytyczne dotyczące uczciwego przetwarzania

Dane osobowe mogą być przetwarzane tylko wtedy, gdy zostaną wyraźnie autoryzowane przez ELKO Data Privacy Team.

Spółka musi zdecydować, czy wykonać ocenę wpływu na ochronę danych w odniesieniu do każdej działalności związanej z przetwarzaniem danych zgodnie z wytycznymi ELKO dotyczącymi sporządzania wykazu danych i przetwarzania danych.


6.1. Powiadomienia dla osób, których dane dotyczą

W momencie gromadzenia lub gromadzenia danych osobowych w celu przetwarzania wszelkiego rodzaju, w tym między innymi sprzedaży produktów, usług lub działań marketingowych, zespół ds. Ochrony danych ELKO we współpracy z pracownikami ELKO Data Guardians w każdym kraju Europejskiego Obszaru Gospodarczego (EOG) , w przypadku gdy reprezentowana jest Grupa ELKO, jest odpowiedzialna za właściwe poinformowanie osób, których dane dotyczą, o: rodzajach gromadzonych danych osobowych, celach przetwarzania, metodach przetwarzania, prawach osób, których dane dotyczą, w odniesieniu do ich danych osobowych, okresu przechowywania, potencjalne międzynarodowe przekazywanie danych, jeśli dane będą udostępniane stronom trzecim i środki bezpieczeństwa Grupy ELKO w celu ochrony danych osobowych. Informacje te są dostarczane za pośrednictwem informacji o prywatności.

W przypadku udostępniania danych osobowych stronom trzecim, Zespół ds. Ochrony Danych ELKO musi zadbać o to, aby osoby, których dane dotyczą, zostały o tym powiadomione poprzez Informację o Prywatności.

W przypadku, gdy dane osobowe są przekazywane do państwa trzeciego zgodnie z polityką transferu danych transgranicznych, informacja na temat ochrony prywatności powinna odzwierciedlać to i jasno określać miejsce i do którego podmiot dane osobowe są przekazywane.

W przypadku zbierania wrażliwych danych osobowych, Zespół ds. Ochrony Danych ELKO musi upewnić się, że w Informacji o prywatności wyraźnie określono cel, dla którego gromadzone są te poufne dane osobowe.

6.2. Uzyskanie zgody

Ilekroć przetwarzanie danych osobowych opiera się na zgodzie podmiotu danych lub innych uzasadnionych podstawach, zespół ds. Ochrony danych ELKO jest odpowiedzialny za zachowanie zapisu takiej zgody. Zespół ds. Zachowania poufności danych ELKO jest odpowiedzialny za udostępnienie osobom, których dane dotyczą, opcji udzielenia zgody oraz musi poinformować i upewnić się, że ich zgoda (zawsze, gdy zgoda zostanie wykorzystana jako legalny grunt do przetwarzania) może zostać wycofana w dowolnym czasie.

W przypadku, gdy gromadzenie danych osobowych dotyczy dziecka w wieku poniżej 16 lat, zespół ds. Ochrony danych ELKO musi zapewnić, że zgoda rodziców zostanie wydana przed rozpoczęciem zbierania danych za pomocą Formularza zgody rodzicielskiej.

Po otrzymaniu wniosków o poprawienie, zmianę lub zniszczenie zapisów danych osobowych, Zespół ds. Ochrony Danych ELKO musi zapewnić, że wnioski te będą rozpatrywane w rozsądnym czasie. Zespół ds. Zachowania poufności danych ELKO musi również rejestrować wnioski i prowadzić ich dziennik.

Dane osobowe mogą być przetwarzane wyłącznie w celu, dla którego zostały pierwotnie zebrane. W przypadku, gdy Firma chce przetwarzać zebrane dane osobowe w innym celu, firma musi uzyskać zgodę swoich podmiotów danych w jasny i zwięzły sposób. Każde takie żądanie powinno zawierać pierwotny cel, dla którego zebrano dane, a także nowy lub dodatkowy cel (cele). Żądanie musi również zawierać przyczynę zmiany celu (celów). Inspektor ochrony danych jest odpowiedzialny za przestrzeganie zasad zawartych w niniejszym ustępie.

Teraz i w przyszłości zespół ds. Ochrony danych osobowych ELKO musi zapewnić, że metody zbierania danych są zgodne z odpowiednimi przepisami, dobrymi praktykami i standardami branżowymi.

Zespół ds. Zachowania poufności danych ELKO jest odpowiedzialny za prowadzenie rejestru informacji na temat ochrony prywatności na stronie: http://elkogdpr.elkogroup.com.

7. Organizacja i obowiązki

Odpowiedzialność za zapewnienie odpowiedniego przetwarzania danych osobowych spoczywa na każdym, kto pracuje dla lub z Grupą ELKO i ma dostęp do danych osobowych przetwarzanych przez Grupę ELKO.

Kluczowymi obszarami odpowiedzialności za przetwarzanie danych osobowych są następujące role organizacyjne:

Zarząd ELKO podejmuje decyzje i zatwierdza ogólne strategie grupy ELKO w zakresie ochrony danych osobowych.

Zespół ds. Ochrony danych osobowych ELKO jest odpowiedzialny za zarządzanie programem ochrony danych osobowych i jest odpowiedzialny za opracowanie i promowanie kompleksowych zasad ochrony danych osobowych.

Opiekunowie danych ELKO wraz z dyrektorem Biura Sprzedaży ELKO są odpowiedzialni za wdrożenie i lokalizację (w każdym odpowiednim kraju Europejskiego Obszaru Gospodarczego (EOG), gdzie Grupa ELKO jest reprezentowana w biurze sprzedaży) wszystkich niezbędnych działań i działań związanych z ochroną danych osobowych zgodnie z ogólnymi zasadami Grupy ELKO zasady przetwarzania danych osobowych, a także instrukcje i zalecenia zespołu ds. prywatności danych ELKO.

Dział prawny ELKO siedziba główna wraz z pozostałym Zespołem ds. Ochrony Danych ELKO odpowiada za:
  • Monitorowanie i analizowanie przepisów dotyczących danych osobowych i zmian w przepisach, opracowywanie wymogów zgodności oraz pomaganie działom biznesowym w osiąganiu celów dotyczących danych osobowych.
  • Zapewnienie spływu danych osobowych do każdej strony trzeciej, z której korzysta jako dostawca usług outsourcingowych.
  • Zapewnienie kontroli nad zgodnością wymogów dotyczących danych osobowych w ramach funkcji prawnej na poziomie Grupy ELKO.
Dyrektor techniczny ELKO HQ jest odpowiedzialny za:
  • Zapewnienie, że wszystkie systemy, usługi i urządzenia używane do przechowywania danych spełniają dopuszczalne normy bezpieczeństwa.
  • Regularne kontrole i skanowanie w celu zapewnienia bezpieczeństwa sprzętu i oprogramowania działa prawidłowo.
  • Zapewnienie spływu danych osobowych do każdej strony trzeciej, z której korzysta jako dostawca usług outsourcingowych.
  • Zapewnienie kontroli nad zgodnością wymagań dotyczących danych osobowych w ramach funkcji informatycznych na poziomie Grupy ELKO.
Dyrektor marketingu ELKO HQ odpowiada za:
  • Zatwierdzanie wszelkich oświadczeń o ochronie danych dołączanych do komunikatów, takich jak e-maile i listy.
  • Odpowiadanie na zapytania dotyczące ochrony danych od dziennikarzy lub mediów, takich jak gazety.
  • W razie potrzeby współpracuj z zespołem ds. Ochrony danych ELKO, aby zapewnić, że inicjatywy marketingowe są zgodne z zasadami ochrony danych.
  • Zapewnienie spływu danych osobowych do każdej strony trzeciej, z której korzysta jako dostawca usług outsourcingowych.
  • Zapewnienie kontroli nad zgodnością wymagań dotyczących danych osobowych w ramach funkcji marketingowej na poziomie Grupy ELKO.
Kierownik działu zasobów ludzkich i administracji ELKO HQ odpowiada za:
  • Poprawa świadomości wszystkich pracowników na temat ochrony danych osobowych użytkowników.
  • Organizowanie, praca z zespołem ds. Ochrony danych ELKO, specjalistyczna wiedza na temat ochrony danych osobowych oraz szkolenia uświadamiające dla pracowników pracujących z danymi osobowymi.
  • Kompleksowa ochrona danych osobowych pracowników. Musi zapewnić przetwarzanie danych osobowych pracowników w oparciu o uzasadnione cele biznesowe i konieczność pracodawcy.
  • Zapewnienie spływu danych osobowych do każdej strony trzeciej, z której korzysta jako dostawca usług outsourcingowych.
  • Zapewnienie kontroli nad zgodnością wymagań dotyczących danych osobowych w ramach funkcji HR na poziomie grupy ELKO.
Dyrektor finansowy ELKO HQ odpowiada za:
  • Zapewnienie spływu danych osobowych do każdej strony trzeciej, z której korzysta jako dostawca usług outsourcingowych.
  • Zapewnienie kontroli nad zgodnością wymagań dotyczących danych osobowych w ramach funkcji Finanse na poziomie Grupy ELKO.
Dyrektor ELKO HQ Logistics odpowiada za:
  • Zapewnienie spływu danych osobowych do każdej strony trzeciej, z której korzysta jako dostawca usług outsourcingowych.
  • Zapewnienie kontroli nad zgodnością wymagań dotyczących danych osobowych w ramach funkcji logistyki na poziomie grupy ELKO.
Główny dyrektor handlowy ELKO HQ odpowiada za:
  • Przekazywanie odpowiedzialności za ochronę danych osobowych sprzedawcom oraz podnoszenie poziomu świadomości dostawców w zakresie ochrony danych osobowych.
  • Zapewnienie spływu danych osobowych do każdej strony trzeciej, z której korzysta jako dostawca usług outsourcingowych.
  • Zapewnienie kontroli nad zgodnością wymagań dotyczących danych osobowych w ramach funkcji handlowej na poziomie grupy ELKO.
Dyrektor Biura Sprzedaży ELKO odpowiada za:
  • Zapewnienie wdrożenia i kontroli zgodności danych osobowych w swoim biurze sprzedaży.
  • Monitorowanie i analizowanie lokalnych przepisów dotyczących danych osobowych w miejscu jego siedziby oraz zmian w przepisach, opracowywanie lokalnych wymogów zgodności, w oparciu o zasady i praktyki ochrony danych osobowych grupy ELKO, a także lokalne przepisy i regulacje prawne.
  • Zapewnienie spływu danych osobowych do każdej strony trzeciej, z której korzysta jako dostawca usług outsourcingowych.
  • Przekazywanie odpowiedzialności związanej z ochroną danych osobowych lokalnym sprzedawcom (jeśli takie istnieje) oraz podnoszenie świadomości lokalnych dostawców w zakresie ochrony danych osobowych.
  • Przekazywanie klientom odpowiedzialności za ochronę danych osobowych oraz podnoszenie poziomu świadomości klientów w zakresie ochrony danych osobowych.
8. Wytyczne dotyczące ustanowienia głównego organu nadzoru

8.1. Konieczność ustanowienia głównego organu nadzoru

Identyfikacja wiodącego organu nadzorczego ma znaczenie tylko wtedy, gdy przedsiębiorstwo prowadzi transgraniczne przetwarzanie danych osobowych.

Przekazywanie danych osobowych za granicę jest przeprowadzane, jeżeli:

a) przetwarzanie danych osobowych jest prowadzone przez spółki zależne spółki mające siedzibę w innych państwach członkowskich;

lub

b) przetwarzanie danych osobowych, które odbywa się w jednym przedsiębiorstwie spółki w Unii Europejskiej, ale które zasadniczo wpływają lub mogą znacząco wpłynąć na podmioty danych w więcej niż jednym państwie członkowskim.

Jeżeli spółka posiada jedynie zakłady w jednym państwie członkowskim, a działalność związana z przetwarzaniem ma wpływ tylko na podmioty danych w tym państwie członkowskim, nie ma potrzeby ustanawiania głównego organu nadzorczego. Jedynym właściwym organem będzie organ nadzoru w kraju, w którym spółka ma siedzibę zgodnie z prawem.

8.2. Główny zakład i główny organ nadzoru

8.2.1. Główny zakład dla administratora danych

Zarząd ELKO musi zidentyfikować główny zakład, aby można było ustalić główny organ nadzorczy.

Jeżeli firma ma siedzibę w państwie członkowskim UE i podejmuje decyzje związane z transgranicznymi operacjami przetwarzania w miejscu swojej centralnej administracji, będzie istniał jeden wiodący organ nadzorujący dla działań związanych z przetwarzaniem danych prowadzonych przez spółkę.

Jeżeli spółka ma wiele zakładów działających niezależnie i podejmujących decyzje dotyczące celów i środków przetwarzania danych osobowych, Zarząd ELKO musi uznać, że istnieje więcej niż jeden wiodący organ nadzoru.

8.2.2. Główny zakład dla Przetwarzającego Dane

Kiedy firma działa jako podmiot przetwarzający dane, głównym zakładem będzie miejsce administracji centralnej. W przypadku, gdy miejsce administracji centralnej nie znajduje się w UE, głównym zakładem będzie zakład w UE, w którym odbywają się główne czynności przetwarzania.

8.2.3. Główny zakład dla spółek spoza UE zajmujących się kontrolerami i przetwarzającymi dane

Jeżeli firma nie ma głównego zakładu w UE i posiada subsydiarność w UE, właściwym organem nadzorczym jest lokalny organ nadzoru.

Jeżeli przedsiębiorstwo nie ma głównej siedziby w UE ani podmiotów zależnych w UE, musi wyznaczyć przedstawiciela w UE, a właściwym organem nadzoru będzie lokalny organ nadzorujący, w którym znajduje się przedstawiciel.

9. Odpowiedź na incydenty z naruszeniem danych osobowych

Kiedy ELKO dowiaduje się o podejrzeniu lub faktycznym naruszeniu danych osobowych w Grupie ELKO, Zespół ds. Ochrony Danych ELKO musi przeprowadzić dochodzenie wewnętrzne i podjąć odpowiednie środki zaradcze w odpowiednim czasie, zgodnie z Polityką dotyczącą naruszenia danych. W przypadku jakiegokolwiek ryzyka związanego z prawami i wolnościami osób, których dane dotyczą, ELKO musi bez zbędnej zwłoki powiadomić odpowiednie organy ochrony danych oraz, w miarę możliwości, w ciągu 72 godzin.

10. Audyt i odpowiedzialność

Zespół ds. Zachowania poufności danych ELKO jest odpowiedzialny za kontrolę jakości działania działów biznesowych wdrażających niniejsze zasady.

Każdy pracownik, który narusza niniejszą Politykę, będzie podlegał postępowaniu dyscyplinarnemu, a pracownik może podlegać odpowiedzialności cywilnej lub karnej, jeśli jego zachowanie narusza przepisy ustawowe lub wykonawcze.

11. Konflikty prawa

Niniejsza Polityka ma na celu zachowanie zgodności z przepisami i regulacjami obowiązującymi w miejscu prowadzenia działalności oraz krajów, w których działa Grupa ELKO. W przypadku jakiegokolwiek konfliktu między niniejszą Polityką a obowiązującymi przepisami i regulacjami, pierwszeństwo mają te ostatnie.

12. Zarządzanie dokumentacją przechowywaną na podstawie tego dokumentu
pdpp-pl
13. Ważność i zarządzanie dokumentami

Niniejszy dokument obowiązuje od 21 maja 2018 r.
Właścicielem tego dokumentu jest Zespół ds. Ochrony Danych ELKO, który musi sprawdzić i, jeśli to konieczne, zaktualizować dokument przynajmniej raz w roku.
  1. Polityka ochrony danych osobowych