Polityka Bezpieczeństwa Informacji

Mając na względzie ochronę danych osobowych naszych Pracowników, Współpracowników, Kontrahentów oraz Kandydatów do pracy informujemy, iż z dniem 25 maja 2018 r. w związku z rozpoczęciem stosowania z dniem 25 maja 2018 r. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) PKiMSA „Carboautomatyka” S. A. z siedzibą w Tychach (dalej: Spółka Carboautomatyka) wprowadziła Politykę Bezpieczeństwa Informacji danych osobowych.

Znajdą w niej Państwo dane uwzględniające wymagania zawarte w odpowiednich aktach prawnych jak i normach krajowych i międzynarodowych. Akty prawne, którym niniejsza Polityka jest podporządkowana to: Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (stosowane od 25 maja 2018 r.) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej zwane RODO oraz Ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych.
Polityka ochrony danych Spółki Carboautomatyka (zwana dalej Polityką) opisuje działania organizacyjne i techniczne, których celem jest osiągniecie i utrzymanie akceptowalnego poziomu bezpieczeństwa danych osobowych oraz podniesienie poziomu świadomości Pracowników, Współpracowników, Kontrahentów oraz Kandydatów do pracy w zakresie ich ochrony. Polityka ustala zakres obowiązków i działań, osób i działów w procesie przetwarzania danych osobowych. Polityka ochrony danych realizuje zasadę rozliczalności, o której mowa w art. 5 ust. 2 RODO. Zgodnie z jej treścią administrator danych osobowych jest odpowiedzialny za przestrzeganie zasad przetwarzania danych osobowych i musi być w stanie wykazać ich przestrzeganie. Do celu wyznaczonego przez Politykę Spółka Carboautomatyka jako Administrator Danych Osobowych w rozumieniu art. 4 pkt. 7 RODO dąży poprzez wdrożenie odpowiedniego systemu ochrony aktywów przed zagrożeniami wewnętrznymi i zewnętrznymi.

Spółka Carboautomatyka w zakresie przetwarzania danych osobowych:
1) zatwierdza i publikuje dokumenty związane z ochroną danych osobowych, dotyczące wszystkich lub znacznej grupy pracowników (procedury, instrukcje, zarządzenia);
2) zapewnia odpowiednie pomieszczenia, stosownie zabezpieczone i wyposażone do przetwarzania i przechowywania danych osobowych;
3) zaznajamia pracowników z prawnymi oraz pracowniczymi konsekwencjami naruszenia ochrony danych osobowych;
4) zapewnia pracownikom szkolenia w zakresie poszerzania wiedzy i świadomości związanej z ochroną danych osobowych.

Celem Polityki jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki administratora danych osobowych w zakresie zabezpieczenia danych osobowych, zgodnie z przepisami o ochronie danych osobowych w szczególności RODO.

Spółka Carboautomatyka w zakresie przetwarzania danych osobowych gwarantuje, iż dane osobowe są:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
d) prawidłowe i w razie potrzeby uaktualniane; podejmuje działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

Przez bezpieczeństwo danych osobowych rozumie się zabezpieczenie tych danych, poprzez wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich przetwarzaniem niezgodnym z przepisami prawa i założeniami Spółki Carboautomatyka.

Zakres przedmiotowy stosowania Polityki obejmuje wszystkie zbiory danych osobowych przetwarzane zarówno w formie elektronicznej jaki w formie papierowej.

Polityka obowiązuje wszystkich Pracowników, Współpracowników, Kontrahentów oraz Kandydatów do pracy w Spółce Carboautomatyka lub osoby mające dostęp do danych, których Carboautomatyka jest Admnistratorem.

W celu zapewnienia bezpieczeństwa informacji w Spółka Carboautomatyka stosuje następujące ogólne zasady:
a) minimum przywilejów - przydzielanie praw dostępu tylko w zakresie niezbędnym do wykonywania czynności służbowych,
b) separacja obowiązków - zadania krytyczne z punktu widzenia bezpieczeństwa danych osobowych nie mogą być realizowane przez jedną osobę,
c) domniemana odmowa - przyjęcie jako standardowych najbardziej restrykcyjnych ustawień, które można zwolnić jedynie w określonych sytuacjach.

ADMINISTRATOR DANYCH
Administratorem Pani/Pana danych osobowych jest PKiMSA CARBOAUTOMATYKA SA, 43-100 Tychy, ul Budowlanych 168.

INSPEKTOR OCHRONY DANYCH
Administrator wyznaczył Inspektora Ochrony Danych, z którym może się Pani/Pan skontaktować w sprawach związanych z ochroną danych osobowych, w następujący sposób:
• pod adresem poczty elektronicznej: iod@carbo.com.pl;
• telefonicznie: +48 32 32 34 210;
• pisemnie na adres siedziby Administratora.

PODSTAWA PRAWNA I CELE PRZETWARZANIA DANYCH OSOBOWYCH
1. Przetwarzanie Pani/Pana danych odbywa się w związku z realizacją zadań własnych bądź zleconych określonych przepisami prawa na podstawie art. 6 ust. 1 lit. c RODO.
2. Przetwarzanie może być również niezbędne w celu wykonania umowy, której Pan/Pani jest stroną lub do podjęcia działań, na Pani/Pana żądanie, przed zawarciem umowy na podstawie art. 6 ust. 1 lit. b RODO.
3. Mogą również wystąpić przypadki, w których zostanie Pan/Pani poproszony/a o wyrażenie zgody na przetwarzanie danych osobowych w określonym celu i zakresie na podstawie art. 6 ust. 1 lit. a RODO.
4. W niektórych sytuacjach przetwarzanie danych może odbywać się w oparciu o prawnie usprawiedliwiony interes administratora, jakim jest np. bezpieczeństwo osób lub mienia oraz windykacja na podstawie art. 6 ust. 1 lit. f RODO.

ODBIORCY DANYCH OSOBOWYCH
Dane nie będą przekazywane innym podmiotom, z wyjątkiem podmiotów uprawnionych do ich przetwarzania na podstawie przepisów prawa oraz podmiotów świadczących asystę i wsparcie techniczne dla systemów informatycznych i teleinformatycznych, w których są przetwarzane Pani/Pana dane.

OKRES PRZECHOWYWANIA DANYCH OSOBOWYCH
1. Pani/Pana dane osobowe będą przechowywane jedynie w okresie niezbędnym do spełnienia celu, dla którego zostały zebrane lub w okresie wskazanym przepisami prawa.
2. Po spełnieniu celu, dla którego Pani/Pana dane zostały zebrane, mogą one być przechowywane jedynie w celach archiwalnych, przez okres, który wyznaczony zostanie przede wszystkim na podstawie rozporządzenia Prezesa Rady Ministrów w sprawie instrukcji kancelaryjnej, jednolitych rzeczowych wykazów akt oraz instrukcji w sprawie organizacji i zakresu działania archiwów zakładowych, chyba że przepisy szczególne stanowią inaczej.

PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ, W TYM DOSTĘPU DO DANYCH OSOBOWYCH
Na zasadach określonych przepisami RODO, posiada Pani/Pan prawo do żądania od Administratora:
• dostępu do treści swoich danych osobowych;
• sprostowania (poprawiania) swoich danych osobowych;
• usunięcia swoich danych osobowych;
• ograniczenia przetwarzania swoich danych osobowych;
• przenoszenia swoich danych osobowych,
a ponadto, posiada Pani/Pan prawo do wniesienia sprzeciwu wobec przetwarzania Pani/Pana danych.

PRAWO DO COFNIĘCIA ZGODY
1. Tam, gdzie do przetwarzania danych osobowych konieczne jest wyrażenie zgody, zawsze ma Pan/Pani prawo nie wyrazić zgody, a w przypadku jej wcześniejszego wyrażenia, do cofnięcia zgody.
2. Wycofanie zgody nie ma wpływu na przetwarzanie Pani/Pana danych do momentu jej wycofania.

PRAWO WNIESIENIA SKARGI DO ORGANU NADZORCZEGO
Gdy uzna Pani/Pan, iż przetwarzanie Pani/Pana danych osobowych narusza przepisy o ochronie danych osobowych, przysługuje Pani/Panu prawo do wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych.

INFORMACJA O WYMOGU/DOBROWOLNOŚCI PODANIA DANYCH ORAZ KONSEKWENCJACH NIE PODANIA DANYCH OSOBOWYCH
1. Podanie przez Panią/Pana danych osobowych może być wymogiem: ustawowym, umownym, lub warunkiem zawarcia umowy, do których podania będzie Pani/Pan zobowiązana/y.
2. W przypadku, gdy będzie istniał obowiązek ustawowy, a nie poda Pani/Pan swoich danych, nie będziemy mogli zrealizować zadania ustawowego, co może skutkować konsekwencjami przewidzianymi przepisami prawa.
3. W przypadku, kiedy podanie danych będzie warunkiem zawarcia umowy lub gdy będzie istniał wymóg umowny, a nie poda Pani/Pan swoich danych, nie będziemy mogli zawrzeć lub wykonać takiej umowy.

ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI, PROFILOWANIE
Pani/Pana dane osobowe nie będą przetwarzane w sposób zautomatyzowany i nie będą profilowane.