Casa / Política de protección de datos personales
De acuerdo con el artículo 24 del Reglamento 2016/679, a partir del 01/09/2018, se introduce una Política de Protección de Datos
Requisitos legales:
Ley de 10 de mayo de 2018 sobre la protección de datos personales (DO polaco de 2018, ítem 1000). Reglamento del Ministerio del Interior y de la Administración de 29 de abril de 2004 sobre la documentación del tratamiento de datos personales y las condiciones técnicas y organizativas que deben cumplir los dispositivos y sistemas informáticos utilizados para el tratamiento de datos personales (DO polaco de 2004, n.º 100, ítem 1024),
ÍNDICE:
1. Lista de abreviaturas básicas
2. Lista de definiciones básicas
3. Introducción
4. Objetivos de la Política de Protección de Datos
5. Supervisor de la protección de datos
6. Personas autorizadas para el tratamiento de datos personales
7. Principios básicos de la protección de datos personales
8. Autorización para el tratamiento de datos personales
9. Encargar el tratamiento de datos personales
10. La divulgación de los datos personales
11. Transferencia de datos personales fuera de Polonia
12. Lista de edificios, locales o partes de locales que constituyen el área en la que se tratan los datos personales
13. Lista de conjuntos de datos personales con indicación de los programas utilizados para el tratamiento de estos datos
14. Descripción de la estructura de los conjuntos de datos personales
15. Descripción de cómo fluyen los datos entre los diferentes sistemas
16. Identificación de las medidas técnicas y organizativas necesarias para garantizar la confidencialidad, integridad y responsabilidad de los datos tratados
17. Normativa sobre sanciones y ejecución
18. Disposiciones finales
19. Anexos
l.p.d.p. | Ley de 10 de mayo de 2018 sobre la protección de datos personales (DO polaco de 2018, ítem 1000) RGPD |
Reglamento (EU) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). | |
orden MIA | Reglamento del Ministerio del Interior y de la Administración de 29 de abril de 2004 sobre la documentación del tratamiento de datos personales y las condiciones técnicas y organizativas que deben cumplir los dispositivos y sistemas informáticos utilizados para el tratamiento de datos personales |
OPDP | Oficina de Protección de Datos Personales |
RTDP | Responsable del tratamiento de datos personales |
SPDP | Supervisor de la protección de datos |
ASI | Administrador de Sistemas de Información |
SI | Sistema de Información |
SGSDP | Sistema de Gestión de la Seguridad de Datos Personales |
PPDD | Política de Protección de Datos Personales |
MGSI | Manual de Gestión de Sistemas de Información |
Siempre que esta Política de Seguridad se refiera a los siguientes términos, estas son sus definiciones:
1. Responsable del tratamiento de datos personales: es la autoridad, la unidad organizativa, la entidad o la persona que decide las finalidades y los medios del tratamiento de datos personales;
2. Supervisor de la Protección de Datos: es la persona física designada por el Responsable del Tratamiento de Datos Personales a que se refiere el art. 8 de l.p.d.;
3. Administrador de sistemas informáticos: es una persona o entidad externa designada por el Responsable del Tratamiento de Datos Personales, responsable del funcionamiento de los sistemas y redes informáticos, así como de la observancia de las normas y requisitos de seguridad de los sistemas y redes informáticos;
4. Persona autorizada: es una persona autorizada por el Responsable del Tratamiento de Datos Personales. El usuario puede ser un empleado de la empresa, una persona que realiza un trabajo sobre la base de un contrato de mandato u otro acuerdo de derecho civil, así como un voluntario, un becario o un aprendiz.
5. Datos personales: se trata de cualquier información relativa a una persona física identificada o identificable. Una persona identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un número de identificación o a uno o más factores específicos de su identidad física, mental, económica, cultural o social;
6. Fichero de datos personales: es cualquier conjunto estructurado de datos de carácter personal, accesible según criterios específicos, independientemente de que el conjunto esté disperso o dividido funcionalmente;
7. Tratamiento de datos personales: se trata de toda operación efectuada sobre datos personales, como la recogida, registro, almacenamiento, tratamiento, modificación, divulgación y supresión, en particular las efectuadas en los sistemas informáticos;
8. Sistema informático: es un conjunto de dispositivos, programas, procedimientos de tratamiento de la información y herramientas informáticas que cooperan entre sí y que se aplican para el tratamiento de datos;
9. Seguridad de los datos en el sistema informático: se trata de la aplicación y el funcionamiento de medidas técnicas y organizativas para proteger los datos personales contra el tratamiento no autorizado;
10. Seguridad de la información: consiste en un conjunto de principios que deben seguirse en el diseño y uso de sistemas y aplicaciones para el tratamiento de la información, de manera que en cualquier circunstancia el acceso a la misma sea el previsto;
11. Supresión: significa la destrucción de los datos personales o su modificación de forma que no pueda establecerse la identidad del interesado;
12. Consentimiento del interesado: es una declaración de voluntad cuyo contenido es el consentimiento para el tratamiento de los datos personales del interesado. El consentimiento no puede ser implícito o inferirse de una declaración de intenciones con un contenido diferente. El consentimiento puede ser revocado en cualquier momento;
13. Destinatarios de los datos: se trata de cualquier persona a la que se faciliten datos personales, a excepción de:
• la persona a la que los datos se refieren,
• una persona autorizada para el tratamiento de datos personales,
• las autoridades gubernamentales estatales o locales a las que se facilitan los datos en relación con el procedimiento;
14. Tercer país: se refiere a un país perteneciente al Espacio Económico Europeo;
15. Contraseña: es una secuencia de letras, caracteres digitales o de otro tipo, conocida únicamente por un usuario autorizado a trabajar en el sistema informático;
16. Identificador de usuario: es una secuencia de letras, dígitos u otros caracteres que identifican inequívocamente a una persona autorizada a procesar datos en áreas designadas del sistema informático de la empresa;
17. Confidencialidad de los datos: se trata de la propiedad de garantizar que los datos no se divulguen a personas o entidades no autorizadas;
18. Integridad de los datos: es la propiedad de garantizar que los datos personales no sean alterados o destruidos de forma no autorizada;
19. Responsabilidad de los datos: es la propiedad de garantizar que las acciones de una persona o entidad puedan atribuirse inequívocamente sólo a esa persona o entidad;
20. Usuario del sistema informático: se trata de una persona autorizada a tratar datos personales en los sistemas informáticos, a la que se le ha dado una identificación y una contraseña únicas;
21. Autenticación: consiste en el proceso de identificación correcta de un usuario de un sistema informático hasta el punto de permitir la concesión de derechos o privilegios adecuados en el sistema informático de la empresa;
22. Incidente: es una violación de la seguridad de los datos personales debido a su confidencialidad, disponibilidad e integridad;
23. Amenaza: es la posibilidad de que se produzca un incidente;
24. Acción correctiva: ese trata de cualquier acción llevada a cabo para eliminar la causa de un incidente u otra situación indeseable;
25. Acción preventiva: ese trata de una acción que debe tomarse para eliminar las causas de un peligro u otra situación potencialmente indeseable.
La Política de Protección de Datos Personales determina las normas de tratamiento de datos personales y las formas de asegurarlos, como un conjunto de leyes, normas y recomendaciones que regulan la forma de su gestión, protección y distribución en «Metal-Fach» sp. z o.o.
La Política contiene información sobre la identificación de los procesos de tratamiento de datos personales y las garantías técnicas y organizativas establecidas para asegurar la protección de los datos personales tratados.
Este documento cumple con la legislación aplicable, en particular la Ley de Protección de Datos de 10 de mayo de 2018 y el RGPD.
Sobre la base del análisis de riesgo realizado para la pérdida de datos personales, se determinó que el nivel de amenaza era básico.
El objetivo de la Política de Protección de Datos Personales es definir y aplicar los principios de seguridad y protección de los datos personales tratados en la empresa «Metal-Fach», en particular:
1. garantizar el cumplimiento de los requisitos legales;
2. garantizar la confidencialidad, la integridad y la responsabilidad de los datos personales tratados en la empresa;
3. sensibilizar a quienes tratan los datos personales;
4. el compromiso de quienes tratan los datos personales de la empresa de protegerlos.
1. El Responsable del Tratamiento de Datos Personales designará a un Supervisor de la Protección de Datos. El nombramiento se realiza en base a un nombramiento hecho por escrito (el modelo de nombramiento se adjunta como Anexo Z1-PPDP a esta PPDP).
2. El Responsable del Tratamiento de Datos Personales puede designar a sustitutos como Supervisores adjuntos de la Protección de Datos.
3. El Responsable del Tratamiento de Datos Personales autoriza al Supervisor de la protección de datos a conceder la autorización para el tratamiento de datos personales.
4. La función del Supervisor de la Protección de Datos es supervisar el cumplimiento de los principios y las medidas técnicas y organizativas aplicadas para garantizar la protección de los datos personales tratados en la empresa «Metal-Fach».
5. Las tareas del Supervisor de la Protección de Datos incluyen:
(a) informar y asesorar al Responsable del Tratamiento, al encargado del tratamiento y al personal que trata los datos personales sobre sus obligaciones y sobre el resto de la legislación de la Unión o de los Estados miembros en materia de protección de datos;
(b) supervisar el cumplimiento del RGPD (Reglamento 2016/679 del Parlamento Europeo y del Consejo), de otras legislaciones de la Unión o de los Estados miembros en materia de protección de datos y de las políticas del responsable o del encargado del tratamiento en el ámbito de la protección de datos personales, incluida la asignación de responsabilidades, las actividades de sensibilización, la formación del personal que participa en las operaciones de tratamiento y las auditorías correspondientes;
(c) hacer recomendaciones sobre la evaluación de los efectos de la protección de datos cuando se solicite y supervisar su aplicación de conformidad con el artículo 35 del RGPD;
(d) cooperar con la autoridad de control;
(e) ser el punto de contacto de la autoridad de control para las cuestiones relacionadas con el tratamiento, incluida la consulta previa a que se refiere el artículo 36 del RDPD y, en su caso, realizar consultas sobre todas las demás cuestiones.
Además, la tarea del SPDP es llevar un registro de las actividades de tratamiento de datos personales, así como un registro de los acuerdos de encargo de datos.
6. El RPDP podrá confiarle al SPDP otras funciones que no perjudiquen el correcto desempeño de las tareas establecidas en los puntos 4 a 5.
1. Los deberes de las personas autorizadas a tratar datos personales incluyen:
– conocer las disposiciones legales en materia de protección de datos personales y las disposiciones de la Política de Protección de Datos Personales y del Manual de Gestión de Sistemas de Información;
– cumplir con las recomendaciones del SPDP;
– procesar los datos personales solo en la medida determinada individualmente por el responsable del tratamiento de datos personales en una autorización escrita y solo con el fin de llevar a cabo las funciones oficiales impuestas;
– informar inmediatamente al SPDP de cualquier irregularidad relativa a la seguridad de los datos personales tratados en la empresa;
– proteger los datos personales y los medios utilizados para su tratamiento contra el acceso no autorizado, la divulgación, la modificación, la destrucción o la deformación intencionada;
– utilizar los sistemas de información de la empresa de forma coherente con las instrucciones contenidas en los manuales de los dispositivos que componen los sistemas de información;
– mantener indefinidamente la confidencialidad de los datos personales y los medios para garantizarlos;
– poner especial cuidado en la realización de las operaciones de tratamiento de datos personales para proteger los intereses de los interesados.
1. Todos los datos personales de la empresa deben ser tratados de acuerdo con la legislación vigente.
2. En relación con las personas cuyos datos personales son objeto del tratamiento de datos, debe cumplirse la obligación de información prevista en la l.p.d.
3. Los datos personales recopilados deben ser tratados con fines determinados y legítimos y no ser tratados de forma incompatible con dichos fines.
4. Debe garantizarse que los datos personales sean tratados de acuerdo con los principios de corrección de los hechos y adecuación a los fines para los que se recogen.
5. Los datos personales en la empresa no pueden ser tratados durante más tiempo del necesario para lograr el objetivo del tratamiento.
6. Debe garantizarse la confidencialidad, integridad y responsabilidad de los datos personales tratados en la empresa.
7. Los datos personales tratados no se divulgarán sin el consentimiento de los interesados, a menos que los datos se comuniquen a los interesados, a las personas autorizadas a tratar los datos personales, a las entidades a las que se hayan transferido los datos en virtud de un contrato de encargo y a las autoridades estatales o a los órganos de autogobierno local en relación con los procedimientos.
8. El tratamiento de datos personales en la empresa puede tener lugar tanto en los sistemas informáticos como en la forma tradicional: ficheros, índices, libros, listas y otros registros.
9. Por lo que respecta a los datos personales tratados en sistemas distintos de los informáticos, seguirán siendo de aplicación las disposiciones vigentes sobre el secreto profesional, la circulación y la salvaguardia de los documentos oficiales.
10. Todas las personas cuyos datos sean tratados tienen derecho a la protección de datos, a controlar el tratamiento de sus datos y a que éstos sean actualizados o borrados y a ser informados de sus derechos.
1. Solo las personas autorizadas para el tratamiento de datos personales (el modelo de autorización se adjunta como anexo Z2-PPDP) expedido por el Responsable del Tratamiento de Datos Personales o el Supervisor de la Protección de Datos y que hayan hecho una declaración adecuada sobre la correcta realización de las disposiciones de la l.p.d. pueden tratar datos personales y manejar conjuntos informáticos que contengan dichos datos. (se adjunta un modelo de declaración en el Anexo Z3-PPDP).
2. El SPDP, en nombre del RTDP, mantendrá el registro de personas autorizadas a tratar datos personales (la plantilla del registro constituye el anexo Z4-PPDP).
1) El responsable del tratamiento de datos personales puede encargar a otra entidad el tratamiento de datos personales para realizar una tarea específica.
2) Al encargar el tratamiento de datos personales a una entidad externa, el acuerdo de encargo del tratamiento de datos personales determinará, en primer lugar, la finalidad y el alcance del tratamiento de datos personales. El SPDP conservará la lista de los acuerdos de encomienda celebrados.
La divulgación de los datos personales dentro de la empresa está permitida sobre la base de uno de los motivos legales establecidos en la l.p.d. o sobre la base de las disposiciones de otras leyes.
El SPDP mantiene un registro de datos personales compartidos a instituciones y personas ajenas a la empresa (el modelo de los registros es el anexo Z5-PPDP).
1. El Responsable del Tratamiento de Datos Personales puede transferir los datos personales a:
◦ Estados del Espacio Económico Europeo;
◦ otros Estados (terceros Estados).
2. Las transferencias de datos personales dentro del EEE se tratan como si se trataran en territorio polaco.
3. Si los datos personales se transfieren a un tercer país, debe cumplirse una de las siguientes condiciones:
– el país de destino ofrece garantías de protección de datos personales en su territorio al menos iguales a las vigentes en el territorio de la República de Polonia;
– la transmisión de datos personales puede ser llevada a cabo cuando sea consecuencia de una obligación impuesta por la ley o por las disposiciones de un acuerdo internacional ratificado;
– la transferencia de datos personales está autorizada por la OPDP.
El SPDP se encargará de conservar y mantener registros que contengan una lista de los edificios, locales o partes de locales que forman el área en la que se tratan los datos personales, tanto en papel como en formato electrónico.
La lista actual de áreas de tratamiento de datos personales se incluye en el anexo Z6-PPDP.
El SPDP se encargará de conservar y mantener los registros con la lista de todos los conjuntos de datos personales, junto con la indicación de los programas informáticos utilizados para el tratamiento de dichos datos. La lista actual de conjuntos de datos personales se incluye en el anexo Z7-PPDP.
El SPDP se encargará de conservar y mantener la documentación que describa la estructura de los conjuntos de datos personales tratados en la empresa.
La descripción actual de la estructura de los conjuntos de datos personales se incluye en el anexo Z8-PPDP.
El SPDP se encargará de mantener y almacenar la documentación que describa cómo fluyen los datos entre los diferentes sistemas.
La descripción actualizada del flujo de datos se incluye en el anexo Z9-PPDP.
El SPDP se encargará de conservar y mantener la documentación que contenga las medidas técnicas y organizativas específicas necesarias para garantizar la confidencialidad, la integridad y la responsabilidad de los datos tratados.
La descripción actualizada de las medidas técnicas y organizativas utilizadas se incluye en el anexo Z10-PPDP.
Normativa sobre sanciones y ejecución:
• Ley de 10 de mayo de 2018 sobre la protección de datos personales (DO polaco de 2018, ítem 1000) – art. 102-108;
• Ley de 6 de junio de 1997, Código Penal (DO polaco de 1997 n.º 88 ítem 553 con modificaciones) – art. 266;
• Ley de 26 de junio de 1974, Código del Trabajo (DO polaco de 1998 n.º 21 ítem 94 con modificaciones) – art. 52 y art. 108.
En los asuntos que no estén regulados en esta Política de Protección de Datos Personales, se aplicará lo dispuesto en la Ley de 10 de mayo de 2018 de protección de datos de carácter personal (es decir, DO polaco de 2018, ítem 1000) y el reglamento de desarrollo de dicha Ley.
La forma de proceder en caso de violación de la seguridad de los datos personales se establece en el procedimiento de actuación, que constituye el Anexo nº 12 de la PPDP, y dicho hecho se recoge en el registro de incidencias y eventos, que constituye el Anexo nº 11 de la PPDP.
1. Z1-PPDP: Nombramiento como Supervisor de la Protección de Datos;
2. Z2-PPDP: Autorización para el tratamiento de datos personales;
3. Z3-PPDP: Declaración sobre la correcta aplicación de las disposiciones de la l.p.d.;
4. Z4-PPDP: Registro de personas autorizadas a realizar el tratamiento de datos personales;
5. Z5-PPDP: Registros de datos personales compartidos;
6. Z6-PPDP: Lista de edificios, locales o partes de locales que constituyen el área en la que se tratan los datos personales;
7. Z7-PPDP: Lista de conjuntos de datos personales con indicación de los programas utilizados para el tratamiento de estos datos;
8. Z8-PPDP: Descripción de la estructura de los ficheros de datos personales;
9. Z9-PPDP: Descripción de cómo fluyen los datos entre los diferentes sistemas;
10. Z10-PPDP: Descripción de las medidas técnicas y organizativas utilizadas;
11. Z11-PPDP: Registro de incidentes y eventos.
12. Z12-PPDP: Procedimiento para tratar las violaciones de la seguridad de los datos personales