Politique de protection des données personnelles de Joisto Quertum

Joisto Quertum ("JQ") opère dans un secteur où l'accès et le traitement des données à caractère personnel sont nécessaires à l'exécution des services définis.
JQ prend très au sérieux le traitement adéquat des données à caractère personnel. Cela implique un traitement équitable et transparent et le respect du principe de protection des données. Les droits de la personne concernée sont respectés et les données ne sont traitées que sur une base légale, dans la mesure nécessaire à la fourniture des services proposés par JQ ou à des fins d'utilisation interne.
Les mécanismes de sécurité et de protection des données personnelles traitées par JQ sont sélectionnés sur la base d'une évaluation des risques et de la protection de la vie privée. Ce travail tient compte des besoins de l'entreprise, ainsi que des données relatives aux personnes avec lesquelles l'entreprise est en relation.
Dans le cas où JQ traite des données confiées par d'autres responsables du traitement, elle n'effectue ces actions que sur la base des instructions reçues, dans la mesure et aux fins spécifiées dans le contrat.
Lorsqu'un autre sous-traitant ou partenaire traite des données personnelles confiées par JQ, il convient de s'assurer que le sous-traitant traite les données conformément et dans les mêmes conditions que JQ.
Toute utilisation abusive ou menace de données à caractère personnel fait l'objet d'une enquête et d'un rapport en fonction de la gravité du cas.

Le Directeur général de Joisto Quertum (MD) agit en tant que personne responsable de l'organisation. Le directeur général est chargé de soutenir la mise en œuvre de cette politique dans l'ensemble de l'organisation, y compris l'affectation des ressources.

Quertum, qui fait partie du groupe Joisto, utilise un système d'information commun. Délégué à la protection des données (DPD). Le DPD a pour mission de diriger de manière indépendante les travaux relatifs à la protection des données au sein de JQ et de veiller à ce que JQ respecte la législation applicable en matière de protection des données.
Le délégué à la protection des données sera pleinement impliqué, en temps utile, dans toutes les questions liées à la protection des données à caractère personnel. Le délégué à la protection des données guide et conseille sur les questions liées à la mise en œuvre de la protection des données. Il informe et interprète les exigences liées à la protection des données et fournit des recommandations sur les procédures et les mesures à prendre.
Le DPD surveille les processus mis en place pour la gouvernance de la fonction de protection des données, comme prévu. Le rôle du DPD est de veiller à ce que la formation du personnel en matière de protection des données soit à jour et surtout à ce que les compétences du personnel clé en matière de protection des données soient développées comme l'exigent leurs tâches. Le DPD tient à jour un registre des activités de traitement des données (ROPA).

Propriétaires de produits et de services doit veiller à ce que tous les principes énumérés en matière de protection des données à caractère personnel, ainsi que les mesures techniques et organisationnelles, soient mis en œuvre lors de la conception et pendant le traitement de bout en bout.

Les chefs d'équipe, les spécialistes et tous les employés et collaborateurs doivent se familiariser avec les dispositions relatives à la protection des données à caractère personnel, l'utilisation de procédures et de mesures spécifiques pour protéger ces données contre une divulgation non autorisée. Ils doivent faire preuve d'une attention particulière lors des opérations de traitement des données afin de protéger les intérêts des personnes concernées et suivre toutes les autres instructions pertinentes.

Une formation sur la protection des données sera organisée pour tous les employés de JQ et toutes les personnes qui traitent des données personnelles pour JQ. Une formation sera également dispensée aux personnes qui ont accès aux données à caractère personnel d'une manière générale et pour leur tâche particulière, si cela est jugé nécessaire.

Les instructions de travail précisent les méthodes de travail liées au traitement des données à caractère personnel et les procédures correctes pour garantir la protection des données. Des mesures, des phases de travail et des contrôles peuvent être ajoutés pour garantir que les données à caractère personnel ont été traitées de manière appropriée à chaque phase. Il s'agit, par exemple, de l'élimination appropriée des documents contenant des données à caractère personnel sous forme électronique ou sur papier.

La protection des données personnelles est mise en œuvre à l'aide des mesures techniques et organisationnelles (TOM) décrites dans les procédures et les instructions de sécurité résultant de la politique de sécurité de l'information de JQ et du système de gestion de la sécurité de l'information mis en œuvre.

Il est prévu de mettre en œuvre la protection des données à caractère personnel en utilisant les procédures de sécurité et de protection des données à caractère personnel.
la sécurité de l'information définie dans la politique de sécurité de l'information de JQ et les informations complémentaires
les instructions de sécurité. Les systèmes d'information utilisés pour le traitement des données à caractère personnel sont censés être construits et leurs opérations sécurisées de manière à permettre une mise en œuvre appropriée de la protection des données.

Des évaluations régulières de l'impact sur la protection des données sont effectuées. L'évaluation de l'impact sur la protection des données (DPIA) détermine le niveau de protection approprié. L'analyse d'impact est basée sur une description de la sécurité du système, y compris les mécanismes de sécurité, leur utilisation, les opérations et l'assurance des performances. Une évaluation de l'impact sur la vie privée (PIA) est fournie dans le cadre du processus DPIA et doit être créée pour les services et les systèmes traitant des données à caractère personnel afin d'assurer un niveau de protection approprié et suffisant.

Dans la plupart des activités de l'organisation, JQ traite les données à caractère personnel confiées par son client, qui est le responsable du traitement, et JQ est un sous-traitant (article 28).

Un accord de confiage de données personnelles (DPA - Data Protection Agreement) est signé avec chaque client. Il constitue une annexe à l'accord de base et est lié et référencé dans les conditions générales.

Le DPA comprend les objectifs et la portée du traitement des données à caractère personnel ainsi que des instructions à l'intention de JQ pour un traitement approprié.
JQ s'engage à respecter ces instructions et à coopérer à la réalisation d'une évaluation des effets du traitement des données. JQ informera immédiatement le contrôleur des données de tout incident de violation de données à caractère personnel.

La nécessité d'inclure la protection des données dans les accords et les contrats est évaluée dans toutes les situations d'approvisionnement. Une attention particulière est accordée aux situations dans lesquelles le fournisseur peut traiter des données à caractère personnel dans un pays situé en dehors de l'UE/ETA ou des pays de confiance. Lors de l'achat de travaux ou de services de conseil, les accords de service doivent également prévoir des responsabilités en matière de formation afin que les aptitudes et les compétences d'une personne externe correspondent aux exigences requises pour mener à bien la tâche.

La protection des données est prise en compte dans tous les accords dans lesquels des services impliquant le traitement de données à caractère personnel sont achetés ou vendus. En cas de recours à la sous-traitance dans le cadre des services de JQ, le client doit être informé de tout changement concernant le sous-traitant qui est engagé en tant que sous-traitant secondaire.

Les actions négligentes ou négatives en violation des instructions relatives à la protection des données, l'utilisation abusive de données à caractère personnel et les fuites d'informations sont prises au sérieux. Il en va de même pour toute menace de cette nature. Tout événement connexe fera l'objet d'une enquête.

Joisto Quertum et le groupe Joisto ont mis en place un processus général de gestion des incidents de sécurité, et les événements liés aux données personnelles sont l'un des cas pris en charge qui nécessitent des tâches spéciales.
Un incident impliquant une violation de la protection des données à caractère personnel peut inclure la destruction, la perte, la modification, la divulgation non autorisée ou la divulgation accidentelle ou intentionnelle de données à caractère personnel gérées ou traitées par JQ.

Chaque événement signalé susceptible de provoquer une violation de données à caractère personnel est enregistré et analysé, et les étapes suivantes dépendent de la classification spécifique de l'incident. Une première action consistera à réduire l'impact négatif de l'incident sur les données à caractère personnel.

Le délégué à la protection des données rend compte des résultats de l'enquête sur l'incident en interne au sein de l'organisation et, si nécessaire, aux autorités et/ou au responsable du traitement des données, en coopération avec les autres équipes de sécurité.

En fonction de la criticité de l'incident et de son ampleur, il peut être nécessaire de notifier l'événement à
- Si l'affaire concerne la Pologne - au président de l'Office de protection des données personnelles,
- Si le cas est lié au Royaume-Uni - au Bureau des commissaires à l'information du Royaume-Uni (Information Commissioners Office)
et notifier toute personne susceptible d'être impliquée dans l'incident. La notification au bureau de l'autorité doit être effectuée par le canal de communication approuvé et dans un délai de 72 heures.