Polityka ochrony danych osobowych Joisto Quertum

Joisto Quertum ("JQ") działa w branży, w której dostęp do danych osobowych i ich przetwarzanie są niezbędne do świadczenia określonych usług.
JQ bardzo poważnie traktuje właściwe przetwarzanie danych osobowych. Obejmuje to uczciwe i przejrzyste przetwarzanie oraz zgodność z zasadą ochrony danych. Prawa osoby, której dane dotyczą, są przestrzegane, są one przetwarzane wyłącznie na podstawie prawnej w zakresie niezbędnym do świadczenia usług oferowanych przez JQ lub do użytku wewnętrznego.
Mechanizmy bezpieczeństwa i ochrony danych osobowych przetwarzanych przez JQ są wybierane na podstawie oceny ryzyka i prywatności. Prace te uwzględniają potrzeby biznesowe, a także dane dotyczące osób, z którymi firma ma relacje.
W sytuacji, gdy JQ przetwarza dane powierzone przez innych Administratorów Danych, wykonuje te czynności wyłącznie na podstawie otrzymanych poleceń, w zakresie i celu określonym w umowie.
Gdy inny podwykonawca lub partner przetwarza dane osobowe powierzone przez JQ, należy zapewnić, aby podwykonawca przetwarzał dane zgodnie z tymi samymi warunkami co JQ i na tych samych warunkach.
Wszelkie przypadki niewłaściwego wykorzystania danych osobowych lub zagrożenia dla nich są badane i zgłaszane zgodnie z powagą sprawy.

The Dyrektor zarządzający Joisto Quertum (MD) działa jako osoba odpowiedzialna za organizację. Dyrektor zarządzający jest odpowiedzialny za wspieranie wdrażania niniejszej Polityki w całej organizacji, w tym za alokację zasobów.

Quertum jako część Grupy Joisto wykorzystuje wspólny Inspektor ochrony danych (DPO). Zadaniem inspektora ochrony danych jest kierowanie pracami w zakresie ochrony danych w JQ w sposób niezależny i monitorowanie, czy JQ przestrzega obowiązujących przepisów o ochronie danych.
Inspektor ochrony danych będzie w pełni zaangażowany, w odpowiednim czasie, we wszystkie kwestie związane z ochroną danych osobowych. Inspektor ochrony danych kieruje i doradza w sprawach związanych z wdrażaniem ochrony danych. Inspektor informuje i interpretuje wymogi związane z ochroną danych oraz przedstawia zalecenia dotyczące procedur i środków.
Inspektor ochrony danych monitoruje procesy opracowane w celu zarządzania funkcją ochrony danych zgodnie z planem. Rolą inspektora ochrony danych jest zapewnienie, że szkolenia pracowników w zakresie ochrony danych są aktualne, a w szczególności, że kompetencje kluczowych pracowników w zakresie ochrony danych są rozwijane zgodnie z ich zadaniami. Inspektor ochrony danych prowadzi aktualny rejestr czynności przetwarzania danych (ROPA).

Właściciele produktów i usług musi zapewnić, że wszystkie wymienione zasady ochrony danych osobowych, a także środki techniczne i organizacyjne są wdrażane podczas projektowania i przetwarzania końcowego.

Kierownicy zespołów, specjaliści oraz wszyscy pracownicy i współpracownicy muszą zapoznać się z przepisami dotyczącymi ochrony danych osobowych, stosowania określonych procedur i środków w celu ochrony tych danych przed nieuprawnionym ujawnieniem. Muszą zachować szczególną ostrożność podczas wykonywania operacji przetwarzania danych w celu ochrony interesów osób, których dane dotyczą, i przestrzegać wszystkich innych odpowiednich instrukcji.

Szkolenie w zakresie ochrony danych zostanie zorganizowane dla wszystkich pracowników JQ i wszystkich osób przetwarzających dane osobowe dla JQ. Szkolenie zostanie również przeprowadzone dla osób, które mają dostęp do danych osobowych na poziomie ogólnym i dla ich konkretnych zadań, jeśli zostanie to uznane za konieczne.

Instrukcje pracy określają metody pracy związane z przetwarzaniem danych osobowych oraz prawidłowe procedury zapewniające ochronę danych. Środki, etapy pracy i kontrole mogą zostać dodane w celu zapewnienia, że dane osobowe były przetwarzane w odpowiedni sposób na każdym etapie. Obejmują one na przykład odpowiednie usuwanie dokumentów zawierających dane osobowe w formie elektronicznej lub papierowej.

Ochrona danych osobowych realizowana jest przy zastosowaniu środków technicznych i organizacyjnych (RODO) opisanych w procedurach i instrukcjach bezpieczeństwa wynikających z Polityki Bezpieczeństwa Informacji JQ oraz wdrożonego Systemu Zarządzania Bezpieczeństwem Informacji.

Ochrona danych osobowych ma być realizowana z wykorzystaniem procedur bezpieczeństwa i ochrony danych osobowych.
bezpieczeństwo informacji określone w polityce bezpieczeństwa informacji JQ i informacje uzupełniające
instrukcje bezpieczeństwa. Systemy informatyczne służące do przetwarzania danych osobowych mają być zbudowane i zabezpieczone w taki sposób, aby możliwe było odpowiednie wdrożenie ochrony danych.

Regularnie przeprowadzane są oceny wpływu na ochronę danych, DPIA (Data Protection Impact Assessment) określa odpowiedni poziom ochrony. Ocena wpływu opiera się na opisie bezpieczeństwa systemu, w tym mechanizmów bezpieczeństwa, ich wykorzystania, operacji i zapewnienia wydajności. Ocena wpływu na prywatność (PIA) jest dostarczana jako część procesu DPIA i jest tworzona w odniesieniu do usług i systemów przetwarzających dane osobowe w celu zapewnienia odpowiedniego i wystarczającego poziomu ochrony.

W większości działań organizacyjnych JQ przetwarza dane osobowe powierzone przez Klienta, który jest Administratorem Danych, a JQ jest Podmiotem Przetwarzającym (art. 28).

Z każdym klientem podpisywana jest umowa powierzenia danych osobowych (DPA - Data Protection Agreement). Stanowi ona załącznik do umowy podstawowej i jest powiązana z warunkami ogólnymi oraz zawiera do nich odniesienia.

DPA zawiera cele i zakres przetwarzanych danych osobowych, a także instrukcje dla JQ dotyczące odpowiedniego przetwarzania.
JQ zobowiązuje się przestrzegać tych instrukcji i współpracować przy przeprowadzaniu oceny skutków przetwarzania danych. JQ niezwłocznie poinformuje Administratora danych o wszelkich przypadkach naruszenia ochrony danych osobowych.

Potrzeba uwzględnienia ochrony danych w umowach i kontraktach jest oceniana we wszystkich sytuacjach zaopatrzenia. Szczególną uwagę zwraca się na sytuacje, w których dostawca może przetwarzać dane osobowe w kraju spoza UE/ETA lub w krajach zaufanych. W przypadku zakupu prac lub usług konsultingowych umowy o świadczenie usług mają również obejmować obowiązki szkoleniowe, tak aby umiejętności i kompetencje osoby zewnętrznej odpowiadały wymogom pomyślnego wykonania zadania.

Ochrona danych jest uwzględniana we wszystkich umowach, w których kupowane lub sprzedawane są usługi obejmujące przetwarzanie danych osobowych. Korzystając z podwykonawstwa w usługach JQ, klient musi być powiadamiany o wszelkich zmianach podwykonawcy, który jest zaangażowany jako podwykonawca przetwarzania.

Zaniedbania lub niekorzystne działania naruszające instrukcje dotyczące ochrony danych, niewłaściwe wykorzystanie danych osobowych i wyciek informacji są traktowane poważnie. To samo dotyczy wszelkich zagrożeń tego rodzaju. Wszelkie powiązane zdarzenia będą badane.

Joisto Quertum i Grupa Joisto mają wdrożony ogólny proces zarządzania incydentami bezpieczeństwa, a zdarzenia związane z danymi osobowymi są jednym z obsługiwanych przypadków, które wymagają specjalnych zadań.
Incydent związany z naruszeniem ochrony danych osobowych może obejmować przypadkowe lub celowe zniszczenie, utratę, modyfikację, nieuprawnione ujawnienie lub ujawnienie danych osobowych administrowanych lub przetwarzanych przez JQ.

Każde zgłoszone zdarzenie, które może spowodować naruszenie danych osobowych, zostanie zarejestrowane i przeanalizowane, a kolejne kroki będą zależeć od konkretnej klasyfikacji incydentu. Pierwszym działaniem będzie zmniejszenie negatywnego wpływu incydentu na dane osobowe.

Inspektor ochrony danych zgłasza wyniki dochodzenia w sprawie incydentu wewnętrznie w organizacji oraz, w razie potrzeby, organom i/lub administratorowi danych, współpracując z innymi zespołami ds. bezpieczeństwa.

W zależności od krytyczności incydentu i jego skali, może być konieczne powiadomienie o zdarzeniu
- Jeśli sprawa dotyczy Polski - do Prezesa Urzędu Ochrony Danych Osobowych,
- Jeśli sprawa dotyczy Wielkiej Brytanii - do United Kingdom Information Commissioners Office.
i powiadomić każdą osobę, która może być zaangażowana w incydent. Powiadomienie urzędu powinno zostać przekazane zatwierdzonym kanałem komunikacyjnym w ciągu 72 godzin.