01 Przegląd i zakres

Wprowadzenie

Niniejsza Polityka i wspierające ją Procedury mają na celu zapewnienie Primetric udokumentowanego i sformalizowanego procesu ochrony prywatności osób fizycznych. Poszanowanie prywatności danych osobowych i innych informacji ma dla Primetric fundamentalne znaczenie. Niniejsza Polityka prywatności opisuje gromadzenie przez Primetric danych osobowych (PII) od użytkowników Strony internetowej Primetric ("Strona internetowa" lub "Witryna"), platformy Primetric oraz wszystkich powiązanych aplikacji, widżetów, oprogramowania, narzędzi i innych usług świadczonych przez Primetric, na których wyświetlany jest link do niniejszej Polityki (łącznie, wraz ze Stroną internetową, nasza "Usługa"). Niniejsza Polityka opisuje również wykorzystanie i ujawnianie takich informacji przez Primetric. Korzystając z Usługi Primetric, użytkownik wyraża zgodę na gromadzenie i wykorzystywanie danych osobowych zgodnie z niniejszą Polityką.

Zgodnie z wymogami bezpieczeństwa organizacyjnego określonymi i zatwierdzonymi przez kierownictwo, Primetric ustanowił formalną Politykę Prywatności i Procedury. Ten kompleksowy dokument Polityki jest wdrażany natychmiast, wraz ze wszystkimi odpowiednimi i obowiązującymi Procedurami.

Właściciel Polityki jest właścicielem niniejszej Polityki i jest odpowiedzialny za coroczny przegląd Polityki oraz za śledzenie wszelkich istotnych zmian w środowisku danych wrażliwych Primetric w celu zapewnienia, że nadal spełnia ona cele organizacyjne. Właściciel Polityki jest odpowiedzialny za zapewnienie corocznego przeglądu i aktualizacji Procedury Prywatności oraz po wprowadzeniu wszelkich istotnych zmian. Zgodność z politykami i procedurami będzie regularnie weryfikowana. W ramach przeglądu oceniane będą możliwości poprawy i podejście do zarządzania zmianami w środowisku organizacji, potrzebami biznesowymi i wymogami regulacyjnymi. Wyniki przeglądu zarządzania będą brane pod uwagę przy przeglądzie polityk i procedur. Wszelkie zmiany polityk wymagają zatwierdzenia przez kierownictwo.

Polityki i procedury będą udostępniane osobom odpowiedzialnym za wdrożenie polityki/procedury, której dotyczy dokumentacja.

Role i obowiązki

Inspektor ochrony danych (DPO) (Chief Privacy Officer)

Obowiązki inspektora ochrony danych (DPO) (lub Chief PrivacyOfficer) obejmują zapewnienie ogólnego kierunku, wskazówek, przywództwa i wsparcia w zakresie metod i narzędzi wdrażania programu ochrony prywatności. Inspektor ochrony danych jest odpowiedzialny za opracowywanie i wdrażanie polityk i procedur ochrony prywatności. Inspektor ochrony danych jest wyznaczonym punktem kontaktowym we wszystkich kwestiach związanych z prywatnością, takich jak przyjmowanie indywidualnych wniosków lub skarg dotyczących prywatności. Inspektor ochrony danych jest również odpowiedzialny za udzielanie wskazówek dotyczących prywatności organizacji i dostawcom usług w zakresie obowiązków związanych z prywatnością. Inspektor ochrony danych jest osobą wyznaczoną do kontaktów z osobami fizycznymi w zakresie przetwarzania ich danych osobowych. Inspektor ochrony danych jest odpowiedzialny za opracowanie, wdrożenie, utrzymanie i monitorowanie ogólnoorganizacyjnego programu zarządzania i prywatności w celu zapewnienia zgodności z obowiązującymi przepisami dotyczącymi informacji osobistych. Inspektor ochrony danych uwzględni ryzyko związane z przetwarzaniem, biorąc pod uwagę charakter, zakres, kontekst i cel przetwarzania podczas wykonywania swoich obowiązków. Inspektor ochrony danych może być odpowiedzialny za inne zadania, o ile nie powodują one konfliktu interesów. Inspektor ochrony danych przeprowadzi planowanie zasobów i inwestycji w celu wdrożenia wymagań programu w zakresie zarządzania, operacyjnego, technicznego i prywatności.

IOD współpracuje z CTO i CISO w celu opracowania, przeprowadzenia i udokumentowania powiązanych szkoleń w zakresie świadomości bezpieczeństwa i prywatności. Inspektor ochrony danych musi:

  • Być niezależnym i podlegać bezpośrednio odpowiedniemu poziomowi zarządzania organizacją w celu zapewnienia skutecznego zarządzania ryzykiem związanym z prywatnością.
  • Zaangażowanie w zarządzanie wszystkimi kwestiami związanymi z przetwarzaniem danych osobowych
  • Być ekspertem w zakresie przepisów i praktyk dotyczących ochrony danych
  • Pełnienie funkcji punktu kontaktowego dla organów nadzorczych
  • Informowanie kierownictwa najwyższego szczebla i pracowników organizacji o ich obowiązkach w zakresie przetwarzania danych osobowych
  • Udzielanie porad w zakresie przeprowadzanych ocen wpływu na prywatność

Komitet ds. prywatności

Obowiązki obejmują zatwierdzanie i monitorowanie przestrzegania niniejszej polityki, analizowanie środowiska organizacji i przestrzeganie wymogów prawnych. Dodatkowe obowiązki obejmują:

  • Prowadzenie działań związanych z ochroną prywatności w firmie, w tym monitorowanie systemu wykorzystywanego do pozyskiwania, oceny i reagowania na indywidualne skargi i problemy związane z ochroną prywatności.
  • Ocena wdrożonych mechanizmów kontroli prywatności
  • Ocena istniejących polityk i procedur dotyczących obszarów prywatności
  • Współpraca z odpowiednimi działami w celu zapewnienia zgodności z polityką i procedurami ochrony prywatności.
  • Zalecanie i monitorowanie, we współpracy z odpowiednimi działami, rozwoju wewnętrznych systemów i kontroli w celu realizacji celów organizacji w zakresie ochrony prywatności.
  • Składanie sprawozdań dyrektorowi ds. prywatności na temat skuteczności kontroli/programu ochrony prywatności w zakresie spełniania obowiązujących wymogów i standardów regulacyjnych.

Primetric musi formalnie dokumentować i udostępniać polityki prywatności osobom fizycznym, personelowi wewnętrznemu i stronom trzecim, które ich potrzebują. Kierownictwo wspiera zgodność ze wszystkimi politykami prywatności i odpowiednimi przepisami dotyczącymi ochrony danych poprzez formalną strukturę organizacyjną i kontrolę. Organizacja będzie przestrzegać wymogów regulacyjnych określających obowiązki w zakresie przetwarzania informacji wrażliwych, w tym informacji umożliwiających identyfikację osób, oraz zapewniających świadomość zasad ochrony danych. Polityka prywatności zostanie udokumentowana w celu uwzględnienia praktyk bezpieczeństwa w zakresie prywatności, w tym wdrażania technicznych środków kontroli bezpieczeństwa, takich jak kontrola dostępu, uwierzytelnianie i monitorowanie, a także środków organizacyjnych opisanych poniżej w celu ochrony informacji wrażliwych.

Organizacja wyznaczy inspektora ochrony danych lub inspektora prywatności odpowiedzialnego za program ochrony prywatności organizacji. Organizacja będzie wspierać inspektora ochrony danych w wykonywaniu wymaganych zadań i zapewni niezbędne zasoby do wykonywania tych zadań, w tym zapewnienie dostępu do danych osobowych lub operacji. Inspektor ochrony danych jest wyznaczany na podstawie cech zawodowych, w tym wiedzy specjalistycznej na temat przepisów dotyczących prywatności i zdolności do wykonywania wymaganych zadań. Organizacja będzie wspierać inspektora ochrony danych w utrzymywaniu jego wiedzy eksperckiej. Organizacja zapewni niezależność inspektora ochrony danych w odniesieniu do wszelkich instrukcji dotyczących wykonywania zadań inspektora ochrony danych, a inspektor ochrony danych będzie zobowiązany do zachowania poufności podczas wykonywania tych zadań zgodnie z obowiązującymi przepisami. Inspektor ochrony danych nie będzie karany za wykonywanie swoich obowiązków.

Kierownictwo będzie co roku dokonywać przeglądu i zatwierdzać politykę prywatności.

RODO - Podmiot przetwarzający

Primetric, jako podmiot przetwarzający, ma obowiązek zapewnić wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymogi RODO i zapewniało ochronę praw osób fizycznych.

Primetric, jako podmiot przetwarzający, nie zaangażuje innego podprzetwarzającego bez specjalnej pisemnej zgody administratora. Administrator będzie miał możliwość sprzeciwienia się wszelkim zmianom.

Przetwarzanie danych przez organizację jest regulowane umową wiążącą organizację z administratorem i określającą przedmiot oraz czas trwania przetwarzania, charakter/cel przetwarzania, rodzaj danych osobowych/kategorie osób fizycznych oraz obowiązki/prawa administratora. Umowa będzie określać, że organizacja musi:

  • Przetwarzanie danych osobowych wyłącznie zgodnie z pisemnymi instrukcjami administratora, w tym przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych. Organizacja poinformuje administratora o wymogach prawnych dotyczących przetwarzania, chyba że jest to zabronione przez prawo ze względu na interes publiczny.
  • Upewnienie się, że osoby upoważnione do przetwarzania danych osobowych są zobowiązane do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
  • Podjęcie wszelkich środków wymaganych do zapewnienia bezpieczeństwa przetwarzania
  • Przestrzeganie warunków angażowania innego podprzetwarzającego
  • Wspieranie administratora w wypełnianiu jego obowiązku odpowiadania na żądania osób fizycznych korzystających ze swoich praw, z uwzględnieniem charakteru przetwarzania oraz odpowiednich możliwych środków technicznych i organizacyjnych.
  • Pomoc administratorowi w zapewnieniu zgodności z bezpieczeństwem przetwarzania, powiadamianie organu nadzorczego o naruszeniach danych, informowanie osób fizycznych o naruszeniach, ocena skutków dla ochrony danych i wcześniejsze konsultacje z inspektorem ochrony danych.
  • Usunąć lub zwrócić dane osobowe zgodnie z wyborem administratora po zakończeniu świadczenia usług, chyba że jest to wymagane przez prawo
  • Udostępnianie administratorowi informacji niezbędnych do wykazania zgodności z obowiązkami i umożliwienie przeprowadzania audytów, w tym inspekcji przeprowadzanych przez administratora, lub udział w takich audytach.
  • Niezwłoczne poinformowanie administratora, jeśli w opinii organizacji instrukcja narusza RODO lub inne przepisy dotyczące ochrony danych.

Primetric, jako podmiot przetwarzający, oraz każda osoba działająca z upoważnienia organizacji, która ma dostęp do danych osobowych, nie będzie przetwarzać tych danych, chyba że zgodnie z instrukcjami administratora lub zgodnie z wymogami prawa.

02 Uprawnienie do przetwarzania danych osobowych

Organ przetwarzający

Primetric może przetwarzać informacje wrażliwe, w tym informacje umożliwiające identyfikację osoby (PII), w ramach swoich operacji w całym cyklu życia informacji. Przetwarzanie obejmuje między innymi tworzenie, gromadzenie, wykorzystywanie, przetwarzanie, przechowywanie, utrzymywanie, rozpowszechnianie, ujawnianie, odbieranie, przekazywanie i usuwanie informacji. Przetwarzanie obejmuje również rejestrowanie, generowanie, przekształcanie i techniki analizy, takie jak eksploracja danych.

Primetric będzie przestrzegać odpowiednich przepisów prawa ustanawiających jej uprawnienia lub ograniczenia w zakresie przetwarzania niektórych rodzajów informacji umożliwiających identyfikację osób i ustanowi powiązane wymagania dotyczące przetwarzania zgodnie ze zobowiązaniami umownymi. Primetric skonsultuje się z inspektorem ochrony danych i innymi radcami prawnymi w sprawie uprawnień do przetwarzania informacji w wielu jurysdykcjach. Primetric będzie kierować się swoimi politykami prywatności i procedurami związanymi z przetwarzaniem, które uwzględniają wszystkie przepisy prawa, umowy i inne wymogi związane z prywatnością.

Primetric określi i udokumentuje uprawnienia organizacji do przetwarzania informacji umożliwiających identyfikację osób oraz ograniczy przetwarzanie informacji umożliwiających identyfikację osób nieupoważnionych. Zagrożenia dla prywatności mogą być nadal obecne, nawet jeśli przetwarzanie odbywa się na podstawie prawnej. Przeprowadzone zostaną oceny ryzyka w zakresie prywatności w celu zidentyfikowania wszelkich powiązanych zagrożeń dla prywatności, a także określone zostaną rozwiązania mające na celu zarządzanie takim ryzykiem. Tam, gdzie to możliwe, Primetric będzie dołączać znaczniki danych zawierające autoryzowane przetwarzanie do elementów danych osobowych.

Organizacja przeszkoli pracowników w zakresie autoryzowanego przetwarzania informacji wrażliwych, w tym informacji umożliwiających identyfikację osób, a także będzie monitorować/audytować wykorzystanie tych informacji.

Wnioski indywidualne

Primetric musi opublikować procedurę regulującą indywidualne wnioski o dostęp do ich dokumentacji przechowywanej przez organizację. Organizacja musi zezwolić osobom fizycznym na korzystanie z ich prawa dostępu i umożliwić osobom fizycznym poprawienie niedokładnych informacji, które mogą mieć zastosowanie. Organizacja wdroży proces dla osób fizycznych w celu uzyskania dostępu, dostarczenia dowodu tożsamości i zapewnienia komunikacji z osobą fizyczną na temat jej danych osobowych, podobnie jak w przypadku gromadzenia pierwotnych informacji (np. za pośrednictwem zwykłej poczty lub poczty elektronicznej):

  • W rozsądnym terminie określonym przez odpowiednie przepisy
  • Po rozsądnych i dopuszczalnych kosztach, jeśli takie istnieją
  • W odpowiedni sposób
  • W zrozumiałej formie

Primetric odpowie na wnioski o dostęp zgodnie z przepisami prawa lub zgodnie z informacją o ochronie prywatności organizacji. Tam, gdzie to możliwe, odpowiedzi będą udzielane zgodnie z żądaniem osoby fizycznej. Organizacja zapewni, że prawa osób fizycznych do dostępu mogą być wykonywane, z wyjątkiem sytuacji, gdy:

  • Wydatki lub obciążenia dla organizacji są nieuzasadnione lub nieproporcjonalne do zagrożeń dla prywatności.
  • Informacje wrażliwe (dane osobowe (PII)) nie mogą zostać ujawnione ze względu na ograniczenia prawne lub bezpieczeństwa.
  • Prywatność innych osób zostałaby naruszona w wyniku żądania dostępu

Primetric ograniczy dostęp do informacji wrażliwych (informacji umożliwiających identyfikację osoby (PII)) wyłącznie do osób, których te informacje dotyczą lub do osób upoważnionych. Organizacja będzie uwierzytelniać tożsamość wnioskodawcy zgodnie z wymogami regulacyjnymi. Gdy wymagane jest uwierzytelnienie, organizacja określi odpowiednią formę uwierzytelnienia, chyba że jest to określone w wymogach regulacyjnych. Organizacja zażąda tylko minimum informacji niezbędnych do weryfikacji tożsamości. Informacje dotyczące identyfikacji i uwierzytelniania muszą być zabezpieczone i przechowywane tylko tak długo, jak jest to konieczne.

Primetric musi upewnić się, że wszystkie żądane informacje mogą zostać dostarczone, ale musi wziąć pod uwagę ochronę praw, wolności i prywatności innych osób przed dostarczeniem danej osobie jej wrażliwych informacji (danych osobowych (PII)). Organizacja dostarczy poufne informacje (dane osobowe (PII)) upoważnionej osobie w bezpieczny sposób.

Primetric musi opracować i wdrożyć proces związany z powiadamianiem osób fizycznych o statusie ich wniosków i wszelkim wymaganym przetwarzaniu, takim jak poczta / e-mail, wraz z określeniem dat złożenia wniosku i oczekiwaniem, kiedy wniosek może zostać spełniony. Organizacja może potrzebować dodatkowego czasu na pobranie informacji z archiwów, ale nadal może być zobowiązana do poinformowania o tym opóźnieniu osoby składającej wniosek.

Primetric może odrzucić wniosek o dostęp w oparciu o wymogi regulacyjne; jednakże organizacja przedstawi osobie fizycznej uzasadnienie odmowy wraz z procesem zakwestionowania odmowy w odpowiednim czasie.

Jeśli Primetric działa jako podmiot przetwarzający dla innego administratora, organizacja będzie wspierać obowiązek administratora w odniesieniu do praw osoby fizycznej do dostępu, poprawiania i usuwania jej danych wrażliwych (danych osobowych (PII)) zgodnie z wymogami regulacyjnymi lub umownymi.

Primetric zapewni osobie fizycznej prawo do uzyskania potwierdzenia, że organizacja przetwarza jej dane osobowe, a w takim przypadku organizacja zapewni dostęp do danych osobowych wraz z następującymi informacjami:

  • Cele przetwarzania danych
  • Kategorie danych osobowych, których to dotyczy
  • Odbiorcy (lub kategorie odbiorców), którym dane osobowe zostały (lub zostaną) ujawnione, w szczególności odbiorcy w państwach trzecich (lub organizacjach międzynarodowych)
  • Szacowany okres przechowywania danych osobowych, o ile to możliwe, lub kryteria stosowane do określenia tego okresu.
  • Istnienie prawa do żądania sprostowania, usunięcia danych osobowych, ograniczenia przetwarzania danych osobowych dotyczących osoby fizycznej lub wniesienia sprzeciwu wobec przetwarzania.
  • Prawo do złożenia skargi do organu nadzorczego
  • W przypadku, gdy dane osobowe nie są zbierane od osoby fizycznej, wszelkie dostępne informacje dotyczące źródła
  • Istnienie zautomatyzowanego procesu decyzyjnego (w tym profilowania) oraz wszelkie istotne informacje na temat zastosowanej logiki, a także wszelkie istotne przewidywane konsekwencje takiego przetwarzania dla osoby fizycznej.
  • Jeżeli dane osobowe są przekazywane do kraju trzeciego (lub organizacji międzynarodowej), osoba fizyczna ma prawo do uzyskania informacji o odpowiednich zabezpieczeniach związanych z przekazaniem.

Primetric dostarczy kopię przetwarzanych danych osobowych. Za wszelkie dodatkowe kopie żądane przez osobę fizyczną Primetric może pobrać rozsądną opłatę w oparciu o koszty administracyjne. Jeśli osoba fizyczna złoży wniosek drogą elektroniczną, informacje zostaną dostarczone w powszechnie używanej formie elektronicznej, chyba że osoba fizyczna zażąda inaczej. Prawo do uzyskania kopii danych osobowych nie może negatywnie wpływać na prawa lub wolności innej osoby fizycznej.

Dostęp

Primetric zezwala osobom fizycznym na ustalenie, czy przechowuje informacje umożliwiające ich identyfikację, a na żądanie osoba fizyczna może uzyskać dostęp do swoich informacji umożliwiających jej identyfikację. Primetric zweryfikuje i uwierzytelni tożsamość osób, które żądają dostępu do swoich danych osobowych, zanim uzyskają dostęp do tych informacji.

Primetric przekaże informacje umożliwiające identyfikację osoby fizycznej w zrozumiałej formie, w rozsądnych ramach czasowych i po rozsądnej cenie.

Primetric może odmówić osobie fizycznej dostępu lub żądania zmiany jej danych osobowych w oparciu o wymogi regulacyjne i poinformuje osobę fizyczną o odmowie wraz z powodem odmowy w odpowiednim czasie, chyba że jest to zabronione przez przepisy.

Przenośność danych

Primetric zapewni osobie fizycznej prawo do otrzymania jej danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego. Organizacja zapewni prawo do przekazywania danych osobowych osoby fizycznej innej organizacji bez przeszkód, w przypadku gdy:

  • Przetwarzanie odbywa się na podstawie zgody lub umowy
  • Przetwarzanie odbywa się w sposób zautomatyzowany

Jeżeli jest to technicznie wykonalne, osoba fizyczna korzystająca z prawa do przenoszenia danych ma prawo do tego, aby jej dane osobowe były przekazywane bezpośrednio z jednej organizacji do drugiej. Prawo to nie ma zastosowania do przetwarzania niezbędnego do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej i nie może negatywnie wpływać na prawa/wolności innych osób.

Ujawnienie

Primetric ujawni dane osobowe stronom trzecim tylko wtedy, gdy istnieje podstawa prawna i w sposób zgodny z prawem, w szczególności z RODO.

Primetric będzie śledzić i rejestrować autoryzowane i zgłoszone nieautoryzowane ujawnienia.

Korekta i aktualizacja

Primetric zezwoli osobom fizycznym na aktualizację lub poprawienie danych osobowych przechowywanych przez organizację i przekaże takie aktualizacje lub poprawione informacje stronom trzecim, które wcześniej otrzymały dane osobowe osoby fizycznej. Biorąc pod uwagę cele przetwarzania, osoba fizyczna ma prawo do uzupełnienia niekompletnych danych osobowych, w tym poprzez złożenie dodatkowego oświadczenia.

Primetric może odmówić osobie fizycznej dostępu lub żądania zmiany jej danych osobowych w oparciu o wymogi regulacyjne i poinformuje osobę fizyczną o odmowie wraz z powodem odmowy w odpowiednim czasie, chyba że jest to zabronione przez przepisy.

Usunięcie

Primetric będzie przechwytywać wnioski o usunięcie informacji umożliwiających identyfikację osób, a informacje związane z wnioskami będą identyfikowane i oznaczane do zniszczenia w celu spełnienia celów organizacji związanych z prywatnością. Primetric przekaże powiadomienie o usunięciu takich informacji stronom trzecim, które wcześniej otrzymały dane osobowe danej osoby, zgodnie z celami organizacji związanymi z prywatnością.

Osoby fizyczne mają prawo do uzyskania od organizacji usunięcia ich danych osobowych bez zbędnej zwłoki. Primetric jest zobowiązana do usunięcia danych osobowych bez zbędnej zwłoki, jeżeli zachodzi jedna z poniższych okoliczności:

  • Dane osobowe nie są już potrzebne do celów, dla których zostały zebrane i/lub przetwarzane;
  • Osoba fizyczna wycofuje zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania;
  • Osoba fizyczna sprzeciwia się przetwarzaniu i nie ma uzasadnionych podstaw do zastąpienia przetwarzania lub osoba fizyczna sprzeciwia się przetwarzaniu danych, które nie mają istotnych uzasadnionych podstaw do przetwarzania;
  • Dane osobowe były przetwarzane niezgodnie z prawem;
  • Dane osobowe muszą zostać usunięte w celu zapewnienia zgodności z obowiązkami prawnymi; lub
  • Dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.

W przypadku, gdy Primetric upublicznił dane osobowe i jest zobowiązany do ich usunięcia, organizacja podejmie uzasadnione kroki (np. biorąc pod uwagę dostępną technologię i koszt wdrożenia), w tym środki techniczne, w celu poinformowania innych organizacji przetwarzających dane osobowe, że dana osoba zażądała usunięcia swoich danych osobowych.

Primetric może odrzucić wniosek o usunięcie danych, jeśli przetwarzanie danych osobowych jest konieczne z następujących powodów:

  • Za korzystanie z prawa do wolności wypowiedzi i informacji
  • Zgodność ze zobowiązaniami prawnymi
  • Ze względu na interes publiczny w dziedzinie zdrowia publicznego
  • Do celów archiwizacji w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile istnieje prawdopodobieństwo, że prawo do usunięcia uniemożliwi (lub poważnie utrudni) osiągnięcie celów przetwarzania.
  • W celu ustalenia, dochodzenia lub obrony roszczeń prawnych

Ograniczenie

Primetric zapewni prawo osoby fizycznej do ograniczenia przetwarzania jej danych osobowych, gdy ma zastosowanie jedna z poniższych sytuacji:

  • Dokładność danych osobowych jest kwestionowana przez osobę fizyczną przez okres umożliwiający organizacji weryfikację dokładności danych osobowych.
  • Przetwarzanie jest niezgodne z prawem, a osoba fizyczna sprzeciwia się usunięciu danych osobowych i zamiast tego żąda ograniczenia ich wykorzystania.
  • Organizacja nie potrzebuje już danych osobowych do celów przetwarzania, ale są one wymagane przez osobę fizyczną do ustalenia, wykonania lub obrony roszczeń prawnych.
  • Osoba fizyczna sprzeciwiła się przetwarzaniu z uzasadnionych przyczyn w oczekiwaniu na weryfikację, czy uzasadnione podstawy organizacji są nadrzędne w stosunku do uzasadnionych podstaw osoby fizycznej.

Tam, gdzie przetwarzanie zostało ograniczone, z wyjątkiem przechowywania, organizacja będzie przetwarzać dane osobowe wyłącznie w następujący sposób:

  • Za zgodą danej osoby
  • W celu ustalenia, dochodzenia lub obrony roszczeń prawnych
  • W celu ochrony praw innej osoby fizycznej lub prawnej
  • Ze względu na ważny interes publiczny

Primetric poinformuje osobę, która uzyskała ograniczenia przetwarzania, zanim ograniczenia przetwarzania zostaną zniesione.

Zastrzeżenia

Primetric zapewni osobie fizycznej prawo do wniesienia sprzeciwu wobec przetwarzania jej danych osobowych, w tym przetwarzania opartego na profilowaniu. Primetric nie będzie już przetwarzać danych osobowych, chyba że organizacja będzie w stanie wykazać istotne uzasadnione podstawy przetwarzania, nadrzędne wobec interesów, praw/wolności osoby fizycznej lub w celu ustalenia, wykonania lub obrony roszczeń prawnych.

Jeżeli dane osobowe są przetwarzane do celów marketingu bezpośredniego, osoba fizyczna ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim jest ono związane z takim marketingiem bezpośrednim. Dane osobowe nie będą już przetwarzane do celów marketingowych na podstawie sprzeciwu osoby fizycznej.

Prawo do sprzeciwu zostanie podane do wiadomości osoby fizycznej w momencie pierwszej komunikacji z osobą fizyczną i zostanie przedstawione w jasnej i oddzielnej formie od wszelkich innych informacji.

W kontekście korzystania z usług społeczeństwa informacyjnego osoba fizyczna może skorzystać z prawa do sprzeciwu za pomocą zautomatyzowanych środków wykorzystujących specyfikacje techniczne.

Jeżeli dane osobowe są przetwarzane do celów badań naukowych, historycznych lub statystycznych, osoba fizyczna ma prawo sprzeciwić się przetwarzaniu jej danych osobowych, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.

Automatyzacja (zautomatyzowane decyzje)

Organizacja będzie egzekwować autoryzowane przetwarzanie danych osobowych za pomocą zautomatyzowanych mechanizmów umożliwiających weryfikację, czy ma miejsce wyłącznie autoryzowane przetwarzanie.

Organizacja stoi na straży prawa osób fizycznych do niepodlegania decyzji wywołującej skutki prawne lub w podobny sposób istotnie wpływającej na osobę fizyczną, opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu. Organizacja wdroży odpowiednie środki w celu ochrony praw/wolności i uzasadnionego interesu osoby fizycznej, zapewniając prawo do uzyskania interwencji ludzkiej ze strony organizacji, do wyrażenia punktu widzenia osoby fizycznej oraz do zakwestionowania decyzji. Uwaga: Decyzja może nie mieć zastosowania, jeśli jest niezbędna jako część umowy między organizacją a osobą fizyczną, dozwolona przez prawo lub opiera się na wyraźnej zgodzie osoby fizycznej.

03 Cele przetwarzania danych osobowych (PII)

Primetric określi i udokumentuje cele przetwarzania danych osobowych. Umożliwi to osobom fizycznym podejmowanie świadomych decyzji i zarządzanie swoimi interesami w zakresie prywatności. Cel przetwarzania zostanie opisany w publicznych informacjach o ochronie prywatności i powiązanych procedurach ochrony prywatności. Primetric ograniczy przetwarzanie danych osobowych wyłącznie do tych, które są zgodne z określonymi celami. Primetric będzie monitorować zmiany w przetwarzaniu i konsultować się z inspektorem ochrony danych lub innym radcą prawnym w celu zapewnienia, że wszelkie nowe przetwarzanie jest nadal zgodne z pierwotnym celem. Jeśli informacje, które zostały wcześniej zebrane, mają zostać wykorzystane do celów, które nie zostały wcześniej określone w powiadomieniu o ochronie prywatności, Primetric udokumentuje nowy cel, powiadomi osobę fizyczną i uzyska dorozumianą lub wyraźną zgodę przed takim nowym wykorzystaniem lub celem.

Primetric będzie monitorować zmiany w przetwarzaniu informacji umożliwiających identyfikację osób i wdroży mechanizmy zapewniające, że wszelkie zmiany są wprowadzane zgodnie z określonymi wymogami.

Tam, gdzie to możliwe, organizacja będzie dołączać znaczniki danych zawierające cele do elementów informacji umożliwiających identyfikację osób w określonych celach przetwarzania.

Organizacja będzie śledzić cele przetwarzania danych osobowych za pomocą zautomatyzowanych mechanizmów.

Organizacja dopilnuje, aby umowy zawarte w celu przetwarzania informacji osobistych uwzględniały rolę organizacji w zapewnianiu klientom wszelkiej pomocy związanej z ich obowiązkami w zakresie przetwarzania, biorąc pod uwagę charakter przetwarzania i informacje dostępne dla organizacji. Primetric będzie przetwarzać dane osobowe w imieniu klienta wyłącznie w celach określonych w udokumentowanych instrukcjach klienta.

Kolekcja

Primetric ograniczy gromadzenie danych osobowych do tego, co jest niezbędne do osiągnięcia celów organizacji. Metody gromadzenia danych osobowych będą weryfikowane przez kierownictwo przed ich wdrożeniem w celu potwierdzenia, że dane osobowe są pozyskiwane w sposób uczciwy, bez zastraszania lub oszukiwania, a także w sposób niezgodny z prawem, zgodnie ze wszystkimi odpowiednimi przepisami prawa.

Primetric poinformuje osoby fizyczne, jeśli organizacja opracuje lub pozyska dodatkowe informacje na ich temat w celu ich wykorzystania.

Użytkowanie i ujawnianie

Primetric wykorzystuje informacje umożliwiające identyfikację osoby wyłącznie w sposób autoryzowany i tylko na minimalnym niezbędnym poziomie wymaganym przez organizację w celu spełnienia zobowiązań dotyczących poziomu usług, zobowiązań umownych lub wymogów regulacyjnych.

Zatrzymanie

Primetric będzie przechowywać dane osobowe tylko tak długo, jak jest to wymagane lub zgodnie z harmonogramem przechowywania organizacji, co może być wymagane przez zobowiązania regulacyjne lub umowne.

Zabezpieczenia

Primetric musi określić i zatwierdzić miejsce przechowywania informacji wrażliwych (w tym danych osobowych). Wrażliwe informacje będą ograniczone do minimum wymaganego do celów biznesowych lub prawnych i przechowywane tylko tak długo, jak będzie to konieczne zgodnie z harmonogramem przechowywania danych.

Primetric musi wdrożyć środki techniczne w celu ochrony poufności i integralności wrażliwych informacji w spoczynku lub przechowywanych w zatwierdzonych lokalizacjach zgodnie z przepisami. Te wrażliwe informacje staną się bezużyteczne, nieczytelne lub niemożliwe do odszyfrowania w jakiejkolwiek formie elektronicznej, w której są przechowywane przy użyciu dowolnej z tych technik:

  • Egzekwowanie obowiązkowego pełnego szyfrowania dysków na laptopach lub innych urządzeniach mobilnych, jeśli jest obsługiwane.

Uwaga: Jeśli wykorzystywane jest szyfrowanie dysku, dostęp logiczny musi być zarządzany niezależnie od systemu operacyjnego, a klucze deszyfrujące nie mogą być powiązane z kontami użytkowników.

  • Szyfrowanie dysków wirtualnych
  • Szyfrowanie woluminów dyskowych
  • Szyfrowanie określonych plików lub folderów

Primetric będzie wykorzystywać silną technologię szyfrowania, taką jak stosowanie jednokierunkowych skrótów, obcinanie lub inną silną kryptografię z zarządzaniem kluczami. Zatwierdzone algorytmy szyfrowania obejmują te spełniające standardy FIPS 140-2, takie jak Advanced EncryptionStandard AES wykorzystujący klucz o długości co najmniej 128 bitów, Triple Data EncryptionAlgorithm (lub Triple DES). Organizacja udokumentuje uzasadnienie i zatwierdzenie CISO dla wszelkich przypadków, w których szyfrowanie nie jest uzasadnione lub nieodpowiednie.

RODO

RODO reguluje ochronę osób fizycznych (lub osób fizycznych) w odniesieniu do przetwarzania ich danych osobowych, a także zasady związane ze swobodnym przepływem danych osobowych. RODO chroni podstawowe prawa i wolności osób fizycznych oraz ich prawa do ochrony ich danych osobowych. Swobodny przepływ danych osobowych w Unii Europejskiej (UE) nie będzie ograniczony ani zabroniony z powodów związanych z ochroną osób fizycznych w zakresie przetwarzania ich danych osobowych.

RODO ma zastosowanie do przetwarzania danych osobowych (w całości lub w części) w sposób zautomatyzowany do przetwarzania innych niż zautomatyzowane środki danych osobowych tworzących (lub mających tworzyć) zbiór danych. RODO nie ma zastosowania do osób fizycznych w trakcie czynności czysto osobistych lub domowych lub przez właściwe organy w celu zapobiegania, dochodzenia, wykrywania lub ścigania przestępstw lub wykonywania sankcji karnych, w tym ochrony przed zapobieganiem zagrożeniom dla bezpieczeństwa publicznego.

RODO ma zastosowanie do przetwarzania danych osobowych w kontekście działalności organizacji mającej siedzibę w UE, niezależnie od tego, czy przetwarzanie odbywa się w UE, czy nie. RODO ma również zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, znajdujących się w UE przez organizację niemającą siedziby w UE, w przypadku gdy przetwarzanie dotyczy oferowania towarów (lub usług) niezależnie od płatności na rzecz takich osób, których dane dotyczą, w UE lub monitorowania ich zachowania, o ile ich zachowanie ma miejsce w UE.

Niniejsza polityka uwzględnia definicje terminów określone w art. 4 RODO dotyczącym zgodności z RODO.

Dane osobowe muszą być

  • Zgodność z prawem, uczciwość i przejrzystość: Przetwarzane w sposób zgodny z prawem, uczciwy i przejrzysty w odniesieniu do danej osoby.
  • Ograniczenie celu: Zbierane w określonym, wyraźnym i prawnie uzasadnionym celu i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Uwaga: przetwarzanie w celu archiwizacji w interesie publicznym, badań naukowych lub historycznych lub w celach statystycznych nie jest uważane za niezgodne z pierwotnym celem.
  • Minimalizacja danych: Adekwatne, istotne i ograniczone tylko do tego, co niezbędne w związku z celem przetwarzania.
  • Dokładność: Dokładność i aktualność, a także podejmowanie wszelkich uzasadnionych kroków w celu zapewnienia, że wszelkie nieścisłości, w odniesieniu do procesów związanych z celem, są niezwłocznie usuwane lub korygowane.
  • Ograniczenie przechowywania: Przechowywane tylko tak długo, jak jest to konieczne do celów, dla których zostały zebrane. Uwaga: dane osobowe mogą być przechowywane dłużej, jeśli są przetwarzane wyłącznie w celu archiwizacji w interesie publicznym, badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ochrony praw i wolności osób fizycznych.
  • Integralność i poufność: Przetwarzanie danych osobowych w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz ochronę przed przypadkową utratą, zniszczeniem lub uszkodzeniem, z wykorzystaniem odpowiednich środków technicznych lub organizacyjnych.
  • Odpowiedzialność: Odpowiedzialność za zgodność z RODO i wykazanie tej zgodności.

Zgodność z prawem

Przetwarzanie musi być zgodne z prawem i musi mieć zastosowanie co najmniej jeden z poniższych warunków:

  • Osoba fizyczna wyraża zgodę na przetwarzanie danych w jednym lub większej liczbie określonych celów
  • Przetwarzanie jest niezbędne do wykonania zobowiązania umownego na rzecz osoby fizycznej będącej stroną umowy lub do podjęcia działań na wniosek osoby fizycznej w celu zawarcia umowy.
  • Zgodność z obowiązkami prawnymi
  • Konieczność ochrony żywotnych interesów osoby fizycznej lub innej osoby fizycznej
  • Niezbędne do wykonania zadania w interesie publicznym lub wykonywania jakichkolwiek oficjalnych uprawnień organizacji
  • Przetwarzanie w uzasadnionym interesie, z wyjątkiem sytuacji, gdy interes ten jest nadrzędny wobec podstawowych praw/wolności osoby fizycznej wymagających ochrony danych osobowych (np. w przypadku danych osobowych dzieci).

Jeśli przetwarzanie nie wymaga identyfikacji osoby fizycznej, organizacja nie jest zobowiązana do przechowywania, pozyskiwania ani przetwarzania dodatkowych informacji w celu identyfikacji osoby fizycznej. Organizacja będzie zobowiązana do zweryfikowania tożsamości osoby fizycznej tylko wtedy, gdy jest to wymagane przez prawo w celu skorzystania przez osobę fizyczną z jej indywidualnych praw do prywatności.

04 Zgoda

Osoby fizyczne uczestniczą w podejmowaniu decyzji dotyczących przetwarzania danych poprzez wyrażenie zgody. Z perspektywy organizacji, ryzyko związane z przetwarzaniem danych osobowych jest przenoszone na osobę fizyczną poprzez udzielenie jej zgody na przetwarzanie jej danych. Zgoda może być również wymagana przez przepisy prawa. Primetric rozważy uzasadnione oczekiwania dotyczące akceptacji i zrozumienia zagrożeń dla prywatności wynikających z autoryzacji osoby fizycznej przy wyborze zgody na przetwarzanie informacji. Organizacja rozważy wszystkie środki kontroli w celu skutecznego ograniczenia zagrożeń dla prywatności, a także weźmie pod uwagę wszelkie czynniki demograficzne lub kontekstowe wpływające na zrozumienie/zachowanie osób fizycznych w odniesieniu do przetwarzania.

Primetric informuje osoby fizyczne o dostępnych dla nich opcjach gromadzenia, wykorzystywania i ujawniania ich danych osobowych. Primetric musi wymagać dorozumianej lub wyraźnej zgody na gromadzenie, wykorzystywanie i ujawnianie informacji umożliwiających identyfikację osoby lub zapewnić i uzyskać zgodę od osoby fizycznej (lub upoważnionego przedstawiciela), gdy przetwarzanie wprowadza nowe wykorzystanie/ujawnienie zgodnie z wymogami prawa.

Primetric uzyska i udokumentuje wyraźną lub dorozumianą zgodę od osób fizycznych w momencie lub przed momentem zebrania danych osobowych (lub wkrótce potem). Zgodnie z wymogami prawa Primetric musi uzyskać zgodę przed wysłaniem wiadomości e-mail, faksu, komunikacją lub ujawnieniem w inny sposób danych osobowych stronom zewnętrznym. Osoba fizyczna potwierdzi i wdroży preferencje wyrażone w zgodzie. Primetric musi zapewnić osobie fizycznej możliwość modyfikacji jej zgody i podjęcia działań na podstawie tej modyfikacji lub zaprzestania przetwarzania w odpowiednim czasie. Primetric uzyskuje zgodę przed przesłaniem danych osobowych do lub z komputera osoby fizycznej lub innego podobnego urządzenia.

Primetric będzie przestrzegać wymogów prawnych dotyczących zgody oraz uzyskiwać świadomą i przejrzystą zgodę. Organizacja będzie stosować alternatywne rozwiązania w celu uzyskania zgody przed przetwarzaniem danych, jeśli zwykłe środki uzyskania zgody nie będą dostępne. Organizacja musi prowadzić dokumentację zgody.

Primetric musi potwierdzić tożsamość osoby fizycznej lub upoważnionego przedstawiciela wyrażającego zgodę na przetwarzanie danych. Informacje związane z weryfikacją tożsamości będą ograniczone do niezbędnego minimum i przechowywane tylko tak długo, jak będzie to wymagane. Informacje dotyczące weryfikacji tożsamości będą bezpiecznie usuwane, gdy nie będą już potrzebne. Organizacja zidentyfikuje potencjalne zagrożenia dla prywatności autoryzacji.

Primetric rozważy odpowiednie mechanizmy uzyskiwania zgody, takie jak rodzaj zgody (np. opt-in lub opt-out), sposób uwierzytelniania lub identyfikacji osób fizycznych oraz sposób uzyskiwania zgody za pomocą środków elektronicznych. Organizacja weźmie pod uwagę czynniki użyteczności, aby pomóc osobom fizycznym zrozumieć ryzyko związane ze zgodą i uwzględnić użycie prostego języka przy jednoczesnym unikaniu żargonu technicznego.

Primetric wdroży narzędzia lub mechanizmy umożliwiające osobom fizycznym wyrażenie zgody na przetwarzanie ich danych osobowych przed ich zebraniem, ułatwiając osobom fizycznym podejmowanie świadomych decyzji. Tam, gdzie to możliwe, organizacja zapewni mechanizmy umożliwiające osobom fizycznym dostosowanie zezwoleń na przetwarzanie do wybranych elementów danych osobowych. Organizacja przedstawi osobom fizycznym mechanizmy wyrażania zgody w momencie przetwarzania. Organizacja wdroży mechanizm umożliwiający osobom fizycznym cofnięcie zgody na przetwarzanie danych.

Primetric musi zapewnić osobie fizycznej możliwość skorzystania z prawa wyboru przed przetwarzaniem jej danych wrażliwych (danych osobowych (PII)). Osoba fizyczna może wycofać swoją zgodę, powiadamiając organizację z odpowiednim wyprzedzeniem, zgodnie z obowiązującym prawem. Organizacja może zapewnić osobie fizycznej uzasadnione podstawy, aby umożliwić jej skorzystanie z prawa do sprzeciwu wobec przetwarzania. Primetric może odmówić spełnienia żądania zgodnie z prawem, ale organizacja przedstawi osobie fizycznej szczegółowe powody odmowy zasadności sprzeciwu.

Primetric może, w miarę możliwości, zezwolić osobie fizycznej na wyrażenie sprzeciwu wobec określonych aspektów przetwarzania, a nie wobec całości przetwarzania. Primetric potwierdzi sprzeciw osoby fizycznej w ustawowych ramach czasowych lub w sposób określony w polityce prywatności organizacji.

Primetric nie będzie uzależniać świadczenia usług od tego, czy dana osoba odmówi podania swoich danych wrażliwych (danych osobowych), które nie są istotne z punktu widzenia oferowanych usług.

Primetric musi potwierdzić tożsamość osoby fizycznej lub upoważnionego przedstawiciela składającego sprzeciw. Informacje związane z weryfikacją tożsamości będą ograniczone do niezbędnego minimum i przechowywane tylko tak długo, jak będzie to wymagane. Informacje dotyczące weryfikacji tożsamości będą bezpiecznie usuwane, gdy nie będą już potrzebne.

Primetric musi poinformować inne niezbędne podmioty o wszelkich złożonych zastrzeżeniach i wymagać od tych podmiotów przestrzegania obowiązujących ważnych zastrzeżeń.

Primetric nie będzie wykorzystywać danych osobowych przetwarzanych w ramach umowy do celów marketingowych lub reklamowych bez uprzedniej zgody uzyskanej od odpowiedniej osoby. Primetric nie może uzależniać otrzymania usług od wyrażenia zgody.

RODO - Zgoda

Primetric musi wykazać, że dana osoba wyraziła zgodę na przetwarzanie jej danych. Jeśli zgoda osoby fizycznej została udzielona w formie pisemnej zgody dotyczącej innych kwestii, zgoda musi być przedstawiona w sposób wyraźnie odróżniający się od innych kwestii. Zgoda musi być zrozumiała i w łatwo dostępnej formie, przy użyciu jasnego i prostego języka. Osoba fizyczna zachowuje prawo do wycofania zgody w dowolnym momencie. Wycofanie zgody musi być równie łatwe, jak jej wyrażenie.

Oceniając, czy zgoda została wyrażona dobrowolnie, należy przede wszystkim wziąć pod uwagę, czy między innymi wykonanie umowy, w tym świadczenie usługi, jest uzależnione od zgody na przetwarzanie danych osobowych, które nie są niezbędne do wykonania tej umowy.

W odniesieniu do świadczenia usług społeczeństwa informacyjnego bezpośrednio na rzecz dziecka, dziecko musi mieć co najmniej szesnaście (16) lat, aby zgodnie z prawem przetwarzać jego dane osobowe. Jeśli dziecko ma mniej niż szesnaście (16) lat, należy uzyskać zgodę rodziców na przetwarzanie danych osobowych dziecka.

05 Informacja o polityce prywatności (przejrzystość)

Primetric będzie przetwarzać dane osobowe w sposób zgodny z prawem, uczciwy i przejrzysty w odniesieniu do danej osoby.

Powiadomienia o prywatności pomagają informować osoby fizyczne o tym, w jaki sposób ich dane osobowe są przetwarzane przez system lub organizację. Organizacje wykorzystują powiadomienia o prywatności, aby informować osoby fizyczne o tym, w jaki sposób, z czyjego upoważnienia i w jakim celu ich dane osobowe są przetwarzane, a także o innych informacjach, takich jak wybory, jakie osoby fizyczne mogą mieć w odniesieniu do tego przetwarzania i innych stron, z którymi informacje są udostępniane. Przepisy prawa, zarządzenia wykonawcze, dyrektywy, regulacje lub polityki mogą wymagać, aby informacje o prywatności zawierały określone elementy lub były dostarczane w określonych formatach. Personel agencji federalnej konsultuje się ze starszym urzędnikiem agencji ds. prywatności i radcą prawnym w sprawie tego, kiedy i gdzie należy dostarczać powiadomienia o prywatności, a także elementy, które należy uwzględnić w powiadomieniach o prywatności i wymaganych formatach. W okolicznościach, w których przepisy prawa lub polityki rządowe nie wymagają powiadomień o prywatności, polityki organizacyjne i ustalenia mogą wymagać powiadomień o prywatności i mogą służyć jako źródło elementów, które należy uwzględnić w powiadomieniach o prywatności.

Oceny ryzyka dla prywatności identyfikują zagrożenia dla prywatności związane z przetwarzaniem informacji umożliwiających identyfikację osób i mogą pomóc organizacjom w określeniu odpowiednich elementów, które należy uwzględnić w informacji o prywatności w celu zarządzania takimi zagrożeniami. Aby pomóc osobom zrozumieć, w jaki sposób przetwarzane są ich informacje, organizacje piszą materiały prostym językiem i unikają technicznego żargonu.

Primetric musi publicznie udostępnić najnowszą politykę prywatności organizacji na swojej stronie internetowej.

Primetric musi zapewnić osobom fizycznym jasną i dostępną informację o ochronie prywatności w prostym języku, przedstawiającą praktyki i zasady organizacji dotyczące wrażliwych informacji (danych osobowych (PII)) w formie i czasie wymaganym przez prawo przy pierwszej interakcji z organizacją, a następnie po wprowadzeniu zmian w informacji. Informacja o ochronie prywatności powinna być łatwo zrozumiała dla osób niezaznajomionych z technologiami informatycznymi, żargonem prawniczym lub Internetem. Organizacja dostarczy osobom fizycznym powiadomienie o przetwarzaniu informacji umożliwiających identyfikację, które identyfikuje organ upoważniający do przetwarzania informacji umożliwiających identyfikację, cel, dla którego informacje umożliwiające identyfikację mają być przetwarzane, oraz zawiera szczegółowe informacje związane z regulacyjnymi lub umownymi zobowiązaniami organizacji.

Primetric musi ujawnić osobom fizycznym możliwości i środki w celu ograniczenia przetwarzania, dostępu, poprawiania i usuwania wrażliwych informacji o osobie fizycznej (informacji umożliwiających identyfikację (PII)).

Primetric dokona aktualizacji informacji o ochronie prywatności, odzwierciedlając wszelkie zmiany w polityce prywatności, praktykach lub działaniach organizacji przed zmianą lub tak szybko, jak to możliwe po zmianie. Powiadomienie musi zostać dostarczone osobom fizycznym przed lub w momencie gromadzenia wrażliwych informacji (informacji umożliwiających identyfikację osoby (PII)), o ile jest to możliwe.

Primetric musi jasno opisać cel każdego ścisłego związku między ogólnym upoważnieniem a konkretnym gromadzeniem wrażliwych informacji (danych osobowych (PII)) w ramach dokumentacji zgodności z przepisami o ochronie prywatności organizacji, gdy język ustawowy jest zbyt szeroki. Primetric może dostarczać powiadomienia w czasie rzeczywistym lub warstwowe podczas gromadzenia informacji wrażliwych (danych osobowych (PII)).

Primetric przedstawi powiadomienie o przetwarzaniu danych osobowych osobom fizycznym w czasie i miejscu, w którym osoba fizyczna dostarcza dane osobowe lub w związku z działaniem dotyczącym danych, lub corocznie, jeśli lub gdy powiadomienie ulegnie zmianie.

Primetric musi powiadomić osoby fizyczne o:

Działania związane z prywatnością, w tym między innymi gromadzenie, wykorzystywanie, udostępnianie, zabezpieczanie, utrzymywanie i usuwanie informacji wrażliwych (danych osobowych).

Uprawnienia do gromadzenia informacji wrażliwych (danych osobowych)

Gromadzone informacje wrażliwe (informacje umożliwiające identyfikację osoby), cel ich gromadzenia oraz zabezpieczenia stosowane w celu ochrony informacji wrażliwych (informacji umożliwiających identyfikację osoby).

Wybór osoby fizycznej dotyczący sposobu, w jaki organizacja wykorzystuje jej wrażliwe informacje (dane osobowe (PII)) oraz wszelkie konsekwencje, jakie osoba fizyczna może ponieść w przypadku skorzystania z tego wyboru.

Prawo do sprzeciwu wobec przetwarzania

Opłaty związane z dostępem, na które zezwala prawo

Przechowywanie informacji wrażliwych (informacji umożliwiających identyfikację osoby (PII))

Prawo dostępu i sposób dostępu do wrażliwych informacji (informacji umożliwiających identyfikację osoby (PII)) w celu dokonania poprawek, w stosownych przypadkach.

Czy organizacja udostępnia wrażliwe informacje (dane osobowe) innym podmiotom i w jakim celu są one udostępniane?

Czy organizacja sprzedaje lub przekazuje dane do przetwarzania przez organizacje zajmujące się analizą danych oraz szczegóły dotyczące ryzyka związanego z takim przetwarzaniem.

Dane kontaktowe osoby odpowiedzialnej za ochronę prywatności w organizacji w celu przekazywania wszelkich informacji zwrotnych, skarg, pytań lub innych istotnych kwestii związanych z praktykami ochrony prywatności stosowanymi przez organizację.

Primetric poinformuje strony trzecie, którym udostępnia informacje osobiste, o wszelkich modyfikacjach, wycofaniu lub zastrzeżeniach dotyczących udostępnianych informacji osobistych oraz wdroży w tym celu odpowiednie zasady, procedury i/lub mechanizmy.

Primetric poinformuje klientów, jeśli jej zdaniem instrukcje przetwarzania naruszają obowiązujące przepisy prawa.

Primetric powiadomi klientów o wszelkich prawnie wiążących żądaniach ujawnienia informacji osobistych. Organizacja ujawni klientowi wszelkie przypadki korzystania z podwykonawców w celu przetwarzania danych osobowych przed skorzystaniem z usług podwykonawcy.

RODO - Powiadomienie o ochronie prywatności

Primetric przekaże informacje i wszelkie komunikaty związane z przetwarzaniem danych osobowych osobie fizycznej w precyzyjnej, przejrzystej, zrozumiałej i łatwo dostępnej formie przy użyciu jasnego i prostego języka (zwłaszcza w przypadku dzieci, w stosownych przypadkach). Primetric przekaże te informacje w formie pisemnej lub elektronicznej. Jeśli tożsamość osoby fizycznej zostanie udowodniona w inny sposób, informacje wymagane przez osobę fizyczną mogą zostać przekazane ustnie.

Primetric będzie ułatwiać wykonywanie praw osób fizycznych i nie odmówi podjęcia działań na wniosek osoby fizycznej w celu wykonania jej praw, chyba że organizacja wykaże, że nie jest w stanie zidentyfikować osoby fizycznej.

Primetric przekaże informacje na temat działań podjętych w związku z wnioskiem osoby fizycznej bez zbędnej zwłoki, a w każdym razie w ciągu jednego (1) miesiąca od otrzymania wniosku. W razie potrzeby okres ten może zostać przedłużony o kolejne dwa (2) miesiące, biorąc pod uwagę złożoność i liczbę wniosków. O wszelkich opóźnieniach należy powiadomić wnioskodawcę w ciągu jednego miesiąca, wyjaśniając przyczyny opóźnienia i wymagane dodatkowe przedłużenie czasu. Jeśli osoba fizyczna złoży wniosek drogą elektroniczną, informacje zostaną dostarczone drogą elektroniczną, chyba że osoba fizyczna zażąda inaczej.

Jeżeli Primetric nie podejmie działań w związku z żądaniem osoby fizycznej, organizacja poinformuje osobę fizyczną w ciągu jednego (1) miesiąca od otrzymania żądania o przyczynie niepodjęcia działań przez organizację oraz o sposobie złożenia skargi do organu nadzorczego w celu uzyskania sądowego środka ochrony prawnej.

Primetric bezpłatnie przekaże osobie fizycznej informacje o komunikacji i wszelkich podjętych działaniach. W przypadku, gdy żądania osoby fizycznej są ewidentnie nieuzasadnione lub nadmierne (z powodu powtarzających się działań), organizacja może:

naliczyć rozsądną opłatę uwzględniającą koszty administracyjne dostarczenia informacji, komunikacji lub podjęcia żądanego działania; lub

Odmówić wykonania żądania.

Uwaga: Na organizacji spoczywa ciężar wykazania oczywiście bezzasadnego lub nadmiernego charakteru żądania.

Primetric zażąda dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby fizycznej, gdy organizacja ma uzasadnione wątpliwości co do tożsamości osoby fizycznej.

Informacje dostarczane osobom fizycznym mogą być dostarczane w połączeniu ze znormalizowanymi ikonami w celu zapewnienia łatwo widocznego, zrozumiałego i czytelnego przeglądu zamierzonego przetwarzania. W przypadku gdy ikony są prezentowane elektronicznie, powinny być czytelne dla maszyn.

Primetric, w momencie zbierania danych osobowych od osoby fizycznej, przekazuje tej osobie następujące informacje:

Tożsamość i dane kontaktowe organizacji i jej przedstawiciela, jeśli ma to zastosowanie.

Dane kontaktowe inspektorów ochrony danych, w stosownych przypadkach

Cele przetwarzania, do których dane osobowe są przeznaczone, a także podstawa prawna przetwarzania.

Jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionych interesów, prawnie uzasadnione interesy realizowane przez organizację lub osobę trzecią

ewentualni odbiorcy lub kategorie odbiorców danych osobowych

W stosownych przypadkach, fakt, że organizacja zamierza przekazać dane osobowe do państwa trzeciego (lub organizacji międzynarodowej) oraz istnienie lub brak decyzji stwierdzającej odpowiedni stopień ochrony, odniesienie do odpowiednich lub stosownych zabezpieczeń, a także środki, za pomocą których można uzyskać ich kopię (lub gdzie zostały one udostępnione).

Ponadto Primetric przekaże osobie fizycznej w momencie gromadzenia danych następujące dalsze informacje niezbędne do zapewnienia uczciwego/przejrzystego przetwarzania:

Okres, przez który dane osobowe będą przechowywane lub kryteria stosowane do określenia tego okresu, jeśli podanie okresu nie jest możliwe.

Istnienie prawa do żądania od organizacji: dostępu, sprostowania, usunięcia, ograniczenia lub sprzeciwu wobec przetwarzania, a także prawa do przenoszenia danych.

gdy przetwarzanie odbywa się na podstawie zgody, istnienie prawa do wycofania zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania na podstawie zgody przed jej wycofaniem

prawo do wniesienia skargi do organu nadzorczego

Czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub wymogiem niezbędnym do zawarcia umowy, a także czy osoba fizyczna jest zobowiązana do podania danych osobowych i możliwych konsekwencji niepodania takich danych

Istnienie zautomatyzowanego procesu decyzyjnego (w tym profilowania), a przynajmniej w takich przypadkach, istotne informacje na temat logiki, a także znaczenie i przewidywane konsekwencje takiego przetwarzania dla osoby fizycznej.

W przypadku, gdy Primetric zamierza dalej przetwarzać dane osobowe w celu innym niż ten, w którym dane osobowe zostały zebrane, organizacja przekaże osobie, której dane dotyczą, przed dalszym przetwarzaniem informacje o tym innym celu, a także wszelkie odpowiednie dalsze informacje, zgodnie z wymaganiami.

Primetric nie musi powtarzać dostarczania informacji osobie fizycznej, ponieważ osoba ta już je posiada.

Jeśli dane osobowe nie zostały uzyskane od osoby fizycznej, Primetric przekaże tej osobie następujące informacje:

Tożsamość i dane kontaktowe organizacji i przedstawiciela organizacji, w stosownych przypadkach

Dane kontaktowe inspektorów ochrony danych, w stosownych przypadkach

Cele przetwarzania, do których dane osobowe są przeznaczone, a także podstawa prawna przetwarzania.

Kategorie danych osobowych, których to dotyczy

ewentualni odbiorcy lub kategorie odbiorców danych osobowych

W stosownych przypadkach, fakt, że organizacja zamierza przekazać dane osobowe do państwa trzeciego (lub organizacji międzynarodowej) oraz istnienie lub brak decyzji stwierdzającej odpowiedni stopień ochrony, odniesienie do odpowiednich lub stosownych zabezpieczeń, a także środki, za pomocą których można uzyskać ich kopię (lub gdzie zostały one udostępnione).

Ponadto Primetric przekaże osobie fizycznej w momencie zbierania danych następujące dalsze informacje niezbędne do zapewnienia uczciwego/przejrzystego przetwarzania:

Okres, przez który dane osobowe będą przechowywane lub kryteria stosowane do określenia tego okresu, jeśli podanie okresu nie jest możliwe.

Gdy przetwarzanie opiera się na uzasadnionych interesach, uzasadnionych interesach realizowanych przez organizację lub stronę trzecią

Istnienie prawa do żądania od organizacji: dostępu, sprostowania, usunięcia, ograniczenia lub sprzeciwu wobec przetwarzania, a także prawa do przenoszenia danych.

gdy przetwarzanie odbywa się na podstawie zgody, istnienie prawa do wycofania zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania na podstawie zgody przed jej wycofaniem

prawo do wniesienia skargi do organu nadzorczego

Z jakiego źródła pochodzą dane osobowe i, w stosownych przypadkach, czy pochodzą one z publicznie dostępnych źródeł.

Istnienie zautomatyzowanego procesu decyzyjnego (w tym profilowania), a przynajmniej w takich przypadkach, istotne informacje na temat logiki, a także znaczenie i przewidywane konsekwencje takiego przetwarzania dla osoby fizycznej.

Primetric dostarczy te informacje:

W rozsądnym terminie po uzyskaniu danych osobowych, ale nie później niż w ciągu jednego (1) miesiąca, biorąc pod uwagę szczególne okoliczności, w których dane osobowe były przetwarzane.

Jeżeli dane osobowe mają być wykorzystywane do komunikacji z osobą fizyczną, w momencie pierwszej komunikacji z tą osobą fizyczną

Jeżeli planowane jest ujawnienie danych innemu odbiorcy, przy pierwszym ujawnieniu danych osobowych

Jeśli Primetric zamierza dalej przetwarzać dane osobowe w celu innym niż ten, w którym dane osobowe zostały zebrane, Primetric przekaże osobie fizycznej, przed rozpoczęciem przetwarzania, informacje na temat tego innego celu, jak również wszelkie istotne dalsze informacje, zgodnie z wymaganiami.

Primetric nie musi powtarzać przekazywania informacji danej osobie, jeśli:

dana osoba posiada już informacje

Dostarczenie informacji jest niemożliwe lub wymaga nieproporcjonalnego wysiłku, np. w celach archiwizacyjnych, naukowych/historycznych lub statystycznych.

Uzyskanie lub ujawnienie jest przewidziane przez prawo i wdrożono odpowiednie środki w celu ochrony uzasadnionych interesów danej osoby.

W przypadku, gdy dane osobowe muszą pozostać poufne z zastrzeżeniem obowiązku zachowania tajemnicy zawodowej regulowanego przez prawo

Primetric poinformuje o sprostowaniu lub usunięciu danych osobowych wraz z wszelkimi ograniczeniami przetwarzania każdego odbiorcę, któremu dane osobowe zostały ujawnione, chyba że okaże się to niemożliwe lub będzie wymagało nieproporcjonalnego wysiłku. Primetric poinformuje osobę fizyczną o tych odbiorcach, jeśli osoba fizyczna tego zażąda.

 

06 Określone kategorie informacji umożliwiających identyfikację osoby

Określone kategorie informacji umożliwiających identyfikację osób mogą podlegać specjalnym warunkom lub ochronie, których organizacja może być zobowiązana przestrzegać na mocy prawa. Wymagania mogą również wynikać z oceny ryzyka prywatności, w której organizacja ustaliła, że określona kategoria wrażliwych informacji stanowi podwyższone ryzyko dla prywatności. Primetric może wymagać konsultacji z inspektorem ochrony danych lub radcą prawnym w zakresie wszelkich niezbędnych zabezpieczeń. Primetric zastosuje specjalne warunki dla określonych kategorii informacji umożliwiających identyfikację osób, zgodnie z wymogami prawa.

Primetric musi opracować i opublikować wytyczne dotyczące wykorzystywania i ujawniania informacji wrażliwych (w tym danych osobowych). Organizacja będzie wykorzystywać lub ujawniać informacje wrażliwe (dane osobowe (PII)) wyłącznie w sposób dozwolony w Polityce prywatności organizacji lub zgodnie z prawem. W przypadku wszelkich nowych przypadków wykorzystania i ujawnienia organizacja musi ocenić wykorzystanie/ujawnienie, aby upewnić się, że jest to dozwolone lub wymaga nowej zgody (lub zaktualizowanego powiadomienia).

 

Primetric zapewni dostęp i ograniczy ujawnianie informacji wrażliwych (w tym informacji umożliwiających identyfikację osoby (PII)) wyłącznie do osób niezbędnych do wykonywania ich obowiązków (tj. zastosowane zostaną zasady "wiedzy koniecznej" i "niezbędnego minimum").

Primetric będzie wykorzystywać/ujawniać wyłącznie informacje wrażliwe (dane osobowe (PII)), na które wyrażono zgodę. Organizacja będzie wykorzystywać informacje wrażliwe (dane osobowe (PII)) tylko wtedy, gdy jest to zgodne z pierwotnym celem, w jakim zostały zebrane.

W przypadku nowych zastosowań informacji umożliwiających identyfikację osoby (PII) organizacja musi przeprowadzić formalną ocenę, aby upewnić się, że organizacja ma uprawnienia do korzystania z informacji umożliwiających identyfikację osoby (PII).

RODO - szczególne kategorie informacji osobistych

Primetricis nie może przetwarzać następujących danych osobowych:

Dane ujawniające pochodzenie rasowe lub etniczne

Opinie polityczne

Przekonania religijne lub filozoficzne

Członkostwo w związkach zawodowych

Dane genetyczne

Dane biometryczne służące do jednoznacznej identyfikacji osoby fizycznej

Dane dotyczące zdrowia

Dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej

Z wyjątkiem:

Osoba fizyczna wyraziła wyraźną zgodę na przetwarzanie danych

Z wyjątkiem przepisów prawa

Przetwarzanie jest niezbędne w celu wypełnienia obowiązków związanych z wykonywaniem określonych praw w dziedzinie zatrudnienia, zabezpieczenia społecznego i ochrony socjalnej lub układów zbiorowych zapewniających odpowiednie zabezpieczenia podstawowych praw/interesów osób fizycznych.

Przetwarzanie niezbędne do ochrony żywotnych interesów

Przetwarzanie prowadzone w celu prowadzenia zgodnej z prawem działalności przez fundację, stowarzyszenie lub inny podmiot nienastawiony na zysk, związane z członkostwem danej osoby w takim podmiocie.

Przetwarzanie upublicznione przez osobę fizyczną

Przetwarzanie w celu obrony przed roszczeniami prawnymi lub w przypadku, gdy sądy działają w ramach swoich uprawnień sądowych

Przetwarzanie niezbędne ze względu na istotny interes publiczny

Przetwarzanie jest niezbędne do celów medycyny prewencyjnej/zawodowej, oceny zdolności pracownika do pracy, diagnostyki medycznej, zapewnienia opieki zdrowotnej/społecznej/leczenia lub zarządzania opieką zdrowotną/społeczną w ramach kontaktu z pracownikiem służby zdrowia.

Przetwarzanie ze względu na interes publiczny w obszarze zdrowia publicznego w celu ochrony przed transgranicznymi zagrożeniami dla zdrowia lub zapewnienia jakości/bezpieczeństwa produktów opieki zdrowotnej lub wyrobów medycznych

Przetwarzanie do celów archiwizacji w interesie publicznym, badań naukowych lub historycznych lub do celów statystycznych

Przetwarzanie danych osobowych związanych z wyrokami skazującymi za przestępstwa musi odbywać się wyłącznie na mocy oficjalnego upoważnienia do przetwarzania dozwolonego przez prawo i z odpowiednimi zabezpieczeniami praw / wolności osób fizycznych.

Lokalne jurysdykcje mogą ograniczać za pomocą środków legislacyjnych zakres obowiązków i praw osób fizycznych i organizacji, gdy takie ograniczenia respektują istotę podstawowych praw/wolności osób fizycznych, a także są niezbędnymi/proporcjonalnymi środkami dla demokratycznego społeczeństwa w celu jego ochrony:

Bezpieczeństwo narodowe

Obrona

Bezpieczeństwo publiczne

Zapobieganie, dochodzenie, wykrywanie lub ściganie przestępstw lub wykonywanie sankcji karnych, w tym ochrona przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganie takim zagrożeniom.

Inne ważne cele leżące w ogólnym interesie publicznym, w szczególności ważny interes gospodarczy lub finansowy, w tym kwestie monetarne, budżetowe i podatkowe, zdrowie publiczne i zabezpieczenie społeczne

Ochrona niezależności sądów i postępowań sądowych

Zapobieganie, dochodzenie, wykrywanie i ściganie naruszeń etyki w zawodach regulowanych

monitorowanie, inspekcja lub funkcja regulacyjna związana, nawet sporadycznie, z wykonywaniem władzy publicznej

Ochrona jednostki lub praw/wolności innych osób

Egzekwowanie roszczeń cywilnoprawnych

Powyższe środki legislacyjne powinny zawierać szczegółowe przepisy, co najmniej, w stosownych przypadkach, dotyczące

Cele przetwarzania lub kategorie przetwarzania

Kategorie danych osobowych

Zakres wprowadzonych ograniczeń

Zabezpieczenia zapobiegające nadużyciom lub bezprawnemu dostępowi do transferu

Specyfikacja kontrolera lub kategorii kontrolerów

Okresy przechowywania i obowiązujące zabezpieczenia z uwzględnieniem charakteru, zakresu i celów przetwarzania lub kategorii przetwarzania.

Zagrożenia dla praw/wolności jednostek;

Prawo osób fizycznych do uzyskania informacji o ograniczeniu, chyba że może to być szkodliwe dla celu ograniczenia.

Primetric będzie przetwarzać dane osobowe do celów archiwizacji w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych z wykorzystaniem odpowiednich zabezpieczeń praw/wolności osób fizycznych. Organizacja zapewni wdrożenie środków technicznych i organizacyjnych dla tych zabezpieczeń, w tym zapewnienie poszanowania zasady minimalizacji danych. Środki zabezpieczające mogą obejmować pseudonimizację, pod warunkiem, że cel może zostać osiągnięty przy użyciu tej metody. W przypadku, gdy cele mogą zostać zrealizowane poprzez dalsze przetwarzanie, które nie pozwala lub już nie pozwala na identyfikację osoby fizycznej, cele te będą realizowane w ten sposób.

Powiązane dokumenty

Procedury ochrony prywatności

Sekcja Atrybuty bezpieczeństwa i prywatności w Polityce kontroli dostępu.

Polityka szkoleń w zakresie świadomości bezpieczeństwa i prywatności

sekcje "Oceny kontroli" i "Umowy z osobami trzecimi" w "Polityce oceny, autoryzacji i monitorowania".

sekcja "Plan reagowania na incydenty" Polityki reagowania na incydenty

Polityka zarządzania programem bezpieczeństwa informacji obejmująca zabezpieczenia (poufność), rolę lidera programu ochrony prywatności, rozliczanie ujawnień, zarządzanie jakością informacji umożliwiających identyfikację osób oraz zarządzanie skargami.

Sekcja dotycząca oceny wpływu na prywatność w Polityce oceny ryzyka.

sekcja "Zasady inżynierii bezpieczeństwa i prywatności" w cyklu życia rozwoju systemu (SDLC)

Obsługa, przechowywanie i usuwanie danych oraz sekcje polityki integralności systemu dotyczące usuwania tożsamości