Wewnętrzna ochrona danych

Wewnętrzna ochrona danych Premium

Ogólnie
W działalności Premium ehf. Konieczne jest gromadzenie i przetwarzanie danych osobowych o osobach fizycznych. Dane osobowe odnoszą się do wszystkich informacji, które można bezpośrednio lub pośrednio powiązać z konkretną osobą, takich jak imię i nazwisko, numer ubezpieczenia społecznego, adres, adres e-mail, numer telefonu, status finansowy, stan zdrowia, adres IP i inne. Dane osobowe przechowywane przez Premium mogą dotyczyć jej pracowników, kontrahentów, klientów i innych stron trzecich, z którymi należy się komunikować.

Niniejsza Polityka prywatności określa, w jaki sposób Premium ma gromadzić, przechowywać i w inny sposób przetwarzać dane osobowe zgodnie z ustawą o prywatności i przetwarzaniu danych osobowych nr 90/2018 (zwaną dalej "ustawą o ochronie danych").

Niniejsza Polityka prywatności ma na celu przede wszystkim zapewnienie, że Premium:
  • przetwarza dane osobowe zgodnie z przepisami o ochronie danych i postępuje zgodnie z przyjętymi procedurami w celu zapewnienia ich bezpieczeństwa; 
  • chroni prawa przysługujące osobom fizycznym na mocy przepisów o ochronie danych; 
  • przetwarza dane osobowe w sposób przejrzysty; oraz minimalizowanie ryzyka, jakie mogą stwarzać naruszenia ochrony danych.

Prawo prywatności
Przepisy dotyczące prywatności określają, w jaki sposób organizacje mogą gromadzić, przechowywać i przetwarzać dane osobowe pod innymi względami. Zasady te mają zastosowanie niezależnie od formy przechowywania informacji, na przykład od tego, czy są one w formie elektronicznej czy papierowej.
  
Zabrania się gromadzenia i przetwarzania danych osobowych, chyba że zezwala na to ustawa o ochronie danych. Ponadto takie gromadzenie i przetwarzanie musi być również przeprowadzane w sposób uczciwy. Ponadto dane osobowe mogą być przechowywane wyłącznie w bezpiecznym miejscu i nie mogą być udostępniane osobom nieupoważnionym.

Premium podejmie niezbędne środki w celu zapewnienia, że przepisy o ochronie danych są zawsze upoważnione do przetwarzania danych osobowych. Ponadto przedsiębiorstwo podejmie niezbędne kroki w celu zapewnienia zgodności z sześcioma zasadami przewidzianymi w przepisach przez cały czas. Zasady, o których mowa, są w skrócie, następujące: 
  1. Dane osobowe są przetwarzane rzetelnie i zgodnie z prawem. 
  2. Dane osobowe są gromadzone wyłącznie w jasnych i zgodnych z prawem celach. 
  3. Nie gromadzi się i nie przetwarza więcej danych osobowych, niż jest to konieczne. 
  4. Dane osobowe są dokładne i aktualizowane w razie potrzeby. 
  5. Dane osobowe nie są przechowywane dłużej niż jest to konieczne. 
  6. Bezpieczeństwo danych osobowych jest zapewnione przy zachowaniu odpowiednich środków ostrożności.

Przetwarzając wrażliwe dane osobowe lub informacje o wrażliwym charakterze, Premium zapewnia, że przetwarzanie jest zawsze zgodne z wymogami ustawy o ochronie danych i że tylko ci pracownicy, którzy potrzebują ich do swojej pracy, mają dostęp do takich informacji.
  • Informacje na temat rasy, pochodzenia etnicznego, poglądów politycznych, religii, przekonań i przynależności do związków zawodowych. 
  • Informacje o stanie zdrowia, tj. dane osobowe dotyczące zdrowia fizycznego lub psychicznego danej osoby. 
  • Informacje o seksie i seksualności człowieka. 
  • Informacje genetyczne, tj. dane osobowe odnoszące się do odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które dostarczają niepowtarzalnych informacji na temat fizjologii lub zdrowia osoby fizycznej i pochodzą w szczególności z analizy próbki biologicznej tej osoby fizycznej. 
  • Dane biometryczne, tj. dane osobowe uzyskane w wyniku określonego przetwarzania technicznego, odnoszące się do cech fizycznych, fizjologicznych lub etycznych osoby fizycznej i umożliwiające jednoznaczną identyfikację lub weryfikację tożsamości osoby fizycznej, takie jak dane odcisków palców. 

Ryzyka i gwarancje
Minimalizacja ryzyka
Ryzyko związane z przetwarzaniem danych osobowych musi być zminimalizowane i należy mu zapobiegać:
  • naruszenie obowiązków w zakresie poufności spoczywających na organizacji, takich jak nieujawnianie danych osobowych nieupoważnionym stronom; 
  • osoby fizyczne nie mają wyboru, czy ich dane osobowe będą przetwarzane; 
  • że reputacja Premium zostanie nadszarpnięta, ale często można wziąć pod uwagę konsekwencje, jakie poniosłaby firma, gdyby naruszone zostały przepisy dotyczące prywatności; 
  • oraz osoby, których dotyczą informacje, nie doznały szkody. Należy wziąć pod uwagę konsekwencje, jakie mogą ponieść, jeśli ich dane osobowe trafią w ręce nieupoważnionych osób. 

Obowiązki i role
Wszyscy menedżerowie i pracownicy Premium są odpowiedzialni za sposób przetwarzania danych osobowych. Zarząd Premium ehf. jest odpowiedzialny za zapewnienie, że firma egzekwuje przepisy dotyczące prywatności.
 
Rolą administratora komputera jest:
  • zapewnienie, że wszystkie systemy, usługi i urządzenia spełniają wymogi bezpieczeństwa nałożone przez prawo o ochronie danych; 
  • okresowe przeprowadzanie audytów mających na celu zapewnienie bezpiecznego funkcjonowania oprogramowania i sprzętu; 
  • ocenić usługi, z których organizacja zamierza korzystać od strony trzeciej, na przykład tam, gdzie mają być przechowywane dane.. 
Rolą inspektora ochrony danych jest:
  • zapewnienie, że administratorzy Premium są regularnie informowani o swoich obowiązkach wynikających z przepisów dotyczących prywatności; 
  • regularnego przeglądu procesów i polityki związanej z przetwarzaniem danych osobowych; 
  • zapewnienie kształcenia i szkolenia dla personelu przetwarzającego dane osobowe; 
  • otrzymywać i odpowiadać na pytania od osób, których dotyczą informacje;
  • otrzymywania żądań od osób, których dane dotyczą, m.in. prawa dostępu do danych, sprzeciwu wobec przetwarzania lub bycia zapomnianym; 
  • opiniowanie i zatwierdzanie wszelkich umów z podmiotami trzecimi mających na celu przetwarzanie danych osobowych w imieniu Premium; 
  • rozważyć, czy naruszenie bezpieczeństwa należy zgłosić odpowiednim stronom; oraz w celu komunikowania się z organem ochrony danych.
Ogólne procedury przetwarzania danych osobowych
Poniższa polityka prywatności ma zastosowanie do Premium:
  • Dostęp do danych osobowych mają tylko ci pracownicy, którzy muszą to zrobić w związku ze swoimi zadaniami. 
  • Pracownicy nie mogą udostępniać sobie danych osobowych nieformalnie. 
  • Pracownicy są zobowiązani do zapewnienia wysokiego poziomu bezpieczeństwa podczas przetwarzania danych osobowych i stosowania się do instrukcji określonych w niniejszym dokumencie. 
  • Przetwarzając dane osobowe, pracownicy zobowiązani są zawsze dopilnować, aby ekrany komputerów były zablokowane w momencie odchodzenia od stołu. 
  • Pracownicy nigdy nie będą udostępniać danych osobowych osobom nieupoważnionym, niezależnie od tego, czy są to inni pracownicy firmy, czy strona zewnętrzna. 
  • Dane osobowe są odpowiednio usuwane lub zanonimizowane, jeżeli nie są już potrzebne. 
  • Dane osobowe nigdy nie będą przekazywane poza Europejski Obszar Gospodarczy, chyba że jest to wyraźnie dozwolone przez prawo. 
  • Pracownicy konsultują się z inspektorem ochrony danych, jeśli nie są pewni, w jaki sposób należy postępować z danymi osobowymi. 

Procedury postępowania z danymi nieelektronicznymi
Przechowywanie danych osobowych w formie papierowej
  • Dane osobowe przechowywane w formie papierowej należy przechowywać w bezpiecznym miejscu, niedostępnym dla osób nieupoważnionych.
  • Dane osobowe przechowywane w formie papierowej znajdują się w zamkniętej szafce na dokumenty lub w zamkniętym archiwum. 
  • Pracownicy są odpowiedzialni za zapewnienie, że dane w formie papierowej, w których można znaleźć dane osobowe, nie są pozostawiane tam, gdzie mogą być widoczne dla osób nieupoważnionych. 
  • Dane w formie papierowej są odpowiednio usuwane, gdy nie są już potrzebne. 

Przetwarzanie nieelektronicznych danych osobowych, przekazywanych przez spółkę
Wrażliwe dane osobowe lub informacje o szczególnie chronionym charakterze nie są przekazywane pocztą powszechną, lecz listem poleconym.
 
Obsługa danych nieelektronicznych poza miejscem pracy Premium
Pracownicy powinni, o ile to możliwe i wykonalne, posługiwać się w firmie danymi papierowymi zawierającymi dane osobowe. W przypadku wynoszenia przez pracowników danych papierowych zawierających dane osobowe poza obiekt Premium należy przestrzegać następujących procedur:
  • wrażliwe dane osobowe lub informacje o charakterze wrażliwym nie mogą być przekazywane poza organizację, chyba że zapewniony jest wysoki poziom bezpieczeństwa.
  • pracownik podczas pracy z danymi zwraca uwagę na otoczenie, a po zakończeniu pracy dba o to, aby osoby nieupoważnione nie miały dostępu do danych.
  • pracownikowi nie wolno przechowywać danych w formie nieelektronicznej poza miejscem pracy, np. w domu pracownika.

Elektroniczne procedury przetwarzania danych
  • Dane osobowe przechowywane elektronicznie są chronione przed nieuprawnionym dostępem i dokłada się starań, aby nie zostały omyłkowo usunięte. 
  • Dane osobowe są chronione skomplikowanymi hasłami i nigdy nie mogą być udostępniane. 
  • Minimalna długość hasła musi wynosić 12 znaków i zawierać wielkie i małe litery, cyfry i symbole. 
  • Nie używaj hasła, które zawiera dane osobowe. 
  • Zmiana hasła odbywa się co 12 miesięcy. 
  • Jeśli dane osobowe są przechowywane w określonym formacie, na przykład na płycie CD lub dysku USB, powinny być przechowywane w zamkniętym miejscu, gdy nie są używane. 
  • Dane osobowe powinny być przechowywane tylko na określonych dyskach i serwerach. 
  • Wykorzystywane są wyłącznie usługi chmury obliczeniowej spełniające warunki wymagane przez przepisy o ochronie danych. 
  • Serwery zawierające dane osobowe znajdują się w bezpiecznym miejscu i z dala od przestrzeni publicznej.  
  • Dane powinny być regularnie archiwizowane i okresowo sprawdzane pod kątem obecności kopii.
  • Wszystkie serwery i komputery zawierające dane osobowe są chronione przez odpowiednie urządzenia zabezpieczające i zapory sieciowe. 
  • Pracownicy nie przechowują kopii danych osobowych na komputerze, telefonie lub innym prywatnym sprzęcie. 
  • Należy dokonać wyraźnego rozróżnienia między ogólnymi danymi osobowymi a danymi osobowymi o charakterze wrażliwym lub szczególnie chronionym. 
  • Jeśli to możliwe, nie przechowuj informacji w tym samym miejscu, na przykład w tym samym folderze.  
Przetwarzanie danych elektronicznych poza miejscem pracy
Pracownicy powinni, w miarę możliwości i wykonalności, przetwarzać dane elektroniczne zawierające dane osobowe w murach firmy. Podczas przetwarzania danych elektronicznych poza miejscem pracy należy przestrzegać następujących procedur: 
  • Dane elektroniczne nie mogą być przetwarzane poza firmą, chyba że zapewniony jest wysoki poziom bezpieczeństwa. 
  • Pracownik zwraca uwagę na swoje otoczenie podczas pracy z danymi, a po zakończeniu pracy zapewnia, że osoby nieupoważnione nie mają dostępu do danych. 
  • Pracownik nie może przechowywać danych elektronicznych poza firmą, na przykład na prywatnym komputerze. 
Procedury korzystania z poczty e-mail
Korzystanie z poczty elektronicznej.
Przesyłanie wiadomości e-mail zawierających dane osobowe może mieć miejsce wyłącznie pod warunkiem zapewnienia bezpieczeństwa informacji i zachowania następujących procedur: 
  • Dane osobowe nie są przekazywane pocztą elektroniczną, chyba że można zapewnić odpowiedni poziom bezpieczeństwa. 
  • W przypadku, gdy szczególnie chronione dane osobowe lub dane osobowe o wrażliwym charakterze mają być przekazywane pocztą elektroniczną, podejmowane są odpowiednie środki bezpieczeństwa.
  • Odpowiednie środki bezpieczeństwa oznaczają na przykład zablokowanie dokumentu hasłem przed jego wysłaniem. 
  • Po zablokowaniu dokumentu hasłem nie wysyła się go za pośrednictwem tej samej wiadomości e-mail. Jeśli to możliwe, zadzwoń do odbiorcy, aby podać hasło. 
  • W przypadku braku takiej możliwości należy wysłać oddzielną wiadomość e-mail bez tematu i treści wiadomości e-mail z wyjątkiem hasła. 
  • Przed wysłaniem wiadomości e-mail należy zawsze upewnić się, że odbiorca jest poprawny, że treść wiadomości e-mail jest poprawna i, w stosownych przypadkach, że załącznik, który należy dostarczyć do wiadomości e-mail, jest poprawny. 
Korzystanie z poczty elektronicznej na urządzeniach osobistych należących do pracownika
Gdy pracownik korzysta z prywatnego komputera, telefonu lub innego urządzenia w celu uzyskania dostępu do firmowej poczty e-mail, jest to dozwolone tylko wtedy, gdy przestrzegane są następujące procedury: 
  • Pracuj tylko za pośrednictwem bezpiecznego połączenia sieciowego. 
  • Na przykład sieć WIFI w miejscach publicznych, takich jak lotniska, hotele i kawiarnie, nie jest uważana za bezpieczne połączenie internetowe i dlatego nie można otwierać ani wysyłać wiadomości e-mail, jeśli pracownik jest podłączony do takiego połączenia. 
  • Komputer, telefon i inny sprzęt będący prywatną własnością pracownika musi być wyposażony w bezpieczny zamek. 
  • Pracownik nie może pobierać załączników na prywatne urządzenie. 
Radzenie sobie z naruszeniami bezpieczeństwa
Zgodnie z prawem o ochronie danych naruszenie bezpieczeństwa stanowi naruszenie bezpieczeństwa, gdy osoby nieupoważnione uzyskują dostęp do danych osobowych, są tracone lub zmieniane bez upoważnienia. Do naruszeń bezpieczeństwa i reagowania na naruszenia bezpieczeństwa mają zastosowanie następujące zasady: 
  • W przypadku naruszenia bezpieczeństwa lub podejrzenia naruszenia bezpieczeństwa, natychmiast powiadom zarząd Premium. Jeśli nie ma kontroli, natychmiast skontaktuj się z inspektorem ochrony danych firmy, wysyłając wiadomość e-mail do personuvernd@premium.is
  • Rada Dyrektorów Premium, w porozumieniu z inspektorem ochrony danych spółki, decyduje, czy naruszenie należy zgłosić organowi ochrony danych, osobie, której dane dotyczą oraz, w zależności od przypadku, administratorowi w przypadkach, gdy Premium działa jako podmiot przetwarzający. Powiadomienie należy przesłać do organu ochrony danych bez zbędnej zwłoki, a jeśli to możliwe, nie później niż 72 godziny po wykryciu naruszenia.
  • Rejestruje się ustalenia w zakresie bezpieczeństwa informacji, na przykład jeżeli personel nie przestrzega procedur przechowywania danych osobowych.
  • Inspektor ochrony danych jest powiadamiany o wszelkich naruszeniach bezpieczeństwa informacji, na przykład w przypadku pozyskania danych osobowych przez osobę nieupoważnioną.
  • Naruszenia bezpieczeństwa zostaną zbadane i podjęte zostaną uzasadnione kroki w celu zapewnienia, że podobne zdarzenia nie będą się powtarzać.

Dokładność danych osobowych
Przepisy dotyczące prywatności wymagają od organizacji podjęcia odpowiednich środków w celu zapewnienia, że dane osobowe są dokładne. Zakres, w jakim należy podjąć środki, zależy od zakresu, w jakim niedokładne informacje mogą mieć wpływ na osobę, do której są przeznaczone. 
Wszyscy pracownicy Premium podejmują wszelkie kroki w celu zapewnienia, że dane osobowe są dokładne. Procedury, które należy przestrzegać:
  • Dane osobowe przechowywać w jak najmniejszej liczbie miejsc. 
  • Korzystać z każdej okazji, aby upewnić się, że informacje są dokładne, na przykład wymagając od klienta potwierdzenia, że jego dane kontaktowe są poprawne. 
  • W miarę możliwości, osoby fizyczne powinny mieć łatwy dostęp do aktualizacji swoich informacji. 
  • Dane osobowe są aktualizowane, gdy tylko okaże się, że są niedokładne. 
  • Można na przykład usunąć stary adres e-mail pracownika z baz danych, gdy tylko zostanie on wykryty.

Dostęp osobisty
Wszystkie osoby, których Premium posiada informacje, mają prawo do:
  • Być informowanym o tym, w jaki sposób organizacja wypełnia swoje zobowiązania wynikające z przepisów dotyczących prywatności. 
  • Aby być poinformowanym o tym, jakie informacje firma posiada na ich temat. 
  • Aby być poinformowanym o tym, dlaczego firma je ma. 
  • Wymaganie od firmy dostępu do jej danych osobowych.  

Po otrzymaniu wniosku o dostęp przez Premium, przekaż wniosek do inspektora ochrony danych organizacji na personuvernd@premium.is adres e-mail. Inspektor ochrony danych jest odpowiedzialny za gromadzenie i ujawnianie danych osobowych wnioskodawcy. Inspektor ochrony danych decyduje, jakie informacje należy ujawnić. Prawo dostępu do danych osobowych dotyczących osób fizycznych nie ma zastosowania, jeżeli nadrzędne znaczenie mają nadrzędne interesy osób fizycznych związane z danymi, w tym osoby fizycznej żądającej danych. Jeżeli wniosek o dostęp składa się drogą elektroniczną, informacje przekazuje się w formie elektronicznej, chyba że dana osoba wystąpi z innym wnioskiem. 

Jeżeli istnieją poważne wątpliwości co do tożsamości osoby żądającej dostępu do danych osobowych, można zażądać dodatkowych informacji (identyfikacji) niezbędnych do ustalenia jej tożsamości. Wniosek o dostęp jest bezpłatny dla danej osoby i udziela się na niego odpowiedzi bez zbędnej zwłoki i nie później niż w terminie jednego miesiąca od otrzymania przez organizację. 

Prawo do bycia zapomnianym (usunięcie informacji na żądanie osób fizycznych)
Osoby fizyczne mają prawo do usunięcia swoich danych, jeżeli:
  • Dane osobowe nie są już niezbędne do celów, dla których zostały zebrane lub w inny sposób przetwarzane. 
  • Jeśli przetwarzanie danych osobowych odbywa się na podstawie zgody osoby fizycznej, a osoba fizyczna wycofuje swoją zgodę, nie ma innej podstawy prawnej przetwarzania. 
  • Osoba fizyczna sprzeciwia się przetwarzaniu i nie ma ku temu żadnych uzasadnionych nadrzędnych powodów. 
  • Przetwarzanie danych osobowych było niezgodne z prawem. 
  • Dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego. 
  • Dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego dziecku. 
Po otrzymaniu wniosku osoby fizycznej o skorzystanie z zapomnianego prawa, Premium powinien przekazać wniosek do inspektora ochrony danych firmy na personuvernd@premium.is adres e-mail. Inspektor ochrony danych decyduje, czy usunąć informacje i jest odpowiedzialny za ich egzekwowanie. Jest on również odpowiedzialny za udzielenie odpowiedzi na zapytanie wnioskodawcy. Jeżeli istnieją poważne wątpliwości co do tożsamości osoby żądającej usunięcia danych osobowych, można zażądać dodatkowych informacji (identyfikacji) niezbędnych do ustalenia jej tożsamości.

Ujawnianie informacji osobom fizycznym
  • Celem Premium jest uświadomienie osobom, że firma przetwarza ich dane osobowe i że rozumieją: 
  • dlaczego firma gromadzi dane osobowe na ich temat; 
  • sposób, w jaki organizacja wykorzystuje ich informacje; 
  • oraz jak mogą szukać sprawiedliwości. 

Firma Premium wydała oświadczenie o ochronie prywatności dotyczące sposobu przetwarzania danych osobowych osób fizycznych. Te i inne strony mogą uzyskać dostęp do tego dokumentu na stronie internetowej firmy https://premium.is/
Leit