POLITYKA PRZETWARZANIA DANYCH OSOBOWYCH Halfen Sp. z o.o.

Niniejsza polityka przetwarzania danych osobowych (zwana dalej „Polityką prywatności”) zawiera szczegółowe informacje na temat sposobu przetwarzania danych osobowych przez Halfen Sp. z o.o.. z siedzibą w Poznaniu (60-691), ul. Obornicka 287, NIP: 781-10-92-844, KRS: 0000006785 („Spółka”).

DEFINICJE
1. „Dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować. Dane osobowe są przetwarzane w Spółce zgodnie z obowiązującymi przepisami prawa krajowego i unijnego, w szczególności Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”), Dyrektywy UE o prywatności i łączności elektronicznej 2002/58/WE („Dyrektywa o prywatności i łączności elektronicznej”) i Ustawy o ochronie danych osobowych.
2. „Szczególne kategorie danych osobowych” są to dane osobowe zawierające następujące informacje dotyczące osoby fizycznej: pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania filozoficzne, członkostwo w związkach zawodowych, dane genetyczne, biometryczne (np. odciski palców lub obrazy twarzy), dane dotyczące zdrowia, życia seksualnego lub orientacji seksualnej oraz wszelkie dane osobowe dotyczące wyroków skazujących za przestępstwa lub wykroczenia.
3. „Przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
4. „Administrator” to podmiot decydujący, w jaki sposób oraz dlaczego (cel) przetwarzane są dane osobowe;
5. „Podmiot przetwarzający dane” to podmiot, który przetwarza dane osobowe w imieniu administratora;
6. „Profilowanie” to zautomatyzowane przetwarzanie danych osobowych do celów oceny niektórych aspektów odnoszących się do konkretnej osoby, w tym w celu przeprowadzenia analizy bądź przewidywania wydajności, decyzji i zachowań danej osoby.
7. „Naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
8. „Transgraniczne przetwarzanie” oznacza:
a) przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej, niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim; albo
b) przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim;
9. „Europejski obszar gospodarczy” lub „EOG” obejmuje następujące kraje: Austria, Belgia, Bułgaria, Chorwacja, Cypr, Czechy, Dania, Estonia, Finlandia, Francja, Niemcy, Grecja, Węgry, Irlandia, Włochy, Łotwa, Litwa, Luksemburg, Malta, Holandia, Polska, Portugalia, Rumunia, Słowacja, Słowenia, Hiszpania, Szwecja, Wielka Brytania, Islandia, Liechtenstein i Norwegia;
10. „Uprawniony” to osoba, której dane są przetwarzane przez Spółkę.
11. „Grupa CRH” oznacza wszystkie spółki, które są jednostkami zależnymi lub dominującymi w odniesieniu do Spółki.
12. „DPIA” – pisemna analiza służąca ocenie skutków w zakresie prywatności danych przy opracowywaniu/wdrażaniu nowych produktów lub usług oraz opracowywaniu środków bezpieczeństwa.
13. „Organ nadzorczy” – Prezes Urzędu Ochrony Danych Osobowych.

ZAKRES I CEL PRZETWARZANIA
Polityka prywatności ma zastosowanie do wszystkich danych osobowych, które Spółka przetwarza jako Administrator. Celem Polityki prywatności jest opisanie zasad i reguł przetwarzania danych osobowych oraz powodów ich przetwarzania. Dodatkowo Polityka prywatności przedstawia obowiązki i odpowiedzialność Spółki w zakresie ochrony danych osobowych.

Spółka może przetwarzać Dane osobowe osób takich jak pracownicy, dawni pracownicy i członkowie ich rodzin, pracownicy tymczasowi, pracownicy samozatrudnieni, kandydaci do pracy, wykonawcy, osoby kontaktowe z firm dostawczych, klienci i goście.

Polityka prywatności nie stanowi wyczerpującego zestawienia stosowanych przez Spółkę praktyk dotyczących ochrony danych osobowych. Dalsze informacje, zasady i procedury znajdują się w Załącznikach do Polityki prywatności.

Spółka przetwarza Dane osobowe:
a) zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;
b) w konkretnych, wyraźnych i prawnie uzasadnionych celach i przetwarza je tylko w sposób zgodny z tymi celami;
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
d) prawidłowe i w razie potrzeby uaktualniane, podejmując wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;
f) w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Spółka przetwarza dane osobowe w celach obejmujących m.in.:
• administrację płac i świadczeń;
• dział kadr;
• oceny wydajności i zarządzanie talentami;
• marketing i PR;
• poprawę produktów i usług biznesowych;
• badania i analizy statystyczne;
• strategię biznesową;
• audyty lub dochodzenia wewnętrzne;
• zapobieganie i wykrywanie zachowań niezgodnych z prawem lub podlegających sankcjom karnym wobec Spółki lub jej klientów i pracowników;
• wypełnianie zobowiązań prawnych.

Spółka informuje osoby, których dane przetwarza, o celu i zakresie przetwarzania oraz o przysługującym tym osobom prawach, a w razie konieczności wynikającej z przepisów prawa, uzyskuje ich uprzednią i dobrowolną zgodę na przetwarzanie danych osobowych.

Spółka zapoznaje swoich pracowników z zasadami ochrony danych osobowych, w szczególności poprzez przedstawienie dokumentu „Informacja dla pracowników odnośnie ochrony danych osobowych” (Załącznik do Polityki prywatności) oraz poprzez szkolenia, w tym online.

RODZAJE DANYCH OSOBOWYCH
1. Pracownicy i wykonawcy.
Spółka, jako Administrator, przetwarza Dane osobowe:
• swoich pracowników;
• członków ich rodzin (jeżeli podanie ich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy);
• kandydatów do pracy;
• byłych pracowników;
• a także osób świadczących usługi na rzecz Spółki na podstawie umowy cywilnoprawnej;

Takie dane osobowe mogą obejmować: imię i nazwisko, datę urodzenia, numer PESEL, numer NIP, numer konta bankowego, dane dotyczące paszportu i wiz; dane kontaktowe (np. adres korespondencyjny/zamieszkania, numer telefonu); warunki zatrudnienia, informacje dotyczące szkoleń, oceny pracownika, awansów, planów rozwoju osobistego, informacje dotyczące wynagrodzenia; historię wykształcenia i zatrudnienia; informacje medyczne (np. zaświadczenia lekarskie i zwolnienia lekarskie) – gdy jest to wymagane prawem; dane dotyczące emerytury; testy psychometryczne itd.
Powyższa lista nie jest kompletną listą wszystkich danych, lecz obejmuje najczęściej przetwarzane przez Spółkę dane osobowe pracowników i wykonawców.

2. Dostawcy, klienci, kontrahenci.
Spółka przetwarza dane osobowe:
• osób będących jej dostawcami, klientami, kontrahentami.
• osób pracujących lub współpracujących z jej dostawcami, klientami, kontrahentami.

Podczas przetwarzania danych osobowych wyżej wymienionych kategorii osób, Spółka może wystąpić w roli Administratora tych danych, a w niektórych przypadkach, jako Podmiot przetwarzający te dane w imieniu innego Administratora, który udostępnił te dane Spółce na podstawie powierzenia przetwarzania.

Takie dane osobowe mogą obejmować: służbowe dane identyfikacyjne, takie jak, np. imię, nazwisko, nazwa stanowiska służbowego, robocze numery identyfikacyjne, dział, firmę, służbowe dane kontaktowe, takie jak, np. numer telefonu służbowego, służbowy adres e-mail, a także numer PESEL, numer prawa jazdy, dokumenty potwierdzające posiadanie wymaganych prawem uprawnień zawodowych lub odbytych szkoleń, numer NIP, numer VAT.

Powyższa lista nie jest kompletną listą wszystkich danych, lecz obejmuje najczęściej przetwarzane przez Spółkę dane osobowe osób, o których mowa powyżej.

Jeżeli przetwarzanie przez Spółkę danych osobowych wyżej wymienionych kategorii osób odbywa się na podstawie powierzenia jej przetwarzania tych danych, Spółka może przetwarzać je wyłącznie według sposobu, zakresu i celu określonego przez Administratora przy ich powierzeniu. Jedynym odstępstwem od powyższej zasady jest sytuacja, w której przepis powszechnie obowiązującego prawa będzie zobowiązywał Spółkę do przetwarzania powierzonych jej danych w sposób inny niż określony przez Administratora, np. w zakresie okresu przechowywania tych danych lub ich udostępnienia podmiotom uprawnionym do ich otrzymania.

3. Szczególne kategorie danych osobowych.
W przypadku, gdy Spółka przetwarza Szczególne kategorie danych osobowych przetwarzanie to odbywa się zgodnie z przepisami dotyczącymi ochrony danych osobowych, w szczególności Spółka:
a) uzyskuje wymaganą prawem uprzednią zgodę osoby, której dane dotyczą, w przypadku przetwarzania danych: biometrycznych (w tym wizerunek), informacji o skazaniu za przestępstwo; informacji o przynależności do związków zawodowych.
b) informuje o: monitoringu wizualnym (pomieszczenia, teren wokół), monitoringu lokalizacyjnym (pojazdy), profilowaniu;
c) niektóre dane (np. dane o nałogach, stanie zdrowia, życiu i orientacji seksualnej, informacji o skazaniu za przestępstwo) przetwarza tylko w wykonaniu obowiązku wynikającego z przepisu prawa (tj. w oparciu o konkretną podstawę prawną).

Powyższa lista nie jest kompletną listą wszystkich Szczególnych kategorii danych osobowych, lecz obejmuje najczęściej przetwarzane przez Spółkę.

PRZEKAZYWANIE DANYCH OSOBOWYCH
Spółka może, jako Administrator, w uzasadnionych i prawem dozwolonych przypadkach przekazywać dane osobowe osobom trzecim lub pozwalać im na dostęp do tych danych.

Spółka może przekazywać dane osobowe:
a) podmiotom z Grupy CRH;
b) osobom trzecim, w tym partnerom biznesowym, dostawcom i podwykonawcom;
c) jeśli Spółka podlega prawnemu obowiązkowi ujawniania danych osobowych.

PRZEKAZYWANIE DANYCH OSOBOWYCH DO PODMIOTÓW ZNAJDUJĄCYCH SIĘ POZA EOG
Spółka może przekazywać dane osobowe poza EOG, zgodnie z odpowiednimi przepisami dotyczącymi ochrony danych osobowych i przy zapewnieniu bezpieczeństwa danych osobowych.

W przypadku, gdy Spółka przekazuje dane osobowe poza EOG, stosuje standardowe klauzule umowne, o których mowa art. 28 ust. 8 RODO.

PROFILOWANIE
Spółka może przetwarzać dane osobowe różnych osób (na przykład pracowników, osób współpracujących na podstawie umów cywilnoprawnych, kandydatów do zatrudnienia) w celu zarządzania talentami i oceny pracowniczej w sposób zautomatyzowany, tj. poprzez Profilowanie.

Podejmowanie decyzji na podstawie profilowania jest możliwe, gdy jest to wyraźnie dopuszczone prawem, w tym do celów monitorowania i zapobiegania oszustwom i uchylaniu się od podatków oraz do zapewniania bezpieczeństwa i niezawodności usług świadczonych przez Administratora lub gdy jest niezbędne do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a Administratorem, lub gdy osoba, której dane dotyczą, wyraziła wyraźną zgodę.

Profilowanie podlega odpowiednim zabezpieczeniom, obejmującym informowanie osoby, której dane dotyczą, prawo do uzyskania interwencji człowieka, prawo do wyrażenia własnego stanowiska, prawo do uzyskania wyjaśnienia co do decyzji wynikłej z takiej oceny oraz prawo do zakwestionowania takiej decyzji.

Osoba, której dane dotyczą, zachowuje prawo do tego, by nie podlegać decyzji, która ocenia jej czynniki osobowe, a opiera się wyłącznie na przetwarzaniu zautomatyzowanym i wywołuje wobec niej skutki prawne lub w podobny sposób znacząco na nią wpływa (np. elektroniczne metody rekrutacji bez interwencji ludzkiej).

DPIA – OCENA SKUTKÓW W ZAKRESIE PRYWATNOŚCI DANYCH
W celu oceny skutków w zakresie prywatności danych (DPIA) Spółka prowadzi pisemną analizę. Służy ona do identyfikacji potencjalnych ryzyk mogących powstać przy opracowywaniu/wdrażaniu nowych produktów lub usług oraz do opracowywania środków bezpieczeństwa.
Poprzez dokonywanie oceny Spółka zapewnia, że przy podejmowaniu nowych inicjatyw bierze pod uwagę ochronę danych osobowych oraz wdraża działania łagodzące efekty tych inicjatyw w zakresie danych osobowych.

Ocena skutków dla ochrony danych osobowych jest wymagana w szczególności w przypadku:
1) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
2) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO;
3) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
Ocena skutków nie jest wymagana w przypadku, gdy przetwarzanie danych osobowych:
1) nie prowadzi do wysokiego ryzyka naruszenia praw i wolności osób,
2) zostało już dopuszczone w bardzo podobnym procesie przetwarzania,
3) ma podstawę prawną w prawie UE lub w państwie członkowskim,
4) znajduje się na liście operacji zwolnionych z oceny skutków przez organ nadzorczy.

Spółka przeprowadza DPIA w sytuacji, gdy przeprowadzona analiza wstępna projektu wskaże na prawdopodobieństwo wystąpienia wysokiego ryzyka naruszenia bezpieczeństwa danych osobowych. „Wzór szablonu analizy wstępnej” stanowi Załącznik do Polityki prywatności.

W przypadku zidentyfikowania konieczności prowadzenia analizy skutków Spółka wykorzystuje „Szablon DPIA” stanowiący Załącznik do Polityki prywatności.

BEZPIECZEŃSTWO
Dane osobowe są przechowywane z zachowaniem odpowiedniego poziomu zabezpieczeń za pomocą różnych środków bezpieczeństwa.

Spółka stosuje środki techniczne, organizacyjne, fizyczne i logiczne w celu ochrony danych osobowych przed bezprawnym lub nieupoważnionym zniszczeniem, utratą, zmianą, ujawnieniem, nabyciem i dostępem do nich, w szczególności:
1. zabezpieczenia organizacyjne, tj. środki organizacyjne oraz wymagania dotyczące polityki zarządzania procesem przetwarzania, w tym zastosowanych procedur:
a. zarządzania projektem,
b. zarządzania incydentami,
c. zarządzania personelem,
d. zarządzania udziałem stron trzecich, w tym podmiotów przetwarzających,
e. zarządzania eksploatacją używanych systemów i innych narzędzi przetwarzania danych,
f. sposobu nadzoru, w tym audytów i raportowania alertów.
2. środki kontroli logicznej procesu przetwarzania, w tym wymagania dotyczące zastosowania takich środków ochrony, jak:
a. anonimizacja i pseudonimizacja,
b. środki ochrony kryptograficznej,
c. środki kontroli integralności danych,
d. środki kontroli dostępu do danych,
e. środki kontroli dotyczące rozliczalności wykonywanych operacji,
f. środki wspierające weryfikację danych na etapie ich wprowadzania, typu: zgodność z wzorcem, podanymi wartościami granicznymi itp.,
g. środki bieżącego monitoringu,
h. zastosowane środki ochrony przed działaniem oprogramowania szkodliwego typu wirusy, środki szpiegujące, środki służące ochronie przed wykradaniem danych itp.
i. środki ochrony sieci przed działaniem osób z zewnątrz.

3. środki ochrony fizycznej wszystkich aktywów informacyjnych i technicznych, w tym:
a. środków bezpieczeństwa infrastruktury technicznej wykorzystywanej do przetwarzania danych,
b. środków bezpieczeństwa dokumentacji papierowej, w tym papierowych rejestrów zawierających dane osobowe,
c. środków bezpieczeństwa związanych z przepływem informacji w postaci dokumentów papierowych lub nośników elektronicznych,
d. środków ochrony przed żywiołami niezależnymi od człowieka, typu ogień, woda.

Kwestie związane z przetwarzaniem danych osobowych w systemach informatycznych i ich ochroną opisuje Globalna Polityka Bezpieczeństwa Informacji CRH.

PRZECHOWYWANIE DANYCH OSOBOWYCH
Spółka przechowuje dane osobowe jedynie przez taki okres, jaki jest konieczny do celów przetwarzania danych osobowych i dopuszczalny przez powszechnie obowiązujące przepisy prawa oraz regulacje wewnętrzne Spółki.

NARUSZENIE OCHRONY DANYCH OSOBOWYCH
W przypadku naruszenia lub chociażby podejrzenia naruszenia ochrony danych osobowych w Spółce stosowana jest „Procedura zgłaszania naruszeń ochrony danych osobowych” stanowiąca Załącznik do Polityki prywatności.

ODPOWIEDZIALNOŚĆ W SPÓŁCE
Spółka jest odpowiedzialna za przetwarzanie danych osobowych.

Zarząd Spółki ponosi ogólną odpowiedzialność za zgodność Spółki z Polityką i wyznacza osoby odpowiedzialne w Spółce w odniesieniu w szczególności do (i) przetwarzania danych osobowych obecnych i byłych pracowników i wykonawców; (ii) przetwarzania danych osobowych kontaktów biznesowych; oraz (iii) ochrony bezpieczeństwa i integralności danych osobowych przetwarzanych przez Spółkę.

W zakresie wykładni prawa dotyczącego ochrony danych i niniejszej polityki na poziomie lokalnym Spółka wspierana jest przez dział prawny / doradztwo prawne. W przypadku wątpliwości wskazana jest konsultacja z Dyrektorem ds. Prawnych i Compliance Grupy CRH w Polsce.

PRAWA DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH. UDZIELANIE ODPOWIEDZI NA WNIOSKI
Osoba, której dane są przetwarzane, ma prawo do:
a) Modyfikowania danych, ich sprostowania, aktualizowania, żądania ograniczania przetwarzania, usuwania lub sprzeciwu wobec przetwarzania danych osobowych, a także przenoszenia danych osobowych;
b) zwrócenia się z wnioskiem do Administratora o potwierdzenie, czy przetwarzane są dane jej dotyczące, a jeśli tak – do uzyskania dostępu do nich i dodatkowych informacji;
c) gdy przetwarzanie danych osobowych opiera się na zgodzie - do wycofania zgody w dowolnym momencie;
d) wniesienia skargi do Organu nadzorczego.

Zakres praw osobistych oraz zasady i terminy udzielania odpowiedzi na wnioski osób dotyczące ich danych osobowych określa „Prawa osobiste. Procedura składania wniosków i udzielania odpowiedzi na wnioski” stanowiąca Załącznik do Polityki prywatności.

PROCEDURA SKŁADANIA SKARG
Wszelkie pytania, wnioski i skargi związane z przetwarzaniem danych osobowych przez Spółkę kierować należy na adres korespondencyjny Spółki.

GLOBALNA POLITYKA BEZPIECZEŃSTWA INFORMACJI CRH
Podstawowymi celami Globalnej Polityki Bezpieczeństwa Informacji CRH są:

1. Identyfikacja ryzyk bezpieczeństwa informacji związanych z nieuprawnionym dostępem, niewłaściwym użyciem, modyfikacją lub zniszczeniem aktywów informacyjnych, zarządzanie nimi oraz wdrożenie środków kontroli, mających na celu ograniczenie wpływu tych ryzyk,
2. Zapewnienie zgodności z lokalnymi przepisami ustawowymi i regulacjami. Uwaga: jeżeli lokalne przepisy i regulacje są bardziej rygorystyczne niż środki kontroli przewidziane w niniejszej Polityce, wówczas takie lokalne przepisy i regulacje będą mieć pierwszeństwo w stosunku do niniejszej Polityki,
3. Wzmocnienie i poprawa poziomu świadomości oraz dojrzałości w zakresie bezpieczeństwa informacji w skali całej spółki.

Globalna Polityka Bezpieczeństwa Informacji CRH jest polityką szerszą, obejmującą swym zakresem wszelkie dane przetwarzane w Spółce, w tym także dane osobowe. W związku z tym, Globalna Polityka Bezpieczeństwa Informacji CRH jest dokumentem nadrzędnym w stosunku do Polityki Prywatności, chyba że Polityka Prywatności przewiduje bardziej restrykcyjną ochronę danych osobowych.

ZAŁĄCZNIKI
Załącznikami do Polityki, stanowiącymi jej integralną część, są:
1. Procedura zgłaszania naruszeń ochrony danych osobowych.
2. Prawa osobiste. Procedura składania wniosków i udzielania odpowiedzi na wnioski.
3. Informacja dla pracowników w przedmiocie ochrony danych osobowych, wzór.
4. Oświadczenie dotyczące zasad dostępu do systemów informatycznych, wzór.
5. Oświadczenie o zapoznaniu się z Globalną Polityką Bezpieczeństwa Informacji CRH, wzór.
6. Umowa powierzenia przetwarzania danych osobowych (PPDO), wzór.
7. Wytyczne w sprawie modelowych klauzul umownych dot. międzynarodowych transferów danych osobowych.
8. Wzór kalkulatora analizy wstępnej.
9. Szablon DPIA.

Data, 15.05.2018
Prezes Zarządu
Andrzej Góra