Skip to Content
Go back
BAS-IP / MEMORANDUM DOTYCZĄCE ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH

Jesteśmy zobowiązani do stosowania silnych i innowacyjnych praktyk ochrony danych, aby każdy klient mógł ufać, że jego dane osobowe są przetwarzane bezpiecznie i poufnie.

BAS-IP DISTRIBUTION LTD (Spółka lub BAS-IP) przygotowała niniejsze memorandum dla naszych klientów w zakresie naszej zgodności z obowiązującymi przepisami o ochronie danych, w tym Ogólnym rozporządzeniem o ochronie danych w Wielkiej Brytanii (UK General Data Protection Regulation / UK GDPR) oraz Ogólnym rozporządzeniem o ochronie danych Unii Europejskiej (EU General Data Protection Regulation / RODO). Poniżej zapoznamy Państwa z naszą działalnością w zakresie przestrzegania wymogów ochrony danych osobowych.

DEFINICJE

  • „UK GDPR” oznacza Ogólne rozporządzenie o ochronie danych w Wielkiej Brytanii, włączone do prawa brytyjskiego na mocy Ustawy o ochronie danych z 2018 r. (Data Protection Act 2018), wraz z innymi mającymi zastosowanie brytyjskimi przepisami dotyczącymi ochrony danych i prywatności.
  • „RODO” (GDPR) oznacza Ogólne rozporządzenie o ochronie danych (Rozporządzenie (UE) 2016/679) oraz wszelkie powiązane przepisy dotyczące ochrony danych i prywatności mające zastosowanie na terenie Unii Europejskiej i Europejskiego Obszaru Gospodarczego.
  • Dane osobowe (Personal data) oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
  • Osoba, której dane dotyczą (Data subject) oznacza możliwą do zidentyfikowania osobę fizyczną, którą można zidentyfikować, bezpośrednio lub pośrednio.
  • Administrator (Controller) oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
  • Podmiot przetwarzający (Processor) oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
  • Subprocesor (Subprocessor) oznacza osobę fizyczną lub prawną, zaangażowaną przez podmiot przetwarzający, która wykonuje przetwarzanie danych osobowych w imieniu administratora.
  • Przetwarzanie (Processing) oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

O BAS-IP

BAS-IP opracowuje i produkuje domofony IP, systemy kontroli dostępu i systemy komunikacyjne i jest wiodącym podmiotem w tej dziedzinie. Więcej informacji na temat naszej działalności można znaleźć na stronie internetowej: https://bas-ip.com/.

W trakcie swojej działalności Spółka może zbierać, uzyskiwać dostęp lub w inny sposób przetwarzać dane osobowe dotyczące różnych kategorii osób, których dane dotyczą: klientów i użytkowników, pracowników, wykonawców oraz innych osób. Podczas takiego przetwarzania Spółka zobowiązuje się do podjęcia wszelkich niezbędnych środków i przestrzegania odpowiednich polityk, procedur i innej dokumentacji dotyczącej ochrony danych osobowych, aby przetwarzać dane osobowe zgodnie z obowiązującym prawem i najlepszymi praktykami.

Role w trakcie przetwarzania danych osobowych

BAS-IP może pełnić różne role w świetle UK GDPR i RODO:

  • Jako administrator, Spółka określa cele i sposoby przetwarzania danych osobowych, na przykład podczas komunikacji z klientami i odwiedzającymi stronę internetową, działań marketingowych, które wiążą się z przetwarzaniem danych osobowych itp.
  • Jako podmiot przetwarzający, Spółka może przetwarzać dane osobowe zgodnie z instrukcjami naszego klienta, działającego jako administrator lub w imieniu odpowiedniego administratora.
  • Przetwarzając dane osobowe jako podmiot przetwarzający, możemy angażować zewnętrznych dostawców usług, którzy będą działać jako subprocesorzy.
Przetwarzając dane osobowe w trakcie świadczenia usług dla swoich klientów, Spółka działa jako podmiot przetwarzający i przestrzega obowiązujących wymogów UK GDPR i RODO, a także odpowiednich zobowiązań umownych między Spółką a klientem.

BAS-IP I OCHRONA DANYCH

BAS-IP zobowiązuje się do przestrzegania najwyższych standardów ochrony danych oraz obowiązujących przepisów dotyczących ochrony danych osobowych.

Wszelkie działania związane z przetwarzaniem danych osobowych prowadzone są zgodnie z wewnętrzną dokumentacją regulującą przetwarzanie danych osobowych.

Spółka stosuje następujące środki ochrony danych osobowych:

Regularny przegląd dokumentacji ochrony danych osobowych i wprowadzanie niezbędnych zmian do naszej dokumentacji i działań

Regularny przegląd i aktualizacja wewnętrznej dokumentacji ochrony danych osobowych jest integralną częścią strategii Spółki, mającą na celu zapewnienie zgodności z wymogami UK GDPR, RODO i innych aktów regulacyjnych w dziedzinie ochrony danych osobowych.

Odpowiednia dokumentacja wewnętrzna oraz przyjęte polityki i procedury, w szczególności dotyczące żądaniami osób, których dane dotyczą, powiadamiania o naruszeniach danych osobowych, ocen zgodności stron trzecich zaangażowanych w przetwarzanie danych osobowych itp., są okresowo aktualizowane lub zmieniane w razie potrzeby, w szczególności w przypadku zmian w przepisach lub wprowadzenia nowych działań w zakresie przetwarzania danych osobowych.

Ponadto, działania w zakresie przetwarzania danych osobowych są rejestrowane, co obejmuje prowadzenie rejestru czynności przetwarzania (RoPA), a w razie potrzeby przeprowadzana jest ocena skutków dla ochrony danych (DPIA) i ocena uzasadnionego interesu (LIA).

W ten sposób, utrzymując aktualną dokumentację ochrony danych osobowych, Spółka zapewnia wysoki poziom ochrony danych osobowych i ciągłą zgodność z przepisami.

Zgodność z wymogami ochrony praw osób, których dane dotyczą

Polityka Prywatności Spółki, która jest publicznie dostępna na jej stronie internetowej, dostarcza klientom i innym osobom, których dane dotyczą, informacji o celach, w jakich dane osobowe mogą być przetwarzane, o tym, w jaki sposób i jakie konkretne dane osobowe mogą być przetwarzane, a także informacji o ich prawach wynikających z obowiązujących przepisów o ochronie danych osobowych, w tym o tym, jak te prawa wykonywać.

Ponadto, Spółka przyjęła Procedurę Obsługi Zapytań i Skarg, która zawiera procedurę odpowiadania na żądania osób, których dane dotyczą, oraz ich prawa zgodnie z UK GDPR i RODO.

Spółka zobowiązuje się do zapewnienia klientowi wszelkiego niezbędnego wsparcia w kontekście odpowiadania na żądania osób, których dane są przetwarzane przez Spółkę jako podmiot przetwarzający, zgodnie z postanowieniami UK GDPR, RODO i zobowiązaniami umownymi między Spółką a klientem.

Zgodność z najlepszymi standardami i praktykami w zakresie bezpieczeństwa technicznego i organizacyjnego

Spółka wdrożyła środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych osobowych. Wewnętrzna dokumentacja Spółki wyraźnie określa techniczne i organizacyjne środki stosowane podczas przetwarzania danych osobowych:

  • opracowano i przyjęto dokumentację regulującą bezpieczeństwo informacji, a także stale monitoruje zdarzenia związane z bezpieczeństwem informacji i zapewnia terminową reakcję na incydenty;
  • wdrożono zabezpieczenia ograniczające dostęp do danych osobowych, takie jak kontrolowanie dostępu do danych osobowych, w szczególności poprzez użycie spersonalizowanych kont, kontrolowanie wymagań dotyczących długości i złożoności haseł do kont oraz ochronę dostępu do sieci w celu zmniejszenia ryzyka ataków sieciowych; weryfikacja zgodności fizycznych centrów danych, w których dane są przechowywane, z wymogami bezpieczeństwa; uwierzytelnianie wieloskładnikowe i uwierzytelnianie użytkownika podczas autoryzacji, a także konfiguracja i stosowanie uprawnień dostępu do danych, regularny przegląd istniejących praw dostępu itp.;
  • stosuje technologie szyfrowania podczas przechowywania i przetwarzania danych osobowych za pomocą technologii chmurowych oraz ustala wymogi dotyczące używania wyłącznie aktualnych i solidnych protokołów kryptograficznych, algorytmów, pakietów szyfrów, kluczy szyfrujących i podejść do zarządzania kluczami;
  • regularnie przegląda kopie zapasowe danych osobowych, aby ustalić, czy ich przechowywanie jest zgodne z wymogami operacyjnymi i zobowiązaniami prawnymi;
  • podejmuje inne organizacyjne środki bezpieczeństwa, w tym wdrożenie polityki podziału ról i odpowiedzialności, regularną aktualizację odpowiednich polityk i procedur, monitorowanie wykonywania obowiązków oraz demonstrowanie gotowości do współpracy z odpowiednimi organami rządowymi. Środki bezpieczeństwa personelu wdrożone przez Spółkę obejmują w niektórych przypadkach weryfikację przeszłości pracowników, podnoszenie świadomości pracowników na temat problemów związanych z bezpieczeństwem informacji i monitorowanie tej świadomości, a także prowadzenie programów szkoleniowych i rozwoju zawodowego;
  • stale monitoruje zmiany w przepisach i wdraża najlepsze praktyki w dziedzinie ochrony danych osobowych zgodnie ze standardami cyberbezpieczeństwa, wytycznymi, zaleceniami organów nadzorczych ds. ochrony danych osobowych oraz Information Commissioner’s Office (ICO).

Spółka przestrzega wszystkich polityk i procedur w celu zapewnienia bezpieczeństwa ochrony danych osobowych, regularnie sprawdza ich aktualność i zapewnia terminowy przegląd.

Regularna weryfikacja stron trzecich

Wszystkie strony trzecie zaangażowane w przetwarzanie danych osobowych są weryfikowane za pomocą wewnętrznie uregulowanej procedury oceny zgodności stron trzecich. W szczególności takie kontrole oceniają dostępność odpowiedniej dokumentacji związanej z przetwarzaniem danych osobowych, a także dostępność i skuteczność technicznych i organizacyjnych środków bezpieczeństwa wdrożonych w celu ochrony danych osobowych przed nieautoryzowanym dostępem, utratą lub naruszeniem integralności.

Bezpieczne przekazywanie danych osobowych

Świadcząc usługi, Spółka może przekazywać dane osobowe poza Wielką Brytanię, na przykład do Stanów Zjednoczonych i Ukrainy.

W celu zapewnienia bezpieczeństwa i zgodności z wymogami prawnymi dotyczącymi przekazywania danych osobowych, wcześniej przeprowadzana jest ocena. Ponadto regularnie przeprowadzana jest wewnętrzna kontrola w celu zapewnienia zgodności wymogów prawnych i praktyk Stanów Zjednoczonych, Ukrainy oraz, w razie potrzeby, innych krajów, do których dane osobowe są przekazywane, ze standardami i praktykami ochrony danych osobowych w Wielkiej Brytanii i UE. Dodatkowo, środki bezpieczeństwa podejmowane przez importerów danych są dokładnie sprawdzane, w szczególności poprzez podpisanie odpowiedniej dokumentacji regulującej ochronę danych osobowych.

Gdy Spółka przekazuje dane osobowe podlegające UK GDPR i/lub RODO, zawiera ze swoimi kontrahentami Umowę o Przetwarzaniu Danych (DPA). Takie umowy zawierają odpowiednie mechanizmy transferu, w tym Standardowe Klauzule Umowne UE (SCCs) wraz z Dodatkiem UK (UK Addendum) lub Międzynarodową Umową o Przekazywaniu Danych (IDTA).

Regularne szkolenia

Spółka regularnie organizuje szkolenia dla swoich pracowników i kontrahentów na temat zgodności z wymogami UK GDPR i RODO, a także ochrony danych osobowych. Tematy poruszane podczas szkolenia obejmują między innymi ogólne wymogi UK GDPR, RODO i innych obowiązujących przepisów o ochronie danych osobowych, role w przetwarzaniu, zasady przetwarzania danych osobowych, podstawy przetwarzania, zapewnienie praw osób, których dane dotyczą, oraz kwestie ochrony danych osobowych.

Ponadto Spółka przyjęła również niezbędną dokumentację i wdrożyła odpowiednie środki w celu zapewnienia szkoleń i świadomości pracowników w zakresie ochrony danych.

NASZE KONTAKTY

Jeśli mają Państwo jakiekolwiek dalsze pytania dotyczące ochrony danych osobowych w BAS-IP, prosimy o kontakt mailowy: [email protected].

Z poważaniem,

BAS-IP DISTRIBUTION LTD