POLITYKA OCHRONY DANYCH OSOBOWYCH

POLITYKA OCHRONY DANYCH OSOBOWYCH (RODO)

NORDIN

WERSJA PODSTAWOWA – MASTER + REJESTRY + PROCEDURY

CEL, ZAKRES I CHARAKTER DOKUMENTU

Niniejsza Polityka Ochrony Danych Osobowych („Polityka RODO”) określa ogólne i szczegółowe zasady przetwarzania, zabezpieczania oraz zarządzania danymi osobowymi w NORDIN Sp. z o.o.

Dokument ma charakter:

nadrzędny,

wiążący,

strategiczny i operacyjny.

Polityka obowiązuje wszystkich pracowników, współpracowników, partnerów oraz podmioty działające w imieniu NORDIN.

Dokument obejmuje opis wszystkich form przetwarzania danych: elektroniczne, papierowe, ustne oraz zautomatyzowane (w tym AI).

PODSTAWA PRAWNA

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO).

Ustawa o ochronie danych osobowych.

Kodeks pracy oraz przepisy szczególne (podatkowe, ubezpieczeniowe, sektorowe).

Zasady: privacy by design, privacy by default, accountability.

ADMINISTRATOR DANYCH

NORDIN SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ
ul. Świętojańska 43 / 23, 81-391 Gdynia
KRS: 0001179220
NIP: 5862418757
REGON: 542022513
E-mail: [email protected]

ZASADY PRZETWARZANIA DANYCH

NORDIN przetwarza dane zgodnie z art. 5 RODO, w szczególności z zachowaniem zasad:

legalności i przejrzystości,

ograniczenia celu,

minimalizacji danych,

prawidłowości,

ograniczenia przechowywania,

integralności i poufności,

rozliczalności.

KATEGORIE OSÓB I DANYCH

Kandydaci do pracy.

Pracownicy i współpracownicy.

Pracownicy wynajmowani i delegowani.

Klienci i kontrahenci.

Partnerzy biznesowi.

Użytkownicy systemów i platform.

Zakres danych obejmuje m.in. CV, umowy, payslipy, dane kontaktowe, dane HR, dane płacowe i operacyjne i wszystkie inne dane niezbędne do realizacji umów.

PODSTAWY PRAWNE PRZETWARZANIA

Dane przetwarzane są na podstawie art. 6 ust. 1 RODO:

zgoda,

wykonanie umowy lub działania przedumowne,

obowiązek prawny,

prawnie uzasadniony interes administratora.

Dane szczególnych kategorii – zgodnie z art. 9 RODO.

HR, REKRUTACJA I PAYROLL

Dane kandydatów i pracowników przetwarzane są zgodnie z prawem pracy i RODO.

Przekazywanie danych klientom HR:

odbywa się za zgodą lub na podstawie przepisów prawa,

jest dokumentowane,

ograniczone do minimum.

Klient po otrzymaniu danych staje się odrębnym administratorem danych.

AUTOMATYZACJA I SZTUCZNA INTELIGENCJA

Automatyzacja, chatboty i voiceboty mają charakter wyłącznie wspierający.

NORDIN nie podejmuje decyzji wywołujących skutki prawne wyłącznie w sposób zautomatyzowany (art. 22 RODO).

Dane nie są trenowane w publicznych modelach AI ani sprzedawane.

Każda osoba ma prawo do interwencji człowieka, sprzeciwu i informacji.

BEZPIECZEŃSTWO DANYCH

Stosowane środki:

kontrola dostępu,

szyfrowanie,

backupy,

monitoring IT.

Obowiązują procedury ciągłości działania (BCP) i odtwarzania danych.

PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ

NORDIN realizuje prawa z art. 12–22 RODO.
Kontakt: [email protected]
Termin realizacji: do 30 dni.

NARUSZENIA DANYCH

Każde naruszenie jest rejestrowane i analizowane.

W razie potrzeby zgłaszane do Prezesa UODO w ciągu 72 godzin.

Procedura zgodna z art. 33–34 RODO.

TRANSFERY POZA UE/EOG

Transfery realizowane są wyłącznie zgodnie z RODO (SCC, ocena ryzyka, dokumentacja).

SZKOLENIA I AUDYTY

Regularne szkolenia RODO.

Audyty wewnętrzne i przeglądy procesów.

POSTANOWIENIA KOŃCOWE

Dokument obowiązuje od dnia publikacji.

Podlega okresowym aktualizacjom.

Stanowi fundament systemu ochrony danych w NORDIN.

REJESTR CZYNNOŚCI PRZETWARZANIA (RCP)

Rejestr zawiera dla każdej czynności:

nazwę procesu,

cel,

kategorie osób i danych,

podstawę prawną,

odbiorców danych,

transfery poza UE/EOG,

okres retencji,

środki bezpieczeństwa,

właściciela procesu.

PROCEDURA OBSŁUGI WNIOSKÓW RODO

kanał: [email protected]

weryfikacja tożsamości,

termin: 30 dni (możliwe +60),

każdy wniosek rejestrowany i archiwizowany.

PROCEDURA NARUSZEŃ DANYCH

identyfikacja zdarzenia,

analiza ryzyka,

rejestr naruszeń,

zgłoszenie do UODO (jeśli wymagane),

poinformowanie osób, których dane dotyczą.

PROCEDURA DPIA (OCENA SKUTKÓW)

DPIA wykonywana jest m.in. dla:

AI i automatyzacji,

dużej skali przetwarzania,

nowych technologii.

Zakres DPIA:

opis procesu,

ryzyka,

środki minimalizujące,

decyzja o wdrożeniu.

INFORMACJE KOŃCOWE

Szczegółowy Rejestr Czynności Przetwarzania, oraz wszystkie szczegółowe informacje odnośnie Polityki Ochrony Danych Osobowych dostępne są na życzenie zgodnie z przepisami RODO.

kontakt: [email protected]