POLITYKA OCHRONY DANYCH OSOBOWYCH ORAZ BEZPIECZEŃSTWA SYSTEMÓW INFORMACJI

typ dokumentu polityka
przeznaczenie Dokument udostępniony wszystkim użytkownikom portalu www.eaglelaw.pl
wersja 1.0 
data utworzenia 27-11-2019
ostatni przegląd 27-11-2019

Terminologia bezpieczeństwa w EAGLE LAW

Wstęp

Niniejszy dokument, zatytułowany „Polityka ochrony danych osobowych oraz Bezpieczeństwa Systemów Informacji” (dalej: „Polityka”) stanowi mapę wymogów, zasad i regulacji ochrony danych osobowych jak też bezpieczeństwa informacji w systemach używanych na terenie portalu eaglelaw, dostępnego pod domeną http: www.eaglelaw.pl. Polityka stanowi opis zabezpieczania systemów informacji w Eagle Law, jak również politykę ochrony danych osobowych w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej: „RODO”).

Kultura, dziedzictwo i uzasadnienie

W Eagle Law uważamy, że pasja pozwala się rozwijać, podejmować nowe wyzwania wykonywać należycie pracę. Nasza filozofia opiera się na założeniu, że kiedy robisz coś, co kochasz, a inni uważają to za przydatne, rośniesz. To właśnie pasja, połączona z rozsądnymi celami pozwala nam udoskonalać nasze projekty, które przygotowujemy dla naszych klientów oraz poszukiwać alternatywnych pomysłów, gdy wydaje się to niemożliwe, również w realiach bardzo konkurencyjnego rynku usług prawnych jak również wszystkich czynności związanych z naszą działalnością, w tym działalnością w zakresie przekazywania naszym klientom treści o wysokiej wartości merytorycznej i pomagając im rozwijać się na wybranym przez nich obszarze rynku.

To dzięki lokalnym inicjatywom, zjednoczeniu prawników z wielu różnych kancelarii i stworzeniu systemów umożliwiających im łatwiejszy, szybszy i bardziej instynktowny system kontaktu z klientem i dotarcia do swojego klienta oraz dzięki dzieleniu się wartościami, stworzyliśmy wspólnotę, która znalazła swoje miejsce pierwotnie na krakowskim rynku usług, następnie rozwinęła skrzydła na obszar całego kraju, by docelowo swoje usługi oferować również na terenie całej Unii Europejskiej. To adaptacja do niezwykle dynamicznego i nieustannie rozwijającego się rynku oraz oczekiwań naszych klientów wyróżnia nas wśród naszych konkurentów i tworzy naszą tożsamość.

Naszym celem nie jest jednak odpowiedź na oczekiwania naszych  klientów. Naszym celem jest zachwycenie ich sposobem wykonywania i jakością naszych usług!

Eagle Law tworzy technologie i usługi, które pozwalają jego użytkownikom na szybsze i łatwiejsze nawiązanie kontaktów z prawnikiem, którego pomoc jest niezbędna do prawidłowego prowadzenia i rozwijania działalności gospodarczej, ale również w sprawach życia codziennego.

Mając na uwadze dynamikę rynku usług, niemal w każdej dziedzinie działalności, Eagle Law proponuje swoim użytkownikom szybkie rozwiązania w postaci przygotowanych umów i dokumentów przez wyspecjalizowane w określonych dziedzinach kancelarie prawne. Mając na uwadze, że nawet najlepiej przygotowany wzór dokumentu lub umowy może okazać się zbyt ogólny dla określonego przedsiębiorcy i niewystarczająco dopasowany do jego zindywidualizowanych potrzeb, naszym klientom dajemy również możliwość dopasowania umów i dokumentów do ich wymagań – w z góry określonej cenie i czasie dopasowania. Jest to możliwe dzięki przekazaniu indywidualnej sprawy naszego klienta do prawnika odpowiedzialnego za przygotowanie gotowego dokumentu, ograniczając tym samym znacząco czas wykonywanej usługi. Świadomi konieczności dokonywania kalkulacji podejmowanych przez przedsiębiorców na rynku działań, oferujemy również usługi prawne w stałych cenach, które pozwalają przedsiębiorcy lepiej zaplanować swoje wydatki, określić niezbędny czas na określone przedsięwzięcie i uzyskać pomoc od wyspecjalizowanego w określonej dziedzinie prawnika bez samodzielnych poszukiwań w tym zakresie. Wierząc, że rola prawnika to zaangażowanie w prowadzone sprawy i indywidualny kontakt z każdym klientem, znajomość jego działalności, spraw i oczekiwań, naszym użytkownikom proponujemy również abonamenty prawnicze, pozwalające na zachowanie stałego kontaktu z prawnikiem wyspecjalizowanym w ich dziedzinie działalności, indywidualnie wybranym przez Eagle Law, w oparciu o rodzaj i rozmiar wykonywanej przez przedsiębiorcę działalności. Dzięki stale rosnącej liczbie prawników, współpracujących z naszym serwisem, rozwój naszych klientów razem z nami jest nie tylko możliwy, ale motywuje nas do ciągłego zwiększania jakości, intuicyjności i przejrzystości naszych usług.

Eagle Law to przede wszystkim:

  • Prawnicy i kancelarie współpracujące z Eagle Law,
  • nasze wartości inspirowane przez Klientów Eagle Law,
  • nasze procesy biznesowe i metody pracy,
  • wiedza o naszych Klientach,
  • nasi partnerzy i nasze relacje z nimi.

Zaufanie pomiędzy Klientami a naszą firmą i współpracownikami oraz nasze dziedzictwo to elementy, które sprawiają, że wartość Eagle Law wyróżnia nas i tworzy naszą tożsamość, odzwierciedla naszą kulturę. Naszym obowiązkiem jest ich ochrona.

Systemy Informacyjne jako odpowiedzialność biznesu 

Systemy informatyczne rozwijają się coraz bardziej każdego dnia, ułatwiają wymianę informacji. Z tych powodów Systemy Informatyczne Eagle Law stały się głównym narzędziem w:

– rozwoju i dzieleniu się naszym dziedzictwem, co pozwala nam być bardziej dynamicznymi i skutecznymi;

– tworzeniu i utrzymaniu z naszymi Klientami i pracownikami relacji trwałych i godnych zaufania, umożliwia to zapewnienie wysokiej wydajności oraz zapewnienie usług dostosowanych do potrzeb i zwyczajów każdego człowieka.

Nasz system IT  jest jednym z kluczowych czynników w rozwoju naszego dziedzictwa i rozwoju pełnego zaufania Klientów.

Jesteśmy świadomi, że w dzisiejszych czasach nasze systemy IT podlegają wszelkiego rodzaju zagrożeniom, które w razie wystąpienia incydentu mogą mieć negatywne konsekwencje dla naszej działalności, w związku z czym dochowujemy należytej staranności by chronić je w odpowiedni sposób i codziennie stawiać czoła nowym wyzwaniom w tym zakresie, jak również dążyć do nieustannego zwiększania bezpieczeństwa używanych przez nas systemów informatycznych.

Odwzorowanie zagrożeń bezpieczeństwa IT

Główne ryzyko związane z bezpieczeństwem IT jest oceniane na podstawie globalnej strategicznej mapy ryzyka. Głównymi zagrożeniami bezpieczeństwa IT są:

– niezdolność systemu informacji w momencie krytycznym dla biznesu;
– niezdolność do wykrywania nadużyć wewnętrznych w systemach informatycznych;
– błędy decyzyjne z powodu błędnych danych finansowych;
– utrata danych lub ujawnienie zapisów danych Klienta;
– utrata przewagi konkurencyjnej w wyniku wycieku danych.

Nasze dziedzictwo i systemy informacji, które wspierają nasze krytyczne procesy biznesowe są uwzględnione w zagrożeniach bezpieczeństwa. Mając na uwadze, że Eagle Law opiera się na absolutnej poufności informacji przekazywanych przez Klientów, co umożliwia zachowanie w pełni tajemnicy zawodowej, którą kierują się wszystkie współpracujące z nami kancelarie prawne i która leży u podstaw prawidłowego wykonywania zawodu u radcy prawnego i adwokata, nasze systemy informatyczne programujemy i nieustannie adaptujemy w ten sposób, by żadne informacje, które nasi klienci przekazują Eagle Law lub kancelariom prawnym nie dostały się w niepowołane ręce, a dostęp do nich miały wyłącznie podmioty do tego uprawnione.

Główne cele bezpieczeństwa systemów IT

Tak, aby uniknąć ryzyka, musimy chronić nasze wrażliwe systemy informacyjne w praktyce. Strategia ta jest zawarta w Polityce Bezpieczeństwa Systemów Informacji i odnosi się do głównych celów bezpieczeństwa, które mają na celu zmniejszenie ryzyka na akceptowalnym poziomie.
Główne cele bezpieczeństwa są opisane szczegółowo w dalszych rozdziałach niniejszego dokumentu.

Polityka Ochrony Danych Osobowych i Bezpieczeństwa Systemów Informacjijestpodstawowym dokumentem bezpieczeństwa korporacyjnego w Eagle Law, dostosowanym do strategicznych zagrożeń i dokumentem spójnym zRODO.

Prezentacja polityki bezpieczeństwa dla systemów informacji

Cel

Polityka Ochrony Danych Osobowych i Bezpieczeństwa Systemów Informacji Eagle Law ma ambicję do inspirowania, zachęcania i zwiększania zaufania wśród użytkowników (współpracowników, Klientów, partnerów) w systemach informacji i świadczonych usługach.

Zasady bezpieczeństwa przy podejściu globalnym

Mając na myśli globalne bezpieczeństwo systemów informacyjnych Eagle Law, wyróżniamy następujące zasady motywowania:

– realizm: polityka bezpieczeństwa IT zbudowana jest krok po kroku, dostosowana do poziomu wielkości naszej Spółki, dążąc przy tym do stopniowej poprawy (podejście dynamiczne),

– pragmatyzm: rozwiązania (zasady, środki, procedury) są stosowane w taki sposób, aby znaleźć odpowiedni kompromis pomiędzy efektywnością, prostotą i kontrolą kosztów, koncentrując się na obsłudze Klienta,

– odpowiedzialność: organizacja systemu zarządzania bezpieczeństwem jest dostosowana do Spółki, autonomiczna i odpowiedzialna, działająca w synergii wspólnego interesu,

– spójność: działania osób współpracujących z Eagle Law są zgodne z bezpieczeństwem, obowiązującym na terenie Spółki z uwzględnieniem poprawy współpracy i wspólnej wizji (globalne podejście),

– przewidywanie: większe bezpieczeństwo przewidywania (w projektach IT, definicjach usług, tworzeniu nowych projektów lub ich ewolucji), bardziej określone działania i aplikacje mogą być dostosowane skutecznie i trwale,

Architektura bezpieczeństwa w Eagle Law

Architektura bezpieczeństwa Eagle Law jest oparta na wzorcowym dokumencie odniesienia. Wzorzec ten składa się z:


– niniejszego dokumentu, który określa strategiczne punkty powiązane z bezpieczeństwem w Eagle Law i przełożenie ich na fundamentalne cele: stanowi podstawy we wszystkich  kwestiach bezpieczeństwa w Eagle Law;


– standardów bezpieczeństwa definiujących stopnie bezpieczeństwa, które będą osiągane przez realizację podstawowych celów bezpieczeństwa określonych przez Eagle Law i to na różne sposoby, w tym przy użyciu narzędzi i najlepszych praktyk znanych Eagle Law;


– procedur i trybów operacyjnych opisujących technicznie sposoby wdrożenia środków bezpieczeństwa.

Ta architektura bezpieczeństwa jest wdrożona w spółce Eagle Law i przyjmuje ona formę Polityki Ochrony Danych Osobowych i Bezpieczeństwa Systemów Informacji tak, aby umożliwić realizację konkretnych celów.

Schemat zastosowania

Niniejszy dokument odnosi się do wszystkich systemów informacyjnych, używanych na terenie Eagle Law, w tym w szczególności do:


– wszystkich pracowników i współpracowników Eagle Law;

– wszystkich partnerów (spółki handlowe, usługodawcy, podwykonawcy);
– wszystkich procesów i aplikacji;
– wszystkich komponentów systemów informatycznych (komputery biurowe, laptopy, smartfony, tablety, itp).

Przegląd polityki bezpieczeństwa systemów informacji

W celu zapewnienia jej stałej przydatności, adekwatności i skuteczności, Polityka Ochrony Danych Osobowych i Bezpieczeństwa Systemów Informacji Eagle Law jest uaktualniana co dwa lata. Dokument jest również uaktualniany w przypadku istotnych zmian przy procesie ponownej oceny zasadności polityki i w procesie określenia ryzyk strategicznych.

Podstawowe cele BEZPIECZEŃSTWA

Rozwijanie kultury bezpieczeństwa

Osoby współpracujące z Eagle Law są głównymi elementami w systemach bezpieczeństwa informacji. To oni stanowią trzon w strategii bezpieczeństwa. Jednak ich działania mogą również prowadzić do poważnych wypadków z powodu nieznajomości ryzyka i nieprzestrzegania najlepszych praktyk.

W konsekwencji tego, powinien być realizowany program informacyjny i szkoleniowy tak, aby szerzyć kulturę bezpieczeństwa u wszystkich pracowników Eagle Law z uwzględnieniem osób trzecich (partnerów, podwykonawców, itd.) przez cały okres spędzony w Spółce i poza nią..

Rozporządzanie danymi Klienta

Systemy informatyczne są przedmiotem licznych regulacji prawnych (o ochronie danych osobowych, ochrony informacji finansowej) lub przepisów o ochronie informacji (płatność kartą kredytową). 

Rozporządzenie nie jest opcją, lecz obowiązkiem. W związku z tym, monitorowanie regulacyjne odnoszące się do bezpieczeństwa IT musi być zgodne z lokalnymi przepisami prawnymi. Doradztwa w zakresie wymogów prawnych należy szukać u radców prawnych. 

Co więcej, w systemach informacji muszą być stosowane wszystkie niezbędne środki bezpieczeństwa uwzględniające wymogi regulacyjne.

Kontrola dostępu i zezwolenia


System informacji przechowuje większość danych, co więcej, niektóre informacje są w większym stopniu niż inne narażone na wyciek ze względu na swoją treść, ale również ze względu na nieustannie zmieniające się zagrożenia informatyczne. Niektóre spośród tych danych podlegają regulacji lub zobowiązaniom prawnym (dane Klienta itd.). Dostęp do informacji poufnych musi być w naturalny sposób ściśle ograniczony.

W związku z tym, procedury oraz działania operacyjne są wprowadzone w celu kontrolowania dostępu do systemu informacji, tam, gdzie jest to konieczne. Są to następujące zasady:


– jednoznaczna identyfikacja użytkowników,


– bezpieczne uwierzytelnianie użytkowników, co oznacza, że środki do autentyfikacji są osobiste i poziom bezpieczeństwa jest zapewniony,


– niższe przywileje, co oznacza, że użytkownicy posiadają uprawnienia dostosowane do ich stanowiska, nie mniej i nie więcej,


– potrzeba wiedzy – to oznacza, że użytkownicy mają dostęp tylko do tych usług niezbędnych do wykonywania swojej pracy, nie więcej i nie mniej.

Udoskonalenie śledzenia logów

Liczne wrażliwe operacje przechodzą przez system informacyjny. Warto wymienić tutaj operacje finansowe, operacje na Kliencie lub zarządzanie pracownikami. Operacje te mają być monitorowane zgodnie z zaadaptowanym procesem przepływności.

W konsekwencji, możliwość śledzenia operacji wrażliwych jest zapewniana przez:


– definicję polityki zapisu logów dostosowanym do wagi operacji monitorowania i zgodności z obowiązującymi wymogami prawnymi,

– definiowanie i wdrażanie automatycznych rozwiązań do bezpiecznego zarządzania wszystkimi aspektami procesu zarządzania dziennikami (generowanie, gromadzenie, przechowywania, archiwizacji, czas przechowywania),

Polityka Ochrony danych osobowych

Polityka w swojej treści przedstawia:

  1. opis zasad ochrony danych obowiązujących w Eagle Law,
  2. jeśli jest to niezbędne – również odwołania do załączników uszczegółowiających (wzorcowe procedury lub instrukcje dotyczące poszczególnych obszarów z zakresu ochrony danych osobowych wymagających doprecyzowania w odrębnych dokumentach).

Odpowiedzialny za wdrożenie i utrzymanie niniejszej Polityki jest zarząd Eagle Law, a w ramach zarządu członek zarządu, któremu powierzono nadzór nad obszarem ochrony danych osobowych.

Za stosowanie niniejszej Polityki odpowiedzialni są:

  1. Eagle Law,
  2. cały zespół zatrudniony przez Eagle Law w postaci pracowników biurowych (księgowość, dział prawny, dział marketingu, dział sprzedaży itp.) jak również inżynierów i pracowników terenowych Eagle Law.

Spółka Eagle Law powinna też zapewnić zgodność postępowania kontrahentów z niniejszą Polityką w odpowiednim zakresie, szczególnie w przypadkach gdy mamy do czynienia z przekazaniem im danych osobowych przez Eagle Law. W tym celu Spółka zawiera z kontrahentami, którzy uzyskują dostęp do danych osobowych Klientów Spółki umowy o powierzenie przetwarzania danych osobowych.

Ochrona danych osobowych w Spółce – procedury ochrony.

Podstawy ochrony danych osobowych w Spółce:

  1. Legalność – Spółka dba o ochronę prywatności i przetwarza dane zgodnie z prawem i jedynie na podstawie obowiązujących przepisów prawa.
  2. Bezpieczeństwo – Spółka zapewnia poziom bezpieczeństwa danych odpowiadający sektorowi działalności Spółki, podejmując stale działania w tym zakresie (Spółka korzysta w tym zakresie z usług oferowanych przez podmioty zawodowo trudniące się problematyką ochrony danych, takich jak kancelarie prawne).
  3. Prawa osób fizycznych – Spółka umożliwia osobom fizycznym, których dane przetwarza, wykonywanie swoich praw przyznanych przez przepisy RODO i realizuje te prawa, stosując się do wszystkich, opisanych w niniejszej Polityce stadiów ochrony danych.
  4. Rozliczalność – Spółka dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej chwili móc wykazać zgodność. Dokumentacja przechowywana jest w miejscach odpowiednio chronionych, przy zachowaniu zasad bezpieczeństwa przed wyciekiem danych.
  • Zasady ochrony danych

Spółka przetwarza dane osobowe mając na uwadze przede wszystkim, by przetwarzanie danych następowało:

  1. w oparciu o podstawę prawną i zgodnie z prawem (legalizm),
  2. rzetelnie i z poszanowaniem praw jednostki (rzetelność),
  3. w sposób przejrzysty dla osoby, której dane dotyczą, mając na uwadze, że osoby fizyczne mają ograniczony czas na zaznajomienie się ze sposobami przetwarzania danych, stosowanymi przez Spółkę (transparentność),
  4. w konkretnych celach i nie w bliżej niesprecyzowanym celu – przetwarzanie danych „na przyszłość” (minimalizacja),
  5. jedynie w takim zakresie, jaki jest niezbędny (adekwatność),
  6. z dbałością o to, by przetwarzane przez Spółkę dane były zgodne z rzeczywistością (prawidłowość),
  7. nie dłużej niż jest to niezbędne do wykonania obowiązków wynikających ze stosunku prawnego lub faktycznego łączącego Spółkę z drugą stroną i jedynie w takim zakresie, w jakim Spółka powiadomiła osobę fizyczną o czasie, w jakim dane będą przetwarzane (czasowość),
  8. zapewniając odpowiednie bezpieczeństwo danych z uwagi na potencjalne ryzyka i zagrożenia związane z operacjami, dokonywanymi na danych osobowych (bezpieczeństwo).
  • Stosowane systemy ochrony danych

System ochrony danych osobowych w Eagle Law składa się przede wszystkim takich składników, jak:

  1. Inwentaryzacja danych. Eagle Law dokonuje identyfikacji zasobów danych osobowych w Spółce, klas danych, zależności między zasobami danych, identyfikacji sposobów wykorzystania danych (inwentaryzacja), w tym:
    • przypadków przetwarzania danych osób niezidentyfikowanych przez Spółkę (dane niezidentyfikowane),
    • przypadków przetwarzania danych dzieci (zgodnie z regulaminem Eagle Law dzieci nie są uprawnione do korzystania z oferowanych przez nas usług, niemniej jednak, identyfikujemy każdy potencjalny przypadek, gdy otrzymamy dane osobowe osób nieletnich),
    • profilowania,
  2. Rejestr Przetwarzania Danych Osobowych. Eagle Law opracowuje, prowadzi i utrzymuje rejestr czynności dokonywanych na danych osobowych w Spółce (dalej: „Rejestr” lub „RCPD”). Rejestr jest narzędziem rozliczania zgodności przetwarzania danych osobowych w Spółce z powszechnie obowiązującymi przepisami prawa.
  3. Podstawy prawne. Eagle Law zapewnia, identyfikuje oraz weryfikuje podstawy prawne przetwarzania danych i rejestruje je w Rejestrze, w tym:
    1. utrzymuje system zarządzania zgodami na przetwarzanie danych i komunikację na odległość, by w prosty sposób zdeterminować możliwość komunikacji z osobami fizycznymi w określonych celach;
    2. uzasadnia przypadki, gdy Spółka przetwarza dane na podstawie prawnie uzasadnionego interesu Spółki.
  4. Obsługa praw jednostki. Spółka spełnia obowiązki informacyjne względem osób, których dane przetwarza oraz zapewnia obsługę ich praw (art. 12 ust. 3 RODO), realizując otrzymane w tym zakresie żądania, w tym:
    1. obowiązek informacyjny. Spółka przekazuje osobom wymagane informacje przy zbieraniu danych i w innych sytuacjach (na początkowym etapie wdrażania przepisów RODO, Spółka legalizuje istniejącą bazę danych w zakresie w jakim chodzi o powiadomienie o nowych uprawnieniach przyznanych osobom fizycznym przez RODO) oraz organizuje i zapewnia udokumentowanie realizacji tych obowiązków, tak by móc wykazać ich wypełnienie w przypadku ewentualnej kontroli Urzędu Ochrony Danych Osobowych,
    2. Wykonanie żądań osób fizycznych. Spółka zapewnia możliwość wykonania żądań kierowanych do niej przez osoby fizyczne, których dane osobowe przetwarza zarówno przez siebie i swoich przetwarzających (obowiązki procesorów nałożone w drodze umów o powierzenie przetwarzania danych osobowych),
    3. obsługa żądań osób fizycznych. Spółka zapewnia odpowiednie nakłady finansowe i personalne, jak również procedury, aby żądania osób były realizowane w terminach i w sposób wymagany RODO, jak również by ich wykonanie zostało każdorazowo udokumentowane we właściwy sposób,
    4. zawiadamianie o naruszeniach. Spółka stosuje procedury, które pozwalają ustalić konieczność zawiadomienia osób dotkniętych zidentyfikowanym naruszeniem ochrony danych. W tym celu zarząd Eagle Law nadzoruje procesy przetwarzania danych w ten sposób, by zawiadomienie o naruszeniach mogło nastąpić niezwłocznie, jednak zawsze w terminach nie późniejszych niż określone w powszechnie obowiązujących przepisach prawa.
  5. Minimalizacja. Spółka wdrożyła zasady i metody kompatybilne z określoną przepisami RODO zasadą minimalizacji, w ten sposób by nie przetwarzać danych osobowych zbędnych i nadmiarowych. Spółka poprzez zasadę minimalizacji dąży, by w jej bazie danych nie znajdowały się dane, które nie są absolutnie niezbędne do poprawnego wykonywania stosunków prawnych i  faktycznych łączących ją z jej Klientami i kontrahentami (privacy by default), a w tym:
    1. zasady pomagające efektywnie zarządzać adekwatnością danych już na etapie zbierania danych (formularze przystosowane do niepobierania danych nadmiarowych),
    2. zasady zarządzania dostępem do danych osób fizycznych, które o taki dostęp wnioskują, poprzez odpowiednie przeszkolenie osób odpowiedzialnych za te kwestie na terenie Spółki jak również przygotowanie odpowiedniej procedury działania,
    3. zasady zarządzania okresem przechowywania danych i weryfikacji dalszej przydatności, a w efekcie niezwłocznego usuwania danych osobowych osób fizycznych, gdy wygaśnie podstawa prawna do takiego działania.
  6. Bezpieczeństwo. Spółka zapewnia odpowiedni poziom bezpieczeństwa danych, w tym:
    1. przeprowadza niezbędne analizy ryzyka dla czynności przetwarzania danych lub ich kategorii, stosując przy tym odpowiednią skalę ryzyk, stanowiącą załącznik do Rejestru Czynności Przetwarzania Danych w Spółce,
    2. przeprowadza oceny skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw i wolności osób jest wysokie ze względu na ich charakter lub miejsce przechowywania,
    3. dostosowuje środki ochrony danych do ustalonego ryzyka,
    4. posiada wewnętrzne procedury zarządzania bezpieczeństwem informacji,
    5. stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych Osobowych – zarządza incydentami.
  7. Podmioty Przetwarzające. Spółka posiada zasady weryfikacji podmiotów przetwarzających dane na rzecz spółki, wymogów co do warunków przetwarzania (w tym celu z każdym podmiotem przetwarzającym dane osobowe powierzone przez Spółkę zawierana jest umowa o powierzenie przetwarzania danych osobowych), zasad weryfikacji wykonywania umów powierzenia, przede wszystkim poprzez stosowanie wymogów przedstawienia przez podmioty przetwarzające stosowanych w spółce procedur zabezpieczenia, będących załącznikami do umów powierzenia przetwarzania danych w imieniu Spółki.
  8. Przekazywanie danych do państw trzecich. Spółka weryfikuje czy dane osobowe osób fizycznych nie są przekazywane do państw trzecich (tj. poza teren Unii Europejskiej, Norwegii, Lichtensteinu i Islandii) lub do organizacji międzynarodowych oraz zapewnia zgodne z prawem warunki takiego przekazywania, jeśli ma ono miejsce.
  9. Privacy by design. Spółka zarządza zmianami wpływającymi na prywatność i kontroluje je w odpowiedni ze względu na przepisy o ochronie danych osobowych sposób. W tym celu procedury uruchamiania nowych projektów i inwestycji w Spółce uwzględniają konieczność oceny wpływu zmiany na ochronę danych, analizę ryzyka, zapewnienie prywatności (a w tym zgodności celów przetwarzania, bezpieczeństwa danych i minimalizacji) już w fazie projektowania zmiany, inwestycji czy na początku nowego projektu.
  10. Przetwarzanie transgraniczne. Spółka każdorazowo weryfikuje czy nie zachodzi przypadek transgranicznego przetwarzania danych osobowych, by w tym celu wypełnić wszystkie prawne obowiązki nakładane w związku z tym na administratora.

INWENTARYZACJA

4.2.1. Dane szczególnych kategorii i dane karne

Spółka nie identyfikuje przypadków, w których przetwarza lub może przetwarzać dane szczególnych kategorii lub dane karne w związku z czym nie jest niezbędne utrzymywanie mechanizmów dedykowanych zapewnieniu zgodności przetwarzania tych kategorii danych osobowych z prawem.

  • Dane niezidentyfikowane

Spółka identyfikuje przypadki, w których przetwarza lub może przetwarzać dane niezidentyfikowane, w związku z czym gdy zachodzi taka konieczność, podejmuje wszystkie niezbędne czynności ułatwiające realizację praw osób, których dotyczą dane niezidentyfikowane.

  • Profilowanie 

Spółka identyfikuje przypadki, w których dokonuje profilowania przetwarzanych danych w związku z czym podejmuje wszelkie środki i starania, by ten proces odbywał się zgodnie z prawem i poszanowaniem praw osób fizycznych, których dane są przetwarzane.

  • Współadministrowanie 

Spółka nie identyfikuje przypadków współadministrowania danymi osobowymi.

REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH (DALEJ: „RCPD”)

  1. RCPD Stanowi  formę dokumentowania czynności przetwarzania danych, pełni rolę mapy przetwarzania danych i jest jednym z podstawowych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności tak, by nie tylko podmioty kontrolujące przetwarzanie danych mogły w czytelny sposób określić sposób wykonywania obowiązków nałożonych na administratora danych, ale również administrator mógł zidentyfikować wewnętrzne naruszenia i reagował na nie.
  2. Eagle Law prowadzi RCPD, w którym inwentaryzuje i nadzoruje sposoby, w jakie wykorzystuje dane osobowe.
  3. RCPD jest, obok niniejszego dokumentu, który Spółka przekazuje współpracownikom w celach edukacyjnych i informacyjnych, jednym z podstawowych narzędzi umożliwiających Spółce rozliczanie większości obowiązków ochrony danych.
  4. W RCPD dla każdej czynności przetwarzania danych, którą Spółka uznała za odrębną dla potrzeb RCPD, Spółka odnotowuje co najmniej:
  • nazwę czynności,
  • jednostkę organizacyjną
  • cel przetwarzania,
  • kategorie osób,
  • kategorie danych,
  • podstawę prawną przetwarzania,
  • źródło danych,
  • planowany termin usunięcia kategorii danych,
  • nazwę współadministratora i jego dane kontaktowe (jeśli dotyczy),
  • nazwę podmiotu przetwarzającego i jego dane kontaktowe (jeśli dotyczy)
  • kategorie odbiorców (jeśli dotyczy),
  • nazwę systemu lub oprogramowania, używanego przy przetwarzaniu danych osobowych,
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa zgodnie z art. 32 ust. 1,
  • transfer do kraju trzeciego lub organizacji międzynarodowej (nazwa kraju i podmiotu),
  • jeśli transfer i art. 49 ust. 1 akapit drugi – dokumentacja odpowiednich zabezpieczeń.

Wzór RCPD stanowi Załącznik nr 1 do Polityki – „Wzór Rejestru Czynności Przetwarzania Danych”, Wzór RCPD zawiera także kolumny niewymagane prawem. W kolumnach nieobowiązkowych Spółka rejestruje informacje w miarę potrzeb i możliwości, z uwzględnieniem tego, że pełniejsza treść RCPD ułatwia zarządzanie zgodnością ochrony danych i rozliczenia z niej.  Do rejestru spółka dołącza skalę ryzyk, która w pełniejszy sposób pozwala określić zagrożenia związane z przetwarzaniem konkretnych kategorii danych, by w najlepszy możliwy sposób dopasować środki ochrony do kategorii przetwarzanych danych.

PODSTAWY PRAWNE PRZETWARZANIA

  1. Eagle Law dokumentuje w RCPD podstawy prawne przetwarzania danych osobowych dla poszczególnych czynności przetwarzania, by móc dostosowywać rejestr do nowelizacji aktów prawnych, z których wynikają obowiązki.
  2. Eagle Law wdraża metody zarządzania zgodami, umożliwiające rejestrację i weryfikację posiadania zgody osoby na przetwarzanie jej konkretnych danych w konkretnym celu na każdym etapie przetwarzania danych, zgody na komunikację na odległość zgodnie z przepisami ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. 2004 Nr 171 poz. 1800) oraz ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2002 Nr 144 poz. 1204) jak również rejestracją odmowy zgody, cofnięcia zgody i podobnych czynności (sprzeciw, żądanie usunięcia danych itp.).
  3. Poprzez wskazanie w dokumentach ogólnej podstawy prawnej (zgoda, umowa, obowiązek prawny, żywotne interesy, uzasadniony cel Spółki), Eagle Law dookreśla podstawę w precyzyjny sposób, gdy jest to potrzebne i niezbędne ze względu na kategorię danych osobowych i zasadę przejrzystości. W ten sposób Spółka wskazuje np. zakres uzyskiwanej zgody, przedstawiając jednocześnie cel, w jakim jest ona uzyskiwana, a gdy podstawą jest prawo – wskazując konkretny przepis i inne dokumenty, np. umowę, porozumienie administracyjne itp. – wskazując kategorie zdarzeń, w których się zmaterializują, uzasadniony cel – wskazując konkretny cel, np. marketing bezpośredni, obronę przed roszczeniami jak również możliwość ich dochodzenia.

PROCEDURY OBSŁUGI PRAW JEDNOSTKI I OBOWIĄZKÓW INFORMACYJNYCH

  1. Eagle Law dba o czytelność przekazywanych informacji i komunikacji z osobami, których dane przetwarza, tak by mieć pewność, że osoba zapoznała się z przekazywanymi informacjami oraz że w pełni zrozumiała ich treść. W tym celu Spółka współpracuje z podmiotami zewnętrznymi (radcy prawni) w celu stworzenia obowiązków informacyjnych o treści możliwie najbardziej przejrzystej i zgodnej z przepisami powszechnie obowiązującego prawa.
  2. Eagle Law ułatwia osobom korzystanie z ich praw poprzez działania takie jak: umieszczanie na stronie internetowej Spółki linków do informacji o prawach osób, sposobie korzystania z nich w Spółce, jak również metodach kontaktu ze Spółką w tym celu.
  3. Eagle Law dba o dotrzymywanie prawnych terminów realizacji obowiązków względem osób fizycznych, których dane osobowe przetwarza poprzez stosowanie odpowiednich procedur i formularzy, za pomocą których udziela odpowiedzi na żądania i pytania kierowane do Spółki w przedmiocie ochrony danych osobowych osób fizycznych, których dane są przetwarzane.
  4. Eagle Law wprowadza adekwatne metody identyfikacji osób dla potrzeb realizacji praw jednostki i obowiązków informacyjnych w ten sposób, by osoby nieuprawnione nie uzyskały dostępu do danych osobowych, które ich nie dotyczą.
  5. W celu realizacji praw jednostki Eagle Law zapewnia procedury i mechanizmy pozwalające zidentyfikować dane konkretnych osób, przetwarzane przez Spółkę, w celu skutecznej odpowiedzi na żądania osób fizycznych, udostępniając im dane osobowe ich dotyczące jak również dając im możliwość skorzystania z takich uprawnień jak sprostowanie danych, ich usunięcie czy przeniesienie (w takim zakresie, w jakim to możliwe).
  6. Eagle Law dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań osób fizycznych w celu zachowania transparentności działania Spółki w dziedzinie ochrony danych osobowych.

OBOWIĄZKI INFORMACYJNE 

  1. Eagle Law, w porozumieniu z podmiotami zewnętrznymi (radcy prawni) określa zgodne z prawem i skuteczne sposoby wykonywania obowiązków informacyjnych.
  2. Eagle Law informuje osobę o przedłużeniu ponad jeden miesiąc terminu na rozpatrzenie żądania tej osoby (art. 12 ust. 3 RODO) w przypadku, gdy rozpatrzenie jej żądania przed upływem tego terminu jest niemożliwe.
  3. Eagle Law informuje osobę o przetwarzaniu jej danych, w sytuacji gdy dane osobowe pozyskane są bezpośrednio od tej osoby.
  4. Eagle Law informuje osobę o przetwarzaniu danych osobowych, również w sytuacji gdy dane osobowe nie są  pozyskane bezpośrednio od tej osoby.
  5. Eagle Law informuje osobę o planowanej zmianie celu przetwarzania danych, jeśli zachodzi taka sytuacja.
  6. Eagle Law informuje odbiorców danych o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych osobowych (chyba, że wymagałoby to niewspółmiernie dużego wysiłku lub byłoby niemożliwe).
  7. Eagle Law informuje osobę o prawie sprzeciwu jak również wszystkich przysługujących jej prawach, których źródłem jest art. 13 lub 14 RODO, względem przetwarzania jej danych osobowych najpóźniej przy pierwszym kontakcie z tą osobą.
  8. Eagle Law bez zbędnej zwłoki zawiadamia osobę o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby.

ŻĄDANIA OSÓB FIZYCZNYCH, KTÓRYCH DANE PRZETWARZA SPÓŁKA

  1. Prawa osób trzecich. Realizując prawa osób, których dane dotyczą, Eagle Law wprowadza gwarancje ochrony praw osób trzecich w przedmiocie ochrony ich danych osobowych. W sytuacji gdy np. wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych mogłoby wpłynąć niekorzystnie na prawa i wolności innych osób lub w sposób istotny naruszyć ich interesy prawne (np. prawa związane z ochroną danych innych osób gdy Spółka musiałaby udostępnić dokumenty zawierające dane osobowe zainteresowanego, które zawierają również dane osobowe innych osób, które nie mogą być z różnych względów zanonimizowane, prawa własności intelektualnej, tajemnicę handlową lub dobra osobiste), Spółka może się zwrócić do osoby w celu wyjaśnienia wątpliwości lub odmówić zadośćuczynienia żądaniu.
  2. Odmowa zadośćuczynienia żądaniu. Eagle Law, w drodze przesłania odpowiedniego formularza, informuje osobę, w ciągu miesiąca od otrzymania żądania, o odmowie rozpatrzenia żądania i o prawach osoby z tym związanych w przypadku gdy z różnych względów, o których mowa w niniejszym dokumencie lub wynikających bezpośrednio z powszechnie obowiązujących przepisów prawa (np. obowiązki podatkowe) spełnienie żądania osoby jest niemożliwe.
  3. Dostęp do danych osobowych. Na żądanie osoby dotyczące dostępu do jej danych, Eagle Law informuje osobę, czy przetwarza jej dane oraz informuje osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO (zakres przetwarzania odpowiada obowiązkowi informacyjnemu przy zbieraniu danych). Spółka umożliwia dostęp do danych osobowych osobie, która o to wnioskuje, jednak tylko w przypadku gdy nie zagraża to naruszeniem danych osobowych innych osób (brak możliwości zanonimizowania danych osobowych niedotyczących bezpośrednio osoby kierującej żądanie lub ryzyko udostępnienia tajemnicy handlowej itp.). Dostęp do danych może być zrealizowany przez wydanie kopii danych, z zastrzeżeniem, że każda kolejna (po pierwszej) kopia danych osobowych jest kopią, za którą Spółka może pobrać odpowiednie opłaty, uzasadnione nakładem pracy związanym z jej uzyskaniem i wydaniem osobie zainteresowanej.
  4. Zaprzestanie przetwarzania. Eagle Law informuje osobę o tym, że nie przetwarza danych jej dotyczących, jeśli taka osoba zgłosiła żądanie dotyczące jej praw.
  5. Sprostowanie danych. Eagle Law dokonuje sprostowania nieprawidłowych danych na żądanie osoby fizycznej, której dane osobowe przetwarzane przez Spółkę dotyczą. Spółka ma prawo odmówić sprostowania danych, chyba że osoba w rozsądny sposób wykaże nieprawidłowość danych, których sprostowania się domaga.
  6. Uzupełnienie danych. Eagle Law uzupełnia i aktualizuje dane na żądanie osoby. Spółka ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych w związku z faktem przekazanych już osobie fizycznej dokumentów informującym ją o celach przetwarzania (np. Eagle Law nie powinien zgodnie z niniejszym dokumentem przetwarzać danych, które są zbędne lub nadmiarowe). Spółka może polegać na oświadczeniu osoby co do uzupełnianych danych, chyba że będzie to niewystarczające w świetle przyjętych przez Spółkę procedur (np. co do pozyskiwania takich danych), prawa lub zaistnieją okoliczności faktyczne uzasadniające obawy, że oświadczenie osoby, która kieruje żądanie jest niewiarygodne.
  7. Kopie danych. Na żądanie, Eagle Law wydaje osobie kopię danych jej dotyczących i odnotowuje fakt wydania pierwszej kopii danych, z zastrzeżeniem sytuacji zawartych w niniejszym dokumencie, związanych z możliwością naruszenia danych osobowych osób trzecich.
  8. Przenoszenie danych. Na żądanie osoby, Eagle Law wydaje w powszechnie używanym formacie nadającym się do odczytu komputerowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła ona Spółce, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z nią zawartej w systemach informatycznych Spółki.
  9. Prawo do odwołania przy przetwarzaniu danych osobowych. Jeżeli Eagle Law przetwarza dane w sposób automatyczny, w tym w szczególności profiluje osoby, Spółka zapewnia jednocześnie możliwość odwołania się do decyzji współpracownika lub członka zarządu, upoważnionego do tego typu działania po stronie Spółki, chyba że taka automatyczna decyzja 
  • jest niezbędna do zawarcia lub wykonania umowy między odwołującą się osobą a Spółką,
  • jest wprost dozwolona przepisami prawa,
  • opiera się na wyraźnej zgodzie odwołującej osoby.
Usunięcie danych. Na żądanie osoby, Eagle Law usuwa jej dane, gdy:
  1. dane nie są niezbędne do celów, w których zostały zebranie, ani przetwarzane w innych zgodnych z prawem celach lub celach wymaganych przepisami prawa,
  2. zgoda na ich przetwarzanie została cofnięta, a Spółka nie dysponuje inną podstawą prawną przetwarzania,
  3. osoba fizyczna, której dane osobowe są przetwarzane wniosła skuteczny sprzeciw względem przetwarzania tych danych,
  4. dane były przetwarzane niezgodnie z prawem,
  5. konieczność usunięcia wynika z obowiązku prawnego,
  6. żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług oferowanych bezpośrednio dziecku.

Eagle Law określa sposób realizacji prawa do usunięcia danych mając przy tym na uwadze obowiązek zapewnienia efektywnej realizacji tego prawa. Mowa przede wszystkim o zasadzie bezpieczeństwa, a także poszanowaniu obowiązku weryfikacji, czy nie zachodzą wyjątki, o których mowa w art. 17 ust. 3 RODO.

Jeżeli dane podlegające usunięciu zostały upublicznione przez Spółkę na stronie internetowej lub w celu marketingowym wydarzenia organizowanego przez Spółkę lub takiego, w którym Spółka bierze czynny udział, przy jednoczesnym założeniu otrzymania niezbędnych zgód osób, których dane osobowe są przetwarzane w ten sposób, Spółka podejmuje rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe o potrzebie usunięcia danych i dostępu do nich.

W przypadku usunięcia danych Spółka informuje osobę o odbiorcach danych, na żądanie tej osoby.

  1. Ograniczenie przetwarzania. Eagle Law dokonuje ograniczenia przetwarzania danych na żądanie osoby, gdy:
    • dane osobowe przetwarzane przez Spółkę są kwestionowane przez osobę fizyczną, której dane dotyczą– na okres niezbędny z punktu widzenia weryfikacji ich prawidłowości,
    • przetwarzanie jest niezgodne z prawem, jednak osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, chcąc jedynie by ich przetwarzanie zostało ograniczone ze względu na wskazane przez nią cele,
    • Eagle Law nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
    • osoba wniosła sprzeciw względem przetwarzania jej danych osobowych – do czasu stwierdzenia, czy po stronie Eagle Law zachodzą prawnie uzasadnione podstawy prawne nadrzędne wobec podstaw sprzeciwu (np. przepisy podatkowe i inne).

W trakcie ograniczenia przetwarzania Eagle Law przechowuje dane osobowe, natomiast nie wykorzystuje ich oraz nie przekazuje osobom trzecim, ani innym podmiotom odrębnym od Spółki i jej pracowników, uprawnionych do dostępu do przedmiotowych danych. Wyjątkiem jest wyraźna zgoda osoby, której dane dotyczą jak również ustalenie, dochodzenie lub obrona roszczeń.

W przypadku ograniczenia przetwarzania danych, Eagle Law na żądanie osoby, której przetwarzane dane osobowe dotyczą, informuje tę osobę o odbiorcach danych.

2. Sprzeciw przeciwko przetwarzaniu danych osobowych. Jeżeli osoba zgłosi umotywowany sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez Eagle Law w oparciu o uzasadniony interes Spółki lub o powierzone Spółce zadanie w interesie publicznym, Spółka uwzględni sprzeciw. Wyjątkiem od tego jest sytuacja, gdypo stronie spółki zachodzą ważne, prawnie uzasadnione podstawy do przetwarzania, które ze względu na całokształt okoliczności i powszechnie obowiązujące przepisy prawa należy uznać za nadrzędne wobec interesów i praw osoby zgłaszającej sprzeciw.

Sprzeciw względem marketingu bezpośredniego. Jeżeli osoba fizyczna, której dane osobowe są przetwarzane przez Eagle Law zgłosi sprzeciw względem przetwarzania jej danych przez Spółkę na potrzeby marketingu bezpośredniego, Spółka uwzględni sprzeciw i zaprzestanie takiego przetwarzania, bez wyjątków motywowanych sytuacją faktyczną lub przepisami prawa.

MINIMALIZACJA PRZETWARZANIA DANYCH

Eagle Law dba o minimalizację przetwarzania danych osobowych z punktu widzenia zasad, takich jak:

  1. adekwatności przetwarzanych danych osobowych do celów, dla których są one przetwarzane,
  2. dostępu do danych osobowych przetwarzanych przez Spółkę,
  3. czasu przechowywania danych osobowych.
    1. Minimalizacja dostępu do danych osobowych

Eagle Law stosuje ograniczenia dostępu do danych osobowych, które mają charakter prawny (zobowiązania współpracowników do poufności, upoważnienia współpracowników posiadających dostęp do danych osobowych), fizyczny (dostęp do plików z danymi osobowymi tylko dla osób upoważnionych w ten sposób by możliwie zminimalizować ryzyko wycieku danych, zamykanie pomieszczeń) i logistyczny (przydzielenie odpowiednich haseł dostępu do danych osobowych w ten sposób, by zminimalizować ryzyko dostępu do danych osób nieupoważnionych).

Eagle Law stosuje również kontrolę dostępu fizycznego poprzez niedopuszczanie do miejsc pracy Klientów i osób, które nie podpisały ze Spółką umowy współpracy i odpowiednich aneksów upoważniających ich do dostępu do danych osobowych jak również oświadczeń w zakresie zachowania poufności.

Eagle Law dokonuje aktualizacji uprawnień dostępowych przy zmianach w składzie personelu i zmianach ról osób oraz zmianach podmiotów przetwarzających.

Eagle Law dokonuje okresowego przeglądu systemów i aktualizuje ich nie rzadziej niż raz na rok.

  • Minimalizacja czasu przetwarzania danych

Eagle Law wdraża mechanizmy kontroli przetwarzania danych osobowych w Spółce na wszystkich etapach przetwarzania, w tym weryfikacji dalszej przydatności danych względem terminów i punktów kontrolnych wskazanych w RCPD jak również w obowiązkach informacyjnych, przekazywanych osobom, których dane osobowe są przetwarzane.

Dane osobowe, których zakres przydatności ulega ograniczeniu wraz z upływem czasu są usuwane z systemów informatycznych Spółki jak też z miejsc przechowywania dokumentów, zawierających dane osobowe.
Dane osobowe, o których mowa powyżej mogą być archiwizowane w uzasadnionych przypadkach oraz znajdować się na kopiach zapasowych systemów i informacji przetwarzanych przez Eagle Law.

  • Minimalizacja zakresu przetwarzania danych 

Przy wdrażaniu do funkcjonowania Spółki RODO, Eagle Law zweryfikował zakres pozyskiwanych danych osobowych, zakres w jakim przedmiotowe dane są przetwarzane jak również ilość przetwarzanych danych osobowych pod kątem adekwatności do celów przetwarzania.

Eagle Law zobowiązuje się dokonywać okresowego przeglądu treści przetwarzanych danych osobowych, ich ilości i zakresu ich przetwarzania nie rzadziej niż raz na rok.

Eagle Law przeprowadza weryfikację zmian co do ilości i zakresu przetwarzania danych osobowych, w sposób o którym mowa powyżej, w ramach procedur zarządzania przedmiotową zmianą (privacy by design).

  • BEZPIECZEŃSTWO PRZETWARZANIA DANYCH W SPÓŁCE

Analizy ryzyka

Eagle Law zapewnia stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw osób fizycznych w związku z charakterem danych osobowych, które są przetwarzane jak również miejsc, w których dane są przechowywane.

Eagle Law przeprowadza i dokumentuje analizy adekwatności środków bezpieczeństwa danych osobowych. W tym celu:

  1. Eagle Law zapewnia odpowiedni stan wiedzy o bezpieczeństwie informacji i cyberbezpieczeństwie – wewnętrznie oraz ze wsparciem podmiotów wyspecjalizowanych (kancelarie prawne wyspecjalizowane w zakresie ochrony danych osobowych na terenie przedsiębiorstw).
  2. Eagle Law kategoryzuje dane osobowe oraz czynności przetwarzania pod kątem ryzyka, które przedstawiają tworząc przy tym odpowiedni rejestr przetwarzania danych, na którym opiera się Spółka przy doborze procedur ochrony danych osobowych.
  3. Eagle Law przeprowadza analizy ryzyka naruszenia praw osób fizycznych dla czynności przetwarzania danych osobowych lub ich kategorii. Eagle Law analizuje możliwe sytuacje i scenariusze naruszenia ochrony danych osobowych, uwzględniając charakter i zakres jak również cele przetwarzania, ryzyko naruszenia praw osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, w szczególności ze względu na rodzaj i charakter przetwarzanych danych osobowych.
  4. Eagle Law ustala możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa i ocenia koszt ich wdrażania. W tym celu Eagle Law ustala przydatność i stosuje takie środki i podejście, jak:
    1. pseudonimizacja,
    2. szyfrowanie danych osobowych,
    3. inne środki, składające się na zdolność do ciągłego zapewniania poufności, integralności, dostępności i adekwatności działalności systemów i usług przetwarzania, w tym przede wszystkich systemów informatycznych,
    4. środki zapewnienia ciągłości działania i zapobiegania skutkom awarii systemowych, czyli zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, tak aby Spółka mogła zapewnić:
      1. zabezpieczenie przed wyciekiem danych osobowych przetwarzanych przez Spółkę,
      2. możliwość efektywnego korzystania z praw przyznawanych osobom fizycznym przez RODO (art. 15-22 RODO).

Oceny skutków dla ochrony danych

Eagle Law dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych tam, gdzie zgodnie z analizą ryzyka (stanowiącą załącznik do RCPD), ryzyko naruszenia praw i wolności osób jest wysokie.

  • Środki bezpieczeństwa podejmowane przez spółkę

Eagle Law stosuje środki bezpieczeństwa ustalone w ramach analiz ryzyka, właściwych dla poszczególnych kategorii przetwarzania danych jak również adekwatności podejmowanych środków bezpieczeństwa oraz ocen skutków dla ochrony danych osobowych.

Środki bezpieczeństwa danych osobowych stanowią element środków bezpieczeństwa informacji i zapewnienia cyberbezpieczeństwa w Spółce.

  • Raportowanie naruszeń

Eagle Law stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych osobowych Urzędowi Ochrony Danych Osobowych w terminie 72 godzin od ustalenia naruszenia jak również zawiadomienie osoby, której dane osobowe przetwarzane przez Spółkę zostały naruszone, tak by zainteresowana osoba mogła podjąć niezbędne kroki w celu ochrony swoich praw.

PODMIOT PRZETWARZAJĄCY DANE OSOBOWE (TZW. „PROCESOR”)

Eagle Law posiada zasady doboru i weryfikacji podmiotów przetwarzających dane na rzecz i w imieniu Spółki. Przedmiotowe zasady i procedury zostały opracowane w celu zapewnienia, aby przetwarzający zapewniali gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa, realizacji praw jednostki i innych obowiązków ochrony danych spoczywających na Spółce, w sposób o którym stanowią postanowienia RODO, dostosowany jednocześnie do specyfiki Spółki tak, by jak najskuteczniej chronić przetwarzane dane osobowe.

Eagle Law przyjął odpowiednie wymagania co do umowy powierzenia przetwarzania danych.

Eagle Law rozlicza przetwarzających z  wykorzystania podwykonawców przetwarzania danych osobowych, jak też z innych wymagań wynikających z zasad powierzenia danych osobowych. W tym celu Spółka nakłada na podmioty przetwarzające obowiązki przestrzegania reguł bezpieczeństwa u podwykonawców przetwarzania w zakresie w jakim mowa o nałożeniu na te podmioty dokładnie takich samych wymagań faktycznych i prawnych jak na podmioty przetwarzające dane osobowe w imieniu administratora.

PRZESYŁANIE DANYCH DO PAŃSTW TRZECICH

Eagle Law rejestruje w RCPD przypadki eksportu danych osobowych, czyli przekazywania danych poza Europejski Obszar Gospodarczy (EOG w 2018 r. = Unia Europejska, Islandia, Lichtenstein i Norwegia).

Aby uniknąć sytuacji nieautoryzowanego eksportu danych osobowych do państw trzecich, w szczególności w związku z wykorzystaniem publicznie dostępnych usług chmurowych, Spółka okresowo weryfikuje zachowania użytkowników.

PROJEKTOWANIE PRYWATNOŚCI

Eagle Law w sposób aktywny reaguje na zmiany w zakresie przetwarzania danych osobowych, które mają lub mogą mieć wpływ na prywatność w taki sposób, aby umożliwić zapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz minimalizacji ich przetwarzania.

W tym celu zasady prowadzenia projektów i przedsięwzięć przez Eagle Law odwołują się do zasad bezpieczeństwa danych osobowych i minimalizacji, wymagając oceny wpływu na prywatność i ochronę danych osobowych. Spółka planując nowe projekty, uwzględnia bezpieczeństwo i minimalizację przetwarzania danych osobowych od początku projektu.

Klasyfikacja dokumentów

Ten dokument jest sklasyfikowany jako „dokument wewnętrzny Eagle Law” i nie powinien być ujawniany na zewnątrz firmy bez formalnej zgody Zarządu Spółki.

Własność, aktualizacja i przegląd

Niniejsza Polityka Ochrony Danych Osobowych i Bezpieczeństwa Systemu Informacji jest własnością Eagle Law.  Aktualizacja tego dokumentu jest wykonywana przez Zarząd Spółki lub osoby do tego upoważnione.