Ochrona danych osobowych
KRKA-POLSKA Sp. z o.o. (dalej: Krka) zachęca do poszanowania podstawowych praw jednostek i zwraca szczególną uwagę na bezpieczeństwo i ochronę przetwarzanych danych osobowych.
Zobowiązanie Krka
Krka zobowiązuje się do bezpiecznego przetwarzania danych osobowych zapewniając ich poufność, dotyczących osób fizycznych, w tym swoich pracowników, udziałowców, kontrahentów, użytkowników strony internetowej i innych zainteresowanych podmiotów. Jednocześnie Krka zapewnia, że dane osobowe są przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osób, których dane dotyczą, zapewniając wykonywanie praw tych osób w odniesieniu do przetwarzania ich danych osobowych.
Polityka Bezpieczeństwa i Ochrony Danych Osobowych
W celu realizacji powyższego zobowiązania, Krka przyjęła nową Politykę Bezpieczeństwa i Ochrony Danych Osobowych, zapewniając zgodność przetwarzania danych osobowych z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO) oraz innymi właściwymi przepisami prawa. Nowoprzyjęta Procedura wraz z innymi regulacjami wewnętrznymi Krka, stanowią politykę Grupy Krka w zakresie ochrony danych osobowych, która gwarantuje, że dane osobowe są gromadzone i przetwarzane w określonych celach, zgodnie z zasadą minimalizacji danych i zapewnia, że dane osobowe będą jedynie przechowywane przez okres niezbędny do osiągnięcia celu, dla którego zostały zgromadzone.
Zakres
Nasza Polityka Bezpieczeństwa i Ochrony Danych Osobowych ma zastosowanie do osób, które przekazują nam dane osobowe, w szczególności: pracowników Krka, kandydatów do pracy, udziałowców, klientów, dostawców, lekarzy, farmaceutów, itp.
Kogo wiąże Polityka Bezpieczeństwa i Ochrony Danych Osobowych
Polityka Bezpieczeństwa i Ochrony Danych Osobowych jest wiążąca dla każdej osoby lub podmiotu, z którym współpracuje Krka lub który działa w imieniu Krka i okazjonalnie wymaga dostępu do danych osobowych. Wszyscy pracownicy Grupy Krka, wykonawcy, kontrahenci, doradcy i inne zewnętrzne podmioty, które przetwarzają dane osobowe są zobowiązani do jej przestrzegania.
Elementy Polityki Bezpieczeństwa i Ochrony Danych Osobowych
Aby móc realizować procesy dotyczące naszej działalności, konieczne jest gromadzenie i przetwarzanie danych osobowych. Obejmują one dane umożliwiające identyfikację osoby, której dane dotyczą, takie jak imię, nazwisko, adres, nazwy użytkowników i hasła, ślady działalności w świecie cyfrowym, zdjęcia, numery PESEL, Numery Identyfikacji Podatkowej, itp.
Krka gromadzi takie dane w przejrzysty sposób i tylko w oparciu o pełną współpracę i świadomość zainteresowanych osób. Po uzyskaniu takich danych obowiązują poniższe zasady:
Dane osobowe gromadzone przez Krka powinny być:
- zbierane w sposób uczciwy i wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach;
- dokładne, aktualne i adekwatne;
- przetwarzane w zakresie dozwolonym prawem i dobrymi obyczajami;
- zabezpieczone przed nieautoryzowanym lub niezgodnym z prawem dostępem osób z wewnątrz lub zewnątrz spółki.
Dane osobowe gromadzone przez Krka nie powinny być:
- przeniesione poza struktury Krka bez podstawy prawnej;
- przechowywane przez okres dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane;
- przekazywane do państw trzecich lub organizacji międzynarodowych, które nie mają odpowiednich przepisów dotyczących bezpieczeństwa i ochrony danych osobowych;
- przekazywane/ujawniane innym podmiotom niż tym, na które zgodziła się osoba, której dane dotyczą (poza sytuacją, gdy jest konieczne przekazanie danych osobowych do odpowiednich organów na podstawie przepisów prawa).
Oprócz odpowiedniego administrowania i zarządzania danymi osobowymi, Krka ma również bezpośredni obowiązek wobec osób, których dane dotyczą. Zgodnie z RODO i innymi obowiązującymi przepisami dotyczącymi ochrony danych osobowych, Krka zapewnia w szczególności:
- informowanie osób, których dane dotyczą w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie o danych osobowych dotyczących tych osób przetwarzanych przez Krka, kategoriach gromadzonych/przetwarzanych danych osobowych tych osób, celu gromadzenia/przetwarzania ich danych osobowych, okresie przechowywania ich danych osobowych, czy dane osobowe są przekazywane do innych podmiotów, w tym czy są przekazywane do państw trzecich lub organizacji międzynarodowych, itp.;
- usuwanie niedokładnych danych osobowych;
- usuwanie wszystkich danych osobowych, w przypadku gdy spełnione są warunki usunięcia, np. po wycofaniu zgody przez osobę, której dane dotyczą;
- procedury postępowania w przypadku zagubionych, uszkodzonych lub naruszonych danych.
Podejmowane działania
Niniejszym zobowiązujemy się do podejmowania następujących działań związanych z ochroną danych osobowych:
- ograniczenie i kontrola dostępu do poszczególnych kategorii danych osobowych;
- opracowanie i wdrożenie przejrzystych procedur gromadzenia danych osobowych;
- szkolenie pracowników w zakresie wdrażania fizycznych i technicznych środków ostrożności;
- utworzenie bezpiecznej sieci do ochrony danych osobowych przed cyberatakami;
- ustanowienie przejrzystych procedur zgłaszania naruszeń prywatności lub oszustw w związku z danymi osobowymi;
- włączenie klauzul umownych lub jasnych instrukcji dotyczących przetwarzania danych osobowych;
- ustanowienie najlepszych praktyk związanych z ochroną danych osobowych (tj. polityka czystego biurka i ekranu komputerowego, instrukcja dotycząca niszczenia dokumentów, bezpieczne blokowanie, szyfrowanie danych, regularne tworzenie kopii zapasowych, autoryzacje dostępu, itp.).
Jedyny wspólnik KRKA-POLSKA, tj. spółka Krka d.d. Novo mesto posiada certyfikat ISO 27001, co oznacza, że wdraża dobre praktyki ochrony danych zgodnie z ISO 27001 - Systemy zarządzania bezpieczeństwem informacji.
Zasady Krka dotyczące bezpieczeństwa i ochrony danych osobowych są określone w następujących dokumentach:
- Polityka bezpieczeństwa i ochrony danych osobowych zamieszczona na naszej stronie internetowej, która szczegółowo opisuje system ochrony danych osobowych;
- Załącznik do Polityki Bezpieczeństwa i Ochrony Danych Osobowych, który zawiera krótki opis technicznych i organizacyjnych środków ostrożności w zakresie ochrony danych osobowych;
- Rejestry czynności przetwarzania danych osobowych - opisy zbiorów danych osobowych.
Konsekwencje dyscyplinarne
Pracownicy Krka są zobowiązani do przestrzegania wszystkich zasad opisanych w Polityce, co stanowi jeden z podstawowych obowiązków pracowniczych. Naruszenie przepisów dotyczących ochrony danych osobowych może prowadzić do zastosowania wszelkich środków dyscyplinarnych wobec osoby naruszającej.