1. Odpowiedzialność za przetwarzanie danych osobowych.
1.1 Realizację zadań z zakresu ochrony danych osobowych w Leadenhall nadzoruje Zarząd.
1.2 Leadenhall powołał Inspektora Ochrony Danych Zarząd, któremu zostały delegowane niektóre czynności z zakresu ochrony danych osobowych. Kontakt z Inspektorem Ochrony Danych Osobowych w Leadenhall jest możliwy pod adresem daneosobowe@leadenhall.pl
1.3 Za stosowanie niniejszej Polityki odpowiedzialny jest Zarząd oraz wszyscy pracownicy i osoby trzecie, które w ramach wykonywania swoich zadań w imieniu lub na rzecz Leadenhall uczestniczą w przetwarzaniu danych osobowych.
2. Cele i zasady przetwarzania danych osobowych.
2.1 Leadenhall przetwarza dane osobowe w celach związanych z przedmiotem swojej działalności statutowej, w szczególności dane osobowe ubezpieczających, ubezpieczonych, beneficjentów, osób uposażonych, osób dochodzących roszczeń z tytułu umów ubezpieczenia zawieranych za pośrednictwem Leadenhall, a także pracowników, osób ubiegających się o pracę i innych osób trzecich w celu realizacji obowiązków wynikających z powszechnie obowiązujących przepisów praw.
2.2 Niniejsza Polityka ma zastosowanie do wszystkich danych osobowych przetwarzanych w Leadenhall tak za pośrednictwem systemów IT, jak również w formie papierowej, za pomocą innych mediów lub ustnie.
2.3 Leadenhall przetwarza dane osobowe zgodnie z następującymi zasadami wynikającymi z powszechnie obowiązujących przepisów prawa oraz regulacji wewnętrznych Leadenhall (w tym niniejszej Polityki):
2.3.1 zgodności z prawem, uczciwości i przejrzystości (przetwarzanie danych osobowych musi mieć podstawę prawną; musi szanować interesy i prawa podmiotów danych; musi być przejrzyste dla podmiotów danych);
2.3.2 ograniczenia celu przetwarzania (cel przetwarzania danych osobowych musi być konkretny, wyraźny i prawnie uzasadniony, a dane osobowe nie mogą być przetwarzane niezgodnie z tym celem);
2.3.3 minimalizacji przetwarzania danych osobowych (zakres danych powinien być odpowiedni i niezbędny do ustalonych celów przetwarzania);
2.3.4 poprawności danych osobowych (przetwarzane dane powinny być prawdziwe, kompletne i aktualne) z zachowaniem:
- ograniczenia okresu przetwarzania do niezbędnego minimum,
- integralności, poufności i dostępności (tj. dane są przetwarzane w sposób zapewniający ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem dostępem, przetwarzaniem, przypadkową utratą, zniszczeniem lub uszkodzeniem);
- odpowiedzialności za przetwarzanie (Leadenhall ma obowiązek wykazać, że dane osobowe są przetwarzane zgodnie z zasadami wskazanymi powyżej).
3. Obowiązki osób mających dostęp do danych osobowych.
3.1 Zarząd oraz wszyscy pracownicy i osoby trzecie, które w ramach wykonywania swoich zadań w imieniu lub na rzecz Leadenhall mają dostęp do danych osobowych przetwarzanych w Leadenhall, zobowiązani są:
3.1.1 przestrzegać przepisów prawa oraz wewnętrznych procedur regulujących zasady ochrony danych osobowych przyjętych w Leadenhall,
3.1.2 brać udział w szkoleniach prowadzonych przez Leadenhall dotyczących ochrony danych osobowych i cyberbezpieczeństwa,
3.1.3 uwzględnić we wszystkich planowanych i realizowanych procesach biznesowych zasadę privacy by design, privacy by default oraz wnioski z Privacy Impact Assessment (PIA) tj. oceny wpływu na ochronę prywatności danych w Leadenhall,
3.1.4 zachować poufność przetwarzanych danych osobowych przez czas nieokreślony,
3.1.5 zgłaszać Zarządowi Leadenhall wszelkie wątpliwości dotyczące prawidłowości przetwarzania danych osobowych,
3.1.6 przekazywać na żądanie Zarządu Leadenhall informacje dotyczące przetwarzania danych osobowych w Leadenhall;
3.1.7 nadzorować podległych pracowników i osoby trzecie w zakresie wykonywania obowiązków opisanych w niniejszej Polityce,
3.1.8 przestrzegać wymogów bezpieczeństwa obowiązujących w zawiązku z korzystaniem z systemu transakcyjnego Leadenhall oraz innych systemów IT, w ramach których dochodzi do przetwarzania danych osobowych.
4. Wykonywanie praw osób, których dane dotyczą.
4.1 Leadenhall zapewnia i realizuje prawa podmiotów danych osobowych tj.:
4.1.1 prawo do informacji i uzyskania potwierdzenia przetwarzania danych osobowych przez administratora oraz prawo dostępu do tych danych osobowych,
4.1.2 prawo do wycofania zgody na przetwarzanie,
4.1.3 prawo do sprostowania/uzupełnienia danych osobowych,
4.1.4 prawo do usunięcia danych osobowych („prawo do bycia zapomnianym”),
4.1.5 prawo do ograniczenia przetwarzania,
4.1.6 prawo do przenoszenia danych,
4.1.7 prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych,
4.1.8 prawo do niepodlegania decyzjom podejmowanym w warunkach zautomatyzowanego przetwarzania danych osobowych, w tym profilowania.
4.2 Obsługę wniosków od podmiotów danych zapewnia Zarząd Leadenhall lub upoważnione przez Zarząd osoby, zgodnie z instrukcją obsługi wniosków od podmiotów danych obowiązującą w Leadenhall.
5. Regulacje wykonawcze dotycząca przetwarzania danych osobowych.
5.1 Zarząd Leadenhall wdraża uszczegóławiające regulacje wykonawcze dotyczące przetwarzania danych osobowych obejmujące:
- politykę przechowywania (retencji) danych osobowych,
- zasady przeprowadzania oceny skutków dla ochrony danych (ocena PIA),
- instrukcję postępowania w przypadku naruszeń ochrony danych osobowych,
- instrukcję postępowania z żądaniami osób, których dane dotyczą,
- rejestr czynności przetwarzania danych osobowych w Leadenhall jako administrator (zawierający także rejestr umów przetwarzania danych osobowych).
5.2 Zarząd Leadenhall jest odpowiedzialny za aktualizację regulacji wykonawczych i dokumentacji dotyczącej przetwarzania danych osobowych, w tym informacji zawartych w rejestrze czynności przetwarzania danych osobowych.
5.3 Regulacje dotyczące przetwarzania danych osobowych podlegają przeglądowi przez upoważnioną osobę przez Zarząd Leadenhall co najmniej raz w roku.
6. Udostępnianie danych osobowych.
6.1 Decyzję o udostępnieniu danych osobowych przetwarzanych przez Leadenhall podejmuje Zarząd Leadenhall lub osoba upoważniona do tego przez Zarząd.
6.2 Udostępnianie danych osobowych państwu trzeciemu możliwe jest wyłącznie na zasadach określonych w obowiązujących przepisach prawa, w tym w szczególności art. 44 i nast. RODO.
7. Powierzenie danych osobowych.
7.1 Leadenhall jako administrator może powierzyć innemu podmiotowi (przetwarzającemu) przetwarzanie danych osobowych w imieniu Leadenhall wyłącznie na podstawie pisemnej umowy zawartej z tym podmiotem.
7.2 Leadenhall jako podmiot przetwarzający może powierzyć dane osobowe innemu podmiotowi wyłącznie w celach i na zasadach określonych w umowie pomiędzy administratorem a Leadenhall, pełniącym funkcję podmiotu przetwarzającego.
7.3 Umowa powierzenia przetwarzania danych osobowych, w której Leadenhall pełni funkcję administratora danych lub przetwarzającego (procesora), musi spełniać wymogi art. 28 RODO i podlega wcześniejszej zgodzie Zarządu Leadenhall.
7.4 Powierzenie przetwarzania danych osobowych, których administratorem jest Leadenhall, zostaje odnotowane w rejestrze przetwarzania danych osobowych przez osobę upoważnioną przez Zarząd.
8. Zarządzanie dostępem do danych osobowych.
8.1 Przetwarzanie danych osobowych może być wykonywane tylko przez osoby do tego upoważnione przez Leadenhall.
8.2 Upoważnienie do przetwarzania danych osobowych zawarte jest w umowie o pracę, umowie menedżerskiej, umowie zlecenia, innego rodzaju umowie o współpracy zawieranej bezpośrednio pomiędzy Leadenhall a pracownikiem/osobą trzecią.
8.3 Warunki dostępu pracowników lub osób trzecich upoważnionych do przetwarzania danych osobowych wobec których Leadenhall jest administratorem, mogą zostać określone w umowie powierzenia przetwarzania danych osobowych zawartej przez Leadenhall z Przetwarzającym.
8.3 Warunki dostępu pracowników lub osób trzecich upoważnionych do przetwarzania danych osobowych wobec których Leadenhall jest przetwarzającym lub podprzetwarzającym, są określone w umowie powierzenia albo podpowierzenia przetwarzania danych osobowych zawartej przez administratora lub przetwarzającego z Leadenhall.
8.4. Pracownicy lub osoby trzecie upoważnione przez Leadenhall do przetwarzania danych osobowych mają obowiązek:
8.4.1. odbyć szkolenie z zasad ochrony danych sobowych i podpisać oświadczenie stanowiące element stosunku pracy, że zapoznali się z przepisami prawa i regulacjami Leadenhall w zakresie ochrony danych osobowych,
8.4.2 złożyć w ramach stosunku pracy lub innego stosunku prawnego zobowiązanie do zachowania w tajemnicy przetwarzanych danych osobowych oraz sposobów ich zabezpieczenia przez czas nieokreślony,
8.4.3. w przypadku zmiany zakresu zadań lub miejsca wykonywania obowiązków w Leadenhall skutkującej brakiem konieczności przetwarzania danych osobowych lub rozwiązaniem umowy o pracę z pracownikiem lub innej umowy z osobą trzecią stanowiącej podstawę przetwarzania, pracownik lub inna osoba ma obowiązek zwrócić dokumentację lub inne nośniki zawierające dane osobowe przetwarzane w imieniu Leadenhall.
8.5 Osoba upoważniona przez Zarząd prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych w imieniu Leadenhall.
9. Postępowanie w przypadku naruszeń ochrony danych osobowych.
9.1 Każdy, kto uzyskał informację o podejrzeniu naruszenia ochrony danych osobowych przetwarzanych przez Leadenhall, w tym próby naruszenia stosowanych środków ochrony fizycznej lub logicznej dostępu do tych danych, ma obowiązek niezwłocznie po uzyskaniu takiej informacji zgłosić naruszenie Zarządowi Leadenhall.
9.2 Zgłoszone naruszenia ochrony danych osobowych są analizowane zgodnie z instrukcją postępowania w przypadku naruszeń ochrony danych osobowych obowiązującej w Leadenhall.
10. Audyt zgodności z prawem przetwarzania danych osobowych.
10.1 Audytem zgodności z prawem przetwarzania danych osobowych w Leadenhall objęte są wszystkie jednostki organizacyjne Leadenhall, w których dochodzi do przetwarzania danych osobowych oraz podmioty przetwarzające, którym Leadenhall powierzyło dane osobowe do przetwarzania.
10.2. Audyt zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych przeprowadzany jest w jednym z następujących trybów:
10.2.1 audyt planowy – zgodnie z planem audytu zatwierdzonym przez Zarząd Leadenhall, zgodnie z normami ISO/IEC 9001 i 27001:2013,
10.2.2 audyty doraźne – przeprowadzane w przypadku naruszeń ochrony danych osobowych w Leadenhall lub uzasadnionego podejrzenia takiego naruszenia.
10.3 Audyt przeprowadzany jest przez osobę lub podmiot wskazany przez Zarząd Leadenhall. Z przeprowadzonego audytu sporządzany jest raport, który jest przedstawiany Zarządowi.
10.4 Audyt zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych może być przeprowadzany w Leadenhall także przez PUODO (tj. osoby upoważnione przez Prezesa Urzędu Ochrony Danych Osobowych). Tryb audytu PUODO określają powszechnie obowiązujące przepisy prawa.