POLÍTICA DE SEGURIDAD

DEL TRATAMIENTO DE DATOS PERSONALES

Parte I: Introducción

1. Con arreglo al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L. de la UE de 2016, p. 119), en lo sucesivo denominado RGPD, relativo a la documentación del tratamiento de datos personales y a las condiciones técnicas y organizativas que deben cumplir los dispositivos y sistemas de tratamiento de datos personales, se establece la «Política de Seguridad».
2. En los casos en que se hace referencia en el presente documento a la unidad organizativa, debe entenderse por tal: EBS Sp. z o.o. con domicilio social: ul. Bronisława Czecha 59, 81-586 Warszawa
3. El responsable del tratamiento de los datos personales es EBS Sp. z o.o. con domicilio social: ul. Bronisława Czecha 59, 81-586 Warszawa.
4. La dirección de la empresa toma las medidas adecuadas para garantizar la seguridad de la información en la empresa.
5. De acuerdo con el RGPD, el responsable del tratamiento de los datos personales aplica la Política de Seguridad destinada a exigir el cumplimiento de los principios de protección de datos personales. La empresa vela por la formación cíclica de los empleados en materia de seguridad de la información. Dependiendo del puesto que ocupen, los empleados pueden participar en cursos de formación en materia de: protección de datos personales, concienciación sobre los problemas de seguridad y aspectos detallados de la seguridad.
6. En relación con el uso del software (la aplicación) EBS Security por parte del Usuario, el Responsable recoge datos en la medida necesaria para la prestación de determinados servicios ofrecidos, así como información sobre la actividad del Usuario. La finalidad del tratamiento de datos personales en el ámbito especificado en la Política de Seguridad es el funcionamiento global de dicho software

Parte II: Principios del tratamiento y de la protección de datos personales

1. Los principios del tratamiento de datos personales en el sistema informático se definen en el Manual para la gestión del sistema informático utilizado para el tratamiento de datos personales en la empresa.
2. Toda persona que tenga acceso a los datos personales tratados en la unidad organizativa está obligada a familiarizarse con este documento. Cada empleado será responsable de mantener la confidencialidad de los datos confidenciales a los que se le haya concedido acceso.
3. Por defecto, en los sistemas de información utilizados, se deniega el acceso. Sólo cuando sea necesario, el responsable del tratamiento concederá el permiso correspondiente. Se concederá el acceso adecuado a la persona que deba trabajar en tal sistema.
4. La lista de edificios, locales o partes de locales que constituyen el área en la que se tratan los datos personales, en lo sucesivo denominada «área de tratamiento», tal como exige el reglamento, figura en el Sistema de Protección de Datos disponible en la sede de la empresa y adjunto al presente documento.
5. Por seguridad de la información en el sistema de TI se entiende la garantía de:
   1. confidencialidad de la información (impedir el acceso a los datos por parte de terceros),
   2. integridad de la información (evitar cambios no autorizados en los datos),
   3. disponibilidad de la información (facilitar el acceso a los datos en cualquier momento solicitado por el usuario),
   4. rendición de cuentas de las operaciones realizadas sobre la información (garantizar un historial completo de acceso a los datos, junto con información sobre quién obtuvo dicho acceso).
6. Se requiere que las personas que traten datos personales en la unidad organizativa en cualquier forma tengan una autorización escrita para tratar los datos concedida por el Responsable del Tratamiento de Datos Personales y firmen una declaración de confidencialidad de estos datos.
7. Cada persona autorizada para el tratamiento de datos personales dispondrá de su propio identificador y contraseña que permitan acceder al sistema informático en el que se tratan los datos personales. Los requisitos técnicos que debe cumplir la contraseña se especifican en el Manual para la gestión del sistema informático disponible en la sede de la empresa en el marco del Sistema de Protección de Datos Personales.
8. En el caso de que resulte necesario permitir acceso al área de procesamiento a personas sin autorización que tienen que realizar trabajos de mantenimiento periódico, intervenciones puntuales, etc., dichas personas deberán firmar una declaración de confidencialidad.
9. La externalización del tratamiento de datos personales se realizará exclusivamente en el marco de un contrato de concesión del tratamiento de datos personales.
10. Los datos personales podrán ser comunicados a una entidad externa sólo tras una verificación positiva de los requisitos legales para la admisibilidad de dicha comunicación, por lo que se entenderá, en particular, una solicitud por escrito de una entidad con derecho a ello.
11. Los documentos en papel que contengan datos personales serán almacenados por personas autorizadas en el área de tratamiento de datos en armarios, cajas fuertes y taquillas que puedan cerrarse con llave. En el caso de que resulte necesario destruir documentos en papel que contengan datos personales, éstos se destruirán con una trituradora que cuente con el certificado de seguridad adecuado.
12. El tratamiento de datos personales en la unidad organizativa será supervisado por un Supervisor de Protección de Datos Personales designado por el consejo de administración de la empresa de acuerdo con el Responsable del Tratamiento de los Datos Personales.
13. Los empleados de la empresa mantendrán un listado de los ficheros de datos personales procesados en la unidad organizativa y, cuando así lo exija la ley, notificarán los ficheros para su registro al Presidente de la Oficina de Protección de Datos Personales. En el marco de la supervisión del tratamiento de datos, el Supervisor de Protección de Datos Personales designado verificará, en particular, los fines, el alcance del tratamiento, el tiempo del tratamiento y los métodos de protección de datos personales. La autorización para tratar datos personales es concedida por el Responsable del Tratamiento. El Supervisor de Protección de Datos Personales está obligado a realizar un análisis de los riesgos relacionados con el tratamiento de datos personales en la unidad organizativa.
14. El Supervisor de Protección de Datos Personales también mantendrá los siguientes registros:
    1. registro de personas autorizadas a tratar datos personales,
    2. registro de locales en los que se tratan los datos personales, que constituyen el área de tratamiento,
    3. registro de entidades y personas que realizan tareas económicas (asalariados y autónomos),
    4. registro de entidades encargadas del tratamiento de datos personales.
15. Las personas autorizadas a tratar datos están obligadas, en particular, a tratarlos de conformidad con la normativa vigente, en particular la ley y el reglamento, a no divulgarlos y a impedir el acceso a ellos por parte de personas no autorizadas, así como a protegerlos contra la destrucción.
16. En caso de recibir una solicitud de acceso a datos personales del interesado, la persona designada por el Responsable del Tratamiento deberá preparar una respuesta dentro de un plazo de 30 días.
17. El Supervisor de Protección de Datos Personales designado en la empresa realizará periódicamente una auditoría de seguridad interna o externa con el fin de detectar posibles deficiencias en la implementación de la política de seguridad.
18. En caso de que se recaben datos personales de la persona interesada, el Responsable del Tratamiento (o una persona designada por él) deberá comunicar a dicha persona:
    1. la dirección de su domicilio y la razón social y, si el Responsable del Tratamiento es una persona física, el lugar de residencia y el nombre y apellidos,
    2. la finalidad de la recogida de datos y, en particular, los destinatarios o las categorías de destinatarios de los datos que conozca en el momento de la comunicación,
    3. el derecho de acceso a sus datos y rectificación de los mismos,
    4. el carácter voluntario o la obligación de facilitar datos y, si existe tal obligación, su base legal.

Parte III: Disposiciones finales

1. El presente documento entra en vigor el 1 de octubre de 2018.
2. Para cualquier asunto que no esté cubierto por el presente documento, serán de aplicación las disposiciones sobre la documentación del tratamiento de datos personales y las condiciones técnicas y organizativas que deben cumplir los dispositivos y sistemas informáticos utilizados para el tratamiento de datos personales.

Krzysztof Stalewski
Responsable del Tratamiento de los Datos Personales