Często zadawane pytania dotyczące obowiązków podmiotu przetwarzającego dane

1. Czy Państwa firma opublikowała w dostępnej dla nas formie informacje/oświadczenie o ochronie prywatności?

• Oficjalne oświadczenie firmy HP o ochronie prywatności jest dostępne na wszystkich stronach internetowych hp.com. Wykaz oświadczeń w kilku wersjach językowych można znaleźć W TYM MIEJSCU.

2. Czy prowadzą Państwo rejestr przetwarzania danych dla wszystkich wykonywanych działań?

• HP prowadzi i stale aktualizuje swój rejestr działań związanych z przetwarzaniem danych. Wdrożyliśmy narzędzia służące do zarządzania ochroną prywatności i przechowywania danych w celu obsługi i przechowywania zapisów dotyczących rozlicznych działań istotnych z punktu widzenia przestrzegania prawa, w tym zapisów dotyczących przetwarzania danych, oceny skutków w zakresie ochrony danych i uwzględniania ochrony prywatności w fazie projektowania.

3. Z jakich lokalizacji geograficznych będą Państwo świadczyć swoje usługi? Czy przekazują Państwo dane osobowe do krajów spoza EOG?

• HP jest firmą działającą w skali globalnej i wiele naszych procesów biznesowych wykorzystuje globalny model operacyjny. Dane osobowe udostępnione firmie HP mogą być przekazywane do innych stanów i krajów w celu konsolidacji, przechowywania i uproszczenia zarządzania informacjami dotyczącymi klientów. Każdy przypadek dostępu do danych osobowych lub ich przekazanie poza granice stanu lub kraju musi być zgodny z obowiązującym prawem lokalnym i wymogami wynikającymi z umów. Firma HP uczestniczy w kilku programach umożliwiających międzynarodowy transfer danych osobowych do jej podmiotów usytuowanych na całym świecie. Więcej informacji na temat naszego udziału w tych programach można uzyskać, odwiedzając stronę Oświadczenie firmy HP o ochronie prywatności.

4. Czy korzystają Państwo ze zgodnych z prawem systemów przekazywania danych?

• Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO), firma HP korzysta z zatwierdzonych systemów przekazywania danych.
  • Jako administrator danych firma HP przyjęła obowiązujące zasady korporacyjne, mające na celu zagwarantowanie odpowiedniej ochrony danych osobowych pracowników, dostawców i klientów HP podczas ich przesyłania do którejkolwiek ze spółek HP. HP jest jedną z niecałej setki firm na świecie, których obowiązujące zasady korporacyjne zostały uznane przez unijne organy ochrony danych. Dodatkowe informacje na temat obowiązujących zasad korporacyjnych i możliwość ich weryfikacji W TYM MIEJSCU.
  • W ramach Wspólnoty Gospodarczej Azji i Pacyfiku (APEC) obejmującej 21 gospodarek wdrożono system transgranicznych zasad ochrony prywatności (CBPR), który zapewnia ochronę prywatności przy przekazywaniu danych osobowych w skali całego regionu. Praktyki dotyczące ochrony prywatności w firmie HP są zgodne z międzynarodowym systemem reguł ochrony prywatności dla regionu Wspólnoty Gospodarczej Azji i Pacyfiku (APEC CBPR), w tym reguł dotyczących przejrzystości, odpowiedzialności i wyboru przysługującego w zakresie gromadzenia i wykorzystywania danych osobowych. Dodatkowe informacje na temat systemu reguł ochrony prywatności i możliwość weryfikacji udziału w nim firmy HP W TYM MIEJSCU.
  • HP posiada również certyfikat przyznany w ramach programu zasad przekazywania danych osobowych z UE do USA, tzw. Privacy Shield (Tarcza Prywatności). Dodatkowe informacje na temat programu Privacy Shield i możliwość weryfikacji udziału w nim firmy HP W TYM MIEJSCU.
  • Więcej informacji na temat naszego udziału w tych programach można uzyskać, odwiedzając stronę Oświadczenie firmy HP o ochronie prywatności.

5. Czy mają Państwo wyznaczonego inspektora ochrony danych i prywatności lub osobę będącą jego odpowiednikiem?

• W celu zapewnienia przestrzegania rozporządzenia RODO i innych przepisów dotyczących ochrony prywatności i danych w skali globalnej został ustanowiony Główny Specjalista ds. Ochrony Prywatności i Danych firmy HP, wspierany w swoich działaniach przez Biuro ds. Ochrony Prywatności. Przedstawiciele Biura ds. Ochrony Prywatności HP są usytuowani w Unii Europejskiej i służą jako punkty kontaktowe dla osób, których dane dotyczą, oraz dla unijnych organów ochrony danych.

6. Czy posiadają Państwo formalnie udokumentowany plan postępowania w przypadkach zdarzeń zagrażających bezpieczeństwu, obejmujący naruszenia danych osobowych?

• Firma HP ustanowiła i utrzymuje procedury bezpieczeństwa i ochrony prywatności, służące zapewnieniu bezpieczeństwa informacji, bezpieczeństwa fizycznego i świadomego podejścia do ochrony prywatności.
• Zdarzenia zagrażające bezpieczeństwu — dotyczące aspektów fizycznych, technologicznych lub informacyjnych — są przede wszystkim przedmiotem działań w ramach globalnego systemu zgłaszania takich zdarzeń. Po otrzymaniu zgłoszenia o zdarzeniu zespół kieruje je do podmiotu odpowiedzialnego w HP, przy tym wszystkie podmioty postępują zgodnie z procedurami ustalonymi dla każdego rodzaju zdarzenia. Procedury te są oparte na optymalnych praktykach stosowanych w branży, wymogach prawnych i wymaganiach wynikających z umów zawartych z poszczególnymi klientami.
• Wszystkie przypadki zdarzeń związanych z bezpieczeństwem cybernetycznym należy zgłaszać służbie bezpieczeństwa cybernetycznego za pośrednictwem działającego stale systemu obsługiwanego przez Internet. HP posiada udokumentowany proces eskalacji na potrzeby zarządzania zdarzeniami zagrażającymi bezpieczeństwu, zasadniczo jednak, po zgłoszeniu zdarzenia natychmiast wdrażane są procedury działań naprawczych i przeprowadzane jest szczegółowe dochodzenie w celu ustalenia, czy dostęp do danych uzyskały osoby nieuprawnione. W razie wykrycia uzyskania dostępu do danych osobowych przez osoby nieuprawnione sprawa jest przekazywana w ramach procedury eskalacji do Biura ds. Ochrony Prywatności HP, Działu ds. Globalnych Zagadnień Prawnych (Global Legal Affairs) oraz innych wewnętrznych interesariuszy HP, którzy podejmą decyzje dotyczące rozwiązania problemu i powiadomienia.

7. Czy są Państwo w stanie pomóc swoim klientom w załatwianiu wniosków osób, których dane dotyczą, oraz czy istnieje u Państwa formalnie udokumentowany proces dotyczący korzystania przez osoby, których dane dotyczą, z przysługujących im praw?

• Osoby fizyczne mogą korzystać ze swoich praw, składać zapytania o ochronę prywatności lub skargi poprzez Biuro ds. Ochrony Prywatności HP.
• W przypadku, gdy HP przetwarza dane osobowe w imieniu klientów — z zastrzeżeniem pewnych ograniczeń — pomaga swoim klientom w wypełnianiu ich obowiązków związanych z udzielaniem odpowiedzi na wnioski osób, których dane dotyczą, a które pragną skorzystać ze swoich praw zgodnie z wymogami przewidzianymi w umowie.

8. Czy Państwa firma posiada standardy/zasady działania w zakresie ochrony danych zgodnie z odpowiednimi przepisami dotyczącymi ochrony danych obowiązującymi w obszarze prawnym, w którym prowadzona jest Państwa działalność?

• HP jest od dawna pionierem w branży, jeśli chodzi o ochronę prywatności i danych; dzięki bogatemu asortymentowi produktów, oprogramowania i usług w zakresie bezpieczeństwa, możemy wspierać naszych klientów w ich wysiłkach na rzecz ochrony danych osobowych i zapewnienia zgodności z przepisami ich własnych działań. HP stosuje wewnętrzne zasady dotyczące bezpieczeństwa, dostępu do danych osobowych i ich dokładności oraz zabrania udostępniania danych osobowych bez podjęcia odpowiednich kroków. HP priorytetowo traktuje właściwe rozumienie wymogów dotyczących prywatności i bezpieczeństwa swoich klientów oraz ustanowienie procesów zapewniających dostarczanie im produktów i usług w sposób, który ułatwia spełnienie ich wymogów dotyczących zgodności z przepisami.

9. Czy Państwa firma zapewnia swoim pracownikom szkolenia z zakresu ochrony prywatności?

• Pracownicy stali i sezonowi HP przechodzą coroczne szkolenia z zakresu etyki biznesu, których kluczowym elementem jest ochrona prywatności i danych. Może być również wymagane dodatkowe obowiązkowe szkolenie w przypadku pracowników mających regularnie do czynienia z danymi osobowymi, względnie w przypadkach wynikających z konieczności wsparcia określonych działań biznesowych.

10. Czy sprzedawcy HP są zobowiązani do ochrony danych osobowych podczas dokonywania na nich operacji w imieniu HP?

• Firma HP wymaga, aby podmioty zewnętrzne, w tym sprzedawcy i partnerzy, którzy przetwarzają dane osobowe w imieniu HP, były umownie zobowiązane do ochrony wszelkich danych osobowych otrzymanych od HP, oraz aby obowiązywał ich zakaz wykorzystywania danych osobowych do celów innych niż świadczenie usług zgodnie z zaleceniami HP. Firma HP wdrożyła również ocenę zgodności opartą na analizie ryzyka w odniesieniu do dostawców mających do czynienia z danymi HP lub jej klientów.

11. Czy przy opracowywaniu systemów i produktów stosują Państwo ocenę wpływu na ochronę prywatności i danych w fazie projektowania?

• W naszych działaniach kładziemy nacisk na uwzględnianie ochrony prywatności w fazie projektowania — chcemy zapewnić, aby wszystkie produkty, usługi, strony internetowe, systemy i aplikacje firmy HP były projektowane i wdrażane wyłącznie po wnikliwym rozważeniu ich wpływu na prywatność. Innym procesem o kluczowym znaczeniu jest ocena skutków w zakresie ochrony danych, która pozwala nam oszacować zagrożenia dla praw osób fizycznych i dokumentować proces podejmowania decyzji w odniesieniu do niektórych działań z zakresu przetwarzania danych.

12. Co robi firma HP, aby wspierać klientów w ich wysiłkach na rzecz ochrony danych osobowych i zapewnienia zgodności własnych działań z przepisami?

• Stosujemy środki bezpieczeństwa w odniesieniu do danych, które przetwarzamy na rzecz naszych klientów. Firma HP, jako dostawca usług zarządzania i usług technicznych w zakresie druku i systemów osobistych, jest zdecydowana wypełniać swoje zobowiązania i chronić wszelkie dane osobowe przetwarzane przez nas na rzecz naszych klientów. Dostosowujemy kilka naszych ofert obsługi klienta do standardu certyfikacji ISO 27001, m. in. rozszerzamy zakres naszej certyfikacji o usługi Managed Print Services i korzystanie z urządzeń na zasadzie usługi (Device-as-a-Service).
• Firma HP wdrożyła również strukturę kontroli w zakresie ochrony prywatności obejmującą ponad 100 odrębnych działań związanych z przestrzeganiem RODO. Ta struktura kontroli stanowi rdzeń naszego programu ochrony prywatności i danych. Struktura kontroli została zaopiniowana przez niezależny podmiot zewnętrzny w oparciu o wymogi prawne i normy branżowe.