Article

Avature – Privacy notice

Information on processing your personal data for Onboarding process

Information about the processing of personal data of members of Deloitte Poland staff



1. Introduction

This document presents a summary of information about the processing of personal data of members of Deloitte Poland staff in compliance with the requirements of GDPR.

2. Definitions

The following terms as used herein shall have the meaning as stated:

1) controller – Deloitte Poland, which, alone or jointly with others, determines the purposes and means of the processing of personal data of members of Deloitte Poland staff, specifically:

  • the employer (for members of Deloitte Poland staff being employees); or
  • the entity being a party to a contract with a member of Deloitte Poland staff (for members of Deloitte Poland staff performing work for Deloitte Poland on a basis other than an employment contract);

2) processor – a natural or legal person, a public authority, an entity or another unit, which processes personal data on behalf of the controller. The list of Deloitte Poland and Deloitte CE processors can be
found in Section 6 hereof;

3) recipient – a natural or legal person, a public authority, an entity or another unit to which personal data are disclosed. For members of Deloitte Poland staff, the recipients may include representatives,
For internal use by Deloitte Poland only members of staff, and other persons authorized by the controller or processor. Public authorities which may receive personal data in the framework of a particular inquiry shall not be regarded as recipients;

4) members of Deloitte Poland staff – natural persons, whether performing work under an employment contract (employees) or on another basis (interns, those performing work under civil law contracts);

5) data subject – the natural person whose data is processed;

6) personal data – any information allowing direct or indirect identification of a member of Deloitte Poland staff and/or information relating to an identified member of Deloitte Poland staff;

7) processing of personal data – any operation or set of operations which is performed on personal data, such as collection, recording, organization, structuring, storage, alteration, retrieval, consultation,
use, disclosure, erasure or destruction;

8) Deloitte Central Europe or Deloitte CE – a regional organization of entities organized under the umbrella of Deloitte Central Europe Holdings Limited, the member firm in Central Europe of Deloitte Touche Tohmatsu Limited;

9) Deloitte Poland – depending on the circumstances, a Deloitte entity or entities operating within the territory of the Republic of Poland, as listed here:
https://www2.deloitte.com/pl/pl/footerlinks1/odeloitte.html;

10) Deloitte – member entities of Deloitte Touche Tohmatsu Limited, and related parties and affiliates thereof, including Deloitte CE;

11) Deloitte Central Europe policies, CE policies – the applicable regional policies available at
https://resources.deloitte.com/sites/centraleurope/pages/CE-Policies.aspx

12) GDPR – Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).

3. Which personal data of members of its staff are processed by Deloitte Poland?

The following categories of the personal data of members of its staff are processed by Deloitte Poland:

1) basic data, such as first (middle) name, last name, date of birth, contact details as provided by a member of staff, education, professional qualifications, employment history, address of residence, PESEL number – which also includes such data as may be collected by Deloitte Poland prior to contract conclusion;

2) other data of a member of staff which may be considered necessary for the fulfilment of obligations imposed on Deloitte Poland under the applicable laws (including the personal data of his/her immediate family members, if provision of such data is necessary for a member of staff being an employee to enjoy special rights granted under the labor law);

3) data about employment history/work for Deloitte Poland, in particular such data as may be collected in the course of performance reviews, data about (classroom or electronic) training, calls made with the use of company mobile phones as well as data about the performance of professional duties;

4) data the processing of which is necessary for purposes of settlements with Deloitte Poland, specifically bank account number, pay amount and components (including debt deductions, if applicable), the value of benefits used in the form of sports cards, medical insurance package or additional benefits granted to members of staff, in particular under the Act of For internal use by Deloitte Poland only 4 March 1994 on the company social benefit fund, as well as information arising from participation in Employee Capital Plans within the meaning of the Act of 4 October 2018 on employee capital plans);

5) data concerning the members of Deloitte Poland staff’s use of tools and IT systems made available to them, including data concerning their online activity;

6) the image of the members of Deloitte Poland staff, recorded as photo, audio or video material, used – depending on the circumstances – either for purposes defined by Deloitte Poland and processed based on the data subject’s consent or on grounds of Deloitte Poland’s legitimate interests or in order to perform a contract with Deloitte Poland to which the data subject is a party.

4. Purposes and legal basis of personal data processing

1) The personal data of members of staff may be processed by Deloitte Poland for the following purposes:

  • to carry out recruitment processes by Deloitte Poland;
  • to establish and maintain a work or an employment relationship between a member of staff and Deloitte Poland;
  • to deliver services to Deloitte Poland clients or other Deloitte entities (e.g. provision of details of members of staff forming part of the engagement team);
  • to make available and to account for benefits and training offered to members of Deloitte Poland staff, such as the medical insurance package, sports cards or additional benefits granted to them, in particular under the Act of 4 March 1994 on the company social benefit fund;
  • to carry out personnel and payroll administration duties on the part of Deloitte Poland, to include discharging regulatory liabilities (taxes, social security etc.) as appropriate;
  • to comply with the requirements imposed on the employer regarding retirement pensions and handling Employee Capital Plans within the meaning of the Act of 4 October 2018 on employee capital plans;
  • to settle expenses incurred using business payment cards or business taxi services;
  • to arrange, operate and settle business travel (domestic or abroad);
  • to file and/or defend itself against claims;
  • to ensure safety at work, protection of property, in addition to preserving the confidentiality of information the disclosure of which could be detrimental to Deloitte Poland – with respect to processing the image of members of Deloitte Poland staff recorded by CCTV (video surveillance) cameras;
  • to use them for marketing purposes, internal communication, or for proposals made to Deloitte Poland clients – with respect to processing the image of members of Deloitte Poland staff, recorded as photo, audio or video material (other than CCTV footage);
  • to organize work in a manner best suited to make effective use of the working hours;
  • to ensure business continuity and preservation of Deloitte Poland’s economic, commercial, and financial interests, and to comply with confidentiality principles. This includes preventing and resolving any and all technical problems arising from the use of business devices and IT systems; preventing and suppressing actions that are deliberately unlawful, contrary to public policy or that intentionally infringe third-party rights; preventing and eliminating all violations of intellectual property rights; as well as ensuring the integrity and confidentiality of Deloitte Poland’s data, and specifically monitoring the security and proper operations of Deloitte Poland’s and Deloitte CE’s IT systems, and preserving all of Deloitte Poland’s assets;
  • to ensure that members of Deloitte Poland staff appropriately use the devices made available to them – with respect to monitoring their use of such tools (laptops, telephones, and access cards in particular) and
    systems in line with the Deloitte Poland’s and Deloitte CE’s security policies and procedures (especially the policies and procedures indicated under Section 1603: Information Security, available in electronic form at:
    https://resources.deloitte.com/sites/centraleurope/pages/CEPolicies.aspx;
  • to prepare analyses and statistical reports and to use data provided by former members of Deloitte Poland staff in relation to the Alumni Program and the Exit Interview (where a member of staff participates in the Alumni Program and/or answers the Exit Interview questions).

2) Depending on the circumstances, the following may be the legal basis of the processing of the personal data of members of Deloitte Poland staff:

  • the necessity to process personal data in order to fulfil the legal obligations imposed on the controller (e.g. for data processed for purposes of tax reporting, social security contribution payment, retirement pension, additional benefits granted within the company social benefit fund, handling Employee Capital Plans or ensuring compliance with occupational health and safety requirements);
  • the necessity to process personal data in order to take such measures as may be required prior to conclusion of a contract with a member of staff, as well as for purposes of contract execution and performance;
  • the necessity to process personal data for purposes resulting from legitimate interests of the controller or of a third party, such as the maintenance of relationships with current or potential clients, the necessity to ensure proper quality of services delivered by Deloitte Poland to its clients, the necessity to prevent the occurrence of negative phenomena in the internal environment of Deloitte Poland (including the prevention of conduct by members of Deloitte Poland staff that is illegal or non-compliant with ethical principles), protection of Deloitte Poland property and information or of other legally protected assets of Deloitte Poland, the filing of and/or defense against claims, the settlement of the members of staff’s business expenses, the organization of work in a manner best suited to make effective use of the working hours, necessity to provide to members of Deloitte PL staff with competitive - comparing to market conditions - terms and conditions of cooperation with Deloitte Poland and control over the appropriate use of tools and IT systems made available to the members of Deloitte Poland staff; consent given by a member of staff (e.g. for distribution of his/her photograph for marketing purposes of Deloitte Poland).

5. Personal data sources

The personal data of members of its staff are derived by Deloitte Poland:

  • directly from data subjects (e.g. personal data sheets, forms and statements of the members of staff);
    or
  • from other sources (e.g. other members of staff within the evaluation process, payment or transport service providers, as well as tools and IT systems made available to the members of Deloitte Poland staff etc.).

6. Recipients of personal data and personal data transfers outside EEA

1) The personal data of members of Deloitte Poland staff may be transferred, as necessary, to the following categories of entities:

  • Deloitte Poland entities other than the one being a party to a contract with a member of staff;
  • providers of services to Deloitte Poland (e.g. IT, archiving, courier, training, transport or OHS services);
  • providers of benefits (in particular, sports cards, medical insurance packages, and cafeteria benefit services);
  • Deloitte Poland clients; insurance brokers, insurance companies and banks, and financial institutions;
  • statutory auditors of and advisers to Deloitte Poland;
  • entities organizing marketing events together with Deloitte Poland;
  • entities providing business travel services, including air and rail transport carriers and hospitality providers;
  • external research agencies;
  • competent public authorities.

2) A list of Deloitte CE processors of the personal data of members of Deloitte Poland staff is available in electronic form here:
https://resources.deloitte.com/sites/centraleurope/CE%20Policies/1600%20Security/1611%20Data%20Processors%20-
%20Regional/1611.01%20List%20of%20Employee%20Personal%20Data%20Processo rs.pdf

3) A list of local processors of the personal data of members of Deloitte Poland staff is available in electronic form here:
https://resources.deloitte.com/sites/centraleurope/CE%20Policies/1600%20Security/1
612%20Data%20Processors%20-
%20Local/1612.17%20List%20of%20Employee%20Personal%20Data%20Processors %20-%20Poland.pdf

4) The personal data of members of Deloitte Poland staff are processed in a manner that ensures appropriate protection for the personal data, including against unauthorized or unlawful processing, breach of their security, and against accidental loss, destruction or damage, using appropriate technical or organizational measures that are in line with current market practices, which ensure accuracy, confidentiality, and accessibility of the data processed. In particular, access to personal data other than those made public is granted only to a limited number of people who are obliged to preserve their confidentiality and for whom such access is necessary in order to fulfil their duties at Deloitte Poland. Deloitte Poland has in place an Information Security Management System compliant with ISO 27001, a globally recognized security
standard (more information available in electronic form at
https://resources.deloitte.com/sites/centraleurope/quality/Pages/security_awareness.aspx).

5) The personal data of members of Deloitte Poland staff may be transferred within the regional (Deloitte CE) and the global structure of Deloitte. This may involve transfers of such data also to countries outside the European Economic Area. Transfers to entities in countries which, as per GDPR, do not ensure an adequate level of data protection (irrespective of whether such entities are separate controllers or processors), will be safeguarded using additional contractual provisions, including – but not limited to – standard data protection clauses adopted by the European Commission or binding corporate rules constituting appropriate safeguards within the meaning of GDPR provisions.

7. Personal data retention

The personal data of members of Deloitte Poland staff which are processed for the purposes identified in Section 4.1 above will be retained in a form allowing the identification of the data subject for no longer than it is necessary to accomplish the purposes of specific data processing, and in line with the rules stating that:

  • for data processed on the basis of consent of members of Deloitte Poland employees – personal data will be processed until the effective withdrawal of such consent (which will not affect the lawfulness of processing based on consent before its withdrawal and in this respect);
  • for processing where the retention period is prescribed by the applicable laws (e.g. for video surveillance or maintenance of personnel files) – no longer than until the expiry of that period. Following the expiry of that period, the personal data will be made anonymous or irretrievably erased, provided that no other legal basis for the processing of such data exists as per Article 6(1) GDPR.

8. Rights conferred on members of Deloitte staff as data subjects

1) Within applicable personal data protection regulations, especially GDPR, and on such terms as specified therein, each member of Deloitte Poland staff who is a data subject has the right to:

  • access his/her data, and demand the copy of his/her data which are subject to the processing;
  • request that his/her personal data be rectified or deleted or that the processing of his/her personal data belimited;
  • object to the processing of his/her personal data;
  • data portability (as applicable and with respect to the right to receive his/her personal data in a structured, commonly used and machine-readable format, and the right to demand that those data be transmitted to another controller, where technically feasible);
  • withdraw consent at any time (without affecting the lawfulness of processing based on consent before its withdrawal), where personal data are processed by consent of a member of staff;
  • lodge a complaint to the supervisory authorities, i.e. to the President of the Personal Data Protection Office.

2) Depending on the circumstances and the specific purpose of data processing, provision of personal data by a member of Deloitte staff may be:

  • a statutory requirement (e.g. for data required to be provided by candidates and employees within the scope defined in the Act of 26 June 1974 – Labor Code or such data as may be necessary for calculation of taxes due and/or social security contributions);
  • a precondition to enter into a contract (e.g. for data required to be provided for proper identification of a party to a contract with Deloitte Poland);
  • a contractual requirement (e.g. for data required to be provided in order to ensure compliance with the internal policies in place at Deloitte Poland, specifically its independence policies);
  • voluntary (e.g. for data processed by consent of a member of Deloitte Poland staff).

3) A failure to provide data may result in the inability to establish or continue a work relationship with Deloitte Poland, where provision of data is a statutory or contractual requirement. Where personal data are processed basing on a consent of a member of staff, a failure to provide data or provision of data but a refusal to give consent will result in the inability to process such data by Deloitte Poland.

4) Members of Deloitte Poland staff will be informed separately if they are to be subject to a decision which is based solely on automated processing of their personal data (including profiling) and which produces legal effects or similarly significantly affects him or her.

9. Contact

In any matters relating to this document and to exercise the rights referred to in Section 8 above, please contact the Personal Data Protection Team (within In-House Legal Team) at Deloitte Poland at pgiedyk@deloittece.com
or pbaranski@deloittece.com

If you have any additional questions regarding the circumstances in which the personal data are processed (the measures and safeguards implemented with respect to their transfer outside the European Economic Area), please write to CEprivacy@deloittece.com.

10. Comments

Policies referred to herein are available in paper form for members of Deloitte Poland staff on their demand. To access them, please contact one of the Data Protection Team members specified above.

Informacja o przetwarzaniu danych osobowych personelu Deloitte Polska

 

1. Wstęp

Niniejszy dokument podsumowuje, zgodnie z wymogami RODO, informacje na temat przetwarzania danych osobowych członków personelu Deloitte Polska.

2. Definicje
Ilekroć w niniejszym dokumencie mowa jest o:

1) administratorze - rozumie się przez to podmiot Deloitte Polska, który samodzielnie lub wspólnie z innymi podmiotami ustala cele i sposoby przetwarzania danych osobowych członków personelu Deloitte Polska, w szczególności:

  • pracodawcę (w przypadku członków personelu Deloitte Polska będących pracownikami) lub
  • spółkę będącą stroną umowy z danym członkiem personelu Deloitte Polska (w przypadku członków personelu Deloitte Polska współpracujących z Deloitte Polska na innej podstawie niż w ramach stosunku pracy);

2) podmiocie przetwarzającym - rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Wykaz podmiotów przetwarzających Deloitte Polska oraz Deloitte CE znajduje się w ustępie 6 niniejszego dokumentu;

3) odbiorcy danych - rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot któremu ujawnia się dane osobowe. W przypadku członków personelu Deloitte Polska, odbiorcami ich danych osobowych mogą być przedstawiciele, członkowie personelu oraz inne uprawnione osoby po stronie administratora lub podmiotu przetwarzającego. Organy publiczne, które Dokument wyłącznie do użytku wewnętrznego w ramach Deloitte Polska mogą zgodnie z prawem otrzymywać dane osobowe w ramach konkretnego postępowania, nie są uznawane za odbiorców danych;

4) członkach personelu Deloitte Polska - rozumie się przez to osoby fizyczne, zarówno zatrudnione na podstawie stosunku pracy (pracownicy), jak i te współpracujące z Deloitte Polska na innej podstawie (praktykanci, osoby zatrudnione na podstawie tzw. umów cywilnoprawnych);

5) podmiocie danych - rozumie się przez to osobę fizyczną, której dotyczą dane osobowe;

6) danych osobowych - rozumie się przez to wszelkie informacje pozwalające na bezpośrednią lub pośrednią identyfikację członka personelu Deloitte Polska lub informacje dotyczące zidentyfikowanego członka personelu Deloitte Polska;

7) przetwarzaniu danych osobowych - rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych, takich jak na przykład: ich zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, przekazywanie, usuwanie lub niszczenie;

8) Deloitte Central Europe lub Deloitte CE - rozumie się przez to regionalną jednostkę działającą w ramach Deloitte Central Europe Holdings Limited, członka Deloitte Touche Tohmatsu Limited w Europie Środkowej;

9) Deloitte Polska - rozumie się przez to, w zależności od okoliczności, podmiot lub podmioty Deloitte działające na terenie Rzeczypospolitej Polskiej, każdorazowo wymienione pod adresem https://www2.deloitte.com/pl/pl/footerlinks1/o-deloitte.html

10) Deloitte - rozumie się przez to podmioty członkowskie Deloitte Touche Tohmatsu Limited oraz ich podmioty powiązane i stowarzyszone, w tym Deloitte CE;

11) politykach Deloitte Central Europe, politykach CE - rozumie się przez to obowiązujące polityki regionalne, których treść dostępna jest pod adresem: wskazanym pod adresem
https://resources.deloitte.com/sites/centraleurope/pages/CE-Policies.aspx

12) RODO - rozumie się przez to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

3. Jakie dane osobowe członków personelu przetwarza Deloitte Polska?

Dane osobowe dotyczące członków personelu przetwarzane przez Deloitte Polska obejmują następujące kategorie:

1) dane podstawowe, takie jak imię (imiona), nazwisko, data urodzenia, dane kontaktowe wskazane przez członka personelu, wykształcenie, kwalifikacje zawodowe, przebieg dotychczasowego zatrudnienia, adres zamieszkania, numer PESEL - co obejmuje również dane zebrane przez Deloitte Polska na etapie poprzedzającym zawarcie umowy;

2) inne dane członka personelu niezbędne do wypełniania obowiązku nałożonego na Deloitte Polska przepisem prawa (w tym dane osobowe członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez członka personelu będącego pracownikiem ze szczególnych uprawnień przewidzianych w prawie pracy);

3) dane dotyczące przebiegu zatrudnienia/współpracy w ramach Deloitte Polska, w szczególności takie jak dane gromadzone w toku procesu ocen personelu, dane o odbytych szkoleniach (stacjonarnych oraz Dokument wyłącznie do użytku wewnętrznego w ramach Deloitte Polska przeprowadzanych w formie elektronicznej), lista połączeń wykonywanych za pomocą służbowego telefonu komórkowego, dane dotyczące wykonywanych obowiązków;

4) dane, których przetwarzanie niezbędne jest do realizacji rozliczeń z Deloitte Polska, w szczególności numer konta bankowego, wysokość i składniki wynagrodzenia (w tym ewentualne zajęcia komornicze), wartość wykorzystywanych benefitów w postaci kart sportowych, medycznego pakietu ubezpieczeniowego lub dodatkowych świadczeń przyznanych członkowi personelu, wynikających w szczególności z ustawy z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych oraz informacje wynikające z członkostwa pracownika w ramach Pracowniczych Planów Kapitałowych, w rozumieniu ustawy z dnia 4 października 2018 r. o pracowniczych planach kapitałowych);

5) dane dotyczące wykorzystywania przez członka personelu Deloitte Polska udostępnionych mu narzędzi oraz systemów teleinformatycznych, w tym danych dotyczących aktywności w sieci;

6) wizerunek członka personelu Deloitte Polska, utrwalony w ramach materiałów sporządzonych w formacie fotografii, nagrań audio lub wideo, wykorzystywany w celach zdefiniowanych - w zależności od okoliczności - przez Deloitte Polska i przetwarzany na podstawie zgody podmiotu danych lub w oparciu o prawnie uzasadniony interes realizowany przez Deloitte Polska lub w celu wykonania umowy łączącej członka personelu z Deloitte Polska.

4. Cele i podstawy prawne przetwarzania danych osobowych

1) Dane osobowe dotyczące członków personelu przetwarzane mogą być przez Deloitte Polska w następujących celach:

  • prowadzenie postępowań rekrutacyjnych przez Deloitte Polska,
  • nawiązanie i realizacja współpracy bądź stosunku pracy pomiędzy członkiem personelu a Deloitte Polska,
  • świadczenie usług na rzecz klientów Deloitte Polska lub innych podmiotów Deloitte (np. poprzez wskazywanie danych członków personelu wchodzących w skład zespołów projektowych),
  • zapewnienie możliwości skorzystania z oraz rozliczanie benefitów i szkoleń dla członków personelu Deloitte Polska, takich jak pakiet ubezpieczenia medycznego, karty sportowe czy świadczenia dodatkowe przyznawane członkowi personelu, wynikające w szczególności z ustawy z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych,
  • prowadzenie administracji kadrowo-płacowej Deloitte Polska, w tym należyta realizacja rozliczeń publicznoprawnych (podatki, ubezpieczenia społeczne),
  • realizacji obowiązków pracodawcy związanych z zabezpieczeniem emerytalnym i obsługą Pracowniczych Planów Kapitałowych w rozumieniu ustawy z dnia 4 października 2018 r. o pracowniczych planach kapitałowych,
  • prowadzenie rozliczeń wydatków dokonywanych przy pomocy służbowej karty płatniczej oraz służbowych przejazdów taksówkami,
  • organizacja, obsługa i rozliczenie podróży służbowych (krajowych i zagranicznych),
  • dochodzenie oraz obrona przed roszczeniami,
  • zapewnienie bezpieczeństwa pracowników, ochrony mienia, jak również zapewnienie zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić Deloitte Polska na szkodę – w zakresie przetwarzania wizerunku członka personelu Deloitte Polska utrwalonego w ramach monitoringu CCTV (monitoring wizyjny),
  • wykorzystanie w celach marketingowych, komunikacji wewnętrznej oraz ofertowania dla klientów Deloitte Polska – w zakresie przetwarzania wizerunku członka personelu Deloitte Polska utrwalonego w ramach fotografii, nagrań audio lub wideo (innego niż monitoring CCTV);
  • zapewnienie organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy;
  • zapewnienie ciągłości działania i ochronę interesów gospodarczych, handlowych i finansowych Deloitte Polska, oraz przestrzeganie zasad poufności. Obejmuje to między innymi zapobieganie i rozwiązywanie wszelkich problemów technicznych powstałych w związku z wykorzystywaniem narzędzi służbowych oraz systemów teleinformatycznych, zapobieganie i tłumienie działań, które są celowo nielegalne, sprzeczne z porządkiem publicznym lub umyślnie naruszają prawa osób trzecich, zapobieganie i eliminowanie wszelkich naruszeń praw własności intelektualnej, a także zapewnienie integralności oraz zachowania w poufności danych Deloitte Polska, w tym w szczególności nadzorowania bezpieczeństwa i poprawnego funkcjonowania Dokument wyłącznie do użytku wewnętrznego w ramach Deloitte Polska systemów teleinformatycznych Deloitte Polska oraz Deloitte CE, a także ochronę materialną wszystkich zasobów Deloitte Polska.
  • właściwe użytkowanie udostępnionych członkowi personelu Deloitte Polska narzędzi służbowych – w zakresie monitorowania wykorzystywania przez członka personelu takich narzędzi (w tym w szczególności: laptopów, telefonów i kart dostępu) oraz systemów z procedurami oraz politykami bezpieczeństwa Deloitte Polska oraz Deloitte CE (w szczególności z procedurami i politykami wskazanymi w ramach sekcji „1603: Information Security”, dostępnymi w wersji elektronicznej pod adresem https://resources.deloitte.com/sites/centraleurope/pages/CE Policies.aspx?RootFolder=%2Fsites%2Fcentraleurope%2FCE%20Policies%2F1600%20Security%2F1603%20Information%20Security&FolderCTID=0x01200036B21D48CCFE694A8A956D23555F7F02&View=%7b18EC9E21-8952-4FBB-853E-20D63819E4D9%7d);
  • sporządzanie analiz i sprawozdań statystycznych oraz wykorzystywanie przekazanych przez byłego członka personelu Deloitte Polska danych w związku z Programem Alumni oraz programem Exit Interview (w razie, odpowiednio, udziału danej osoby w takim programie i udzielenia informacji w ramach formularza Exit Interview);

2) Podstawę prawną przetwarzania danych osobowych członków personelu Deloitte Polska, w zależności od konkretnej sytuacji, stanowić może:

  • niezbędność przetwarzania danych do wypełnienia obowiązku prawnego ciążącego na administratorze (np. w zakresie danych przetwarzanych dla celów rozliczania podatku czy składek na ubezpieczenie społeczne, zabezpieczenia emerytalnego, przyznawania świadczeń w ramach zakładowego funduszu świadczeń socjalnych, obsługi członkostwa w ramach Pracowniczych Planów Kapitałowych, jak również realizacji obowiązków z zakresu bezpieczeństwa i higieny pracy),
  • niezbędność przetwarzania do podjęcia działań przed zawarciem, zawarcia i wykonania umowy, której stroną jest członek personelu,
  • niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, takich jak utrzymywanie relacji z potencjalnymi i aktualnymi kontrahentami, konieczność zapewnienia należytej jakości usług świadczonych przez Deloitte Polska na rzecz klientów, konieczność przeciwdziałania negatywnym zjawiskom w środowisku wewnętrznym Deloitte Polska (w tym przeciwdziałanie sprzecznym z prawem lub zasadami etycznego postępowania zachowaniom członków personelu Deloitte Polska), ochrona mienia i informacji Deloitte Polska czy ochrona innych dóbr prawnie chronionych Deloitte Polska, dochodzenie oraz obrona przed roszczeniami, prowadzenie rozliczeń wydatków służbowych personelu, zapewnienie organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy, potrzeba zapewnienia członkom personelu Deloitte Polska konkurencyjnych - w porównaniu do warunków rynkowych - warunków pracy/współpracy oraz kontrola właściwego wykorzystywania udostępnionych członkowi personelu Deloitte Polska narzędzi oraz systemów teleinformatycznych,
  • zgoda członka personelu (np. w przypadku wizerunku rozpowszechnianego w celach marketingowych Deloitte Polska).

5. Źródła danych osobowych

Deloitte Polska uzyskuje dane osobowe członków personelu:

  • bezpośrednio od tych osób, których dane dotyczą (np. dane pozyskiwane w ramach kwestionariusza osobowego, formularzy lub oświadczeń członków personelu itp.), lub
  • z innych źródeł (np. od innych członków personelu, w ramach procesu ocen, od dostawcy usług płatniczych lub przewozowych, z udostępnionych członkowi personelu Deloitte Polska narzędzii systemów teleinformatycznych itp.).

6. Odbiorcy danych osobowych oraz ich przesyłanie poza obszar EOG

1) Dane osobowe członków personelu Deloitte Polska mogą być przekazywane, w niezbędnym zakresie, następującym kategoriom podmiotów:

  • innym podmiotom Deloitte Polska niż ten, który jest stroną umowy z członkiem personelu;
  • dostawcom usług Deloitte Polska (np. informatycznych, archiwizacyjnych, kurierskich, szkoleniowych, przewozowych, z zakresu BHP);
  • dostawcom benefitów (w szczególności kart sportowych, medycznych pakietów ubezpieczeniowych, usług kafeteryjnych);
  • klientom Deloitte Polska;
  • brokerom ubezpieczeniowym i ubezpieczycielom oraz bankom i instytucjom finansowym;
  • biegłym rewidentom i doradcom Deloitte Polska;
  • podmiotom współorganizującym z Deloitte Polska wydarzenia o charakterze marketingowym;
  • podmiotom organizującym podróże służbowe, w tym przewoźnikom lotniczym i kolejowym oraz dostawcom usług hotelarskich;
  • zewnętrznym agencjom badawczym;
  • właściwym organom publicznym.

2) Lista podmiotów przetwarzających dane osobowe członków personelu Deloitte Polska w ramach Deloitte CE jest dostępna w wersji elektronicznej pod adresem https://resources.deloitte.com/sites/centraleurope/CE%20Policies/1600%20Security/1 611%20Data%20Processors%20-%20Regional/1611.01%20List%20of%20Employee%20Personal%20Data%20Processo rs.pdf

3) Lista lokalnych podmiotów przetwarzających dane osobowe członków personelu Deloitte Polska jest dostępna w wersji elektronicznej pod adresem

https://resources.deloitte.com/sites/centraleurope/CE%20Policies/1600%20Security/1 612%20Data%20Processors%20-%20Local/1612.17%20List%20of%20Employee%20Personal%20Data%20Processors %20-%20Poland.pdf

4) Dane osobowe członków personelu Deloitte Polska są przetwarzane w sposób zapewniający odpowiednią ochronę tych danych, w tym przed niedozwolonym lub niezgodnym z prawem przetwarzaniem i naruszeniem bezpieczeństwa danych osobowych oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich, zgodnych z aktualną praktyką rynkową środków technicznych lub organizacyjnych zapewniających poufność, poprawność i dostępność przetwarzanych danych. W szczególności, dostęp do danych osobowych innych niż upublicznione ma jedynie ograniczony krąg osób zobowiązanych do zachowania tajemnicy, dla których jest to niezbędne w związku z realizowanymi w ramach Deloitte Polska obowiązkami. Deloitte Polska posiada aktualną certyfikację zgodności Systemu Zarządzania Bezpieczeństwem Informacji z normą ISO 27001 - globalnie rozpoznawalnym standardem bezpieczeństwa (więcej informacji w tym zakresie jest dostępnych w wersji elektronicznej pod adresem https://resources.deloitte.com/sites/centraleurope/quality/Pages/security_awareness.aspx).

5) Dane osobowe członków personelu Deloitte Polska mogą być przekazywane w ramach struktury regionalnej (Deloitte CE) oraz globalnej Deloitte. Może wiązać się to z przekazywaniem tych danych również do państw znajdujących się poza terytorium Europejskiego Obszaru Gospodarczego. W zakresie państw niezapewniających - w świetle RODO - odpowiedniego stopnia ochrony danych, przekazywanie danych do podmiotów w ramach takich państw (niezależnie, czy występujących w roli odrębnych administratorów czy podmiotów przetwarzających) zabezpieczone będzie przy pomocy dodatkowych postanowień umownych, w tym standardowych klauzul ochrony danych przyjętych przez Komisję Europejską lub wiążących reguł korporacyjnych, stanowiących odpowiednie zabezpieczenie w rozumieniu przepisów RODO.

7. Retencja danych osobowych

Dane osobowe członków personelu Deloitte Polska przetwarzane w celach wymienionych w ustępie 4 punkt 1 powyżej przechowywane są w formie umożliwiającej identyfikację osoby, której dotyczą przez okres nie dłuższy niż jest to niezbędne w świetle realizacji celów, w których konkretne dane są przetwarzane, przy czym:

  • w przypadku danych osobowych przetwarzanych na podstawie zgody członka personelu Deloitte Polska -dane osobowe będą przetwarzane do momentu jej skutecznego wycofania (bez wpływu na legalność przetwarzania danych, które miało miejsce przed wycofaniem zgody w tym zakresie); Dokument wyłącznie do użytku wewnętrznego w ramach Deloitte Polska
  • w przypadku przetwarzania, co do którego okres retencji ustalony został przepisami prawa (np. w przypadku monitoringu wizyjnego czy przechowywania dokumentacji pracowniczej) - nie dłużej niż do momentu upływu tego okresu. Po ustaniu tego okresu, dane osobowe zostaną (pod warunkiem niewystępowania innej podstawy prawnej - zgodnie z art. 6 ust. 1 RODO - do przetwarzania takich danych) zanonimizowane lub nieodwracalnie usunięte.

8. Uprawnienia członków personelu Deloitte Polska jako podmiotów danych

Każdy członek personelu Deloitte Polska, będący podmiotem danych osobowych, posiada prawo (w zakresie i na warunkach określonych w ramach obowiązujących przepisów dotyczących ochrony danych osobowych,w szczególności RODO):

  • dostępu do danych i żądania kopii danych osobowych podlegających przetwarzaniu,
  • żądania sprostowania, usunięcia lub ograniczenia przetwarzania danych,
  • wniesienia sprzeciwu wobec przetwarzania,
  • przenoszenia danych (w zakresie znajdującym zastosowanie oraz dotyczącym możliwości otrzymania -w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego - danych osobowych dotyczących członka personelu Deloitte Polska i żądania przekazania ich innemu administratorowi, o ile jest to technicznie możliwe),
  • cofnięcia zgody w dowolnym momencie (bez wpływu na legalność dotychczasowego przetwarzania), w przypadku przetwarzania danych w oparciu o zgodę członka personelu,
  • wniesienia skargi do organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych;


2) Podanie przez członka personelu Deloitte danych osobowych może być, w zależności od okoliczności i konkretnego celu przetwarzania:

  • wymogiem ustawowym (np. w odniesieniu do danych żądanych od kandydatów do pracy i pracowników w zakresie przewidzianym w ustawie z dnia 26 czerwca 1974 r. Kodeks pracy, czy danych koniecznych do obliczenia należnego podatku lub składki na ubezpieczenie społeczne);
  • warunkiem zawarcia umowy (np. w odniesieniu do danych koniecznych do należytej identyfikacji strony umowy z Deloitte Polska);
  • wymogiem umownym (np. w odniesieniu do danych koniecznych do zapewnienia zgodności z politykami wewnętrznymi Deloitte Polska, w szczególności zasadami niezależności);
  • dobrowolne (np. w odniesieniu do danych przetwarzanych na podstawie zgody członka personelu Deloitte Polska);

Konsekwencją niepodania danych może być - w przypadkach, gdy podanie danych stanowi wymóg ustawowy lub umowny - brak możliwości nawiązania lub kontynuacji współpracy z Deloitte Polska. W przypadkach natomiast przetwarzania opartego na zgodzie członka personelu, niepodanie danych bądź ich podanie przy jednoczesnym nieudzieleniu zgody skutkować będzie brakiem możliwości przetwarzania takich danych przez Deloitte Polska.

3) Członkowie personelu Deloitte Polska uzyskają odrębną informację, jeżeli mieliby podlegać decyzji, która opierałaby się wyłącznie na zautomatyzowanym przetwarzaniu ich danych osobowych (w tym profilowaniu) i miałaby wywoływać wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływać.

9. Kontakt

We wszelkich sprawach związanych z niniejszym dokumentem, w tym w celu realizacji uprawnień wymienionych w ustępie 8 powyżej, należy kontaktować się z Zespołem Ochrony Danych Osobowych w ramach Wewnętrznego Działu Prawnego (Zespołu In-house lawyers) Deloitte Polska, pod adresem: pgiedyk@deloittece.com lub pbaranski@deloittece.com.

Dodatkowe pytania dotyczące okoliczności przetwarzania danych osobowych (w tym stosowanych środkówi zabezpieczeń danych osobowych w związku z ich przekazywaniem poza Europejski Obszar Gospodarczy), należy kierować na adres: CEprivacy@deloittece.com.

10. Uwagi

Papierowe wersje polityk, do których odwołuje się niniejszy dokument, są dostępne na żądanie członka personelu Deloitte Polska, poprzez kontakt z osobą z Zespołu Ochrony Danych Osobowych wskazaną powyżej.
 

Did you find this useful?