No results found
Information about the processing of personal data of members of Deloitte Poland staff
1. Introduction
This document presents a summary of information about the processing of personal data of members of Deloitte Poland staff in compliance with the requirements of GDPR.
2. Definitions
The following terms as used herein shall have the meaning as stated:
1) controller – Deloitte Poland, which, alone or jointly with others, determines the purposes and means of the processing of personal data of members of Deloitte Poland staff, specifically:
2) processor – a natural or legal person, a public authority, an entity or another unit, which processes personal data on behalf of the controller. The list of Deloitte Poland and Deloitte CE processors can be
found in Section 6 hereof;
3) recipient – a natural or legal person, a public authority, an entity or another unit to which personal data are disclosed. For members of Deloitte Poland staff, the recipients may include representatives,
For internal use by Deloitte Poland only members of staff, and other persons authorized by the controller or processor. Public authorities which may receive personal data in the framework of a particular inquiry shall not be regarded as recipients;
4) members of Deloitte Poland staff – natural persons, whether performing work under an employment contract (employees) or on another basis (interns, those performing work under civil law contracts);
5) data subject – the natural person whose data is processed;
6) personal data – any information allowing direct or indirect identification of a member of Deloitte Poland staff and/or information relating to an identified member of Deloitte Poland staff;
7) processing of personal data – any operation or set of operations which is performed on personal data, such as collection, recording, organization, structuring, storage, alteration, retrieval, consultation,
use, disclosure, erasure or destruction;
8) Deloitte Central Europe or Deloitte CE – a regional organization of entities organized under the umbrella of Deloitte Central Europe Holdings Limited, the member firm in Central Europe of Deloitte Touche Tohmatsu Limited;
9) Deloitte Poland – depending on the circumstances, a Deloitte entity or entities operating within the territory of the Republic of Poland, as listed here:
https://www2.deloitte.com/pl/pl/footerlinks1/odeloitte.html;
10) Deloitte – member entities of Deloitte Touche Tohmatsu Limited, and related parties and affiliates thereof, including Deloitte CE;
11) Deloitte Central Europe policies, CE policies – the applicable regional policies available at
https://resources.deloitte.com/sites/centraleurope/pages/CE-Policies.aspx
12) GDPR – Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).
3. Which personal data of members of its staff are processed by Deloitte Poland?
The following categories of the personal data of members of its staff are processed by Deloitte Poland:
1) basic data, such as first (middle) name, last name, date of birth, contact details as provided by a member of staff, education, professional qualifications, employment history, address of residence, PESEL number – which also includes such data as may be collected by Deloitte Poland prior to contract conclusion;
2) other data of a member of staff which may be considered necessary for the fulfilment of obligations imposed on Deloitte Poland under the applicable laws (including the personal data of his/her immediate family members, if provision of such data is necessary for a member of staff being an employee to enjoy special rights granted under the labor law);
3) data about employment history/work for Deloitte Poland, in particular such data as may be collected in the course of performance reviews, data about (classroom or electronic) training, calls made with the use of company mobile phones as well as data about the performance of professional duties;
4) data the processing of which is necessary for purposes of settlements with Deloitte Poland, specifically bank account number, pay amount and components (including debt deductions, if applicable), the value of benefits used in the form of sports cards, medical insurance package or additional benefits granted to members of staff, in particular under the Act of For internal use by Deloitte Poland only 4 March 1994 on the company social benefit fund, as well as information arising from participation in Employee Capital Plans within the meaning of the Act of 4 October 2018 on employee capital plans);
5) data concerning the members of Deloitte Poland staff’s use of tools and IT systems made available to them, including data concerning their online activity;
6) the image of the members of Deloitte Poland staff, recorded as photo, audio or video material, used – depending on the circumstances – either for purposes defined by Deloitte Poland and processed based on the data subject’s consent or on grounds of Deloitte Poland’s legitimate interests or in order to perform a contract with Deloitte Poland to which the data subject is a party.
4. Purposes and legal basis of personal data processing
1) The personal data of members of staff may be processed by Deloitte Poland for the following purposes:
2) Depending on the circumstances, the following may be the legal basis of the processing of the personal data of members of Deloitte Poland staff:
5. Personal data sources
The personal data of members of its staff are derived by Deloitte Poland:
6. Recipients of personal data and personal data transfers outside EEA
1) The personal data of members of Deloitte Poland staff may be transferred, as necessary, to the following categories of entities:
2) A list of Deloitte CE processors of the personal data of members of Deloitte Poland staff is available in electronic form here:
https://resources.deloitte.com/sites/centraleurope/CE%20Policies/1600%20Security/1611%20Data%20Processors%20-
%20Regional/1611.01%20List%20of%20Employee%20Personal%20Data%20Processo rs.pdf
3) A list of local processors of the personal data of members of Deloitte Poland staff is available in electronic form here:
https://resources.deloitte.com/sites/centraleurope/CE%20Policies/1600%20Security/1
612%20Data%20Processors%20-
%20Local/1612.17%20List%20of%20Employee%20Personal%20Data%20Processors %20-%20Poland.pdf
4) The personal data of members of Deloitte Poland staff are processed in a manner that ensures appropriate protection for the personal data, including against unauthorized or unlawful processing, breach of their security, and against accidental loss, destruction or damage, using appropriate technical or organizational measures that are in line with current market practices, which ensure accuracy, confidentiality, and accessibility of the data processed. In particular, access to personal data other than those made public is granted only to a limited number of people who are obliged to preserve their confidentiality and for whom such access is necessary in order to fulfil their duties at Deloitte Poland. Deloitte Poland has in place an Information Security Management System compliant with ISO 27001, a globally recognized security
standard (more information available in electronic form at
https://resources.deloitte.com/sites/centraleurope/quality/Pages/security_awareness.aspx).
5) The personal data of members of Deloitte Poland staff may be transferred within the regional (Deloitte CE) and the global structure of Deloitte. This may involve transfers of such data also to countries outside the European Economic Area. Transfers to entities in countries which, as per GDPR, do not ensure an adequate level of data protection (irrespective of whether such entities are separate controllers or processors), will be safeguarded using additional contractual provisions, including – but not limited to – standard data protection clauses adopted by the European Commission or binding corporate rules constituting appropriate safeguards within the meaning of GDPR provisions.
7. Personal data retention
The personal data of members of Deloitte Poland staff which are processed for the purposes identified in Section 4.1 above will be retained in a form allowing the identification of the data subject for no longer than it is necessary to accomplish the purposes of specific data processing, and in line with the rules stating that:
8. Rights conferred on members of Deloitte staff as data subjects
1) Within applicable personal data protection regulations, especially GDPR, and on such terms as specified therein, each member of Deloitte Poland staff who is a data subject has the right to:
2) Depending on the circumstances and the specific purpose of data processing, provision of personal data by a member of Deloitte staff may be:
3) A failure to provide data may result in the inability to establish or continue a work relationship with Deloitte Poland, where provision of data is a statutory or contractual requirement. Where personal data are processed basing on a consent of a member of staff, a failure to provide data or provision of data but a refusal to give consent will result in the inability to process such data by Deloitte Poland.
4) Members of Deloitte Poland staff will be informed separately if they are to be subject to a decision which is based solely on automated processing of their personal data (including profiling) and which produces legal effects or similarly significantly affects him or her.
9. Contact
In any matters relating to this document and to exercise the rights referred to in Section 8 above, please contact the Personal Data Protection Team (within In-House Legal Team) at Deloitte Poland at pgiedyk@deloittece.com
or pbaranski@deloittece.com.
If you have any additional questions regarding the circumstances in which the personal data are processed (the measures and safeguards implemented with respect to their transfer outside the European Economic Area), please write to CEprivacy@deloittece.com.
10. Comments
Policies referred to herein are available in paper form for members of Deloitte Poland staff on their demand. To access them, please contact one of the Data Protection Team members specified above.
Informacja o przetwarzaniu danych osobowych personelu Deloitte Polska
1. Wstęp
Niniejszy dokument podsumowuje, zgodnie z wymogami RODO, informacje na temat przetwarzania danych osobowych członków personelu Deloitte Polska.
2. Definicje
Ilekroć w niniejszym dokumencie mowa jest o:
1) administratorze - rozumie się przez to podmiot Deloitte Polska, który samodzielnie lub wspólnie z innymi podmiotami ustala cele i sposoby przetwarzania danych osobowych członków personelu Deloitte Polska, w szczególności:
2) podmiocie przetwarzającym - rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Wykaz podmiotów przetwarzających Deloitte Polska oraz Deloitte CE znajduje się w ustępie 6 niniejszego dokumentu;
3) odbiorcy danych - rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot któremu ujawnia się dane osobowe. W przypadku członków personelu Deloitte Polska, odbiorcami ich danych osobowych mogą być przedstawiciele, członkowie personelu oraz inne uprawnione osoby po stronie administratora lub podmiotu przetwarzającego. Organy publiczne, które Dokument wyłącznie do użytku wewnętrznego w ramach Deloitte Polska mogą zgodnie z prawem otrzymywać dane osobowe w ramach konkretnego postępowania, nie są uznawane za odbiorców danych;
4) członkach personelu Deloitte Polska - rozumie się przez to osoby fizyczne, zarówno zatrudnione na podstawie stosunku pracy (pracownicy), jak i te współpracujące z Deloitte Polska na innej podstawie (praktykanci, osoby zatrudnione na podstawie tzw. umów cywilnoprawnych);
5) podmiocie danych - rozumie się przez to osobę fizyczną, której dotyczą dane osobowe;
6) danych osobowych - rozumie się przez to wszelkie informacje pozwalające na bezpośrednią lub pośrednią identyfikację członka personelu Deloitte Polska lub informacje dotyczące zidentyfikowanego członka personelu Deloitte Polska;
7) przetwarzaniu danych osobowych - rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych, takich jak na przykład: ich zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, przekazywanie, usuwanie lub niszczenie;
8) Deloitte Central Europe lub Deloitte CE - rozumie się przez to regionalną jednostkę działającą w ramach Deloitte Central Europe Holdings Limited, członka Deloitte Touche Tohmatsu Limited w Europie Środkowej;
9) Deloitte Polska - rozumie się przez to, w zależności od okoliczności, podmiot lub podmioty Deloitte działające na terenie Rzeczypospolitej Polskiej, każdorazowo wymienione pod adresem https://www2.deloitte.com/pl/pl/footerlinks1/o-deloitte.html
10) Deloitte - rozumie się przez to podmioty członkowskie Deloitte Touche Tohmatsu Limited oraz ich podmioty powiązane i stowarzyszone, w tym Deloitte CE;
11) politykach Deloitte Central Europe, politykach CE - rozumie się przez to obowiązujące polityki regionalne, których treść dostępna jest pod adresem: wskazanym pod adresem
https://resources.deloitte.com/sites/centraleurope/pages/CE-Policies.aspx
12) RODO - rozumie się przez to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
3. Jakie dane osobowe członków personelu przetwarza Deloitte Polska?
Dane osobowe dotyczące członków personelu przetwarzane przez Deloitte Polska obejmują następujące kategorie:
1) dane podstawowe, takie jak imię (imiona), nazwisko, data urodzenia, dane kontaktowe wskazane przez członka personelu, wykształcenie, kwalifikacje zawodowe, przebieg dotychczasowego zatrudnienia, adres zamieszkania, numer PESEL - co obejmuje również dane zebrane przez Deloitte Polska na etapie poprzedzającym zawarcie umowy;
2) inne dane członka personelu niezbędne do wypełniania obowiązku nałożonego na Deloitte Polska przepisem prawa (w tym dane osobowe członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez członka personelu będącego pracownikiem ze szczególnych uprawnień przewidzianych w prawie pracy);
3) dane dotyczące przebiegu zatrudnienia/współpracy w ramach Deloitte Polska, w szczególności takie jak dane gromadzone w toku procesu ocen personelu, dane o odbytych szkoleniach (stacjonarnych oraz Dokument wyłącznie do użytku wewnętrznego w ramach Deloitte Polska przeprowadzanych w formie elektronicznej), lista połączeń wykonywanych za pomocą służbowego telefonu komórkowego, dane dotyczące wykonywanych obowiązków;
4) dane, których przetwarzanie niezbędne jest do realizacji rozliczeń z Deloitte Polska, w szczególności numer konta bankowego, wysokość i składniki wynagrodzenia (w tym ewentualne zajęcia komornicze), wartość wykorzystywanych benefitów w postaci kart sportowych, medycznego pakietu ubezpieczeniowego lub dodatkowych świadczeń przyznanych członkowi personelu, wynikających w szczególności z ustawy z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych oraz informacje wynikające z członkostwa pracownika w ramach Pracowniczych Planów Kapitałowych, w rozumieniu ustawy z dnia 4 października 2018 r. o pracowniczych planach kapitałowych);
5) dane dotyczące wykorzystywania przez członka personelu Deloitte Polska udostępnionych mu narzędzi oraz systemów teleinformatycznych, w tym danych dotyczących aktywności w sieci;
6) wizerunek członka personelu Deloitte Polska, utrwalony w ramach materiałów sporządzonych w formacie fotografii, nagrań audio lub wideo, wykorzystywany w celach zdefiniowanych - w zależności od okoliczności - przez Deloitte Polska i przetwarzany na podstawie zgody podmiotu danych lub w oparciu o prawnie uzasadniony interes realizowany przez Deloitte Polska lub w celu wykonania umowy łączącej członka personelu z Deloitte Polska.
4. Cele i podstawy prawne przetwarzania danych osobowych
1) Dane osobowe dotyczące członków personelu przetwarzane mogą być przez Deloitte Polska w następujących celach:
2) Podstawę prawną przetwarzania danych osobowych członków personelu Deloitte Polska, w zależności od konkretnej sytuacji, stanowić może:
5. Źródła danych osobowych
Deloitte Polska uzyskuje dane osobowe członków personelu:
6. Odbiorcy danych osobowych oraz ich przesyłanie poza obszar EOG
1) Dane osobowe członków personelu Deloitte Polska mogą być przekazywane, w niezbędnym zakresie, następującym kategoriom podmiotów:
2) Lista podmiotów przetwarzających dane osobowe członków personelu Deloitte Polska w ramach Deloitte CE jest dostępna w wersji elektronicznej pod adresem https://resources.deloitte.com/sites/centraleurope/CE%20Policies/1600%20Security/1 611%20Data%20Processors%20-%20Regional/1611.01%20List%20of%20Employee%20Personal%20Data%20Processo rs.pdf
3) Lista lokalnych podmiotów przetwarzających dane osobowe członków personelu Deloitte Polska jest dostępna w wersji elektronicznej pod adresem
4) Dane osobowe członków personelu Deloitte Polska są przetwarzane w sposób zapewniający odpowiednią ochronę tych danych, w tym przed niedozwolonym lub niezgodnym z prawem przetwarzaniem i naruszeniem bezpieczeństwa danych osobowych oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich, zgodnych z aktualną praktyką rynkową środków technicznych lub organizacyjnych zapewniających poufność, poprawność i dostępność przetwarzanych danych. W szczególności, dostęp do danych osobowych innych niż upublicznione ma jedynie ograniczony krąg osób zobowiązanych do zachowania tajemnicy, dla których jest to niezbędne w związku z realizowanymi w ramach Deloitte Polska obowiązkami. Deloitte Polska posiada aktualną certyfikację zgodności Systemu Zarządzania Bezpieczeństwem Informacji z normą ISO 27001 - globalnie rozpoznawalnym standardem bezpieczeństwa (więcej informacji w tym zakresie jest dostępnych w wersji elektronicznej pod adresem https://resources.deloitte.com/sites/centraleurope/quality/Pages/security_awareness.aspx).
5) Dane osobowe członków personelu Deloitte Polska mogą być przekazywane w ramach struktury regionalnej (Deloitte CE) oraz globalnej Deloitte. Może wiązać się to z przekazywaniem tych danych również do państw znajdujących się poza terytorium Europejskiego Obszaru Gospodarczego. W zakresie państw niezapewniających - w świetle RODO - odpowiedniego stopnia ochrony danych, przekazywanie danych do podmiotów w ramach takich państw (niezależnie, czy występujących w roli odrębnych administratorów czy podmiotów przetwarzających) zabezpieczone będzie przy pomocy dodatkowych postanowień umownych, w tym standardowych klauzul ochrony danych przyjętych przez Komisję Europejską lub wiążących reguł korporacyjnych, stanowiących odpowiednie zabezpieczenie w rozumieniu przepisów RODO.
7. Retencja danych osobowych
Dane osobowe członków personelu Deloitte Polska przetwarzane w celach wymienionych w ustępie 4 punkt 1 powyżej przechowywane są w formie umożliwiającej identyfikację osoby, której dotyczą przez okres nie dłuższy niż jest to niezbędne w świetle realizacji celów, w których konkretne dane są przetwarzane, przy czym:
8. Uprawnienia członków personelu Deloitte Polska jako podmiotów danych
Każdy członek personelu Deloitte Polska, będący podmiotem danych osobowych, posiada prawo (w zakresie i na warunkach określonych w ramach obowiązujących przepisów dotyczących ochrony danych osobowych,w szczególności RODO):
2) Podanie przez członka personelu Deloitte danych osobowych może być, w zależności od okoliczności i konkretnego celu przetwarzania:
Konsekwencją niepodania danych może być - w przypadkach, gdy podanie danych stanowi wymóg ustawowy lub umowny - brak możliwości nawiązania lub kontynuacji współpracy z Deloitte Polska. W przypadkach natomiast przetwarzania opartego na zgodzie członka personelu, niepodanie danych bądź ich podanie przy jednoczesnym nieudzieleniu zgody skutkować będzie brakiem możliwości przetwarzania takich danych przez Deloitte Polska.
3) Członkowie personelu Deloitte Polska uzyskają odrębną informację, jeżeli mieliby podlegać decyzji, która opierałaby się wyłącznie na zautomatyzowanym przetwarzaniu ich danych osobowych (w tym profilowaniu) i miałaby wywoływać wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływać.
9. Kontakt
We wszelkich sprawach związanych z niniejszym dokumentem, w tym w celu realizacji uprawnień wymienionych w ustępie 8 powyżej, należy kontaktować się z Zespołem Ochrony Danych Osobowych w ramach Wewnętrznego Działu Prawnego (Zespołu In-house lawyers) Deloitte Polska, pod adresem: pgiedyk@deloittece.com lub pbaranski@deloittece.com.
Dodatkowe pytania dotyczące okoliczności przetwarzania danych osobowych (w tym stosowanych środkówi zabezpieczeń danych osobowych w związku z ich przekazywaniem poza Europejski Obszar Gospodarczy), należy kierować na adres: CEprivacy@deloittece.com.
10. Uwagi
Papierowe wersje polityk, do których odwołuje się niniejszy dokument, są dostępne na żądanie członka personelu Deloitte Polska, poprzez kontakt z osobą z Zespołu Ochrony Danych Osobowych wskazaną powyżej.