+12 306 55 90 biuro@santier.pl

POLITYKA PRYWATNOŚCI RODO

Szanowny Użytkowniku,

W związku z wejściem w życie od 25 maja 2018 roku Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dokonaliśmy zmian w stosowanej przez nas Polityce Prywatności.
Niniejszy dokument określa zasady na jakich są przetwarzane i chronione dane osobowe osób korzystających z serwisu www.santier.pl (dalej: „Serwis”).
Polityka prywatności opisuje rodzaj gromadzonych Danych Osobowych Użytkownika Serwisu, sposób ich gromadzenia, wykorzystania a także ich przechowywania oraz ewentualnego udostępniania, a także opisuje, jakie prawa przysługują Ci w związku z przetwarzaniem danych osobowych.
Administrator jest obowiązany do ochrony prywatności Użytkowników Serwisu. Działając w tym celu Administrator dokłada wszelkich starań w celu zapewnienia Użytkownikowi Serwisu ochrony udzielonych danych osobowych w związku z korzystaniem z Serwisu i dokonywaniem zakupów.
Administratorem Pana/Pani danych osobowych jest:
Jarosław Juszczyk prowadzący działalność gospodarczą pod firmą „SANTIER” z siedziba w Krakowie, ul. Sikorki 14/LU, 31-589 Kraków, NIP: 6772266540, REGON: 120860037.

Data opracowania aktualizacji : Listopad 2021 r.

WSTĘP

Polityka Bezpieczeństwa jest zestawem reguł i praw regulujących sposób zarządzania, przetwarzania, przechowywania i dystrybucji danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.
Podstawą do opracowania i wdrożenia dokumentu jest realizacja obowiązków wynikających z:
1) Ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku r. (tekst jednolity Dz. U. z 2018 r. poz. 100)
2) Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 Kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (Ogólne Rozporządzenie O Ochronie Danych) z dnia 27 kwietnia 2016 r. (Dz. Urz. UE. L Nr 119, str. 1),
3) innych przepisów prawa powszechnie obowiązującego.
Celem wdrożenia niniejszej dokumentacji jest zapewnienie należytej ochrony podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych znajdujących się w zasobach administratora danych, w szczególności odpowiedniej do zagrożeń i kategorii danych osobowych objętych ochroną.

DEFINICJE

§1


Użyte w niniejszej dokumentacji przetwarzania danych osobowych definicje i pojęcia są wspólne dla wszystkich dokumentów powiązanych z niniejszą dokumentacją oraz dla wszystkich pozostałych dokumentów, które zostały przyjęte przez Administratora w zakresie ochrony danych osobowych. Ilekroć w niniejszej Polityce Bezpieczeństwa jest mowa o:
1) Administratorze Danych – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; W niniejszej dokumentacji przetwarzania danych osobowych przez Administratora danych rozumie się Jarosław Juszczyk prowadzący działalność gospodarczą pod firmą „SANTIER” z siedziba w Krakowie, ul. Sikorki 14/LU, 31-589 Kraków, NIP: 6772266540, REGON: 120860037;
2) Danych osobowych (lub „dane”) – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to
3) Naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
4) Odbiorcy – rozumie się przez top osobę fizyczna lub prawną, organ publiczny lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie do tego, czy jest stroną trzecią;
5) Organ nadzorczy – Prezes Urzędu Ochrony Danych Osobowych (PUODO);
6) Osobie fizycznej możliwej do zidentyfikowania – rozumie się przez to, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
7) Osobie upoważnionej – rozumie się przez to osobę, która otrzymała od Administratora upoważnienie do przetwarzania danych;
8) Podmiot przetwarzający – osoba lub organizacja, której Administrator powierzył przetwarzanie danych osobowych;
9) Profilowanie – dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się
10) Przetwarzaniu danych – rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
11) RODO – rozumie się przez to Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 Kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (Ogólne Rozporządzenie O Ochronie Danych) z dnia 27 kwietnia 2016 r. (Dz.Urz.UE.L Nr 119, str. 1)
12) System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji, narzędzi programowych zastosowanych w celu przetwarzania danych.
13) Upoważnieniu – rozumie się przez to oświadczenie Administratora wskazujące z imienia i nazwiska osobę, która ma prawo przetwarzać dane w zakresie wskazanym w tym oświadczeniu;
14) Załącznikach – należy przez to rozumieć wzory dokumentów; Administrator może przedmiotowe wzory zastąpić wydrukami z systemów komputerowych lub innymi dokumentami o treści zgodnej z przepisami powszechnie obowiązującego prawa;
15) Zbiorze danych – rozumie się przez to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

POSTANOWIENIA OGÓLNE

  1. Zakres przedmiotowy stosowania niniejszej dokumentacji obejmuje wszystkie zbiory danych osobowych przetwarzane przez Administratora w sposób zautomatyzowany (np. w formie elektronicznej) jak również inny niż zautomatyzowany (np. w formie papierowej), stanowiących część zbioru danych lub mających stanowić część zbioru danych.
  2. Polityka Bezpieczeństwa jest przechowywana w wersji elektronicznej oraz w wersji papierowej w siedzibie Administratora.
  3. Polityka jest udostępniana do wglądu osobom posiadającym upoważnienie do przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma zostać nadane upoważnienie do przetwarzania danych osobowych, celem zapoznania się z jej treścią.
  4. Polityka Bezpieczeństwa jest dokumentem wewnętrznym, poufnym i nie może być udostępniana podmiotom trzecim bez uprzedniej zgody Administratora.
  5. Dla skutecznej realizacji Polityki Administrator Danych zapewnia:
    a. odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne,
    b. kontrolę i nadzór nad przetwarzaniem danych osobowych,
    c. monitorowanie zastosowanych środków ochrony.
  6. Monitorowanie przez Administratora Danych zastosowanych środków ochrony obejmuje m.in. działania Użytkowników, naruszanie zasad dostępu do danych, zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi.
  7. Administrator Danych zapewnia, że czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem danych osobowych są zgodne z niniejszą Polityką oraz odpowiednimi przepisami prawa.
    FILARY OCHRONY DANYCH
    Filarami ochrony danych osobowych u Administratora są:
    a. Legalność- Administrator dba o ochronę prywatności i przetwarza dane zgodnie z prawem,
    b. Bezpieczeństwo- Administrator zapewnia odpowiedni poziom Bezpieczeństwa danych, podejmując stale działania w tym zakresie,
    c. Prawa jednostki- Administrator zapewnia osobom, których dane dotyczą, wykonywanie swoich praw i prawa te realizuje,
    d. Rozliczalność- Administrator dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej chwili móc wykazać zgodność.

ZASADY OCHRONY DANYCH

  1. Administrator przetwarza dane osobowe:
    a. zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
    b. w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);
    c. adekwatnie, stosownie oraz z ograniczeniem do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
    d. prawidłowe i w razie potrzeby uaktualniane („prawidłowość”);
    e. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”);
    f. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
    g. Czas przetwarzania danych jest ograniczona do okresu ich przydatności do celów, do których zostały zebrane, a po tym okresie są one anonimizowane bądź usuwane.
  2. Administrator dokumentuje wszelkie czynności związane z przetwarzaniem danych osobowych zgodnie z zasadami określonymi w pkt 1 w taki sposób, aby móc wykazać ich przestrzeganie.
  3. Administrator przeprowadza okresowe kontrole w celu weryfikacji, czy nie przetwarza danych niezgodnie z zadami określonymi w RODO. W przypadku działania niezgodnego z zasadami RODO, niezwłocznie podejmuje działania mające na celu przywrócenie stanu zgodnego z prawem.
  4. Każda osoba upoważniona do przetwarzania danych osobowych jest zobowiązana do niezwłocznego zgłaszania Administratorowi wszelkich sytuacji, w których przetwarzanie w prowadzonej przez niego działalności odbywa się niezgodnie z zasadami określonymi w RODO.
    OBOWIĄZKI ADMINISTRATORA
  5. Administrator ma obowiązek dopilnować, aby każdy przetwarzający dane osobowe był pisemnie upoważniony do przetwarzania danych osobowych zgodnie z postanowieniami rozdziału „Upoważnienie do przetwarzania danych” niniejszej Polityki Bezpieczeństwa.
  6. Administrator, w miarę potrzeb, organizuje szkolenia dla osób upoważnionych do przetwarzania danych osobowych w zakresie obowiązujących przepisów, procedur oraz podstawowych zagrożeń związanych z przetwarzaniem danych.
  7. Administrator nie przekazuje osobom, których dane dotyczą, informacji w sytuacji, w której dane te muszą zostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej (art. 14 ust. 5 pkt d RODO).
  8. Administrator spełnia obowiązki informacyjne wobec osób, których dane dotyczą, oraz zapewnia możliwość realizacji otrzymanych od nich żądań dotyczących ochrony ich praw, w tym:
    a. obowiązki informacyjne – Administrator przekazuje osobom, których dane dotyczą, wymagane prawem informacje przy zbieraniu danych i innych sytuacjach oraz organizuje i zapewnia udokumentowanie realizacji tych obowiązków,
    b. możliwość wykonania żądań – Administrator zapewnia możliwość efektywnego wykonania każdego typu żądania osoby, której dane dotyczą, przez siebie oraz osoby upoważnione do przetwarzania danych osobowych,
    c. obsługę żądań – Administrator zapewnia odpowiednie nakłady i procedury, aby żądania osób były realizowane w terminach i w sposób wymagany przez RODO, a także odpowiednio udokumentowane.
  9. Administrator zapewnia odpowiedni poziom bezpieczeństwa danych, w tym:
    a. przeprowadza oceny skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw i wolności osób jest wysokie,
    b. dostosowuje środki ochrony do ustalonego ryzyka,
    c. posiada system zarządzania bezpieczeństwem informacji,
    d. stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych osobowych organowi nadzorczemu.
  10. W przypadku prowadzenia procesu rekrutacyjnego Administrator i osoby upoważnione do przetwarzania danych osobowych są zobowiązane do postępowania zgodnie z wdrożonymi procedurami.
    PODSTAWY PRAWNE PRZETWARZANIA
  11. Administrator przetwarza dane w przypadku, kiedy zaistnieje jeden z poniższych warunków:
    a. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.
    b. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
    c. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
    d. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
    e. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
    f. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
  12. Administrator może również przetwarzać dane objęte zakresem art. 9 RODO, jednak tylko w przypadkach tam wskazanych.

PRZETWARZANIE DANYCH

  1. Administrator danych nie podejmuje czynności przetwarzania, które mogłyby wiązać się z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator wykona czynności określone w art. 35 i nast. RODO.
  2. W przypadku planowania nowych czynności przetwarzania Administrator dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony danych w fazie ich projektowania.
  3. Administrator prowadzi rejestr czynności przetwarzania w wersji elektronicznej bądź papierowej.
    PRZETWARZANIE DANYCH SZCZEGÓLNYCH KATEGORII, DANYCH KARNYCH ORAZ DANYCH DZIECI, KTÓRE NIE UKOŃCZYŁY 16 LAT
  4. Administrator identyfikuje przypadki, w których przetwarza lub może przetwarzać dane szczególnych kategorii lub dane karne, a także dane dzieci, które nie ukończyły 16 lat w przypadku bezpośredniego oferowania im usług w ramach społeczeństwa informacyjnego.
  5. W przypadku zaistnienia sytuacji określonej w pkt 1, Administrator stosuje odpowiednie mechanizmy określone w RODO oraz przepisach powszechnie obowiązujących w celu zapewnienia zgodności z prawem takiego przetwarzania.
    DANE NIEIZDENTYFIKOWANE
    Administrator identyfikuje przypadki, w których przetwarza lub może przetwarzać dane niezidentyfikowane i utrzymuje mechanizmy ułatwiające realizację praw osób, których dotyczą dane niezidentyfikowane.
    PROFILOWANIE
  6. Administrator przewiduje możliwość profilowania danych osobowych.
  7. Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się – dotyczy to np. sytuacji, kiedy właściciel domeny internetowej gromadzi dane o konkretnej osobie fizycznej w postaci plików cookies, a następnie te dane wykorzystuje w celach poprawienia wyglądu strony, aby zwiększyć skuteczność prowadzonych działań.
  8. W przypadku zaistnienia sytuacji profilowania danych osobowych, Administrator identyfikuje takie przypadki oraz zapewnia zgodność tego procesu z obowiązującymi przepisami prawa.
  9. Możliwe jest zaistnienie sytuacji, w której podmioty zewnętrzne będą dokonywały profilowania bez wiedzy Administratora, wobec powyższego konieczna jest okresowa weryfikacja tej kwestii.
    WSPÓŁADMINISTROWANIE
    Administrator identyfikuje przypadki współadministrowania danymi i postępuje tym zakresie zgodnie z przyjętymi zasadami. Współadministrowanie oznacza sytuację, w której co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania danych osobowych zgodnie z art. 26 ust. 1 RODO.
    UPOWAŻNIENIE DO PRZETWARZANIA DANYCH
  10. Osoby, którym Administrator udzielił upoważnienia do przetwarzania danych osobowych są zobowiązane do:
    a. ścisłego przestrzegania zakresu upoważnienia,
    b. przestrzegania i ochrony danych osobowych zgodnie z przepisami,
    c. zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczania,
    d. zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu.
  11. Każda osoba, której Administrator udzielił upoważnienia do przetwarzania danych osobowych, zobowiązuje się do zachowania danych osobowych przetwarzanych przez Administratora poprzez podpisanie „Oświadczenia i zobowiązania osoby upoważnionej do zachowania tajemnicy”.
  12. Administrator może w każdym czasie odwołać udzielone upoważnienie, o którym mowa w punkcie nr 1 powyżej, w przypadku naruszania przez osobę treści upoważnienia bądź oświadczenia i zobowiązania osoby upoważnionej do zachowania tajemnicy.
  13. Administrator zapewnia każdej osobie, która została przez niego upoważniona do przetwarzania danych osobowych, udział w szkoleniu w celu zapoznania ją z zasadami oraz funkcjonującymi u Administratora technicznymi i organizacyjnymi środkami zabezpieczającymi dane osobowe. Każdorazowe odbycie szkolenia przez osobę, która ma zostać upoważniona do przetwarzania danych osobowych zostaje przez nią potwierdzone poprzez podpisanie Oświadczenia o odbyciu szkolenia.
  14. Administrator gromadzi wszystkie wydane przez siebie upoważnienia w celu wykazania przestrzegania przepisów związanych z wykazaniem przestrzegania nałożonych na niego obowiązków.
  15. Administrator prowadzi Ewidencję osób upoważnionych do przetwarzania danych osobowych. Administrator na bieżąco aktualizuje dane uwzględnione w Ewidencji osób upoważnionych do przetwarzania danych osobowych.
    POWIERZENIE PRZETWARZANIA DANYCH
  16. Administrator może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów zawartych w art. 28 RODO.
  17. Przed powierzeniem przetwarzania danych osobowych Administrator w miarę możliwości uzyskuje informację o dotychczasowych praktykach procesora dotyczących zabezpieczenia danych osobowych.
  18. Administrator powierzając przetwarzanie danych osobowych korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi określone w RODO i chroniło prawa osób, których dane dotyczą.
    PRZEKAZYWANIE DANYCH DO PAŃSTWA TRZECIEGO
  19. Administrator przekazuje dane osobowe do państwa trzeciego w przypadku udostępniania treści zawierających dane osobowe na portalach internetowych mających siedzibę poza obszarem Europejskiego Obszaru Gospodarczego (EOG) przykładowo: Gmail, Google, Youtube, Twitter, Facebook.
  20. Administrator posiada odpowiednie zasady weryfikacji, czy przekazuje dane do Państw trzecich lub do organizacji międzynarodowych oraz w przypadku takiego przekazywania zapewnia zgodne z prawem warunki ich przetwarzania, a przede wszystkim wypełnia obowiązek informacyjny dotyczący tych kwestii wobec osób, których dane przetwarza.
  21. W przypadku przekazywania danych do Państwa trzeciego Administrator informuje o tym osoby, których dane są przetwarzane. Dane są wówczas przekazywane wyłącznie do podmiotów, które zapewniają należytą ochronę danych osobowych.
    OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH
  22. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
  23. Administrator dokonał analizy, o której mowa w pkt 1 powyżej z uwzględnieniem określenia ryzyka naruszeń praw i wolności osób fizycznych.
  24. Administrator na bieżąco monitoruje ewentualne zmiany elementów określonych w przeprowadzonej analizie oraz w miarę potrzeby dokonuje w niej zmian.
  25. Administrator zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
  26. Środki ochrony danych obejmują:
    • ograniczenie dostępu do pomieszczeń, w których przetwarzane są dane osobowe, jedynie do osób posiadających odpowiednie upoważnienie.
    • inne osoby mogą przebywać w pomieszczeniach wykorzystywanych do przetwarzania danych jedynie pod nadzorem osoby upoważnionej,
    • zamykanie pomieszczeń, w których przetwarzane są dane osobowe, na czas nieobecności pracowników w sposób uniemożliwiający dostęp osób trzecich.
    • w pomieszczeniach ogólnodostępnych, wykorzystywanie szaf zamykanych na klucz lub kod lub w inny sposób zapewnienie braku dostępu do nich osób nieuprawnionych
    • stosowanie zasady „czystego biurka” poprzez przechowywanie na biurku bądź innym miejscu pracy wyłącznie tych dokumentów, które są niezbędne do aktualnie wykonywanych czynności oraz usuwanie wszelkich notatek, zapisków, dokumentów zawierających dane osobowe, po zakończeniu pracy każdego dnia.
    • wykorzystanie niszczarki do skutecznego usuwania dokumentów zawierających dane osobowe.
    • zabezpieczenie urządzeń, na których przetwarzane są dane poprzez stosowanie haseł dostępu, które znane są wyłącznie osobom upoważnionym do korzystania z określonego stanowiska komputerowego.
    • przechowywanie haseł dostępu do urządzeń, na których przetwarzane są dane osobowe, w miejscach niedostępnych dla osób niemających stosownego upoważnienia do przetwarzania znajdujących się na nich danych.
    • aktualizowanie haseł dostępu do urządzeń, na których przetwarzane są dane osobowe, tak często, jak jest to konieczne.
    • zmienianie haseł dostępu do urządzeń, na których przetwarzane są dane osobowe, zawsze, gdy administrator bądź osoba upoważniona będzie miała podejrzenia co do tego, czy osoba nieuprawniona mogła się z nimi zapoznać.
    • ochrona urządzeń i nośników danych, na których przetwarzane są dane osobowe, poprzez stosowanie programu antywirusowego, a także przeprowadzenie jego okresowych aktualizacji.
    • ochrona urządzeń i nośników danych, na których przetwarzane są dane osobowe, w przypadku ich transportu lub wynoszenia poza siedzibę firmy, na zasadach określonych w Instrukcji Zarządzania Systemem Informatycznym.
    • Obowiązek niezwłocznego zabierania przez osoby upoważnione do przetwarzania danych dokumentów po ich wydrukowaniu tak, aby uniemożliwić uzyskanie do nich dostępu osobom nieupoważnionym.
    • obowiązek osób uprawnionych do przetwarzania danych do uprzedniej weryfikacji poprawności adresu e-mail, na który ma zostać przesłana wiadomość e-mail,
    • obowiązek osób uprawnionych do przetwarzania danych do stosowania zasad udzielania informacji o danych osobowych telefonicznie oraz za pośrednictwem wiadomości e-mail, czyli m.in. zachowanie szczególnej ostrożności w takich sytuacjach, uprzednia weryfikacja osoby, która żąda podania informacji,
    • obowiązek spełniania przez Administratora oraz osobę upoważnioną do przetwarzania danych obowiązku informacyjnego w każdym wypadku zbierania danych od osoby, której dane dotyczą, lub od osoby trzeciej. Obowiązek ten jest spełniany w zależności od okoliczności poprzez udzielenie informacji na piśmie, przesłanie wiadomości e-mail, przekazanie informacji telefonicznie, wskazanie informacji w Polityce bezpieczeństwa, wskazanie informacji na stronie internetowej.
    • wykonywanie przez osoby upoważnione do przetwarzana danych połączeń telefonicznych w taki sposób, aby osoby do tego nieupoważnione nie zapoznały się z ich treścią,
    • bieżące aktualizowanie stosowanego programu antywirusowego.
    • ochronę sieci lokalnej przed działaniami inicjowanymi z zewnątrz przy użyciu sieci firewall.
  27. Zastosowane środki ochrony danych są w ocenie Administratora adekwatne do stwierdzonego poziomu ryzyka.
  28. Administrator na bieżąco monitoruje poziom ryzyka w prowadzonej przez niego działalności oraz dostosowuje do niego adekwatne środki techniczne i organizacyjne.
  29. W zależności od potrzeb, Administrator w każdym przypadku, kiedy uzna to za konieczne, podejmuje również inne środki niezbędne do ochrony przetwarzanych przez niego danych osobowych zgodnie z zasadami określonymi w RODO.
    OBOWIĄZKI INFORMACYJNE
  30. Jeżeli dane osobowe osoby, której dane dotyczą, zbierana są od tej osoby, Administrator podczas ich pozyskiwania podaje tej osobie informacje określone w art. 13 RODO.
  31. Administrator informuje osobę o przetwarzaniu jej danych przy pozyskaniu ich od innej osoby oraz podaje informacje określone w art. 14 RODO.
  32. Administrator dba, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności, gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji określonych w art. 13 oraz art. 14 RODO, a tym samym wypełnić ciążące na nim obowiązki informacyjne.
  33. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.
  34. Jeżeli Administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w art. 13 ust. 2 RODO.
  35. Administrator dokumentuje realizację obowiązków informacyjnych wynikających z RODO wobec osób, których dane dotyczą.
    WYKONYWANIE PRAW PRZEZ OSOBY, KTÓRYCH DANE DOTYCZĄ
  36. Administrator ułatwia osobie, której dane dotyczą, wykonywanie jej praw przyznanych jej w na mocy art. 15-22 RODO, czyli prawa dostępu do danych, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania, prawa do przenoszenia danych, prawa do sprzeciwu.
  37. Administrator dba, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności, gdy informacje są kierowane do dziecka –prowadzić z nią wszelką komunikację w przypadku realizacji przez nią praw przyznanych jej na mocy przepisów RODO (art. 15–22 i 34 RODO) w sprawie przetwarzania.
  38. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.
  39. Administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15–22 RODO. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.
  40. Administrator przy współpracy osób upoważnionych do przetwarzania danych dba o dotrzymywanie prawnych terminów realizacji obowiązków względem osób, których dane dotyczą.
  41. Administrator informuje odbiorców danych o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych (chyba że będzie to wymagało niewspółmiernie dużego wysiłku).
  42. Administrator dokumentuje obsługę obowiązków informacyjnych, zawiadomień oraz żądań osób.
    REALIZACJA ŻĄDAŃ OSÓB, KTÓRYCH DANE DOTYCZĄ
  43. Administrator informuje osobę o tym, że nie przetwarza danych jej dotyczących, jeżeli taka osoba zgłosiła żądanie dotyczące jej praw.
  44. Administrator informuje osobę w ciągu miesiąca od otrzymania żądania o odmowie rozpatrzenia jej żądania i o jej prawach z tym związanych.
    OCHRONA DANYCH W FAZIE PROJEKTOWANIA
    W każdym przypadku, kiedy zajdzie taka potrzeba, Administrator Danych uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, Administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania –wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
    REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH
    Administrator powinien prowadzić Rejestr Czynności Przetwarzania Danych Osobowych oraz Rejestr kategorii czynności przetwarzania, albowiem wynik dokonanego audytu wskazał, że jest on do tego zobowiązany. Regulacje RODO przewidują wyjątek przewidziany w art. 30 ust 5 Rozporządzenia dotyczący podmiotów zatrudniających mniej niż 250 osób pod warunkiem, iż czynności przetwarzania, które wykonuje
    a) Nie mogą powodować ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
    b) Mają charakter sporadyczny lub nie obejmują szczególnych kategorii danych osobowych, o których mowa w art. 9 ust 1
    c) Nie dotyczą wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
    Jednak z uwagi na brak przymiotu „sporadyczności” dotyczący przetwarzania danych osobowych uzasadnione jest twierdzenie o wystąpieniu wyżej wymienionego obowiązku.
    POSTĘPOWANIE W RAZIE NARUSZENIA ZASAD PRZETWARZANIA DANYCH OSOBOWYCH- ZAWIADAMIANIE ORGANU NADZORCZEGO (ART. 33 RODO)
  45. Każda osoba upoważniona, która poweźmie informację o naruszeniu ochrony danych osobowych bądź o możliwości wystąpienia takiego naruszenia, ma obowiązek niezwłocznego poinformowania o tym Administratora.
  46. W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
  47. Postępowanie w przypadku naruszenia zasad przetwarzania danych bądź jego podejrzenia odbywa się na podstawie odpowiednich procedur wdrożonych przez Administratora. Procedury te są znane każdej osobie upoważnionej do przetwarzania danych osobowych.
  48. Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych osobowych uważa się w szczególności:
    a. naruszenie Bezpieczeństwa Systemów Informatycznych, w których przetwarzane są dane osobowe, w razie ich przetwarzania w takich systemach,
    b. Udostępnianie lub umożliwienie udostępniania danych osobom lub podmiotom do tego nieupoważnionym,
    c. zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia ochrony danym osobowym,
    d. niedopełnianie obowiązku zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia,
    e. przetwarzanie danych osobowych niezgodnie z założonym zakresem i celem ich zbierania.
    f. spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie danych osobowych,
    g. naruszenie praw osób, których dane są przetwarzane.
  49. Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności:
    a. jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną;
    b. jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi;
    c. jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków Bezpieczeństwa;
    d. jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych;
    e. jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci; jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.
  50. W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych, Użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego powiadomienia Administratora.
  51. W każdej sytuacji, w której zaistniałe naruszenie, mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
  52. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze w taki sposób, aby pozwolić organowi nadzorczemu weryfikowanie przestrzegania zasad zgłaszania naruszeń ochrony danych osobowych.
  53. Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o incydencie także osobę, której dane dotyczą.
  54. Administrator dokumentuje wszelkie przypadki naruszenia zasad przetwarzania danych osobowych poprzez ich uwzględnienie w rejestrze naruszeń Danych Osobowych.
    POSTĘPOWANIE W RAZIE NARUSZENIA ZASAD PRZETWARZANIA DANYCH OSOBOWYCH- ZAWIADAMIANIE OSOBY, KTÓREJ DANE DOTYCZĄ (ART. 34 RODO)
  55. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
  56. Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach:
    a. administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
    b. administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;
    c. wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
  57. Administrator dokumentuje wszelkie czynności związane z zawiadamianiem osoby, której dane dotyczą, tak aby umożliwić organowi nadzorczemu zweryfikowanie wypełnienia nałożonych na niego obowiązków w tym zakresie.
    POSTANOWIENIA KOŃCOWE
  58. Wszystkie osoby zobowiązane są do przetwarzania danych osobowych zgodnie z obowiązującymi przepisami, zgodnie z ustaloną przez Administratora Polityką Bezpieczeństwa, Instrukcją Zarządzania Systemem Informatycznym, a także innymi dokumentami wewnętrznymi i procedurami związanymi z przetwarzaniem danych osobowych.
  59. Za niedopełnienie obowiązków wynikających z niniejszego dokumentu pracownik ponosi odpowiedzialność na podstawie kodeksu pracy oraz przepisów o ochronie danych osobowych.
  60. W każdym przypadku, gdy Jarosław Juszczyk prowadzący działalność gospodarczą pod firmą „SANTIER” z siedziba w Krakowie, ul. Sikorki 14/LU, 31-589 Kraków, NIP: 6772266540, REGON: 120860037 na podstawie zawartych umów powierzenia przetwarzania danych osobowych, jest podmiotem przetwarzającym w celu i wobec Danych Osobowych określonych w/w umowach, postanowienia niniejszej Polityki Bezpieczeństwa stosuje się odpowiednio do wykonywanych obowiązków wynikających z tych umów.
  61. W przypadku, o którym mowa w pkt 3 powyżej Administrator jest zobowiązany prowadzić Rejestr Kategorii Czynności Przetwarzania.
  62. W sprawach nieuregulowanych w niniejszej polityce Bezpieczeństwa mają zastosowanie przepisy powszechnie obowiązującego prawa, w tym w szczególności przepisy ustaw regulujących zasady ochrony danych osobowych.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Niniejsza instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej Instrukcją, przyjęta została w celu wykazania, że dane osobowe w systemach informatycznych:

Jarosława Juszczyka prowadzącego działalność gospodarczą pod firmą „SANTIER” z siedziba w Krakowie, ul. Sikorki 14/LU, 31-589 Kraków, NIP: 6772266540, REGON: 120860037

przetwarzane są w sposób zgodny z przepisami prawa mającymi zastosowanie do takiej czynności, zgodnie z art. 5 ust 2 Rozporządzenia Parlamentu Europejskiego i Rady ( UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego dalej Rozporządzeniem.

Instrukcja, zatwierdzona przez Administratora i przyjęta do stosowania, stanowi obowiązujący ogół pracowników i współpracowników dokument.

Zawarte w niej procedury i wytyczne powinny być przekazane osobom odpowiedzialnym w jednostce za ich realizację stosownie do przydzielonych uprawnień, zakresu odpowiedzialności i ich obowiązków.

DEFINICJE:

  1. Administrator Danych – Jarosław Juszczyk prowadzący działalność gospodarczą pod firmą „SANTIER” z siedziba w Krakowie, ul. Sikorki 14/LU, 31-589 Kraków, NIP: 6772266540, REGON: 120860037.
  2. Dane osobowe – wszelkie informacje, w tym o stanie zdrowia, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
  3. System Informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji narzędzi programowych zastosowanych w celu przetwarzania danych w tym także Internet.
  4. Przetwarzanie danych – jakiekolwiek operacje wykonywane na Danych Osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie czy usuwanie, które wykonuje się w Systemie Informatycznym.
  5. Użytkownik – osoba upoważniona przez Administratora Danych do Przetwarzania danych osobowych, na podstawie pisemnego upoważnienia.
  6. Identyfikator Użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie, indywidualnie identyfikujących osobę upoważnioną do Przetwarzania Danych osobowych w systemie Informatycznym w razie przetwarzania danych w takim systemie.
  7. Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie Administratorowi oraz osobie uprawnionej do pracy w Systemie Informatycznym
  8. Zabezpieczenie danych w systemie informatycznym – wdrożenie i wykorzystanie środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.

ZASADY OGÓLNE

§1

  1. Za bezpieczeństwo Danych osobowych w Systemie Informatycznym i za właściwy nadzór odpowiedzialnych jest Administrator Danych.
  2. Do obsługi Systemu Informatycznego i dostępu do zawartych tam i przetwarzanych Danych Osobowych, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie wydane przez Administratora Danych.
  3. Przydzielanie uprawnień do systemu informatycznego realizowane jest w oparciu
    o następujące zasady:
    1) „Minimalnych przywilejów” – każdy użytkownik posiada prawa dostępu do zasobów ograniczone wyłącznie do tych, które są niezbędne do wykonywania powierzonych mu obowiązków;
    2) „Wiedzy koniecznej” – pracownicy posiadają wiedzę o zasobach ograniczoną wyłącznie do zagadnień, które są niezbędne do realizacji powierzonych im zadań;
    3) „Domniemanej odmowy” – wszystkie działania, które nie są jawnie dozwolone są zabronione.
  4. Dostęp do systemu informatycznego mogą posiadać, w zależności od wykonywanych czynności służbowych lub umownych:
    1) pracownicy Administratora w zakresie niezbędnym do właściwego wykonywania obowiązków służbowych;
    2) osoby, przy pomocy których Administrator wykonuje swoje czynności,
    w szczególności:
    a) osoby zatrudnione na podstawie umowy cywilnoprawnej;
    b) pracownicy lub osoby działające w imieniu podmiotu zewnętrznego świadczącego usługi na rzecz administratora danych;
    c) stażyści;
    d) praktykanci;
    e) wolontariusze.
  5. Po upoważnieniu osoby do dostępu do przetwarzania danych osobowych w systemie informatycznym zostaje nadany Identyfikator użytkownika.
  6. Dla każdego użytkownika systemu informatycznego ustalony jest odrębny Identyfikator i Hasło.
  7. Niedopuszczalne jest korzystanie z tego samego identyfikatora przez więcej niż jednego użytkownika.
  8. Raz użyty identyfikator nie może być przydzielony innemu użytkownikowi.
  9. Uprawnienia dostępu są nadawane wyłącznie w zakresie wynikającym z zajmowanego stanowiska i potrzeby wykonywania obowiązków służbowych na danym stanowisku pracy. Bezzasadne nadawanie uprawnień administratora (przywilejów) będzie kwalifikowane jako incydent związany z bezpieczeństwem informacji.
  10. Użytkownikowi systemu informatycznego zostaje nadany dostęp po:
    1) zapoznaniu z przepisami dotyczącymi ochrony danych osobowych;
    2) zapoznaniu się z niniejszą Dokumentacją przetwarzania danych osobowych;
    3) podpisaniu oświadczenia o zachowaniu informacji (w tym danych osobowych), do których użytkownik będzie miał dostęp podczas wykonywania obowiązków służbowych lub zobowiązań umownych oraz środków ich zabezpieczania w tajemnicy (również po ustaniu łączącej strony umowy), w tym powstrzymanie się od wykorzystywania ich w celach pozasłużbowych;
    4) otrzymaniu upoważnienia do przetwarzania danych osobowych.
  11. Rejestr użytkowników upoważnionych do dostępu do systemu lub aplikacji prowadzi administrator systemu informatycznego.
  12. Rejestr, o którym mowa powyżej prowadzony jest w postaci elektronicznej lub papierowej.
  13. Rejestr, o którym mowa powyżej jest przechowywany w miejscu niedostępnym dla osób niepowołanych.
  14. Wzór upoważnienia, o którym mowa w pkt 10 ppkt 4 stanowi załącznik nr 2 do Instrukcji Zarządzania Systemem Informatycznym.
  15. Wzór Rejestru, o którym mowa w § 1 pkt 11 stanowi załącznik nr 1 do Instrukcji Zarządzania Systemem Informatycznym.

NADAWANIE IDENTYFIKATORA I HASŁA

§2

  1. Administrator nadaje osobie, o której mowa w § 1 pkt 4. Identyfikator oraz Hasło dostępu do Systemu Informatycznego i wprowadza te dane do Rejestru, o którym mowa § 1 pkt. 11.
  2. Zabrania się użytkownikom udostępniania swojego identyfikatora i hasła innym osobom.
  3. Użytkownik ponosi odpowiedzialność za jego przechowanie i zachowanie w tajemnicy przed innymi Użytkownikami oraz osobami trzecimi.
  4. Zabronione jest:
    a) Zapisywanie przez Użytkowników haseł w sposób jawny i umieszczania ich w miejscach dostępnych dla innych osób;
    b) używanie tych samych haseł w różnych systemach operacyjnych i aplikacjach;
    c) przeprowadzanie prób łamania haseł;
    d) wpisywanie haseł „na stałe” (np. w skryptach logowania) oraz wykorzystywania opcji auto-zapamiętywania haseł (np. w przeglądarkach internetowych).
  5. Każdy Użytkownik zobowiązany jest do poinformowania Administratora Danych o każdym podejrzeniu ujawnienia Identyfikatora lub Hasła oraz każdej próbie użycia Hasła celem dostania się do Systemu przez osobę nieuprawnioną.

PROCEDURY ROZPOCZĘCIA, ZAWIESZENIA I ZAKOŃCZENIA PRACY PRZEZ UŻYTKOWNIKA

§ 3

  1. Pracownik po przyjściu do pracy uruchamia stacje roboczą.
  2. Przed uruchomieniem komputera należy sprawdzić czy nie zostały do niego podłączane żadne obce, niezidentyfikowane urządzenia.
  3. Po uruchomieniu pracownik loguje się przy pomocy Identyfikatora Użytkownika oraz Hasła do systemu informatycznego.
  4. Zawieszenie pracy w systemie informatycznym tj. brak wykonywania jakichkolwiek czynności zobowiązuje pracownika do każdorazowego blokowania ekranu wygaszaczem chronionym hasłem po odejściu od stanowiska.
  5. W pomieszczeniach, gdzie nie jest możliwe ograniczenie dostępu osób postronnych, monitory stanowisk dostępu danych osobowych ustawia się w taki sposób, aby uniemożliwić tym osobom wgląd w dane.
  6. Przed zakończeniem pracy należy upewnić się czy dane zostały zapisane, aby uniknąć utraty danych.
  7. Po zakończeniu pracy, użytkownik obowiązany jest wylogować się z systemu informatycznego przetwarzającego dane osobowe i z systemu operacyjnego, zabezpieczyć nośniki informacji (elektroniczne i papierowe) oraz wyłączyć komputer.
  8. W sytuacji, gdy wgląd w wyświetlane na monitorze dane może mieć nieuprawniona osoba należy tymczasowo zmienić widok wyświetlany na monitorze lub obrócić monitor (przymknąć ekran laptopa) w sposób uniemożliwiający wgląd w wyświetlaną treść.

ZASADY KORZYSTANIA ZE SŁUŻBOWEJ POCZTY ELEKTRONICZNEJ

§4

  1. Użytkownikowi zostaje nadany dedykowany adres skrzynki poczty elektronicznej działający w domenie administratora danych.
  2. Nadany użytkownikowi adres skrzynki poczty elektronicznej służy wyłącznie do realizacji celów służbowych lub umownych. Korespondencja realizowana drogą elektroniczną
    z wykorzystaniem systemów informatycznych administratora danych podlega rejestrowaniu i może być monitorowana. Informacje przesyłane za pośrednictwem sieci administratora danych (w tym do i z Internetu) nie stanowią własności prywatnej użytkownika.
  3. Wszelka korespondencja elektroniczna niezwiązana z działalnością administratora danych, powinna być prowadzona przez prywatną skrzynkę poczty elektronicznej użytkownika.
  4. W szczególnych wypadkach Użytkownik może korzystać z poczty elektronicznej prywatnej, jednakże na wyraźną zgodę Administratora.
  5. Korzystanie z systemu poczty elektronicznej dla celów prywatnych nie może wpływać na wydajność systemu poczty elektronicznej.
  6. Zabronione jest otwieranie wiadomości e-mail pochodzących od nieznanego nadawcy lub z podejrzanym tytułem, w szczególności zabronione jest otwieranie linków lub pobieranie plików z źródeł nieznanych.
  7. Zabronione jest:
    a) wysyłanie materiałów służbowych na konta prywatne (np. celem pracy nad dokumentami w domu);
    b) wykorzystywanie systemu poczty elektronicznej do działań mogących zaszkodzić wizerunkowi administratora danych,
    c) otwieranie załączników z plikami samorozpakowującymi się bądź wykonalnymi typu exe, com, itp.;
    d) ukrywanie lub dokonywanie zmian tożsamości nadawcy;
    e) czytanie, usuwanie, kopiowanie lub zmiana zawartości skrzynek pocztowych innego użytkownika;
    f) odpowiadanie na niezamówione wiadomości reklamowe lub wysyłane łańcuszki oraz na inne formy wymiany danych określanych spamem; w przypadku otrzymania takiej wiadomości należy przesłać ją administratorowi systemu informatycznego;
    g) posługiwanie się adresem służbowym e-mail w celu rejestrowania się na stronach handlowych, informacyjnych, chat’ach lub forach dyskusyjnych, które nie dotyczą zakresu wykonywanej pracy lub obowiązków umownych;
    h) wykorzystywanie poczty elektronicznej do reklamy prywatnych towarów lub usług, działalności handlowo-usługowej innej niż wynikającej z potrzeb administratora danych lub do poszukiwania dodatkowego zatrudnienia
    i) instalowanie na urządzeniach nielegalnego oprogramowania lub innych nielegalnych programów.

ZASADY KORZYSTANIA Z SIECI PUBLICZNEJ (INTERNET)

§5

  1. Sieć Internetowa Administratora powinna być zabezpieczona hasłem szyfrowanym w technologii WPA2, znanym wyłącznie Administratorowi oraz Użytkownikom.
  2. Administrator stosuje licencjonowany program antywirusowy.
  3. Aktualizacja bazy wirusów odbywa się poprzez automatyczne pobieranie bazy wirusów przez program antywirusowy.
  4. Każdy Użytkownik korzystający z Systemu Informatycznego ma obowiązek monitorowania aktualności bazy wirusów, a w przypadku, kiedy baza staje się nieaktualna, ma obowiązek jej aktualizacji. Ponadto Użytkownik co najmniej raz w miesiącu skanuje System Informatyczny, z którego korzysta, w celu poszukiwania wirusów.
  5. Oprogramowanie, o którym mowa w pkt 3. sprawuje ciągły nadzór (ciągła praca w tle) nad pracą systemu i jego zasobami oraz stacjami roboczymi.
  6. Stosuje się aktywną ochronę antywirusową na każdym komputerze, na którym przetwarzane są dane osobowe.
  7. Dostęp użytkowników do sieci publiczne (Internet) powinien być ograniczony do niezbędnego minimum na danym stanowisku pracy.
  8. Wprowadza się całkowite ograniczenia w korzystaniu z komunikatorów np. Facebook, WhatsApp, na urządzeniach Administratora.
  9. Wprowadza się całkowite ograniczenia w dostępie do treści uznanych za pornograficzne, rasistowskie, traktujące o przemocy, przestępstwach, jak również do protokołów umożliwiających wymianę plików w sieciach z naruszeniem przepisów prawa.
  10. Dalsze ograniczenia dostępu do sieci Internet mogą być rekomendowane przez Inspektora Ochrony Danych.

ZASADY POSTĘPOWANIA Z NOŚNIKAMI ELEKTRONICZNYMI PODCZAS PRACY POZA OBSZAREM PRZETWARZANIA DANYCH

§6

  1. Każdy użytkownik wymiennych nośników elektronicznych oraz nośników danych ponosi całkowitą odpowiedzialność za powierzony do użytkowania sprzęt.
  2. Do nośników elektronicznych oraz nośników danych zalicza się między innymi:
    a) komputery stacjonarne,
    b) komputery przenośne,
    c) tablety,
    d) smartphony,
    e) pendrivy,
    f) drukarki,
    g) modemy,
    h) monitory,
    i) routery,
    j) osprzęt dostarczony razem z wyżej wymienionym sprzętem lub zakupiony oddzielnie,
    a w szczególności: zasilacze, torby, klawiatury, myszki komputerowe.
  3. Każdy ze sprzętów użytkowanych przez Administratora powinien być zabezpieczony hasłem.
  4. Osoba użytkująca przenośny komputer, tablet, smartphone czy pendrive, służący do przetwarzania danych osobowych, obowiązana jest zachować szczególną ostrożność podczas transportu i przechowywania go poza obszarem ochrony danych w celu zapobieżenia dostępowi do tych danych osobie niepowołanej, a ponadto oraz są obowiązani do stosowania się do poniższych zasad:
    a) zabrania się pozostawiania bez opieki w miejscach publicznych nośników wymiennych przetwarzających informacje Administratora;
    b) komputery przenośne należy przewozić jako bagaż podręczny i w miarę możliwości je maskować;
    c) użytkownik wykonując czynności zawodowe lub umowne w domu powinien zadbać
    o należyte zabezpieczenie powierzonego sprzętu oraz dostępu do informacji przed nieautoryzowanym dostępem osób trzecich;
    d) zabrania się udostępniania osobom trzecim nośników elektronicznych informacji oraz powierzonego sprzętu będącego własnością Administratora;
    e) w przypadku utraty nośnika elektronicznego lub sprzętu komputerowego należy ten fakt bezzwłocznie zgłosić do Administratora, ponieważ zagubienie nośnika przetwarzającego dane może wiązać się z utratą poufności informacji chronionych przez Administratora;
    f) problemy wynikające z nieprawidłowego funkcjonowania sprzętu komputerowego należy zgłaszać administratorowi.

TWORZENIE KOPII ZAPASOWYCH I PRZECHOWYWANIE NOŚNIKÓW INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE ORAZ KOPII ZAPASOWYCH

§7

  1. Dla zabezpieczenia integralności danych dokonuje się ich archiwizacji.
  2. Wszystkie dane archiwizowane powinny być zidentyfikowane.
  3. Kopie bezpieczeństwa należy wykonywać:
    a) przed dokonaniem zmian w konfiguracji systemów operacyjnych lub oprogramowania;
    b) przed dokonaniem zmian w programach (np. zmiana wersji);
    c) przed i/lub po każdej istotnej zmianie danych w bazie danych;
  4. Kopie bezpieczeństwa należy:
    a) wykonać w co najmniej jednym egzemplarzu;
    b) przechowywać w innym miejscu niż te, w którym zbiory eksploatowane są na bieżąco (co najmniej w innej strefie pożarowej).
  5. Oprócz kopii bezpieczeństwa należy wykonywać kopie archiwalne.
  6. Kopie archiwalne należy:
    a) wykonać w co najmniej jednym egzemplarzu;
    b) przechowywać w innym miejscu niż te, w którym zbiory eksploatowane są na bieżąco (co najmniej w innej strefie pożarowej).
  7. Nośniki z kopiami archiwalnymi i kopami bezpieczeństwa powinny być zabezpieczone przed dostępem do nich osób nieupoważnionych przed zniszczeniem lub kradzieżą.
  8. Po upływie dopuszczalnego okresu przetwarzania danych osobowych, dane te są usuwane z kopii bezpieczeństwa oraz kopii archiwalnych.

PRZEGLĄDY KONTROLNE I KONSERWACJA SYSTEMU ORAZ NOŚNIKÓW INFROMACJI

§8

  1. Przeglądy kontrolne, serwis sprzętu i oprogramowania powinny być dokonywane przez firmy serwisowe, z którymi zostały zawarte umowy zawierające postanowienia zobowiązujące do przestrzegania zasad poufności informacji uzyskanych w ramach wykonywanych zadań.
  2. W przypadku prac serwisowych dokonywanych przez podmiot zewnętrzny należy zawrzeć umowę powierzenia danych osobowych.
  3. Przed oddaniem sprzętu do serwisu zalecane jest skopiowanie danych osobowych nań znajdujących się na zewnętrzny nośnik danych, zabezpieczony zgodnie z postanowieniami Instrukcji oraz w miarę możliwości usunięcie ich ze sprzętu.

POSTANOWIENIA KOŃCOWE

§9

  1. Dokumentacja przetwarzania danych osobowych stanowi wewnętrzną regulację Administratora
    i obowiązuje wszystkich pracowników i współpracowników Administratora.
  2. Dokumentacja przetwarzania danych osobowych obowiązuje od dnia jej wprowadzenia
    w życie w sposób przyjęty u Administratora. Wszelkie zmiany Dokumentacji przetwarzania danych osobowych obowiązują od dnia ich wprowadzenia w życie w sposób przyjęty u Administratora.
  3. Każdy kto przetwarza dane posiadane przez Administratora zobowiązany jest do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszej Dokumentacji przetwarzania danych osobowych
  4. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu potraktowane będą jako ciężkie naruszenie obowiązków pracowniczych lub niewykonanie zobowiązania w przypadku stosunku prawnego innego niż stosunek pracy.
  5. W sprawach nieuregulowanych w niniejszej instrukcji zarządzania mają zastosowanie przepisy powszechnie obowiązującego prawa, w tym w szczególności przepisy ustawy.

WSKAZÓWKI DOTYCZĄCE ZGŁASZANIA NARUSZEŃ OCHRONY DANYCH OSOBOWYCH ORGANOWI NADZORCZEMU (ART. 33)

  1. Naruszenia ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
  2. W przypadku naruszenia ochrony danych osobowych, Administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
  3. Przy ocenie, czy zawiadomienia dokonano bez zbędnej zwłoki, uwzględnia się charakter i wagę naruszenia ochrony danych osobowych, jego konsekwencje oraz niekorzystne skutki dla osoby, której dane dotyczą.
  4. Przykłady naruszenia ochrony danych osobowych:
    a) Kradzież pendrive,
    b) Zniszczenie płyty CD/DVD,
    c) Nieodwracalne usunięcie jedynego arkusza, w którym znajdowały się dane klienta,
    d) Omyłkowe wybranie komendy podmieniającej nazwiska wszystkich osób uwzględnionych w pliku na jedno nazwisko np. Kowalski,
    e) zniszczenie wszystkich nośników danych zawierających dane osobowe zbierane na zlecenia Administratora przez podmiot przetwarzający w sytuacji, w której podmiot ten nie był uprawniony do usuwania danych, lecz miał wszystkie kopie danych (wraz z nośnikami) przekazać po zakończeniu usługi Administratorowi
    f) przesłanie wiadomości e-mail z załącznikiem zawierającym dane osobowe do adresata, który nie powinien ich otrzymać (nie był osobą uprawnioną do otrzymania danych zawartych w treści załącznika).
    Jednak proszę pamiętać, aby każdą sytuację oceniać indywidualnie uwzględniając towarzyszące jej okoliczności.
  5. Na Administratorze w każdym wypadku ciąży obowiązek oceny prawdopodobieństwa ryzyka naruszenia praw lub wolności osób fizycznych. Przy jego ocenie powinien on uwzględnić obiektywne kryteria m.in. dotychczasowe doświadczenie związane z podobnymi sprawami, wiedze z zakresu bezpieczeństwa informacji, okoliczności naruszenia ochrony danych osobowych zaistniałe w konkretnym przypadku. Administrator powinien również udokumentować przeprowadzoną analizę ryzyka tak, aby móc udowodnić jej przeprowadzenie przed organem kontrolnym. Powinien on przede wszystkim wskazać uzasadnienie, dlaczego uznaje, że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
  6. Jeżeli Administrator uzna, że ryzyko naruszenia ochrony danych osobowych jest:
    a) mniejsze niż małe – podejmuje działania wewnątrz swojego przedsiębiorstwa,
    b) większe niż małe- dokonuje zawiadomienia organu nadzorczego,
    c) wysokie – dokonuje zawiadomienia organu nadzorczego oraz osoby, której dane dotyczą.
  7. Przykładem naruszenia ochrony danych osobowych jest sytuacja, gdy pracownik kradnie nośnik (np. pendrive) zawierający dane osobowe pracowników oraz wynosi go poza strukturę Administratora, który w dalszej kolejności nośnik jednak niszczy. Bez wątpienia w takim przypadku doszło do naruszenia ochrony danych osobowych, ale nie wpłynęło to faktycznie na bezpieczeństwo danych, które nie zostały finalnie udostępnione. Działanie takie wyłączone byłoby więc spod obowiązku poinformowania organu, o którym mowa w art. 33 RODO, mimo że naruszałoby zasady ochrony danych osobowych. Powinno jednak zostać uwzględnione w rejestrze naruszeń ochrony danych osobowych (załącznik do Polityki Bezpieczeństwa). W każdej sytuacji Administrator musi jednak samodzielnie ocenić zaistniały stan faktyczny w oparciu o wszelkie istniejące okoliczności oraz podjąć decyzję, czy dokonuje zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu czy nie.
  8. Zgodnie z motywem 75 preambuły RODO ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności:
    a) jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną;
    b) jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi;
    c) jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa;
    d) jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych;
    e) jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci; jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.
  9. Zaleca się, aby każda osoba, która poweźmie informację o naruszeniu ochrony danych osobowych bądź o możliwości wystąpienia takiego naruszenia, niezwłocznie poinformowała o tym Administratora.
  10. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi.
  11. Zgłoszenie naruszenia ochrony danych osobowych musi co najmniej:
    a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie- np. spalenie się pomieszczenia zawierającego akta osobowe 200 pracowników, itp.;
    b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
    c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych- np. brak możliwości odtworzenia dokumentacji z uwagi na brak kontaktu z osobami, których dane zawierały, trudności dowodowe w ewentualnym sporze sądowym itp.;
    d) opisywać środki zastosowane lub proponowane przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków- np. poinformowanie pracowników o zaistniałej sytuacji oraz odtworzenie dokumentacji przez pracowników Administratora,
  12. Jeżeli – i w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki. Oznacza to, że w ciągu 72 godzin od stwierdzenia naruszenia, Administrator danych ma obowiązek przekazać organowi nadzorczemu tak wiele informacji, jak tylko możliwe, a w późniejszym terminie może uzupełnić pozostałe dane.
  13. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.
  14. Grupa Robocza art. 29 w opracowanych przez siebie materiałach zaleca dokumentowanie uzasadnienia decyzji podjętej w odpowiedzi na naruszenie. W szczególności należy także udokumentować powody decyzji w przypadku niezgłoszenia naruszenia. Trzeba podać przyczyny, dla których Administrator uznaje ryzyko naruszenia praw i wolności osób fizycznych za mało prawdopodobne
  15. Mając na uwadze zasadę rozliczalności wprowadzoną przez przepisy RODO zaleca się, aby wszelka dokumentacja prowadzona była w wersji papierowej oraz przechowywana przez Administratora w miejscu do tego odpowiednim tak, aby wykluczyć dostęp do niej osób niepowołanych.

ANALIZA BEZPIECZEŃSTWA PRZETWARZANIA

Przedmiotem analizy będzie system informatyczny oraz wszelkie inne sposoby przetwarzania danych osobowych w przedsiębiorstwie Administratora, m.in. przetwarzanie danych w wersji papierowej, na komputerach, dyskach przenośnych.
Administrator wprowadzi środki techniczne i organizacyjne z uwzględnieniem:
a) aktualnego stanu wiedzy technicznej,
b) kosztów, którymi dysponuje Administrator w związku z koniecznością zapewnienia środków technicznych i organizacyjnych adekwatnych do ryzyka naruszenia praw lub wolności osób fizycznych,
c) kontekst i cele przetwarzania.
Administrator stosuje zasadę minimalizmu – przetwarza dane wyłącznie niezbędne z uwagi na realizowany przez niego cel.
Administrator zbiera dane w celu realizacji zawartych umów, świadczenia usług marketingowych, przesyłania wiadomości handlowych, prowadzenia rekrutacji.
Administrator przekazuje dane wyłącznie podmiotom zewnętrznym, z którymi zawarł umowę o powierzenie przetwarzania oraz spełniają obowiązki wynikające z RODO.
Administrator przetwarza dane tak długo, jak jest to niezbędne do wykonania umowy, a po jej wykonaniu aż do przedawnienia roszczeń. W przypadku zgody- Administrator przetwarza dane aż do jej cofnięcia bądź złożenia sprzeciwu zgodnie z art. 21 RODO. Administrator przetwarza także dane tak długo, jak ciążą na nim obowiązki wynikające z przepisów prawa.
Administrator przeprowadza również Analizę ryzyka z uwzględnieniem wagi oraz prawdopodobieństwa wystąpienia zagrożeń dla praw i obowiązków osób, których dane dotyczą. Obszarem wymogów objętych analizą ryzyka jest bezpieczeństwo danych osobowych.
Jednocześnie Administrator stwierdza, że przetwarzanie danych w jego przedsiębiorstwie nie zawiera elementów określonych w art. 35 ust. 3 oraz ust. 4 RODO.
Administrator korzysta z systemów informatycznych oraz IT spełniających aktualne wymogi bezpieczeństwa, w szczególności stosuje dwuetapowe systemy weryfikacji użytkownika (uwierzytelniania), szyfrowanie WPA2 sieci Wi-Fi, mechanizmy typu Firewall, korzysta z zaufanego dostawcy elektronicznych skrzynek pocztowych oraz systemów wirtualnego przechowywania danych, a także bieżąco monitoruje stan zabezpieczeń i możliwość zwiększenia stopnia bezpieczeństwa.
Mając na uwadze powyższe czynniki oraz uwzględniając procesy przetwarzania zachodzące w przedsiębiorstwie Administratora, stwierdził on, iż ryzyko jest małe/niskie.
Wobec czego Administrator wdrożył środki organizacyjne i techniczne adekwatne do jego poziomu. Środki te w ocenie Administratora są wystarczające.

POLITYKA PRYWATNOŚCI

CELE I PODSTAWY PRZETWARZANIA

  1. Umowa
    W przypadku kontaktu w celu zawarcia umowy, Pana/Pani dane przetwarzamy w celu podjęcia na Pana/Pani żądanie działań przed zawarciem umowy, np. prowadzenia negocjacji lub przedstawienie oferty (podstawa z art. 6 ust. 1 lit. b RODO). Dane będą przetwarzane przez okres niezbędny do podjęcia działań na Pana/Pani żądanie. W przypadku nie zawarcia umowy po tym okresie dane zostaną usunięte, natomiast w przypadku zawarcia umowy będą w dalszym ciągu przetwarzane do momentu wykonania umowy oraz przedawnienia roszczeń wynikających z umowy na podstawie prawnie uzasadnionego interesu Administratora, którym jest obrona i dochodzenie roszczeń (art. 6 ust. 1 lit. b oraz f RODO).
    W przypadku zawarcia z Panem/Panią umowy, dane będą przetwarzane:
    • w celu jej zawarcia i wykonania (m.in. kontaktu w związku z jej wykonywaniem, potwierdzeniem płatności, udzielania rabatów, dostawy towarów, przesyłania powiadomień o realizacji zamówień) i na jej podstawie (podstawa z art. 6 ust. 1 lit. b RODO);
    • w celu świadczenia usługi drogą elektroniczną, w szczególności utrzymania konta klienta w sklepie (podstawa z art. 6 ust. 1 lit. b RODO);
    • w celu realizacji procesu reklamacji oraz zapewnienia prawidłowej obsługi klienta (podstawa z art. 6 ust. 1 lit. b RODO);
    • w celu realizacji obowiązków prawnych ciążących na Administratorze m.in. obowiązków podatkowych, wynikających z przepisów kodeksu cywilnego, RODO, wystawiania faktur VAT, rozpatrywania reklamacji, spełnienia obowiązku informacyjnego (podstawa z art. 6 ust. 1 lit. c RODO);
    • w celach archiwalnych (dowodowych) dla zabezpieczenia informacji na wypadek prawnej potrzeby wykazania faktów, na podstawie prawnie uzasadnionego interesu Administratora (podstawa z art. 6 ust. 1 lit. f RODO), którym jest archiwizacja dokumentacji,
    • w celu ewentualnego ustalenia, dochodzenia lub obrony przed roszczeniami, na podstawie prawnie uzasadnionego interesu Administratora (podstawa z art. 6 ust. 1 lit. f RODO), którym jest wówczas ustalenie, dochodzenie i obrona przed roszczeniami,
    • w celu marketingu bezpośredniego własnych produktów i usług na podstawie prawnie uzasadnionego interesu Administratora (podstawa z art. 6 ust. 1 lit. f RODO), którym jest marketing bezpośredni własnych produktów i usług,
    • w celu dopasowania oferty reklamowej do potrzeb klientów, prezentacji reklam na podstawie Pana/Pani zgody oraz prawnie uzasadnionego interesu Administratora (podstawa z art. 6 ust. 1 lit. a oraz f RODO), którym jest dostosowywanie kategorii ofert lub poszczególnych ofert podstawie Pana/Pani aktywności.
  2. Informacje handlowe
    Jeżeli wyraził Pan/Pani na to zgodę Pana/Pani dane osobowe będą przetwarzane w celu przesyłania informacji handlowych dotyczących produktów i usług, promocji oraz ofert na podstawie Pana/Pani zgody oraz prawnie uzasadnionego interesu Administratora, którym jest marketing bezpośredni własnych produktów i usług (podstawa z art. 6 ust. 1 lit. a oraz f RODO).
  3. Formularz kontaktowy
    Przetwarzamy podane przez Pana/Panią w formularzu kontaktowym dane w celu realizacji obsługi zgłoszenia oraz odpowiedzi na pytanie, na podstawie naszego prawnie uzasadnionego interesu (podstawa z art. 6 ust. 1 lit. f RODO), którym jest kontakt z Klientami i udzielanie im odpowiedzi na pytania.
  4. Prowadzenie korespondencji tradycyjnej oraz za pośrednictwem e-mail
    W przypadku kierowania przez Pana/Panią do Administratora korespondencji e-mail bądź tradycyjnej, która nie jest związana ze świadczeniem usług bądź wykonywania innej umowy, dane osobowe w niej zawarte są przetwarzane w celu obsługi żądania lub zgłoszonego w korespondencji zapytania.
    Podstawą przetwarzania w takim wypadku jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), który polega na prowadzeniu korespondencji oraz obsługi żądań i zapytań w związku z wykonywaną działalnością gospodarczą. Podanie danych osobowych niezbędnych do obsługi żądania jest obowiązkowe.
  5. Kontakt telefoniczny
    W przypadku kontaktu przez Pana/Panią drogą telefoniczną, w sprawach, które nie są związane ze świadczeniem usług na Pana/Pani rzecz bądź wykonywania innej umowy, dane osobowe przekazane przez Pana/Panią są przetwarzane w celu obsługi żądania lub zgłoszonego zapytania.
    Podstawą przetwarzania w takim wypadku jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), który polega na obsłudze żądań i zapytań w związku z wykonywaną działalnością gospodarczą. Administrator może żądać podania przez Pana/Panią danych niezbędnych do obsługi żądania, wówczas podanie takich danych jest obowiązkowe do obsługi żądania.
  6. Kontakt pracowników Kontrahenta, Klienta lub osoby trzeciej
    W przypadku, kiedy kontaktuje się Pan/Pani z nami telefonicznie lub mailowo w związku z zawartą z Pana/Pani pracodawcą umową lub czynnościami podejmowanymi na jego żądanie przed zawarciem umowy – uzyskane w ten sposób dane przetwarzamy w celu wykonania zawartej umowy oraz podjęcia czynności na jego żądanie przed zawarciem umowy (podstawa z art. 6 ust. 1 lit. b RODO), a także w celu dochodzenia, obrony przed roszczeniami, co stanowi prawnie uzasadniony interes Administratora polegający na ochronie jego praw (podstawa z art. 6 ust. 1 lit. f RODO).
    Jeżeli kontaktuje się Pan/Pani z nami w innej sprawie niż zawarta umowa, przykładowo w celu uzyskania informacji o organizowanych wydarzeniach, konferencjach, szkoleniach lub działalności statutowej, Pana/Pani dane przetwarzamy w celu odpowiedzi na zadane pytanie lub rozwiązania sprawy, z którą się do nas Pan/Pan zwraca. Podstawą przetwarzania jest prawnie uzasadniony interes Administratora polegający na udzieleniu odpowiedzi na zadane pytanie lub rozwiązanie sprawy w związku z prowadzoną działalnością gospodarczą (podstawa z art. 6 ust. 1 lit. f RODO).
  7. Utworzenie konta w serwisie, poprzez rejestrację użytkownika
    W przypadku udostepnienia na stronie internetowej możliwości założenia indywidualnego konta, osoby zakładające konto w Serwisie musza podać w formularzu rejestracyjnym dane niezbędne do utworzenia i obsługi konta (adres e-mail, login oraz hasło). Podanie danych oznaczonych jako obowiązkowe jest wymagane w celu założenia konta, a także jego utrzymania, korzystania oraz obsługi, rozwiązywania problemów technicznych, kontaktowania się w celu związanych ze świadczeniem usług natomiast ich niepodanie skutkuje brakiem możliwości założenia konta, a także jego utrzymania, korzystania oraz obsługi. Dodatkowo podczas zakładania konta Użytkownik może podać imię i nazwisko, które również będą przetwarzane w powyższych celach. Podanie tych danych nie jest jednak niezbędne do utworzenia konta. Po utworzeniu konta w serwisie Użytkownik ma również możliwość dodania adresu czyli podania dodatkowych danych, np. imienia, nazwiska, adresu, nr telefonu. Podane dane są przetwarzane w celu ułatwienia korzystania z konta oraz ze składania zamówień za jego pośrednictwem, tworzenia własnego profilu.
    Podstawą przetwarzania danych osoby dokonującej rejestracji w Serwisie, a także tych podanych później podczas korzystania z konta jest niezbędność przetwarzania do wykonania umowy o świadczenie usług drogą elektroniczną oraz podjęcie działań na żądanie osoby, której dane dotyczą przed zawarciem umowy o świadczenie usług drogą elektroniczną (art. 6 ust. 1 lit b RODO);
    Ponadto powyższe dane są przetwarzane w celu ewentualnego ustalenia i dochodzenia roszczeń lub obrony przed nimi – podstawą prawną przetwarzania jest uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO) który polega na ustaleniu, dochodzeniu lub obronie przed roszczeniami.
    Dane osobowe podane podczas rejestracji, a także później podczas tworzenia profilu są przetwarzane do momentu wykonania umowy, czyli usunięcia przez Użytkownika konta w serwisie lub realizacji żądania jego usunięcia przez Administratora. Dane podane po utworzeniu konta, czyli np. dane teleadresowe, są przetwarzane do momentu ich usunięcia.
  8. Pozostałe podstawy przetwarzania
    Pana/Pani dane mogą być również przetwarzane w celach analitycznych i statystycznych badaniu satysfakcji klientów, co stanowi prawnie uzasadniony interes Administratora (podstawa art. 6 ust. 1 lit. f RODO).
    Jeżeli jest Pan/Pani członkiem organów Administratora, Pana/Pani dane przetwarzamy w celu wykonywania kodeksowych i statutowych praw i obowiązków w zakresie nadzoru i kontroli (podstawa z art. 6 ust. 1 lit. c RODO), a także w celu prawidłowego funkcjonowania spółki na podstawie prawnie uzasadnionego interesu Administratora (podstawa z art. 6 ust. 1 lit. f RODO), którym jest prawidłowe funkcjonowanie spółki.

ODBIORCY DANYCH

  1. Powierzenia przetwarzania danych i udostępnianie danych
    Pana/Pani osobowe możemy udostępniać podmiotom, z których korzystamy przy ich przetwarzaniu w szczególności przedsiębiorstwa świadczące usługi w zakresie dostawy towarów (kurierzy), obsługujące procesy niezbędne do przesyłania powiadomień, usługodawcy świadczący usługi reklamowe i marketingowe, a także w zakresie rozliczeń należności,
    Administrator udostępni również Pana/Pani dane sytuacji, kiedy będzie to konieczne z uwagi na ciążący na nim obowiązek.
    Administrator może udostępnić Pani/Pana dane osobowe stronom transakcji, które zawierane są za pośrednictwem Serwisu. Podmioty, do których ma zastosowanie RODO, po uzyskaniu od Administratora danych osobowych użytkowników portalu, są zobowiązani spełnić wobec tych użytkowników wszelkie obowiązki wynikające z RODO i innych przepisów prawa, w tym zapewnić realizację przysługujących uprawnień na gruncie RODO.
    Administrator może udostępniać dane przechowywane w plikach cookies Zaufanym Partnerom, w celu lepszego rozpoznania atrakcyjności reklam i usług dla, poprawy ogólnej jakości i efektywności świadczonych usług wymienione podmioty. Udostępnianie danych przechowywanych w plikach cookies jest zależne od zgody Użytkownika. Odbiorcą informacji przechowywanych w plikach cookies jest dostawca usług hostingowych obsługujący portal internetowy.
  2. Przekazywanie danych do państw trzecich lub organizacji międzynarodowych
    Administrator może dokonać powierzenia przetwarzania danych osobowych do państwa trzeciego, czyli poza Europejski Obszar Gospodarczy i przesłać je do podmiotów zewnętrznych współpracujących z Administratora działających w imieniu Administratora w celach wyżej opisanych.
    Twoje dane osobowe mogą być przekazywane poza Europejski Obszar Gospodarczy do Twitter, Facebook, Instagram, Google, Youtube
    1) Facebook Inc. z siedzibą w Menlo Park (USA) będącego właścicielem portalu Facebook.com oraz Instagram.com w celu wykonywania marketingu i reklamy produktów;
    2) Alphabet Inc. z siedzibą w Mountain View (USA) będącego właścicielem portalu YouTube w celu wykonywania marketingu i reklamy produktów
    3) Google Inc. z siedzibą w Mountain View (USA), będącego właścicielem Google Analytics oraz Google AdWords Remarketing związku z korzystaniem z w/w oprogramowani w celu wykonywania marketingu i reklamy produktów oraz usług, prowadzeniu analiz statystycznych oraz analitycznych, zapewnienia usług na wyższym poziomie
    Administrator może również przechowywać dane osobowe w miejscu, które podlega innej jurysdykcji niż miejsce twojego pobytu lub siedziby.
    Ponadto część z naszych Zaufanych Partnerów może przechowywać dane użytkowników serwisu poza terytorium EOG (Europejskiego Obszaru Gospodarczego).
    Do przekazania danych poza terytorium EOG np. do USA, dochodzi tylko wtedy, gdy dany podmiot spełnia odpowiedni stopień bezpieczeństwa i ochrony danych określony przez Europejską Radę Ochrony Danych Osobowych (UODO). Oznacza to, że Twoje dane mogą być przekazywane tylko takim podmiotom, które przestrzegają zasad określonych przez Europejską Radę Ochrony Danych Osobowych regulujących gromadzenie, wykorzystywanie i przechowywanie danych osobowych odpowiednio z państw członkowskich Unii Europejskiej. Do takiego przekazania danych dochodzi jedynie wówczas, gdy z podmiotem otrzymującym dane zawarto umowę zawierającą standardowe klauzule umowne wymagające określonego stopnia ochrony danych osobowych.

OKRES PRZECHOWYWANIA DANYCH

Czas, przez jaki możemy przetwarzać Pana/Pani dane osobowe, jest uzależniony od podstawy prawnej stanowiącej legalną przesłankę przetwarzania danych osobowych przez Administratora. Nigdy nie będziemy przetwarzać danych osobowych ponad okres dłuższy niż wynika to z ww. podstaw prawnych. Stosownie do tego informujemy, że:
1) w przypadku, gdy Administrator przetwarza dane osobowe na podstawie zgody, okres przetwarzania trwa do momentu wycofania tej zgody przez Pana/Panią,
2) w przypadku, gdy Administrator przetwarza Pana/Pani dane osobowe pozyskane na podstawie Pana/Pani żądania do podjęcia przez Administratora działań przed zawarciem umowy lub innych określonych działań, okres przetwarzania trwa przez czas niezbędny do podjęcia działań na Pana/Pani żądanie,
3) w przypadku, gdy Administrator przetwarza dane osobowe, gdy jest to konieczne do wykonania umowy, okres przetwarzania trwa do momentu, kiedy ustanie możliwość́ dochodzenia roszczeń́ związanych z umową przez którąkolwiek ze stron,
4) w przypadku, gdy Administrator przetwarza dane osobowe na podstawie uzasadnionego interesu administratora danych, okres przetwarzania trwa do momentu ustania ww. interesu (np. okres przedawnienia roszczeń cywilnoprawnych) lub do momentu sprzeciwienia się osoby, której dane dotyczą, dalszemu takiemu przetwarzaniu – w sytuacjach, gdy sprzeciw taki zgodnie z przepisami prawa przysługuje,
5) w przypadku, gdy Administrator przetwarza dane osobowe, ponieważ jest to konieczne z uwagi na obowiązujące przepisy prawa, okresy przetwarzania danych w tym celu określają te przepisy.

PANA/PANI UPRAWNIENIA

Informujemy, że przysługuje Panu/Pani:
a) prawo dostępu do swoich danych oraz otrzymania ich kopii
b) prawo do sprostowania (poprawiania) swoich danych
c) prawo do usunięcia danych.
Jeżeli Pana/Pani zdaniem nie ma podstaw do tego, abyśmy przetwarzali Pana/Pani dane, możesz zażądać, abyśmy je usunęli.
d) ograniczenia przetwarzania danych
Może Pan/Pani zażądać, abyśmy ograniczyli przetwarzanie Pana/Pani danych osobowych wyłącznie do ich przechowywania lub wykonywania uzgodnionych z Panem/Panią działań, jeżeli Pana/Pani zdaniem mamy nieprawidłowe dane na Pana/Pani temat lub przetwarzamy je bezpodstawnie; lub nie chce Pan/Pani, żebyśmy je usunęli, bo są Panu/Pani potrzebne do ustalenia, dochodzenia lub obrony roszczeń; lub na czas wniesionego przez Pana/Panią sprzeciwu względem przetwarzania danych.
e) prawo do wniesienia sprzeciwu wobec przetwarzania danych:
Sprzeciw „marketingowy”. Ma Pan/Pani prawo sprzeciwu wobec przetwarzania Pana/Pani danych w celu prowadzenia marketingu bezpośredniego. Jeżeli skorzysta Pan/Pani z tego prawa – zaprzestaniemy przetwarzania danych w tym celu.
Sprzeciw z uwagi na szczególną sytuację. Ma Pan/Pani prawo sprzeciwu wobec przetwarzania Pana/Pani danych na podstawie prawnie uzasadnionego interesu w celach innych niż marketing bezpośredni, a także, gdy przetwarzanie jest nam niezbędne do wykonania zadania realizowanego w interesie publicznym lub do sprawowania powierzonej nam władzy publicznej. Powinien Pan/Pani wtedy wskazać nam Pana/Pani szczególną sytuację, która Pana/Pani zdaniem uzasadnia zaprzestanie przez nas przetwarzania objętego sprzeciwem. Przestaniemy przetwarzać Pana/Pani dane w tych celach, chyba że wykażemy, że podstawy przetwarzania przez nas Pana/Pani danych są nadrzędne wobec Pana/Pani praw lub też że Pana/Pani dane są nam niezbędne do ustalenia, dochodzenia lub obrony roszczeń.
f) prawo do przenoszenia danych:
Ma Pan/Pani prawo otrzymać od nas w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (np. format „.csv” dane osobowe Pana/Pani dotyczące, które nam Pan/Pani dostarczył na podstawie umowy lub Pana/Pani zgody. Może Pan/Pani też zlecić nam przesłanie tych danych bezpośrednio innemu podmiotowi.
g) prawo do wniesienia skargi do organu nadzorczego
Jeżeli uważa Pan/Pani, że przetwarzamy Pana/Pani dane niezgodnie z prawem, może Pan/Pani złożyć w tej sprawie skargę do Prezesa Urzędu Ochrony Danych Osobowych.
h) prawo do cofnięcia zgody na przetwarzanie danych osobowych
W każdej chwili ma Pan/Pani prawo cofnąć zgodę na przetwarzanie tych danych osobowych, które przetwarzamy na podstawie Pana/Pani zgody. Cofnięcie zgody nie będzie wpływać na zgodność z prawem przetwarzania, którego dokonano na podstawie Pana/Pani zgody przed jej wycofaniem.
W każdej chwili ma Pan/Pani prawo cofnąć zgodę na przetwarzanie tych danych osobowych, które przetwarzamy na podstawie Pana/Pani zgody. Cofnięcie zgody nie będzie wpływać na zgodność z prawem przetwarzania, którego dokonano na podstawie Pana/Pani zgody przed jej wycofaniem.

Jeżeli uważa Pan/Pani, że przetwarzamy Pana/Pani dane niezgodnie z prawem, może Pan/Pani złożyć w tej sprawie skargę do Prezesa Urzędu Ochrony Danych Osobowych.

W przypadku chęci realizacji powyższych praw, prosimy o kontakt osobisty, za pośrednictwem poczty tradycyjnej bądź e-mail z wykorzystaniem następujących danych:
Jarosław Juszczyk prowadzący działalność gospodarczą pod firmą „SANTIER” z siedziba w Krakowie, ul. Sikorki 14/LU, 31-589 Kraków, NIP: 6772266540, REGON: 120860037,
e-mail: biuro@santier.pl ;
(od poniedziałku do piątku w godz. 8:00-16:00).

DOBROWOLOŚĆ PODANIA DANYCH OSOBOBOWYCH


Podanie danych w związku z obsługą żądania i zgłoszonego zapytania, przedstawionych telefonicznie, za pomocą korespondencji tradycyjnej lub korespondencji e-mail, jest niezbędne do obsługi pytania i odpowiedzi na nie oraz rozwiązania sprawy, a ich niepodanie będzie skutkowało brakiem możliwości przesłania odpowiedzi lub załatwienia sprawy.
W przypadku, kiedy kontaktujesz się z nami w celu zadanie pytania lub wskazania sprawy do rozwiązania podanie przez Pana/Pani danych umożliwiających kontakt zwrotny jest dobrowolne, jednak konieczne do udzielenia odpowiedzi na pytanie lub rozwiązania przedstawionej sprawy.
Podanie danych wskazanych w formularzu kontaktowym jako obowiązkowe jest niezbędne do obsługi pytania i odpowiedzi na nie, a ich niepodanie będzie skutkowało brakiem możliwości przesłania zapytania.
Podanie danych w związku z zawarciem, realizacją i wykonaniem umowy jest dobrowolne, ale konieczne do właściwej realizacji usługi i wykonania umowy. Konsekwencją niepodania tych danych będzie brak możliwości zawarcia umowy z Administratorem.
Możemy również żądać podania przez Pana/Pani danych, jeżeli jest to niezbędne do wykonania ciążących na nas obowiązków prawnych. Wówczas podanie danych jest obowiązkowe.
Podanie danych niezbędnych do wysłania informacji handlowych dotyczących produktów i usług, promocji oraz ofert jest dobrowolne, ale niezbędne do przesyłania takich informacji. Ich niepodanie uniemożliwia przesłanie informacji handlowych dotyczących produktów i usług, promocji oraz ofert.

ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI


Informacje, które gromadzimy w związku z korzystaniem z naszych Serwisów mogą być przetwarzane w sposób zautomatyzowany (w tym w formie profilowania), w zakresie, w jakim jest to niezbędne do realizacji usług reklamowych i marketingowych oraz podjęcia decyzji o udzieleniu Pani/Panu rabatu sprzedażowego, jednakże nie będzie to wywoływać wobec osoby fizycznej żadnych skutków prawnych lub w podobny sposób istotnie wpływać na jej sytuację. Szczególną wagę przykładamy do kwestii profilowania i wskazujemy, że na potrzeby profilowania: nie przetwarzamy żadnych danych szczególnie chronionych, wykorzystujemy do tego typowe dane: adres e-mail i IP lub cookies, profilujemy w celu analizy lub prognozy osobistych preferencji oraz zainteresowań osób korzystających z naszych Serwisów lub produktów lub usług i dopasowywania treści znajdujących się w naszych Serwisach lub produktach do tych preferencji. Profilujemy w celach marketingowych, tj. dopasowania oferty marketingowej do ww. preferencji. Profilowanie pozwala nam także na udzielenie odpowiedniego rabatu, którego przyznanie oraz wysokość zależne są w szczególności od zgromadzonych i opracowanych danych dotyczących Pana/Pani osoby
Nasi Partnerzy mogą korzystać z targetowania i profilowania, czyli zautomatyzowanego sposobu przetwarzania danych osobowych, który polega m.in. na wykorzystywaniu danych osobowych do analizy lub prognozy osobistych preferencji, zainteresowań, lokalizacji, zachowania. Stosowanie procesu profilowania umożliwia naszym Partnerom bardziej szczegółową personalizację prezentowanych Ci reklam. W tym procesie są wykorzystywane pliki Cookie naszych Partnerów, a więc takie przetwarzanie wymaga Twojej zgody, którą możesz w każdej chwili odwołać na naszej stronie też na stronach naszych Partnerów.

POLITYKA PLIKÓW COOKIES


Serwis internetowy www.santier.pl wykorzystuje pliki cookies, aby zapewnić jak najlepsze doświadczenia związane z korzystaniem z niej
Plik cookie to niewielkie informacje tekstowe, wysyłane przez serwer i zapisywane na urządzeniu osoby odwiedzającej nasz Serwis (zazwyczaj na twardym dysku komputera lub w urządzeniu mobilnym). Przechowuje się w nim informacje, których Serwis może potrzebować, aby dostosować się do sposobów korzystania z niego przez osobę odwiedzającą i aby zbierać dane statystyczne dotyczące Serwisu.
W czasie przeglądania zawartości Serwisu przez Użytkowników, automatycznie zbierane są informacje dotyczące korzystania z Serwisu przez Użytkowników oraz ich adresy IP w oparciu o analizę logów dostępowych, np. typ przeglądarki, typ systemu operacyjnego, data i czas odwiedzin, liczba połączeń, liczba otwieranych podstron Serwisu, przeglądane treści.
W plikach cookies nie są przechowywane informacje stanowiące dane osobowe Użytkowników Serwisu. Pliki cookies nie są wykorzystywane do określenia tożsamości Użytkownika.
W ramach Serwisu stosowane są dwa zasadnicze rodzaje plików cookies: “sesyjne” (session cookies) oraz “stałe” (persistent cookies).
Cookies “sesyjne” są plikami tymczasowymi, które przechowywane są w urządzeniu końcowym Użytkownika do czasu wylogowania, opuszczenia strony internetowej lub wyłączenia oprogramowania (przeglądarki internetowej).
“Stałe” pliki cookies przechowywane są w urządzeniu końcowym Użytkownika przez czas określony w parametrach plików cookies lub do czasu ich usunięcia przez Użytkownika.
Obok plików cookies, Serwis może również gromadzić dane zwyczajowo zbierane przez administratorów systemów internetowych w ramach tzw. logów lub plików dziennika. Informacje zawarte w logach mogą obejmować: adres IP, rodzaj platformy, rodzaj przeglądarki internetowej
Pliki cookies są wykorzystywane w Serwisie za zgodą Użytkownika.
Zgoda na wykorzystanie plików cookies
Zapisywanie plików cookies na urządzeniach końcowych Użytkowników zależy wyłącznie od jego woli. Oznacza to, że kiedy wyrazisz zgodę na zapisywanie plików cookies, pliki te mogą być czasowo przechowywane w przeznaczonej do tego przestrzeni oraz odczytane przez ich dostawcę. Realizacja poniższych celów jest także uzasadniona prawnie uzasadnionym interesem Administratora polegającym na zapewnieniu dostępu do Serwisu oraz świadczenia usług na jak najwyższym poziomie (art. 6 ust.1 lit. f RODO).
W jakim celu używamy plików Cookies?
Pliki cookies są wykorzystywane w celach statystycznych, prezentacji i personalizacji treści Serwisu, obsługi formularzy, dopasowywania treści Serwisu do preferencji danego Użytkownika, zapewnienia prawidłowego działania Serwisu oraz jego funkcjonalności, marketingu własnych produktów i usług.
Pliki Cookies są także wykorzystywane w celach funkcjonalnych, personalizacji treści, statystycznych, analitycznych i marketingowych.

Podstawą gromadzenia informacji o Użytkownikach Serwisu jest prawnie uzasadniony interes Administratora polegający na marketingu jego produktów i usług, prowadzeniu analiz statystycznych oraz analitycznych, zapewnienie świadczenia usług na najwyższym poziomie.

Dane osobowe


Co do zasady pliki „cookies” nie stanowią danych osobowych. Jednak pewne informacje przechowywane w plikach „cookies” (np. co do preferencji), zwłaszcza w połączeniu z innymi informacjami o użytkowniku stron internetowych, mogą być traktowane jako dane osobowe. Dane osobowe gromadzone przy użyciu plików „cookies” mogą być przetwarzane wyłącznie w celu wykonywania określonych funkcji na rzecz użytkownika, opisanych powyżej. Takie dane są zaszyfrowane w sposób uniemożliwiający dostęp do nich osobom nieuprawnionym.

Pliki Cookies podmiotów trzecich


Korzystając z naszych stron internetowych możesz otrzymywać ciasteczka pochodzące od współpracujących z Administratorem podmiotów trzecich takich jak np. Google, Facebook, Twitter, a także od firm realizujących na naszych stronach kampanie reklamowe na zlecenie reklamodawców. Więcej informacji na temat tych ciasteczek możesz znaleźć na stronach internetowych poszczególnych podmiotów trzecich.

Zmiana ustawień dotyczących cookies
Co do zasady przeglądarki internetowe, a także inne oprogramowania zainstalowane na komputerze lub innym urządzeniu, które zostało podłączone do sieci – domyślnie pozwalają na umieszczanie plików cookies na takim urządzeniu. W konsekwencji umożliwiają zbieranie informacji o osobach odwiedzających Serwis. Jednak dzięki zmianie ustawień przeglądarki internetowej zgoda wyrażona na korzystanie z technologii cookies może w każdym momencie zostać przez Użytkownika Serwisu zmodyfikowana lub odwołana. Oznacza to, że Użytkownik Serwisu może np. częściowo ograniczyć zapisywanie plików Cookies na jego urządzeniu lub całkowicie wyłączyć taką możliwość. Administrator informuje jednak, iż ograniczenie lub uniemożliwienie stosowania plików cookies mogą wpłynąć na niektóre funkcjonalności dostępne na stronie Serwisu
Szczegółowe informacje na temat zmiany ustawień dotyczących plików Cookies oraz ich samodzielnego usuwania w najpopularniejszych przeglądarkach internetowych dostępne są w dziale pomocy przeglądarki internetowej oraz na poniższych stronach:
• w przeglądarce Chrome
• w przeglądarce Firefox
• w przęglądarce Internet Explorer
• w przeglądarce Opera
• w przeglądarce Safari
Dodatkowe informacje
Informujemy, że w ramach Serwisu mogą zostać zamieszczone linki umożliwiające jego Użytkownikom bezpośrednie dotarcie do innych stron internetowych. Administrator nie ma wpływu na prowadzoną przez ich administratorów politykę prywatności oraz wykorzystywania plików cookies. Zalecamy, aby przed skorzystaniem z zasobów oferowanych przez inne strony internetowe, każdy Użytkownik zapoznał się z dokumentem dotyczącym polityki prywatności oraz wykorzystywania plików cookies, jeżeli zostały one udostępnione, a w razie ich braku skontaktował się z redakcją danej strony celem uzyskania informacji na ten temat.

KLAUZULA INFORMACYJNA


Informujemy, iż Administratorem Państwa danych osobowych jest:
Jarosław Juszczyk prowadzący działalność gospodarczą pod firmą „SANTIER” z siedziba w Krakowie, ul. Sikorki 14/LU, 31-589 Kraków, NIP: 6772266540, REGON: 120860037.

1) Cel i podstawa przetwarzania
Twoje dane osobowe będą przetwarzane
1) w celu zawarcia i wykonania umowy i na jej podstawie (podstawa z art. 6 ust. 1 lit. b RODO);
2) w celu realizacji obowiązków prawnych ciążących na Administratorze m.in. obowiązków podatkowych, wynikających z przepisów kodeksu cywilnego, RODO, wystawiania faktur VAT, rozpatrywania reklamacji, spełnienia obowiązku informacyjnego (podstawa z art. 6 ust. 1 lit. c RODO);
3) w celach archiwalnych (dowodowych) dla zabezpieczenia informacji na wypadek prawnej potrzeby wykazania faktów, na podstawie prawnie uzasadnionego interesu Administratora (podstawa z art. 6 ust. 1 lit. f RODO), którym jest archiwizacja dokumentacji,
4) w celu ewentualnego ustalenia, dochodzenia lub obrony przed roszczeniami, na podstawie prawnie uzasadnionego interesu Administratora (podstawa z art. 6 ust. 1 lit. f RODO), którym jest wówczas ustalenie, dochodzenie i obrona przed roszczeniami,
5) w celu marketingu bezpośredniego własnych produktów i usług na podstawie prawnie uzasadnionego interesu Administratora (podstawa z art. 6 ust. 1 lit. f RODO), którym jest marketing bezpośredni własnych produktów i usług.

2) Odbiorcy danych
Twoje dane osobowe możemy udostępniać podmiotom, z których korzystamy przy ich przetwarzaniu np.: firmom księgowym, prawniczym, informatycznym, kurierskim, dostawcy usług hostingowych. Administrator udostępni również Twoje dane sytuacji, kiedy będzie to konieczne z uwagi na ciążący na nim obowiązek.
3) Przekazywanie danych do Państwa Trzecich
Administrator może dokonać powierzenia przetwarzania danych osobowych do państwa trzeciego, czyli poza Europejski Obszar Gospodarczy i przesłać je do podmiotów zewnętrznych współpracujących z Administratora działających w imieniu Administratora w celach wyżej opisanych.
Administrator może również przechowywać dane osobowe w miejscu, które podlega innej jurysdykcji niż miejsce twojego pobytu lub siedziby.
Ponadto część z naszych Zaufanych Partnerów może przechowywać dane użytkowników serwisu poza terytorium EOG (Europejskiego Obszaru Gospodarczego).
Do przekazania danych poza terytorium EOG np. do USA, dochodzi tylko wtedy, gdy dany podmiot spełnia odpowiedni stopień bezpieczeństwa i ochrony danych określony przez Europejską Radę Ochrony Danych (EROD). Oznacza to, że Twoje dane mogą być przekazywane tylko takim podmiotom, które przestrzegają zasad określonych przez EROD regulujących gromadzenie, wykorzystywanie i przechowywanie danych osobowych odpowiednio z państw członkowskich Unii Europejskiej. Do takiego przekazania danych dochodzi jedynie wówczas, gdy z podmiotem otrzymującym dane zawarto umowę zawierającą standardowe klauzule umowne wymagające określonego stopnia ochrony danych osobowych.
4) Czas przetwarzania danych
Twoje dane:
a) pozyskane w celu zawarcia i wykonania umowy przetwarzamy aż do czasu jej wykonania,
b) przetwarzane w celu realizacji prawnego obowiązku – aż do czasu jego wykonania.
c) Przetwarzane na podstawie prawnie uzasadnionego interesu (w celach archiwalnych, marketingu bezpośredniego oraz ustalenia, dochodzenia i obrony przez roszczeniami- aż do jego realizacji bądź zgłoszenia przez Ciebie skutecznego sprzeciwu,
Powyższe okresy przetwarzania danych osobowych mogą zostać przedłużone o okres niezbędny do dochodzenia lub obrony przed roszczeniami, maksymalnie przez okres przedawnienia roszczeń. Po tym okresie dane zostaną usunięte lub zanonimizowane.

5) Twoje prawa:
Informujemy, że przysługuje Ci:
a) prawo dostępu do swoich danych oraz otrzymania ich kopii,
b) prawo do sprostowania (poprawiania) swoich danych,
c) prawo do usunięcia danych,
d) prawo do ograniczenia przetwarzania danych,
e) prawo do wniesienia sprzeciwu wobec przetwarzania danych,
f) prawo do przenoszenia danych,
g) prawo do wniesienia skargi do organu nadzorczego,
Jeżeli uważasz, że przetwarzamy Twoje dane niezgodnie z prawem, możesz złożyć w tej sprawie skargę do Prezesa Urzędu Ochrony Danych Osobowych.
W przypadku chęci realizacji powyższych praw, prosimy o kontakt osobisty, za pośrednictwem poczty tradycyjnej lub elektronicznej z wykorzystaniem następujących danych:
a) Jarosław Juszczyk prowadzący działalność gospodarczą pod firmą „SANTIER” z siedziba w Krakowie, ul. Sikorki 14/LU, 31-589 Kraków, NIP: 6772266540, REGON: 120860037;
b) e-mail: biuro@santier.pl;
(poniedziałek-piątek w godz. 8:00-16:00)
6) informacja o wymogu/dobrowolności podania danych
W zakresie, w jakim przetwarzanie Twoich danych następuje w celu zawarcia i wykonania umowy, podanie przez Ciebie danych jest warunkiem zawarcia i wykonania umowy. Ich podanie ma charakter dobrowolny, lecz jest niezbędne do zawarcia i wykonania umowy.
Możemy również żądać podania przez Ciebie danych, jeżeli jest to niezbędne do wykonania ciążących na nas obowiązków prawnych. Ich podanie jest wówczas obowiązkowe.
7) Podejmowanie decyzji w sposób zautomatyzowany
Informuję, iż nie będziemy podejmować wobec Ciebie decyzji w sposób zautomatyzowany, w tym nie będziesz podlegał profilowaniu.

INSPEKTOR OCHRONY DANYCH


(ART.37 RODO)

  1. Administrator i podmiot przetwarzający wyznaczają Inspektora Ochrony Danych (IOD), zawsze gdy:
    a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
    b) główna działalność Administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
    lub
    c) główna działalność Administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO (m.in. dane genetyczne, biometryczne, dot. seksualności, zdrowia), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.
  2. Wyznaczenie Inspektora Ochrony Danych w innych wypadkach jest dozwolone, a nawet zalecane przez Grupę Robotniczą art. 29 w celu potwierdzenia dochowania należytej staranności co do zabezpieczeń danych osobowych.
  3. Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań wyznaczonych mu przez RODO (art. 39).
  4. IOD musi być niezależny od Administratora- Administrator nie może wydawać mu wiążących poleceń.
  5. W przypadku wyznaczenia IOD Administrator lub podmiot przetwarzający publikują dane kontaktowe Inspektora Ochrony Danych i zawiadamiają o nich organ nadzorczy.
  6. W przypadku wyznaczenia IOD proszę pamiętać o wskazaniu tej informacji w Polityce Bezpieczeństwa oraz o uzupełnienie tych danych m.in. w klauzulach informacyjnych stanowiących załącznik do Polityki Bezpieczeństwa.
  7. Administrator oraz podmiot przetwarzający zapewniają, by Inspektor Ochrony Danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.
  8. Obowiązki Administratora wobec IOD:
    a) Administrator oraz podmiot przetwarzający wspierają Inspektora Ochrony Danych w wypełnianiu przez niego zadań, nałożonych na niego w RODO (art. 39), zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.
    b) Administrator oraz podmiot przetwarzający zapewniają, by Inspektor Ochrony Danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez Administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu Administratora lub podmiotu przetwarzającego.
    c) Administrator, aby IOD mógł wykonywać ciążące na nim obowiązki, powinien zapewnić mu odpowiednie wsparcie finansowe oraz infrastrukturalne, komunikacji z zespołem upoważnionym do przetwarzania danych.
  9. Osoby, których dane dotyczą, mogą kontaktować się z Inspektorem Ochrony Danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia.
  10. Inspektor Ochrony Danych jest zobowiązany do zachowania tajemnicy lub poufności, co do wykonywania swoich zadań – zgodnie z prawem Unii lub prawem obowiązującym w Polsce. Aby w jak najpełniejszym stopniu chronić interesy Administratora zaleca się, aby dodatkowo w umowie łączącej przedsiębiorcę i IOD została zawarta klauzula poufności zobowiązująca IOD do zachowania w tajemnicy wszelkich danych, o których może dowiedzieć się wraz ze świadczeniem usług.
  11. Inspektor Ochrony Danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.
  12. Inspektor Ochrony Danych ma następujące zadania:
    a) informowanie Administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub przepisów Polski i doradzanie im w tej sprawie;
    b) monitorowanie przestrzegania RODO, innych przepisów Unii lub przepisów Polski oraz polityk Administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
    c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
    d) współpraca z organem nadzorczym;
    e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami z organem nadzorczym (art. 36 RODO), oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
  13. Wskazane powyżej obowiązki IOD stanowią minimalne wymagania wobec niego nałożone przez RODO. Administrator może nałożyć na IOD dodatkowe obowiązki, o ile określi je w umowie łączącej go z IOD. Należy jednak pamiętać, że nałożone obowiązki nie mogą stać w sprzeczności z charakterem pracy IOD, np. obowiązek podporządkowania się decyzjom Administratora.

PODSTAWOWE ZASADY PRZETWARZANIA DANYCH OSOBOWYCH WYNIKAJĄCE Z RODO

  1. Obowiązek informacyjny (art. 12-14 RODO)
    Unijne rozporządzenie rozszerzyło katalog informacji, jakie administratorzy danych osobowych muszą udostępnić osobom, których dane pobierają i przetwarzają. Rozporządzenie nakazuje, aby obowiązek został przedstawiony w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie. Ważne, żeby został napisany jasnym i prostym językiem, szczególnie jeśli informacje kierowane są do dziecka.
    Osoba, której dane dotyczą będzie miała prawo uzyskać informacje na temat przetwarzania jej danych. Administrator danych będzie zobowiązany, bez zbędnej zwłoki, najpóźniej w ciągu miesiąca, odpowiedzieć wnioskodawcy.
  2. Nowe prawa obywateli (art. 15-21 RODO)
    Rozporządzenie o ochronie danych osobowych przyznaje osobom, których dane są przetwarzane rozszerzone uprawnienia. Wiąże się to z dodatkowymi zadaniami nałożonymi na administratorów danych osobowych.
    Prawa osób, których dane dotyczą:
    • prawo dostępu przysługujące osobie, której dane dotyczą,
    • prawo do sprostowania danych,
    • prawo do usunięcia danych („prawo do bycia zapomnianym”),
    • prawo do ograniczenia przetwarzania,
    • prawo do przenoszenia danych,
    • prawo do sprzeciwu.
    Na szczególną uwagę zasługuje prawo do bycia zapomnianym, które nakłada na administratora obowiązek usunięcia danych osobowych w całości z jego systemu. W przypadku Internetu, oznacza to, że usunięte muszą zostać również wszelkie linki, kopie i repliki danych, nawet jeśli są one w posiadaniu innych podmiotów przetwarzających te dane w jego imieniu.
  3. Zgoda (art. 7 RODO)
    Administrator danych osobowych musi wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie danych osobowych. Rozporządzenie nakazuje, iż zgoda musi być wyrażona konkretnemu podmiotowi. Oświadczenie zgody musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii. Ważne, aby było przygotowane w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Osoba, której dane dotyczą, musi mieć zapewnione prawo do wycofania zgody w tak samo łatwy sposób, jak doszło do jej wyrażenia.
  4. Ocena skutków dla ochrony danych (art. 35 RODO)
    Kolejnym, obowiązkiem spoczywającym na administratorze danych osobowych, które nakłada rozporządzenie o ochronie danych osobowych, jest przeprowadzenie oceny skutków dla ochrony danych (DPIA). RODO wymaga, aby przedsiębiorcy przetwarzający dane osobowe, przeprowadzili analizy wpływu działań na danych osobowych na ryzyko naruszenia praw osób, których dotyczą. Przeprowadzenie oceny będzie konieczne w dwóch przypadkach: stwierdzenia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych oraz kiedy zadecyduje o tym organ nadzorczy (Prezes Urzędu Ochrony Danych Osobowych – obecnie GIODO).
  5. Rejestrowanie czynności przetwarzania (art. 30 RODO)
    Administrator danych osobowych ma obowiązek prowadzić rejestr czynności przetwarzania. Natomiast w przypadku procesorów, będzie istniała konieczność prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu ADO.
    Nowy obowiązek będzie spoczywał na większości administratorów danych osobowych i podmiotów przetwarzających dane. Takie rejestry będą musiały prowadzić podmioty które:
    • zatrudniają powyżej 250 pracowników,
    • przetwarzają szczególne kategorie danych (dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby),
    • przetwarzają dane w sposób, który narusza lub może naruszać prawa i wolności osób, których dane dotyczą,
    • przetwarzają dane w sposób ciągły, czyli nie mają charakteru sporadycznego,
    • przetwarzają wyroki skazujące lub informacje o naruszeniu przepisów prawa.
  6. Wyznaczenie inspektora ochrony danych (art. 37-39 RODO)
    Inspektor ochrony danych (IOD) jest odpowiednikiem administratora bezpieczeństwa informacji (ABI). Od 25 maja 2018 roku, niektóre podmioty muszą zatrudnić osobę pełniącą funkcję IOD. Rozporządzenie o ochronie danych osobowych w art. 37 jasno precyzuje sytuacje, kiedy administrator danych osobowych będzie musiał wyznaczyć inspektora. Kandydat na to stanowisko będzie musiał wykazać, że posiada wiedzę specjalistyczną w zakresie ochrony danych oraz doświadczenie w tej dziedzinie. IOD może być pracownikiem podmiotu przetwarzającego dane lub wykonywać zadania na podstawie umowy outsourcingowej.
  7. Ograniczone profilowanie (art. 22 RODO)
    Rozporządzenie reguluje zasady dotyczące zautomatyzowanego podejmowania decyzji. Głównie chodzi o profilowanie, które wg art. 4 pkt. 4 RODO oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych. Polega to na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej. Wykorzystywane w szczególności do analizy lub prognozy efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
    Rozporządzenie o ochronie danych osobowych uwzględnia możliwość profilowania w 3 przypadkach:
    • jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem,
    • wynika z przepisów prawa,
    • osoba, której dane dotyczą wyraziła na to zgodę.
  8. Zgłoszenie naruszeń (art. 33 RODO)
    Administrator danych ma obowiązek zgłosić naruszenie ochrony danych osobowych do właściwego organu nadzorczego. Rozporządzenie o ochronie danych osobowych przewiduje na to 72 godziny od stwierdzenia naruszenia. Obowiązek nie powstaje w przypadku, kiedy istnieje małe prawdopodobieństwo, że incydent skutkował ryzykiem naruszenia praw lub wolności osób fizycznych. W przeciwnym razie, ADO będzie musiał powiadomić nie tylko organ nadzorczy, ale również wszystkie osoby, których dane dotyczą. Administrator danych samodzielnie będzie musiał ocenić, czy naruszenie powinno zostać zgłoszone.
  9. Kary za niewłaściwe przetwarzanie danych osobowych (art. 83 RODO)
    Naruszenie przepisów o ochronie danych osobowych to straty wizerunkowe, ale również finansowe. Obecne przepisy umożliwiają nałożenie na przedsiębiorców jednorazowej grzywny nieprzekraczającej 50 tys. zł. Rozporządzenie o ochronie danych osobowych przewiduje kary nawet do 20 milionów euro bądź 4 proc. obrotu światowego w związku z wyciekiem bądź incydentem związanym z danymi osobowymi. Kary pieniężne w każdym przypadku mają być odstraszające, proporcjonalne i skuteczne. Będą zależały od charakteru, wagi i czasu trwania naruszenia oraz innych czynników.