Polityka prywatności
z
dnia 15 marca 2021 roku
Prowadząc
działalność gospodarczą w zakresie szeroko pojętych usług informacyjnych i marketingowych
pod firmą … z siedzibą w (dalej nazywana jako: „Firma”) jesteśmy świadomi
problemów związanych z ochroną prawa do prywatności, w tym prawa do ochrony
osób fizycznych, przedsiębiorców i innych podmiotów, działających w różnych
obszarach i na wielu płaszczyznach, powierzających swoje dane osobowe.
Niniejsza
Polityka Prywatności (dalej także jako: „Polityka”) powstała w celu
udzielenia informacji o podstawach prawnych przetwarzania danych
osobowych, zakresie i celach ich zbierania i wykorzystywania oraz o
prawach przysługujących podmiotom, których te dane dotyczą.
Niniejszy
dokument jest dowodem, że dane osobowe są przetwarzane i zabezpieczone przez
Firmę rzetelnie, przejrzyście i zgodnie z obowiązującym prawem, regulującym
zasady przetwarzania i zabezpieczenia danych, w tym z Rozporządzeniem
Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w
sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w
sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
(dalej także jako: RODO).
§
1
[słownik]
Na
potrzeby niniejszej polityki prywatności stworzony został poniższy zbiór pojęć:
1)
Dane osobowe – informacje o
zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie,
której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba,
którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na
podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny,
dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych
czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną,
ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
2)
Regulamin – Regulamin Świadczenia Usług
Drogą Elektroniczną, dostępny m.in. w wersji elektronicznej na stronie
internetowej Portalu …
3)
Państwo trzecie - państwo spoza
Europejskiego Obszaru Gospodarczego tworzonego przez państwa Unii Europejskiej
oraz Islandię, Liechtenstein i Norwegię.
4)
System informatyczny – zespół
współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji
narzędzi programowych zastosowanych w celu przetwarzania danych;
5)
Użytkownik – podmiot odwiedzający stronę
internetową…
6)
Przetwarzanie danych – jakiekolwiek
czynności wykonywane przy użyciu Danych Osobowych, m.in. zbieranie,
przechowywanie, utrwalanie, opracowywanie, zmienianie, udostępnianie
i usuwanie w formie tradycyjnej oraz w systemach informatycznych;
7)
Rejestr czynności przetwarzania – wykaz
przetwarzanych zestawów danych o charakterze osobowym (zbiorów danych),
dostępnych według określonych kryteriów.
8)
Uwierzytelnianie – działanie, którego
celem jest weryfikacja deklarowanej tożsamości Użytkownika.
9)
Osoby zatrudnione przy przetwarzaniu
danych osobowych – wszystkie osoby, w tym użytkownicy systemu informatycznego,
mające z racji wykonywanych obowiązków dostęp do danych osobowych, które
zostały upoważnione do przetwarzania danych osobowych w Systemie informatycznym
Firmy.
10)
Przedsiębiorstwo – jednoosobowa
działalność gospodarcza, spółka cywilna, spółka prawa handlowego i inne
podmioty prowadzące działalność gospodarczą, identyfikujące się Numerem
Identyfikacji Podatkowej lub jego zagranicznym odpowiednikiem.
11)
Poufność – zapewnienie dostępu do
informacji wyłącznie osobom upoważnionym;
12)
Integralność – spójność danych,
zapewnienie, że dane nie zostaną zmienione, dodane lub usunięte w
nieautoryzowany sposób;
13)
Dostępność – zapewnienie, że osoby
upoważnione będą miały dostęp do informacji tylko wtedy, gdy jest to
uzasadnione;
14)
Zgoda na przetwarzanie danych osobowych -
dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba,
której dane dotyczą, w formie oświadczenia lub wyraźnego działania
potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
15)
Pliki Cookie - pliki tekstowe wysyłane
przez sieć www i przechowywane przez oprogramowanie komputera przeglądarki. Ułatwiają
one korzystanie z wcześniej odwiedzonych witryn. Ich działanie umożliwia
rozpoznanie rodzaju urządzenia, którego używał użytkownik odwiedzając stronę
internetową poprzednim razem. Parametry pozwalają na odczytanie informacji w
nich zawartych jedynie serwerowi, który je utworzył.
§ 2
[administrator danych]
1. Administratorem
Danych Osobowych jest …
2.
Użytkownik może kontaktować się z
Administratorem Danych poprzez:
a.
numer telefonu:
b.
e-mail:
c. adres:
§
3
[postanowienia ogólne]
1.
Niniejsza Polityka Prywatności stanowi
zbiór zasad i procedur obowiązujących przy przetwarzaniu i wykorzystywaniu danych
osobowych przez Firmę. Dokument opisuje warunki i sposób Przetwarzania danych
osobowych oraz ich zabezpieczenia przed nieuprawnionym dostępem osób trzecich.
2.
Polityka Prywatności opisuje zasady
wykorzystania Plików Cookie lub innych podobnych technologii oraz przetwarzania
danych osobowych gromadzonych podczas korzystania ze strony internetowej przez
Użytkownika.
3.
Polityka dotyczy wszystkich danych
osobowych przetwarzanych w Firmie, niezależnie od formy ich przetwarzania
(przetwarzane tradycyjnie zbiory ewidencyjne, systemy informatyczne) oraz od
tego, czy dane są lub mogą być przetwarzane w zbiorach danych.
4.
Polityka jest dostępna w wersji
elektronicznej na stronie internetowej … oraz w wersji papierowej w
siedzibie Administratora Danych.
5.
Polityka jest udostępniana do wglądu
osobom posiadającym upoważnienie do przetwarzania danych osobowych na ich
wniosek, a także osobom, którym ma zostać nadane upoważnienie do Przetwarzania
danych osobowych, celem zapoznania się z jej treścią.
6.
Dla skutecznej realizacji Polityki,
Administrator Danych zapewnia m.in.:
1)
odpowiednie do zagrożeń i kategorii
danych objętych ochroną środki techniczne i rozwiązania organizacyjne;
2)
kontrolę i nadzór nad Przetwarzaniem
danych osobowych;
3)
obserwację wykorzystanych środków ochrony.
7.
Monitorowanie przez Administratora Danych
zastosowanych środków ochrony obejmuje m.in. działania Użytkowników, naruszanie
zasad dostępu do danych, zapewnienie integralności plików oraz ochronę przed
atakami zewnętrznymi oraz wewnętrznymi.
8.
Administrator Danych zapewnia, że
czynności wykonywane w związku ze zbieraniem, przetwarzaniem
i zabezpieczeniem danych osobowych są zgodne z niniejszą Polityką oraz
odpowiednimi przepisami prawa.
§
4
[przetwarzanie danych]
1.
Dane osobowe przetwarzane przez
Administratora Danych gromadzone są w zbiorach danych. W przypadku
korzystania ze strony internetowej oraz korzystania z formularza kontaktowego,
Administrator Danych przetwarza następujące dane osobowe: imię i nazwisko,
(względnie nazwa i pseudonim) adres e-mail, numer telefonu.
2.
W przypadku chęci zawarcia umowy oprócz
danych wymienionych w ust. 1 przetwarzane mogą być również dane dotyczące
miejsca pobytu lub zameldowania, na podstawie art. 6 ust. 1 lit. b RODO.
3.
Jeżeli Użytkownikiem jest przedsiębiorca
lub reprezentant Przedsiębiorstwa, oprócz danych wymienionych w ust 1 i 2,
Administrator Danych w razie uzasadnionej potrzeby, w szczególności w celu
zawarcia umowy cywilnoprawnej może zbierać i przetwarzać dane
przedsiębiorstwa, którego umowa dotyczy.
4.
Danymi, o których mowa w ust. 3 są: Numer
Identyfikacji Podatkowej, numer identyfikacyjny REGON, numer KRS, nazwa
Przedsiębiorstwa, adres Przedsiębiorstwa.
5.
Oprócz powyższych operacji związanych z
przetwarzaniem danych, wykorzystywane mogą być także dane podawane przez
Użytkowników podczas dodawania wpisów w sekcji komentarzy pod artykułami, tj.
imię, nazwisko lub pseudonim, treść wpisu, ewentualnie zdjęcie. Podstawą prawną
do przetwarzania tych danych osobowych jest zgoda wyrażona poprzez publikację
komentarza, zgodnie z definicją zawartą w RODO. Mogą Państwo wycofać tę zgodę,
kontaktując się z administratorem danych korzystając z jednego ze sposobów
wskazanych w § 2 ust. 2 Polityki.
6.
Administrator danych nie podejmuje
czynności Przetwarzania, które mogłyby się wiązać z poważnym
prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W
przypadku planowania takiego działania Administrator wykona czynności określone
w art. 35 i nast. RODO, w pierwszej kolejności dokonując oceny skutków dla
ochrony danych oszacowania w szczególności źródła, charakteru, specyfiki i
powagi tego ryzyka.
7.
Administrator Danych Osobowych określa
zakres przetwarzanych danych osobowych w niniejszym dokumencie oraz w
ograniczonym stopniu w innych dokumentach, w szczególności w Regulaminie
Świadczenia Usług Drogą Elektroniczną.
8.
W przypadku planowania nowych czynności przetwarzania,
Administrator dokonuje analizy ich skutków dla ochrony danych osobowych
uwzględniając kwestie ochrony danych w fazie ich projektowania.
9.
Administrator Danych oraz podmioty
przetwarzające dane (tj. osoby fizyczne oraz osoby prawne, które przetwarzają
dane osobowe w imieniu administratora danych) mają obowiązek rejestrowania
czynności Przetwarzania.
10.
Administrator Danych prowadzi Rejestr
Czynności Przetwarzania.
11.
Administrator danych oprócz danych,
wymienionych w ust. 1-6 może ponadto przetwarzać tzw. dane eksploatacyjne,
które charakteryzują sposób korzystania przez Użytkownika ze strony
internetowej, takie jak: adres IP (w określonych przypadkach), adres URL żądania,
nazwa domeny, identyfikator urządzenia, typ przeglądarki, język przeglądarki,
liczba kliknięć, logi cyfrowe ilość czasu spędzonego na poszczególnych
stronach, data i godzina korzystania z Serwisu, typ i wersja systemu
operacyjnego, rozdzielczość ekranu, dane zbierane w dziennikach serwera, a
także inne podobne informacje.
§
5
[prawa Użytkownika]
1.
Użytkownik strony internetowej ma prawo
dostępu do udostępnionych danych, a także może żądać od Administratora Danych
Osobowych:
a. usunięcia
b. modyfikacji
c. ograniczenia
przetwarzania
d. sprostowania
e.
przeniesienia
-
danych osobowych użytkownika przez Administratora Danych Osobowych
2.
Użytkownik ma
prawo, aby w każdej chwili cofnąć lub ograniczyć swoją Zgodę na przetwarzanie
Danych Osobowych a także wnieść sprzeciw lub zażądać wglądu do Danych.
3.
W celach, o których mowa w ust. 1 i 2
Użytkownik powinien skontaktować się z Administratorem Danych Osobowych poprzez
dane kontaktowe, zawarte w § 2 ust. 2 Polityki.
4.
Użytkownik ma również prawo w każdej
chwili wnieść skargę do Organu Nadzorczego, o którym mowa w § 13.
5.
W przypadku dopuszczenia się przez
Administratora Danych uchybień w zakresie zgodnego z prawem Przetwarzania
Danych, Użytkownik oprócz wniesienia skargi może wnieść sądu powództwo cywilne
przeciwko Administratorowi Danych.
6.
Wniesienie skargi, o której mowa w ustępie
poprzedzającym i art. 77 ust. 1 RODO możliwe jest w formie tradycyjnej, w
tym do protokołu w siedzibie Prezesa Urzędu Ochrony Danych Osobowych oraz w
formie elektronicznej.
§
6
[podstawy przetwarzania danych]
1. Podstawą
prawną przetwarzania danych osobowych są przepisy o ochronie danych osobowych,
w szczególności RODO oraz przepisy krajowe, a w szczególności:
a. art.
6 ust 1 lit. a RODO – wyrażenie zgody przez Użytkownika na przetwarzanie swoich
danych osobowych w jednym lub większej liczbie określonych celów;
b. art.
6 ust 1 lit. b RODO - przetwarzanie jest niezbędne do wykonania umowy, której
stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie
osoby, której dane dotyczą, przed zawarciem umowy;
c.
art. 6 ust 1 lit. f RODO - przetwarzanie
jest niezbędne do celów wynikających z prawnie uzasadnionych interesów
realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem
sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub
podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony
danych osobowych
2.
Podstawą dającą możliwość przetwarzania
Danych Osobowych jest zgoda wyrażona przez Użytkownika poprzez zaznaczenie w
formularzu kontaktowym lub sekcji komentarzy pola odnoszącego się do każdego z
celów przetwarzania danych.
3.
Użytkownik wyraża zgodę na przetwarzanie
jego danych osobowych w ramach stosowania Plików Cookie poprzez zaznaczenie
odpowiedniego pola dostępnego po załadowaniu strony głównej.
§
7
[cele przetwarzania danych]
1. Dane
osobowe są zbierane i przetwarzane w konkretnych, wyraźnych i prawnie
uzasadnionych celach, w tym w szczególności:
·
w zakresie niezbędnym do kontaktu z Użytkownikami
korzystającymi z opcji kontaktu poprzez formularz kontaktowy.
·
w zakresie niezbędnym do nawiązania,
ukształtowania treści umowy, jej zmiany bądź rozwiązania oraz prawidłowej
realizacji usług;
w celu zgodnym z zakresem wyrażonej przez Użytkownika
(osoby, której dane dotyczą) zgody na wysyłkę przez Administratora Danych drogą
mailową treści o charakterze marketingowym;
·
w zakresie i celu niezbędnym do wypełnienia
uzasadnionych interesów Administratora Danych.
2.
Dane osobowe są przetwarzane jedynie w
takim zakresie, jaki jest niezbędny dla osiągnięcia celu ich przetwarzania.
3.
Dane osobowe nie będą przetwarzane w
dalszym zakresie w sposób niezgodny z powyższymi celami.
4. Wobec
osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie z
treścią art. 13 i 14 RODO.
§
8
[skutki braku danych]
1. W
zakresie, w jakim dane osobowe użytkownika są zbierane zgodnie z art. 6 RODO
brak podania wszystkich wymaganych danych osobowych w pewnych przypadkach,
może:
a. skutkować
odmową zawarcia umowy;
b. stanowić
przeszkodę w zawarciu lub wykonaniu umowy;
c.
stanowić utrudnienie w zawarciu lub
wykonaniu umowy;
-
o świadczenie usług oferowanych przez Firmę na stronie internetowej
2.
Podanie danych osobowych zbieranych na
podstawie zgody jest dobrowolne. Jednakże odmowa wyrażenia przez Użytkownika
zgody w celach marketingowych lub cofnięcie tej zgody uniemożliwi Firmie
informowanie Użytkownika o nowych ofertach i promocjach.
§
9
[obowiązki związane z bezpieczeństwem danych]
1.
Wszystkie osoby zajmujące się w Firmie przetwarzaniem
danych osobowych zobowiązane są do Przetwarzania tych danych zgodnie z
obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Danych
Polityką, a także innymi dokumentami wewnętrznymi i procedurami związanymi z
Przetwarzaniem danych osobowych w związku z działalnością Firmy.
2.
Wszystkie dane osobowe w Spółce są
przetwarzane rzetelnie, w sposób przejrzysty, zgodnie i z poszanowaniem zasad
Przetwarzania przewidzianych przez przepisy prawa, w szczególności RODO.
3.
Dane przechowywane są we właściwych
zbiorach.
§
10
[okres przechowywania Danych]
2. Po
okresie, o którym mowa w ust. 1 dane osobowe Użytkownika są anonimizowane i
usuwane.
§
11
[zastrzeżenie]
1.
Administrator Danych zastrzega sobie prawo
do przetwarzania Danych Osobowych po zakończeniu stosunku umownego lub
cofnięciu zgody tylko w zakresie i na potrzeby dochodzenia ewentualnych
roszczeń przed sądem do momentu ich wygaśnięcia lub przedawnienia albo jeżeli
przepisy krajowe lub unijne bądź prawa międzynarodowego obligują Administratora
Danych do ich retencji i określają okres ich przetwarzania.
2.
Administrator Danych ma prawo udostępniać dane
osobowe Użytkownika oraz innych jego danych podmiotom upoważnionym na podstawie
właściwych przepisów prawa, w szczególności organom ścigania.
§
12
[naruszenie zasad ochrony danych]
1.
Dane są zabezpieczone przed naruszeniami
zasad ich ochrony poprzez wdrożenie odpowiednich zabezpieczeń i dbania, aby
były one przestrzegane.
2. Jeżeli
urządzenie sprzętu zawierającego nośnik danych, na którym zapisane są dane
osobowe wymusza konieczność przekazania go poza siedzibę Firmy, nośnik ten
należy wymontować.
3. Za
naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych osobowych
uważa się w szczególności:
a. przetwarzanie
danych osobowych niezgodnie z założonym zakresem i celem ich zbierania;
b. przypadkowe
lub nieuzasadnione uszkodzenie lub zniszczenie danych.
c. spowodowanie
niekontrolowanej zmiany lub nieuprawnione kopiowanie danych osobowych;
d. naruszenie
bezpieczeństwa systemów informatycznych, w których przetwarzane są dane
osobowe, w razie ich przetwarzania w takich systemach;
e. udostępnianie
lub umożliwienie udostępniania danych osobom lub podmiotom do tego
nieupoważnionym;
f.
zaniechanie, choćby nieumyślne,
dopełnienia obowiązku zapewnienia danym osobowym ochrony;
g.
niedopełnienie obowiązku zachowania w
tajemnicy Danych osobowych oraz sposobów ich zabezpieczenia;
§
13
[organ nadzorczy]
1. W
przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych
Użytkownik:
a. zobowiązany
jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie
skutków naruszenia i do niezwłocznego powiadomienia Administratora Danych;
b. ma
prawo, bez uszczerbku dla innych administracyjnych lub sądowych środków ochrony
prawnej, wnieść skargę do organu nadzorczego właściwego dla państwa członkowskiego
swojego zwykłego miejsca pobytu, swojego miejsca pracy lub miejsca popełnienia
naruszenia.
2.
Organem nadzorczym, właściwym dla
Rzeczypospolitej Polskiej jest Prezes Urzędu Ochrony Danych Osobowych, którego
siedziba mieści się pod adresem: ul. Stawki 2, 00-193 Warszawa.
§
14
[obowiązki Administratora Danych w zakresie zatrudnienia]
1. Obowiązkiem
Administratora Danych w zakresie zatrudniania, zakończenia lub zmiany warunków
zatrudnienia Osób zatrudnionych przy przetwarzaniu danych osobowych jest:
a. odpowiednie
przygotowanie Osób zatrudnionych przy przetwarzaniu danych osobowych do pracy
związanej z wykorzystywaniem Danych Osobowych,
b. zezwalanie
na przetwarzanie Danych Osobowych wyłącznie osobom pisemnie do tego
upoważnionym na podstawie „Upoważnienia do Przetwarzania danych osobowych”,
którego wzór stanowi Załącznik nr 1 do niniejszej Polityki,
c.
dopilnowaniem, aby każdy pracownik
zobowiązał się do zachowania danych osobowych przetwarzanych w Firmie w
tajemnicy poprzez podpisanie „Oświadczenia i zobowiązania się osoby
przetwarzającej dane osobowe do zachowania tajemnicy”, które znajduje się w „Upoważnieniu
do Przetwarzania danych osobowych”.
§15
[obowiązki osób zatrudnionych przy przetwarzaniu danych osobowych]
1. Osoby
zatrudnione przy przetwarzaniu danych osobowych zobowiązane są do:
a. przetwarzania
i ochrony Danych Osobowych zgodnie z przepisami prawa powszechnie
obowiązującego oraz regulacjami stworzonymi przez Firmę, w szczególności z
Polityką Prywatności i Regulaminem, działając w zakresie Upoważnienia, o którym mowa w §14 ust. 1 lit. b;
b.
poinformowanie osoby, której dane dotyczą,
o przysługujących jej prawach;
c. zachowania
w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
d. zgłaszanie
Administratorowi Danych wszelkich incydentów związanych z naruszeniem
bezpieczeństwa danych lub niewłaściwym funkcjonowaniem systemu.
2. Zabronione
jest przez pracowników Firmy lub innych osób zatrudnionych przy przetwarzaniu
danych osobowych:
a. udostępnianie
lub umożliwianie dostępu do danych osobowych osobom nieupoważnionym;
b. uniemożliwianie
osobie, której dane dotyczą, korzystania z przysługujących jej praw;
c.
przetwarzanie danych niezgodnie z
określonym celem.
3.
Wobec osoby, która uchybiła obowiązkom
wymienionym w ust. 1 lub złamała zakazy wymienione w ust. 2, a w
szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi w
niniejszej Polityce zasadami w razie naruszenia bezpieczeństwa danych, wszczyna
się postępowanie zmierzające do wymierzenia kary porządkowej.
4.
Kara porządkowa, wobec osoby uchylającej
się od powiadomienia Administratora Danych nie wyklucza odpowiedzialności
karnej tej osoby zgodnie z przepisami prawa powszechnie obowiązującego.
§
16
[dane wrażliwe]
Zabrania
się przetwarzania przez Firmę w zbiorach, danych wrażliwych, a w szczególności
poglądów politycznych, przekonań religijnych, przekonań filozoficznych,
informacji na temat stanu zdrowia, pochodzenia etnicznego i rasowego lub danych
dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych
orzeczeń wydanych w postępowaniu sądowym lub administracyjnym, chyba, że
wymagają tego obowiązujące przepisy prawa lub osoba, której powyższe dane
dotyczą wyraziła na to pisemną zgodę.
§ 17
[obszar przetwarzania danych osobowych]
1.
Obszar, w którym przetwarzane są Dane
osobowe na terenie Firmy, obejmuje pomieszczenie biurowe zlokalizowane w
siedzibie Firmy oraz wszystkie komputery przenośne i inne nośniki danych
znajdujące się poza obszarem określonym w niniejszym paragrafie.
§ 18
[środki techniczne i organizacyjne]
1.
Administrator Danych zapewnia zastosowanie
środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności,
integralności, rozliczalności i ciągłości przetwarzanych danych.
2. Zastosowane
środki ochrony (techniczne i organizacyjne) powinny być adekwatne do
stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i
kategorii danych.
3. Środki,
o których mowa w ustępie poprzedzającym obejmują:
a. Ograniczenie
dostępu do pomieszczeń, w których przetwarzane są dane osobowe, jedynie do osób
odpowiednio upoważnionych. Inne osoby mogą przebywać w pomieszczeniach
wykorzystywanych do Przetwarzania danych jedynie w towarzystwie osoby
upoważnionej.
b. Zamykanie
pomieszczeń tworzących obszar Przetwarzania danych osobowych określonych w § 15
ust. 1 niniejszej Polityki na czas nieobecności pracowników, w sposób
uniemożliwiający dostęp do nich osób trzecich.
c. Wykorzystanie
zamykanych szafek do zabezpieczenia dokumentów.
d. Wykorzystanie
niszczarki do skutecznego usuwania dokumentów zawierających dane osobowe.
e. Ochronę
sieci lokalnej przed działaniami inicjowanymi z zewnątrz przy użyciu sieci
firewall
f.
Stosowanie bezpiecznego protokołu
szyfrowania komunikacji (SSL) dla zabezpieczenia przetwarzanych danych
osobowych.
g. Wykonywanie
kopii awaryjnych danych na zabezpieczonym serwerze danych SSL.
h. Ochronę
sprzętu komputerowego wykorzystywanego u administratora przed złośliwym
oprogramowaniem.
i.
Zabezpieczenie dostępu do urządzeń przy
pomocy haseł dostępu.
j.
Wykorzystanie szyfrowania danych przy ich
transmisji.
k.
Prowadzenie wewnętrznych szkoleń dla
pracowników Firmy z zakresu ochrony danych osobowych.
§
19
[naruszenie zasad ochrony danych]
1. Każdy
pracownik firmy, który stwierdzi fakt naruszenia bezpieczeństwa danych przez
osobę przetwarzającą dane osobowe, bądź posiada informację mogącą mieć wpływ na
bezpieczeństwo danych osobowych przetwarzanych w Firmie jest zobowiązany
niezwłocznie zgłosić ten fakt Administratorowi Danych.
2. W
razie braku możliwości zawiadomienia Administratora Danych lub osoby przez
niego upoważnionej, należy zawiadomić bezpośredniego przełożonego.
3. Do
czasu przybycia na miejsce Administratora Danych należy:
4. niezwłocznie,
o ile to możliwe, podjąć czynności niezbędne do powstrzymania skutków
naruszenia ochrony,
a. ustalić
przyczynę i sprawcę naruszenia ochrony,
b. rozważyć
wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu
zabezpieczenia miejsca zdarzenia; na ile to możliwe należy zaniechać wszelkich
działań mogących utrudnić analizę wystąpienia naruszenia ochrony i
udokumentowanie zdarzenia podjąć stosowne działania, jeśli zaistniały przypadek
został przewidziany w dokumentacji systemu operacyjnego, bazy danych czy
aplikacji użytkowej,
c. nie
opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia
Administratora Danych.
5. Po
przybyciu na miejsce naruszenia bezpieczeństwa danych osobowych Administrator
Danych zapoznaje się z zaistniałą sytuacją i wybiera sposób dalszego postępowania
uwzględniając zagrożenie w prawidłowości pracy Firmy, może również zażądać
dokładnej relacji z zaistniałego naruszenia bezpieczeństwa danych osobowych od
osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać
informacje w związku z zaistniałym naruszeniem,
6. Jeżeli
Administrator Danych uzna, że zachodzi taka potrzeba, nawiązuje kontakt ze
specjalistami spoza Firmy.
7. W
przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator Danych
dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia
praw lub wolności osób fizycznych.
8. W
każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko
naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt
naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki –
jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu
naruszenia.
9. Jeżeli
ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o
incydencie także osobę, której dane dotyczą.
10. Administrator
Danych zasięga potrzebnych mu opinii i proponuje działania naprawcze w tym
także ustosunkowuje się do kwestii ewentualnego odtworzenia danych z
zabezpieczeń oraz terminu wznowienia przetwarzania danych osobowych.
§
20
[powierzanie przetwarzania danych osobowych]
1. Administrator
Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu
podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z
wymogami wskazanymi dla takich umów w art. 28 RODO.
2. Przed
powierzeniem przetwarzania danych osobowych Administrator w miarę możliwości
uzyskuje informacje o dotychczasowych praktykach procesora dotyczących
zabezpieczenia danych osobowych.
3. Poza
podmiotami, o których mowa w ust. 1 dane osobowe, w zakresie, w jakim jest to
rzeczywiście niezbędne dla osiągnięcia danego celu, mogą być powierzane m.in.:
a. podmiotom
świadczące usługi hostingowe na rzecz Firmy;
b. podmiotom
realizującym kampanie marketingowe lub sprzedażowe na rzecz Firmy;
c. innym
podwykonawcom Firmy, świadczącym usługi z zakresu dostarczania oprogramowania,
usługi serwisowania oprogramowania lub sprzętu, z którego korzysta Firma, a
także dostawcy towarów dla Firmy;
d. podmiotom
świadczącym usługi z zakresu badań ankietowych, w tym badań satysfakcji
klienta;
e. firmom
windykacyjnym;
f.
audytorom i biegłym rewidentom;
g. doradcom
podatkowym i prawnym;
h. organom
nadzorującym przestrzeganie prawa, organy regulacyjne i inne organy
administracji publicznej,
4. W
przypadkach określonych w ust. 3 lit. f-h niniejszego paragrafu, dane osobowe
przekazywane są tylko wówczas i tylko w takim zakresie, w jakim jest to
rzeczywiście niezbędne i wymagane w myśl bezwzględnie obowiązujących przepisów
prawa i w sposób zgodny z tymi przepisami.
§ 21
[polityka Plików Cookie]
1.
Strona internetowa … używa Plików Cookie,
o których mowa w § 1 pkt 15 Polityki.
2.
Gromadzone informacje w ramach Plików
Cookie dotyczą adresu IP, typu wykorzystywanej przeglądarki, rodzaju systemu
operacyjnego, dostawcy usług internetowych, języka, informacji o czasie i
dacie, lokalizacji oraz informacji przesyłanych do witryny za pośrednictwem
formularza kontaktowego.
3.
Zebrane dane służą do monitorowania i
sprawdzenia, w jaki sposób użytkownicy korzystają ze strony internetowej…, aby
usprawniać jej funkcjonowanie i zapewnić łatwiejsze korzystanie Użytkownikom.
4. Pliki
Cookie wykorzystywane są w celu:
a. zapewnienia
prawidłowego działania strony,
b. optymalizacji
korzystania ze strony przez Użytkowników oraz dopasowania go do ich
indywidualnych potrzeb.
c.
tworzenia statystyk, pomagających
zrozumieć, w jaki sposób Użytkownicy korzystają ze strony, w celu ulepszania
jej funkcjonalności.
5.
Pliki Cookie identyfikują użytkownika, co
pozwala na dopasowanie treści witryny, z której korzysta, do jego potrzeb.
Zapamiętując jego preferencje, umożliwia odpowiednie dopasowanie skierowanych
do niego reklam. Administrator Danych stosuje Pliki Cookie, aby zagwarantować
najwyższy standard wygody serwisulawko.pl, a zebrane dane są wykorzystywane
jedynie wewnątrz Firmy w celu optymalizacji działań.
§
22
[rodzaje Plików Cookie]
W
ramach strony internetowej … Administrator Danych może wykorzystywać lub
wykorzystuje następujące Pliki Cookie:
1) Z
uwagi na czas ich trwania:
a. sesyjne
– pliki przechowywane w urządzeniu Użytkownika do czasu opuszczenia strony
b.
stałe - pliki przechowywane w urządzeniu
Użytkownika do czasu ich usunięcia przez Użytkownika albo do czasu wygaśnięcia
pliku cookie w terminie określonym w specyfikacji pliku cookie.
2) Z
uwagi na cele ich wykorzystywania:
a. umożliwiające
korzystanie z usług dostępnych w ramach strony internetowej, np. wykorzystywane
do usług wymagających uwierzytelniania na czas trwania sesji;
b. służące
do zapewnienia bezpieczeństwa, np. wykorzystywane do wykrywania nadużyć w
zakresie uwierzytelniania w ramach serwisu;
c. umożliwiające
zbieranie informacji o sposobie korzystania ze stron internetowych serwisu;
d. umożliwiające
zapamiętanie wybranych przez użytkownika ustawień i personalizację interfejsu
użytkownika, np. w zakresie wybranego języka lub regionu, z którego pochodzi
użytkownik, rozmiaru czcionki, wyglądu strony internetowej etc.;
e.
umożliwiające dostarczanie użytkownikom
treści reklamowych bardziej dostosowanych do ich zainteresowań;
§ 23
[opcje Użytkownika]
1.
Użytkownik wyraża zgodę na wykorzystywanie
Plików Cookie poprzez zamknięcie okna z komunikatem wyświetlającym się
zaraz po wejściu na stronę internetową …;
2.
Użytkownik może w każdej chwili dokonać
zmiany ustawień dotyczących Plików Cookie. Ustawienia te mogą zostać zmienione
w szczególności w taki sposób, aby blokować automatyczną obsługę Plików Cookie
w ustawieniach przeglądarki internetowej bądź informować o ich każdorazowym
zamieszczeniu w urządzeniu Użytkownika;
3.
Wyłączenie stosowania Cookie może
spowodować utrudnienia w korzystaniu ze strony internetowej …;
4.
Szczegółowe informacje o możliwościach i
sposobach obsługi Plików Cookie dostępne są w ustawieniach przeglądarki
internetowej.
§
24
[postanowienia końcowe]
1.
Niniejsza Polityka wchodzi w życie z dniem
15 marca 2021 roku.
2.
Postanowienia niniejszej Polityki mogą
ulec zmianie o czym każdy Użytkownik zostanie poinformowany przez umieszczenie
przez Administratora Danych na stronie głównej … wiadomości o zmianie Polityki
Prywatności, zawierającej zestawienie zmian i utrzymanie tej informacji na
stronie głównej przez okres 14 kolejnych dni kalendarzowych.
Załącznik nr 1
___________________,
dn__________________ r.
(miejscowość, data)
UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH
Na podstawie art. 29 rozporządzenia Parlamentu
Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony
osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie
swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne
rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1) – dalej RODO
(GDPR), niniejszym upoważniam do przetwarzania danych osobowych:
________________________________ (imię,
nazwisko)
________________________________ (stanowisko)
w zakresie pełnionych obowiązków służbowych na
zajmowanym stanowisku.
Upoważniam ___________________________ (imię i
nazwisko) do przetwarzania danych osobowych zawartych w następujących
zbiorach:
·
______________________
·
______________________
·
______________________
Upoważnienie obejmuje uprawnienie do przetwarzania
danych w zakresie (w tym miejscu należy wskazać kategorie danych oraz
operacje na danych osobowych, jakich może dokonywać upoważniony do
przetwarzania danych osobowych):
·
______________________
·
______________________
·
______________________
Okres ważności upoważnienia:
od: _______________________
do: _______________________
_______________________________
(podpis osoby nadającej upoważnienie)
Polityka prywatności
z
dnia 15 marca 2021 roku
Prowadząc
działalność gospodarczą w zakresie szeroko pojętych usług informacyjnych i marketingowych
pod firmą … z siedzibą w (dalej nazywana jako: „Firma”) jesteśmy świadomi
problemów związanych z ochroną prawa do prywatności, w tym prawa do ochrony
osób fizycznych, przedsiębiorców i innych podmiotów, działających w różnych
obszarach i na wielu płaszczyznach, powierzających swoje dane osobowe.
Niniejsza
Polityka Prywatności (dalej także jako: „Polityka”) powstała w celu
udzielenia informacji o podstawach prawnych przetwarzania danych
osobowych, zakresie i celach ich zbierania i wykorzystywania oraz o
prawach przysługujących podmiotom, których te dane dotyczą.
Niniejszy
dokument jest dowodem, że dane osobowe są przetwarzane i zabezpieczone przez
Firmę rzetelnie, przejrzyście i zgodnie z obowiązującym prawem, regulującym
zasady przetwarzania i zabezpieczenia danych, w tym z Rozporządzeniem
Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w
sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w
sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
(dalej także jako: RODO).
§
1
[słownik]
Na
potrzeby niniejszej polityki prywatności stworzony został poniższy zbiór pojęć:
1)
Dane osobowe – informacje o
zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie,
której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba,
którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na
podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny,
dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych
czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną,
ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
2)
Regulamin – Regulamin Świadczenia Usług
Drogą Elektroniczną, dostępny m.in. w wersji elektronicznej na stronie
internetowej Portalu …
3)
Państwo trzecie - państwo spoza
Europejskiego Obszaru Gospodarczego tworzonego przez państwa Unii Europejskiej
oraz Islandię, Liechtenstein i Norwegię.
4)
System informatyczny – zespół
współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji
narzędzi programowych zastosowanych w celu przetwarzania danych;
5)
Użytkownik – podmiot odwiedzający stronę
internetową…
6)
Przetwarzanie danych – jakiekolwiek
czynności wykonywane przy użyciu Danych Osobowych, m.in. zbieranie,
przechowywanie, utrwalanie, opracowywanie, zmienianie, udostępnianie
i usuwanie w formie tradycyjnej oraz w systemach informatycznych;
7)
Rejestr czynności przetwarzania – wykaz
przetwarzanych zestawów danych o charakterze osobowym (zbiorów danych),
dostępnych według określonych kryteriów.
8)
Uwierzytelnianie – działanie, którego
celem jest weryfikacja deklarowanej tożsamości Użytkownika.
9)
Osoby zatrudnione przy przetwarzaniu
danych osobowych – wszystkie osoby, w tym użytkownicy systemu informatycznego,
mające z racji wykonywanych obowiązków dostęp do danych osobowych, które
zostały upoważnione do przetwarzania danych osobowych w Systemie informatycznym
Firmy.
10)
Przedsiębiorstwo – jednoosobowa
działalność gospodarcza, spółka cywilna, spółka prawa handlowego i inne
podmioty prowadzące działalność gospodarczą, identyfikujące się Numerem
Identyfikacji Podatkowej lub jego zagranicznym odpowiednikiem.
11)
Poufność – zapewnienie dostępu do
informacji wyłącznie osobom upoważnionym;
12)
Integralność – spójność danych,
zapewnienie, że dane nie zostaną zmienione, dodane lub usunięte w
nieautoryzowany sposób;
13)
Dostępność – zapewnienie, że osoby
upoważnione będą miały dostęp do informacji tylko wtedy, gdy jest to
uzasadnione;
14)
Zgoda na przetwarzanie danych osobowych -
dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba,
której dane dotyczą, w formie oświadczenia lub wyraźnego działania
potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
15)
Pliki Cookie - pliki tekstowe wysyłane
przez sieć www i przechowywane przez oprogramowanie komputera przeglądarki. Ułatwiają
one korzystanie z wcześniej odwiedzonych witryn. Ich działanie umożliwia
rozpoznanie rodzaju urządzenia, którego używał użytkownik odwiedzając stronę
internetową poprzednim razem. Parametry pozwalają na odczytanie informacji w
nich zawartych jedynie serwerowi, który je utworzył.
§ 2
[administrator danych]
1. Administratorem
Danych Osobowych jest …
2.
Użytkownik może kontaktować się z
Administratorem Danych poprzez:
a.
numer telefonu:
b.
e-mail:
c. adres:
§
3
[postanowienia ogólne]
1.
Niniejsza Polityka Prywatności stanowi
zbiór zasad i procedur obowiązujących przy przetwarzaniu i wykorzystywaniu danych
osobowych przez Firmę. Dokument opisuje warunki i sposób Przetwarzania danych
osobowych oraz ich zabezpieczenia przed nieuprawnionym dostępem osób trzecich.
2.
Polityka Prywatności opisuje zasady
wykorzystania Plików Cookie lub innych podobnych technologii oraz przetwarzania
danych osobowych gromadzonych podczas korzystania ze strony internetowej przez
Użytkownika.
3.
Polityka dotyczy wszystkich danych
osobowych przetwarzanych w Firmie, niezależnie od formy ich przetwarzania
(przetwarzane tradycyjnie zbiory ewidencyjne, systemy informatyczne) oraz od
tego, czy dane są lub mogą być przetwarzane w zbiorach danych.
4.
Polityka jest dostępna w wersji
elektronicznej na stronie internetowej … oraz w wersji papierowej w
siedzibie Administratora Danych.
5.
Polityka jest udostępniana do wglądu
osobom posiadającym upoważnienie do przetwarzania danych osobowych na ich
wniosek, a także osobom, którym ma zostać nadane upoważnienie do Przetwarzania
danych osobowych, celem zapoznania się z jej treścią.
6.
Dla skutecznej realizacji Polityki,
Administrator Danych zapewnia m.in.:
1)
odpowiednie do zagrożeń i kategorii
danych objętych ochroną środki techniczne i rozwiązania organizacyjne;
2)
kontrolę i nadzór nad Przetwarzaniem
danych osobowych;
3)
obserwację wykorzystanych środków ochrony.
7.
Monitorowanie przez Administratora Danych
zastosowanych środków ochrony obejmuje m.in. działania Użytkowników, naruszanie
zasad dostępu do danych, zapewnienie integralności plików oraz ochronę przed
atakami zewnętrznymi oraz wewnętrznymi.
8.
Administrator Danych zapewnia, że
czynności wykonywane w związku ze zbieraniem, przetwarzaniem
i zabezpieczeniem danych osobowych są zgodne z niniejszą Polityką oraz
odpowiednimi przepisami prawa.
§
4
[przetwarzanie danych]
1.
Dane osobowe przetwarzane przez
Administratora Danych gromadzone są w zbiorach danych. W przypadku
korzystania ze strony internetowej oraz korzystania z formularza kontaktowego,
Administrator Danych przetwarza następujące dane osobowe: imię i nazwisko,
(względnie nazwa i pseudonim) adres e-mail, numer telefonu.
2.
W przypadku chęci zawarcia umowy oprócz
danych wymienionych w ust. 1 przetwarzane mogą być również dane dotyczące
miejsca pobytu lub zameldowania, na podstawie art. 6 ust. 1 lit. b RODO.
3.
Jeżeli Użytkownikiem jest przedsiębiorca
lub reprezentant Przedsiębiorstwa, oprócz danych wymienionych w ust 1 i 2,
Administrator Danych w razie uzasadnionej potrzeby, w szczególności w celu
zawarcia umowy cywilnoprawnej może zbierać i przetwarzać dane
przedsiębiorstwa, którego umowa dotyczy.
4.
Danymi, o których mowa w ust. 3 są: Numer
Identyfikacji Podatkowej, numer identyfikacyjny REGON, numer KRS, nazwa
Przedsiębiorstwa, adres Przedsiębiorstwa.
5.
Oprócz powyższych operacji związanych z
przetwarzaniem danych, wykorzystywane mogą być także dane podawane przez
Użytkowników podczas dodawania wpisów w sekcji komentarzy pod artykułami, tj.
imię, nazwisko lub pseudonim, treść wpisu, ewentualnie zdjęcie. Podstawą prawną
do przetwarzania tych danych osobowych jest zgoda wyrażona poprzez publikację
komentarza, zgodnie z definicją zawartą w RODO. Mogą Państwo wycofać tę zgodę,
kontaktując się z administratorem danych korzystając z jednego ze sposobów
wskazanych w § 2 ust. 2 Polityki.
6.
Administrator danych nie podejmuje
czynności Przetwarzania, które mogłyby się wiązać z poważnym
prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W
przypadku planowania takiego działania Administrator wykona czynności określone
w art. 35 i nast. RODO, w pierwszej kolejności dokonując oceny skutków dla
ochrony danych oszacowania w szczególności źródła, charakteru, specyfiki i
powagi tego ryzyka.
7.
Administrator Danych Osobowych określa
zakres przetwarzanych danych osobowych w niniejszym dokumencie oraz w
ograniczonym stopniu w innych dokumentach, w szczególności w Regulaminie
Świadczenia Usług Drogą Elektroniczną.
8.
W przypadku planowania nowych czynności przetwarzania,
Administrator dokonuje analizy ich skutków dla ochrony danych osobowych
uwzględniając kwestie ochrony danych w fazie ich projektowania.
9.
Administrator Danych oraz podmioty
przetwarzające dane (tj. osoby fizyczne oraz osoby prawne, które przetwarzają
dane osobowe w imieniu administratora danych) mają obowiązek rejestrowania
czynności Przetwarzania.
10.
Administrator Danych prowadzi Rejestr
Czynności Przetwarzania.
11.
Administrator danych oprócz danych,
wymienionych w ust. 1-6 może ponadto przetwarzać tzw. dane eksploatacyjne,
które charakteryzują sposób korzystania przez Użytkownika ze strony
internetowej, takie jak: adres IP (w określonych przypadkach), adres URL żądania,
nazwa domeny, identyfikator urządzenia, typ przeglądarki, język przeglądarki,
liczba kliknięć, logi cyfrowe ilość czasu spędzonego na poszczególnych
stronach, data i godzina korzystania z Serwisu, typ i wersja systemu
operacyjnego, rozdzielczość ekranu, dane zbierane w dziennikach serwera, a
także inne podobne informacje.
§
5
[prawa Użytkownika]
1.
Użytkownik strony internetowej ma prawo
dostępu do udostępnionych danych, a także może żądać od Administratora Danych
Osobowych:
a. usunięcia
b. modyfikacji
c. ograniczenia
przetwarzania
d. sprostowania
e.
przeniesienia
-
danych osobowych użytkownika przez Administratora Danych Osobowych
2.
Użytkownik ma
prawo, aby w każdej chwili cofnąć lub ograniczyć swoją Zgodę na przetwarzanie
Danych Osobowych a także wnieść sprzeciw lub zażądać wglądu do Danych.
3.
W celach, o których mowa w ust. 1 i 2
Użytkownik powinien skontaktować się z Administratorem Danych Osobowych poprzez
dane kontaktowe, zawarte w § 2 ust. 2 Polityki.
4.
Użytkownik ma również prawo w każdej
chwili wnieść skargę do Organu Nadzorczego, o którym mowa w § 13.
5.
W przypadku dopuszczenia się przez
Administratora Danych uchybień w zakresie zgodnego z prawem Przetwarzania
Danych, Użytkownik oprócz wniesienia skargi może wnieść sądu powództwo cywilne
przeciwko Administratorowi Danych.
6.
Wniesienie skargi, o której mowa w ustępie
poprzedzającym i art. 77 ust. 1 RODO możliwe jest w formie tradycyjnej, w
tym do protokołu w siedzibie Prezesa Urzędu Ochrony Danych Osobowych oraz w
formie elektronicznej.
§
6
[podstawy przetwarzania danych]
1. Podstawą
prawną przetwarzania danych osobowych są przepisy o ochronie danych osobowych,
w szczególności RODO oraz przepisy krajowe, a w szczególności:
a. art.
6 ust 1 lit. a RODO – wyrażenie zgody przez Użytkownika na przetwarzanie swoich
danych osobowych w jednym lub większej liczbie określonych celów;
b. art.
6 ust 1 lit. b RODO - przetwarzanie jest niezbędne do wykonania umowy, której
stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie
osoby, której dane dotyczą, przed zawarciem umowy;
c.
art. 6 ust 1 lit. f RODO - przetwarzanie
jest niezbędne do celów wynikających z prawnie uzasadnionych interesów
realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem
sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub
podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony
danych osobowych
2.
Podstawą dającą możliwość przetwarzania
Danych Osobowych jest zgoda wyrażona przez Użytkownika poprzez zaznaczenie w
formularzu kontaktowym lub sekcji komentarzy pola odnoszącego się do każdego z
celów przetwarzania danych.
3.
Użytkownik wyraża zgodę na przetwarzanie
jego danych osobowych w ramach stosowania Plików Cookie poprzez zaznaczenie
odpowiedniego pola dostępnego po załadowaniu strony głównej.
§
7
[cele przetwarzania danych]
1. Dane
osobowe są zbierane i przetwarzane w konkretnych, wyraźnych i prawnie
uzasadnionych celach, w tym w szczególności:
·
w zakresie niezbędnym do kontaktu z Użytkownikami
korzystającymi z opcji kontaktu poprzez formularz kontaktowy.
·
w zakresie niezbędnym do nawiązania,
ukształtowania treści umowy, jej zmiany bądź rozwiązania oraz prawidłowej
realizacji usług;
w celu zgodnym z zakresem wyrażonej przez Użytkownika
(osoby, której dane dotyczą) zgody na wysyłkę przez Administratora Danych drogą
mailową treści o charakterze marketingowym;
·
w zakresie i celu niezbędnym do wypełnienia
uzasadnionych interesów Administratora Danych.
2.
Dane osobowe są przetwarzane jedynie w
takim zakresie, jaki jest niezbędny dla osiągnięcia celu ich przetwarzania.
3.
Dane osobowe nie będą przetwarzane w
dalszym zakresie w sposób niezgodny z powyższymi celami.
4. Wobec
osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie z
treścią art. 13 i 14 RODO.
§
8
[skutki braku danych]
1. W
zakresie, w jakim dane osobowe użytkownika są zbierane zgodnie z art. 6 RODO
brak podania wszystkich wymaganych danych osobowych w pewnych przypadkach,
może:
a. skutkować
odmową zawarcia umowy;
b. stanowić
przeszkodę w zawarciu lub wykonaniu umowy;
c.
stanowić utrudnienie w zawarciu lub
wykonaniu umowy;
-
o świadczenie usług oferowanych przez Firmę na stronie internetowej
2.
Podanie danych osobowych zbieranych na
podstawie zgody jest dobrowolne. Jednakże odmowa wyrażenia przez Użytkownika
zgody w celach marketingowych lub cofnięcie tej zgody uniemożliwi Firmie
informowanie Użytkownika o nowych ofertach i promocjach.
§
9
[obowiązki związane z bezpieczeństwem danych]
1.
Wszystkie osoby zajmujące się w Firmie przetwarzaniem
danych osobowych zobowiązane są do Przetwarzania tych danych zgodnie z
obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Danych
Polityką, a także innymi dokumentami wewnętrznymi i procedurami związanymi z
Przetwarzaniem danych osobowych w związku z działalnością Firmy.
2.
Wszystkie dane osobowe w Spółce są
przetwarzane rzetelnie, w sposób przejrzysty, zgodnie i z poszanowaniem zasad
Przetwarzania przewidzianych przez przepisy prawa, w szczególności RODO.
3.
Dane przechowywane są we właściwych
zbiorach.
§
10
[okres przechowywania Danych]
2. Po
okresie, o którym mowa w ust. 1 dane osobowe Użytkownika są anonimizowane i
usuwane.
§
11
[zastrzeżenie]
1.
Administrator Danych zastrzega sobie prawo
do przetwarzania Danych Osobowych po zakończeniu stosunku umownego lub
cofnięciu zgody tylko w zakresie i na potrzeby dochodzenia ewentualnych
roszczeń przed sądem do momentu ich wygaśnięcia lub przedawnienia albo jeżeli
przepisy krajowe lub unijne bądź prawa międzynarodowego obligują Administratora
Danych do ich retencji i określają okres ich przetwarzania.
2.
Administrator Danych ma prawo udostępniać dane
osobowe Użytkownika oraz innych jego danych podmiotom upoważnionym na podstawie
właściwych przepisów prawa, w szczególności organom ścigania.
§
12
[naruszenie zasad ochrony danych]
1.
Dane są zabezpieczone przed naruszeniami
zasad ich ochrony poprzez wdrożenie odpowiednich zabezpieczeń i dbania, aby
były one przestrzegane.
2. Jeżeli
urządzenie sprzętu zawierającego nośnik danych, na którym zapisane są dane
osobowe wymusza konieczność przekazania go poza siedzibę Firmy, nośnik ten
należy wymontować.
3. Za
naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych osobowych
uważa się w szczególności:
a. przetwarzanie
danych osobowych niezgodnie z założonym zakresem i celem ich zbierania;
b. przypadkowe
lub nieuzasadnione uszkodzenie lub zniszczenie danych.
c. spowodowanie
niekontrolowanej zmiany lub nieuprawnione kopiowanie danych osobowych;
d. naruszenie
bezpieczeństwa systemów informatycznych, w których przetwarzane są dane
osobowe, w razie ich przetwarzania w takich systemach;
e. udostępnianie
lub umożliwienie udostępniania danych osobom lub podmiotom do tego
nieupoważnionym;
f.
zaniechanie, choćby nieumyślne,
dopełnienia obowiązku zapewnienia danym osobowym ochrony;
g.
niedopełnienie obowiązku zachowania w
tajemnicy Danych osobowych oraz sposobów ich zabezpieczenia;
§
13
[organ nadzorczy]
1. W
przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych
Użytkownik:
a. zobowiązany
jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie
skutków naruszenia i do niezwłocznego powiadomienia Administratora Danych;
b. ma
prawo, bez uszczerbku dla innych administracyjnych lub sądowych środków ochrony
prawnej, wnieść skargę do organu nadzorczego właściwego dla państwa członkowskiego
swojego zwykłego miejsca pobytu, swojego miejsca pracy lub miejsca popełnienia
naruszenia.
2.
Organem nadzorczym, właściwym dla
Rzeczypospolitej Polskiej jest Prezes Urzędu Ochrony Danych Osobowych, którego
siedziba mieści się pod adresem: ul. Stawki 2, 00-193 Warszawa.
§
14
[obowiązki Administratora Danych w zakresie zatrudnienia]
1. Obowiązkiem
Administratora Danych w zakresie zatrudniania, zakończenia lub zmiany warunków
zatrudnienia Osób zatrudnionych przy przetwarzaniu danych osobowych jest:
a. odpowiednie
przygotowanie Osób zatrudnionych przy przetwarzaniu danych osobowych do pracy
związanej z wykorzystywaniem Danych Osobowych,
b. zezwalanie
na przetwarzanie Danych Osobowych wyłącznie osobom pisemnie do tego
upoważnionym na podstawie „Upoważnienia do Przetwarzania danych osobowych”,
którego wzór stanowi Załącznik nr 1 do niniejszej Polityki,
c.
dopilnowaniem, aby każdy pracownik
zobowiązał się do zachowania danych osobowych przetwarzanych w Firmie w
tajemnicy poprzez podpisanie „Oświadczenia i zobowiązania się osoby
przetwarzającej dane osobowe do zachowania tajemnicy”, które znajduje się w „Upoważnieniu
do Przetwarzania danych osobowych”.
§15
[obowiązki osób zatrudnionych przy przetwarzaniu danych osobowych]
1. Osoby
zatrudnione przy przetwarzaniu danych osobowych zobowiązane są do:
a. przetwarzania
i ochrony Danych Osobowych zgodnie z przepisami prawa powszechnie
obowiązującego oraz regulacjami stworzonymi przez Firmę, w szczególności z
Polityką Prywatności i Regulaminem, działając w zakresie Upoważnienia, o którym mowa w §14 ust. 1 lit. b;
b.
poinformowanie osoby, której dane dotyczą,
o przysługujących jej prawach;
c. zachowania
w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
d. zgłaszanie
Administratorowi Danych wszelkich incydentów związanych z naruszeniem
bezpieczeństwa danych lub niewłaściwym funkcjonowaniem systemu.
2. Zabronione
jest przez pracowników Firmy lub innych osób zatrudnionych przy przetwarzaniu
danych osobowych:
a. udostępnianie
lub umożliwianie dostępu do danych osobowych osobom nieupoważnionym;
b. uniemożliwianie
osobie, której dane dotyczą, korzystania z przysługujących jej praw;
c.
przetwarzanie danych niezgodnie z
określonym celem.
3.
Wobec osoby, która uchybiła obowiązkom
wymienionym w ust. 1 lub złamała zakazy wymienione w ust. 2, a w
szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi w
niniejszej Polityce zasadami w razie naruszenia bezpieczeństwa danych, wszczyna
się postępowanie zmierzające do wymierzenia kary porządkowej.
4.
Kara porządkowa, wobec osoby uchylającej
się od powiadomienia Administratora Danych nie wyklucza odpowiedzialności
karnej tej osoby zgodnie z przepisami prawa powszechnie obowiązującego.
§
16
[dane wrażliwe]
Zabrania
się przetwarzania przez Firmę w zbiorach, danych wrażliwych, a w szczególności
poglądów politycznych, przekonań religijnych, przekonań filozoficznych,
informacji na temat stanu zdrowia, pochodzenia etnicznego i rasowego lub danych
dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych
orzeczeń wydanych w postępowaniu sądowym lub administracyjnym, chyba, że
wymagają tego obowiązujące przepisy prawa lub osoba, której powyższe dane
dotyczą wyraziła na to pisemną zgodę.
§ 17
[obszar przetwarzania danych osobowych]
1.
Obszar, w którym przetwarzane są Dane
osobowe na terenie Firmy, obejmuje pomieszczenie biurowe zlokalizowane w
siedzibie Firmy oraz wszystkie komputery przenośne i inne nośniki danych
znajdujące się poza obszarem określonym w niniejszym paragrafie.
§ 18
[środki techniczne i organizacyjne]
1.
Administrator Danych zapewnia zastosowanie
środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności,
integralności, rozliczalności i ciągłości przetwarzanych danych.
2. Zastosowane
środki ochrony (techniczne i organizacyjne) powinny być adekwatne do
stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i
kategorii danych.
3. Środki,
o których mowa w ustępie poprzedzającym obejmują:
a. Ograniczenie
dostępu do pomieszczeń, w których przetwarzane są dane osobowe, jedynie do osób
odpowiednio upoważnionych. Inne osoby mogą przebywać w pomieszczeniach
wykorzystywanych do Przetwarzania danych jedynie w towarzystwie osoby
upoważnionej.
b. Zamykanie
pomieszczeń tworzących obszar Przetwarzania danych osobowych określonych w § 15
ust. 1 niniejszej Polityki na czas nieobecności pracowników, w sposób
uniemożliwiający dostęp do nich osób trzecich.
c. Wykorzystanie
zamykanych szafek do zabezpieczenia dokumentów.
d. Wykorzystanie
niszczarki do skutecznego usuwania dokumentów zawierających dane osobowe.
e. Ochronę
sieci lokalnej przed działaniami inicjowanymi z zewnątrz przy użyciu sieci
firewall
f.
Stosowanie bezpiecznego protokołu
szyfrowania komunikacji (SSL) dla zabezpieczenia przetwarzanych danych
osobowych.
g. Wykonywanie
kopii awaryjnych danych na zabezpieczonym serwerze danych SSL.
h. Ochronę
sprzętu komputerowego wykorzystywanego u administratora przed złośliwym
oprogramowaniem.
i.
Zabezpieczenie dostępu do urządzeń przy
pomocy haseł dostępu.
j.
Wykorzystanie szyfrowania danych przy ich
transmisji.
k.
Prowadzenie wewnętrznych szkoleń dla
pracowników Firmy z zakresu ochrony danych osobowych.
§
19
[naruszenie zasad ochrony danych]
1. Każdy
pracownik firmy, który stwierdzi fakt naruszenia bezpieczeństwa danych przez
osobę przetwarzającą dane osobowe, bądź posiada informację mogącą mieć wpływ na
bezpieczeństwo danych osobowych przetwarzanych w Firmie jest zobowiązany
niezwłocznie zgłosić ten fakt Administratorowi Danych.
2. W
razie braku możliwości zawiadomienia Administratora Danych lub osoby przez
niego upoważnionej, należy zawiadomić bezpośredniego przełożonego.
3. Do
czasu przybycia na miejsce Administratora Danych należy:
4. niezwłocznie,
o ile to możliwe, podjąć czynności niezbędne do powstrzymania skutków
naruszenia ochrony,
a. ustalić
przyczynę i sprawcę naruszenia ochrony,
b. rozważyć
wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu
zabezpieczenia miejsca zdarzenia; na ile to możliwe należy zaniechać wszelkich
działań mogących utrudnić analizę wystąpienia naruszenia ochrony i
udokumentowanie zdarzenia podjąć stosowne działania, jeśli zaistniały przypadek
został przewidziany w dokumentacji systemu operacyjnego, bazy danych czy
aplikacji użytkowej,
c. nie
opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia
Administratora Danych.
5. Po
przybyciu na miejsce naruszenia bezpieczeństwa danych osobowych Administrator
Danych zapoznaje się z zaistniałą sytuacją i wybiera sposób dalszego postępowania
uwzględniając zagrożenie w prawidłowości pracy Firmy, może również zażądać
dokładnej relacji z zaistniałego naruszenia bezpieczeństwa danych osobowych od
osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać
informacje w związku z zaistniałym naruszeniem,
6. Jeżeli
Administrator Danych uzna, że zachodzi taka potrzeba, nawiązuje kontakt ze
specjalistami spoza Firmy.
7. W
przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator Danych
dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia
praw lub wolności osób fizycznych.
8. W
każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko
naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt
naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki –
jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu
naruszenia.
9. Jeżeli
ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o
incydencie także osobę, której dane dotyczą.
10. Administrator
Danych zasięga potrzebnych mu opinii i proponuje działania naprawcze w tym
także ustosunkowuje się do kwestii ewentualnego odtworzenia danych z
zabezpieczeń oraz terminu wznowienia przetwarzania danych osobowych.
§
20
[powierzanie przetwarzania danych osobowych]
1. Administrator
Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu
podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z
wymogami wskazanymi dla takich umów w art. 28 RODO.
2. Przed
powierzeniem przetwarzania danych osobowych Administrator w miarę możliwości
uzyskuje informacje o dotychczasowych praktykach procesora dotyczących
zabezpieczenia danych osobowych.
3. Poza
podmiotami, o których mowa w ust. 1 dane osobowe, w zakresie, w jakim jest to
rzeczywiście niezbędne dla osiągnięcia danego celu, mogą być powierzane m.in.:
a. podmiotom
świadczące usługi hostingowe na rzecz Firmy;
b. podmiotom
realizującym kampanie marketingowe lub sprzedażowe na rzecz Firmy;
c. innym
podwykonawcom Firmy, świadczącym usługi z zakresu dostarczania oprogramowania,
usługi serwisowania oprogramowania lub sprzętu, z którego korzysta Firma, a
także dostawcy towarów dla Firmy;
d. podmiotom
świadczącym usługi z zakresu badań ankietowych, w tym badań satysfakcji
klienta;
e. firmom
windykacyjnym;
f.
audytorom i biegłym rewidentom;
g. doradcom
podatkowym i prawnym;
h. organom
nadzorującym przestrzeganie prawa, organy regulacyjne i inne organy
administracji publicznej,
4. W
przypadkach określonych w ust. 3 lit. f-h niniejszego paragrafu, dane osobowe
przekazywane są tylko wówczas i tylko w takim zakresie, w jakim jest to
rzeczywiście niezbędne i wymagane w myśl bezwzględnie obowiązujących przepisów
prawa i w sposób zgodny z tymi przepisami.
§ 21
[polityka Plików Cookie]
1.
Strona internetowa … używa Plików Cookie,
o których mowa w § 1 pkt 15 Polityki.
2.
Gromadzone informacje w ramach Plików
Cookie dotyczą adresu IP, typu wykorzystywanej przeglądarki, rodzaju systemu
operacyjnego, dostawcy usług internetowych, języka, informacji o czasie i
dacie, lokalizacji oraz informacji przesyłanych do witryny za pośrednictwem
formularza kontaktowego.
3.
Zebrane dane służą do monitorowania i
sprawdzenia, w jaki sposób użytkownicy korzystają ze strony internetowej…, aby
usprawniać jej funkcjonowanie i zapewnić łatwiejsze korzystanie Użytkownikom.
4. Pliki
Cookie wykorzystywane są w celu:
a. zapewnienia
prawidłowego działania strony,
b. optymalizacji
korzystania ze strony przez Użytkowników oraz dopasowania go do ich
indywidualnych potrzeb.
c.
tworzenia statystyk, pomagających
zrozumieć, w jaki sposób Użytkownicy korzystają ze strony, w celu ulepszania
jej funkcjonalności.
5.
Pliki Cookie identyfikują użytkownika, co
pozwala na dopasowanie treści witryny, z której korzysta, do jego potrzeb.
Zapamiętując jego preferencje, umożliwia odpowiednie dopasowanie skierowanych
do niego reklam. Administrator Danych stosuje Pliki Cookie, aby zagwarantować
najwyższy standard wygody serwisulawko.pl, a zebrane dane są wykorzystywane
jedynie wewnątrz Firmy w celu optymalizacji działań.
§
22
[rodzaje Plików Cookie]
W
ramach strony internetowej … Administrator Danych może wykorzystywać lub
wykorzystuje następujące Pliki Cookie:
1) Z
uwagi na czas ich trwania:
a. sesyjne
– pliki przechowywane w urządzeniu Użytkownika do czasu opuszczenia strony
b.
stałe - pliki przechowywane w urządzeniu
Użytkownika do czasu ich usunięcia przez Użytkownika albo do czasu wygaśnięcia
pliku cookie w terminie określonym w specyfikacji pliku cookie.
2) Z
uwagi na cele ich wykorzystywania:
a. umożliwiające
korzystanie z usług dostępnych w ramach strony internetowej, np. wykorzystywane
do usług wymagających uwierzytelniania na czas trwania sesji;
b. służące
do zapewnienia bezpieczeństwa, np. wykorzystywane do wykrywania nadużyć w
zakresie uwierzytelniania w ramach serwisu;
c. umożliwiające
zbieranie informacji o sposobie korzystania ze stron internetowych serwisu;
d. umożliwiające
zapamiętanie wybranych przez użytkownika ustawień i personalizację interfejsu
użytkownika, np. w zakresie wybranego języka lub regionu, z którego pochodzi
użytkownik, rozmiaru czcionki, wyglądu strony internetowej etc.;
e.
umożliwiające dostarczanie użytkownikom
treści reklamowych bardziej dostosowanych do ich zainteresowań;
§ 23
[opcje Użytkownika]
1.
Użytkownik wyraża zgodę na wykorzystywanie
Plików Cookie poprzez zamknięcie okna z komunikatem wyświetlającym się
zaraz po wejściu na stronę internetową …;
2.
Użytkownik może w każdej chwili dokonać
zmiany ustawień dotyczących Plików Cookie. Ustawienia te mogą zostać zmienione
w szczególności w taki sposób, aby blokować automatyczną obsługę Plików Cookie
w ustawieniach przeglądarki internetowej bądź informować o ich każdorazowym
zamieszczeniu w urządzeniu Użytkownika;
3.
Wyłączenie stosowania Cookie może
spowodować utrudnienia w korzystaniu ze strony internetowej …;
4.
Szczegółowe informacje o możliwościach i
sposobach obsługi Plików Cookie dostępne są w ustawieniach przeglądarki
internetowej.
§
24
[postanowienia końcowe]
1.
Niniejsza Polityka wchodzi w życie z dniem
15 marca 2021 roku.
2.
Postanowienia niniejszej Polityki mogą
ulec zmianie o czym każdy Użytkownik zostanie poinformowany przez umieszczenie
przez Administratora Danych na stronie głównej … wiadomości o zmianie Polityki
Prywatności, zawierającej zestawienie zmian i utrzymanie tej informacji na
stronie głównej przez okres 14 kolejnych dni kalendarzowych.
Załącznik nr 1
___________________,
dn__________________ r.
(miejscowość, data)
UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH
Na podstawie art. 29 rozporządzenia Parlamentu
Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony
osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie
swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne
rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1) – dalej RODO
(GDPR), niniejszym upoważniam do przetwarzania danych osobowych:
________________________________ (imię,
nazwisko)
________________________________ (stanowisko)
w zakresie pełnionych obowiązków służbowych na
zajmowanym stanowisku.
Upoważniam ___________________________ (imię i
nazwisko) do przetwarzania danych osobowych zawartych w następujących
zbiorach:
·
______________________
·
______________________
·
______________________
Upoważnienie obejmuje uprawnienie do przetwarzania
danych w zakresie (w tym miejscu należy wskazać kategorie danych oraz
operacje na danych osobowych, jakich może dokonywać upoważniony do
przetwarzania danych osobowych):
·
______________________
·
______________________
·
______________________
Okres ważności upoważnienia:
od: _______________________
do: _______________________
_______________________________
(podpis osoby nadającej upoważnienie)